Pemecahan Masalah: Masalah koneksi titik-ke-situs Azure
Artikel ini mencantumkan masalah koneksi point-to-site umum yang mungkin Anda alami. Artikel ini juga membahas kemungkinan penyebab dan solusi untuk masalah ini.
Kesalahan klien VPN: Sertifikat tidak dapat ditemukan
Gejala
Ketika Anda mencoba menyambungkan ke jaringan virtual Azure dengan menggunakan klien VPN, Anda menerima pesan kesalahan berikut:
Sertifikat tidak bisa ditemukan yang bisa digunakan dengan Extensible Authentication Protocol ini. (Kesalahan 798)
Penyebab
Masalah ini terjadi jika sertifikat klien hilang dari Sertifikat - Pengguna Saat Ini\Pribadi\Sertifikat.
Solusi
Untuk mengatasi masalah ini, ikuti langkah-langkah berikut:
Buka Pengelola Sertifikat: Klik Mulai, ketik kelola sertifikat komputer, lalu klik kelola sertifikat komputer dalam hasil pencarian.
Pastikan bahwa sertifikat berikut berada di lokasi yang benar:
Sertifikat Lokasi AzureClient.pfx Pengguna Saat Ini\Pribadi\Sertifikat AzureRoot.cer Komputer Lokal\Otoritas Sertifikasi Akar Tepercaya Buka C:\Users<UserName>\AppData\Roaming\Microsoft\Network\Connections\Cm<GUID>, instal sertifikat secara manual (*.cer file) di penyimpanan pengguna dan komputer.
Untuk informasi selengkapnya tentang cara menginstal sertifikat klien, lihat Menghasilkan dan mengekspor sertifikat untuk koneksi dari point-to-site.
Catatan
Saat Anda mengimpor sertifikat klien, jangan pilih opsi Aktifkan perlindungan kunci privat yang kuat.
Koneksi jaringan antara komputer Anda dan server VPN tidak dapat dibuat karena server jarak jauh tidak merespons
Gejala
Saat Anda mencoba menyambungkan ke gateway jaringan virtual Azure menggunakan IKEv2 di Windows, Anda mendapatkan pesan kesalahan berikut:
Sambungan jaringan antara komputer Anda dan server VPN tidak bisa dibentuk karena server jarak jauh tidak merespons
Penyebab
Masalah terjadi jika versi Windows tidak memiliki dukungan untuk fragmentasi IKE.
Solusi
IKEv2 didukung pada Windows 10 dan Server 2016. Namun, untuk menggunakan IKEv2, Anda harus menginstal pembaruan dan menetapkan nilai kunci registrasi secara lokal. Versi OS sebelum Windows 10 tidak didukung dan hanya dapat menggunakan SSTP.
Untuk menyiapkan Windows 10, atau Server 2016 untuk IKEv2:
Instal pembaruan.
Versi OS Tanggal Angka/Tautan Server Windows 2016
Windows 10 Versi 160717 Januari 2018 KB4057142 Windows 10 Versi 1703 17 Januari 2018 KB4057144 Windows 10 Versi 1709 22 Maret 2018 KB4089848 Tetapkan nilai kunci registrasi. Membuat atau mengatur
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayloadkunci REG_DWORD dalam registrasi ke 1.
Kesalahan klien VPN: Pesan yang diterima tidak terduga atau diformat dengan buruk
Gejala
Ketika Anda mencoba menyambungkan ke jaringan virtual Azure dengan menggunakan klien VPN, Anda menerima pesan kesalahan berikut:
Pesan yang diterima tidak diharapkan atau diformat dengan buruk. (Kesalahan 0x80090326)
Penyebab
Masalah ini terjadi jika salah satu kondisi berikut ini benar:
- Penggunaan rute yang ditentukan pengguna (UDR) dengan rute default pada Subnet Gateway diatur dengan tidak benar.
- Kunci publik sertifikat akar tidak diunggah ke gateway AZURE VPN.
- Kunci rusak atau kedaluwarsa.
Solusi
Untuk mengatasi masalah ini, ikuti langkah-langkah berikut:
- Hapus UDR pada Subnet Gateway. Pastikan UDR meneruskan semua lalu lintas dengan benar.
- Periksa status sertifikat akar di portal Microsoft Azure untuk melihat apakah sertifikat tersebut dicabut. Jika tidak dicabut, coba hapus sertifikat akar dan muat ulang. Untuk informasi selengkapnya, lihat Membuat sertifikat.
Kesalahan klien VPN: Rantai sertifikat diproses tetapi dihentikan
Gejala
Ketika Anda mencoba menyambungkan ke jaringan virtual Azure dengan menggunakan klien VPN, Anda menerima pesan kesalahan berikut:
Rantai sertifikat diproses tetapi dihentikan dalam sertifikat akar yang tidak dipercaya oleh penyedia kepercayaan.
Solusi
Pastikan bahwa sertifikat berikut berada di lokasi yang benar:
Sertifikat Lokasi AzureClient.pfx Pengguna Saat Ini\Pribadi\Sertifikat Azuregateway-GUID.cloudapp.net Komputer Lokal\Otoritas Sertifikasi Akar Tepercaya AzureGateway-GUID.cloudapp.net, AzureRoot.cer Komputer Lokal\Otoritas Sertifikasi Akar Tepercaya Jika sertifikat sudah berada di lokasi, cobalah untuk menghapus sertifikat dan menginstalnya kembali. Sertifikat azuregateway-GUID.cloudapp.net berada dalam paket konfigurasi klien VPN yang Anda unduh dari portal Microsoft Azure. Anda dapat menggunakan arsip berkas untuk mengekstrak berkas dari paket.
Kesalahan pengunduhan file: Target URI tidak ditentukan
Gejala
Anda mungkin menerima pesan kesalahan berikut:
Kesalahan pengunduhan file. URI target tidak ditentukan.
Penyebab
Masalah ini terjadi karena jenis gateway yang salah.
Solusi
Jenis gateway VPN harus VPN,dan jenis VPN harus RouteBased.
Kesalahan klien VPN: Skrip kustom Azure VPN gagal
Gejala
Ketika Anda mencoba menyambungkan ke jaringan virtual Azure dengan menggunakan klien VPN, Anda menerima pesan kesalahan berikut:
Skrip kustom (untuk memperbarui tabel perutean Anda) gagal. (Kesalahan 8007026f)
Penyebab
Masalah ini mungkin terjadi jika Anda mencoba membuka koneksi VPN situs-ke-titik dengan menggunakan pintasan.
Solusi
Buka paket VPN secara langsung alih-alih membukanya dari pintasan.
Tidak dapat menginstal klien VPN
Penyebab
Diperlukan sertifikat tambahan untuk mempercayai gateway VPN untuk jaringan virtual Anda. Sertifikat disertakan dalam paket konfigurasi klien VPN yang dihasilkan dari portal Microsoft Azure.
Solusi
Ekstrak paket konfigurasi klien VPN, dan temukan berkas .cer ini. Untuk menginstal sertifikat, ikuti langkah-langkah berikut:
- Jalankan mmc.exe.
- Tambahkan snap-in Sertifikat.
- Pilih akun Komputer untuk komputer lokal.
- Klik kanan simpul Otoritas Sertifikasi Akar Tepercaya. Klik Impor Semua>Tugas, dan telusuri ke file .cer yang Anda ekstrak dari paket konfigurasi klien VPN.
- Mulai ulang komputer.
- Tidak bisa menginstal klien VPN.
Kesalahan portal Microsoft Azure: Gagal menyimpan gateway VPN, dan data tidak valid
Gejala
Ketika Anda mencoba menyimpan perubahan untuk gateway VPN di portal Microsoft Azure, Anda menerima pesan kesalahan berikut:
Gagal menyimpan gateway jaringan virtual <nama gateway>. Data untuk <ID sertifikat> tidak valid.
Penyebab
Masalah ini mungkin terjadi jika kunci publik sertifikat akar yang Anda unggah berisi karakter yang tidak valid, seperti spasi.
Solusi
Pastikan bahwa data dalam sertifikat tidak berisi karakter yang tidak valid, seperti pemisah baris (pengangkutan kembali). Seluruh nilai harus satu baris panjang. Contoh berikut menunjukkan area untuk disalin dalam sertifikat:
Kesalahan portal Microsoft Azure: Gagal menyimpan gateway VPN, dan nama sumber daya tidak valid
Gejala
Ketika Anda mencoba menyimpan perubahan untuk gateway VPN di portal Microsoft Azure, Anda menerima pesan kesalahan berikut:
Gagal menyimpan gateway jaringan virtual <nama gateway>. Nama sumber daya <nama sertifikat yang Anda coba unggah> tidak valid.
Penyebab
Masalah ini terjadi karena nama sertifikat memuat karakter yang tidak-valid, seperti spasi.
Kesalahan portal Microsoft Azure: Kesalahan pengunduhan file paket VPN 503
Gejala
Ketika Anda mencoba mengunduh paket konfigurasi klien VPN, Anda menerima pesan kesalahan berikut:
Gagal mengunduh file. Detail kesalahan: kesalahan 503. Server sibuk.
Solusi
Kesalahan ini bisa disebabkan oleh masalah jaringan sementara. Coba unduh paket VPN lagi setelah beberapa menit.
Pemutakhiran Azure VPN Gateway: Semua klien titik-ke-situs tidak dapat tersambung
Penyebab
Jika sertifikat lebih dari 50 persen selama masa pakainya, sertifikat digulirkan.
Solusi
Untuk mengatasi masalah ini, mengunduh ulang dan menyebarkan ulang paket titik-ke-situs pada semua klien.
Terlalu banyak klien VPN yang terhubung sekaligus
Jumlah maksimum sambungan yang diperbolehkan tercapai. Anda dapat melihat jumlah total klien yang terhubung di portal Microsoft Azure.
Klien VPN tidak dapat mengakses berbagi file jaringan
Gejala
Klien VPN telah terhubung ke jaringan virtual Azure. Namun, klien tidak dapat mengakses berbagi jaringan.
Penyebab
Protokol SMB digunakan untuk akses berbagi file. Ketika koneksi dimulai, klien VPN menambahkan kredensial sesi, dan kegagalan terjadi. Setelah koneksi dibuat, klien dipaksa untuk menggunakan kredensial cache untuk autentikasi Kerberos. Proses ini memulai kueri ke Pusat Distribusi Utama (pengontrol domain) untuk mendapatkan token. Karena klien tersambung dari Internet, klien mungkin tidak dapat menjangkau pengontrol domain. Oleh karena itu, klien tidak dapat melakukan failover dari Kerberos ke NTLM.
Satu-satunya waktu klien dimintai kredensial adalah ketika memiliki sertifikat yang valid (dengan SAN=UPN) yang dikeluarkan oleh domain tempat klien bergabung. Klien juga harus terhubung secara fisik ke jaringan domain. Dalam hal ini, klien mencoba menggunakan sertifikat dan menjangkau pengontrol domain. Kemudian Pusat Distribusi Utama mengembalikan kesalahan "KDC_ERR_C_PRINCIPAL_UNKNOWN". Klien terpaksa gagal ke NTLM.
Solusi
Untuk mengatasi masalah tersebut, nonaktifkan penembolokan kredensial domain dari subkunci registrasi berikut:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableDomainCreds - Set the value to 1
Tidak dapat menemukan koneksi VPN titik-ke-situs di Windows setelah menginstal ulang klien VPN
Gejala
Anda menghapus koneksi VPN point-to-site lalu menginstal ulang klien VPN. Dalam situasi ini, koneksi VPN tidak berhasil dikonfigurasi. Anda tidak melihat koneksi VPN di pengaturan Koneksi jaringan di Windows.
Solusi
Untuk mengatasi masalah tersebut, hapus file konfigurasi klien VPN lama dari C:\Users\UserName\AppData\Roaming\Microsoft\Network\Connections<VirtualNetworkId>, lalu jalankan penginstal klien VPN lagi.
Klien VPN titik-ke-situs tidak dapat menyelesaikan FQDN sumber daya di domain lokal
Gejala
Saat klien tersambung ke Azure dengan menggunakan koneksi VPN titik-ke-situs, klien tidak dapat menyelesaikan FQDN sumber daya di domain lokal Anda.
Penyebab
Klien VPN point-to-site biasanya menggunakan server Azure DNS yang dikonfigurasi di jaringan virtual Azure. Server Azure DNS lebih diutamakan daripada server DNS lokal yang dikonfigurasi di klien (kecuali metrik antarmuka Ethernet lebih rendah), sehingga semua kueri DNS dikirim ke Azure DNS server. Jika server Azure DNS tidak memiliki rekaman untuk sumber daya lokal, kueri gagal.
Solusi
Untuk mengatasi masalah tersebut, pastikan bahwa server Azure DNS yang digunakan di jaringan virtual Azure bisa mengatasi catatan DNS untuk sumber daya lokal. Untuk melakukan ini, Anda bisa menggunakan Penerus DNS atau penerus bersyarat. Untuk informasi selengkapnya, lihat Resolusi nama menggunakan server DNS Anda sendiri.
Koneksi VPN titik-ke-situs dibuat, tetapi Anda masih tidak dapat tersambung ke sumber daya Azure
Penyebab
Masalah ini mungkin terjadi jika klien VPN tidak mendapatkan rute dari gateway Vpn Azure.
Solusi
Untuk mengatasi masalah ini, reset gateway VPN Azure. Klien VPN Point-to-Site harus diunduh lagi setelah lalu lintas komunikasi jaringan virtual berhasil dikonfigurasi untuk memastikan rute baru diunduh ke klien.
Kesalahan: "Fungsi pencabutan tidak dapat memeriksa pencabutan karena server pencabutan sedang offline. (0x80092013 Kesalahan)"
Penyebab
Pesan kesalahan ini terjadi jika klien tidak dapat mengakses http://crl3.digicert.com/ssca-sha2-g1.crl dan http://crl4.digicert.com/ssca-sha2-g1.crl. Pemeriksaan pencabutan memerlukan akses ke dua situs ini. Masalah ini biasanya terjadi pada klien yang memiliki server proksi yang dikonfigurasi. Di beberapa lingkungan, jika permintaan tidak melalui server proksi, permintaan akan ditolak di firewall tepi.
Solusi
Periksa pengaturan server proksi, pastikan bahwa klien dapat mengakses http://crl3.digicert.com/ssca-sha2-g1.crl dan http://crl4.digicert.com/ssca-sha2-g1.crl.
Kesalahan klien VPN: Koneksi dicegah karena kebijakan yang dikonfigurasi di server RAS/VPN Anda. (Kesalahan 812)
Penyebab
Kesalahan ini terjadi jika server RADIUS yang Anda gunakan untuk mengautentikasi klien VPN memiliki pengaturan yang salah, atau Azure Gateway tidak dapat menjangkau server Radius.
Solusi
Pastikan bahwa server RADIUS dikonfigurasi dengan benar. Untuk informasi selengkapnya, lihat Mengintegrasikan autentikasi RADIUS dengan Azure Multi-Factor Authentication Server.
"Kesalahan 405" ketika Anda mengunduh sertifikat root dari VPN Gateway
Penyebab
Sertifikat akar belum diinstal. Sertifikat akar diinstal di penyimpanan Sertifikat tepercaya klien.
Kesalahan klien VPN: Koneksi jarak jauh tidak dibuat karena terowongan VPN yang dicoba gagal. (Kesalahan 800)
Penyebab
Driver NIC sudah ketinggalan zaman.
Solusi
Perbarui driver NIC:
- Klik Mulai,ketik Manajer Perangkat, dan pilih dari daftar hasil. Jika Anda dimintai kata sandi atau konfirmasi administrator, ketikkan kata sandi atau berikan konfirmasi.
- Di kategori Adaptor jaringan, cari NIC yang ingin Anda perbarui.
- Klik ganda nama perangkat, pilih Perbarui driver, pilih Cari perangkat lunak driver yang diperbarui secara otomatis.
- Jika Windows tidak menemukan driver baru, Anda bisa coba mencarinya di situs web produsen perangkat dan mengikuti instruksi mereka.
- Mulai ulang komputer, lalu coba sambungkan kembali.
Kesalahan klien VPN: Autentikasi Anda dengan Microsoft Entra kedaluwarsa
Jika Anda menggunakan autentikasi ID Microsoft Entra, Anda mungkin mengalami salah satu kesalahan berikut:
Autentikasi Anda dengan Microsoft Entra kedaluwarsa. Anda perlu mengautentikasi ulang di Entra untuk memperoleh token baru. Batas waktu autentikasi dapat disetel oleh administrator Anda.
or
Autentikasi Anda dengan Microsoft Entra telah kedaluwarsa sehingga Anda perlu mengautentikasi ulang untuk memperoleh token baru. Silakan coba menyambungkan lagi. Kebijakan autentikasi dan batas waktu dikonfigurasi oleh administrator Anda di penyewa Entra.
Penyebab
Koneksi titik-ke-situs terputus karena token refresh saat ini telah kedaluwarsa atau menjadi tidak valid. Token akses baru tidak dapat diambil untuk mengautentikasi pengguna.
Saat Klien Azure VPN mencoba membuat koneksi dengan gateway VPN Azure menggunakan autentikasi ID Microsoft Entra, token akses diperlukan untuk mengautentikasi pengguna. Token ini diperpanjang sekitar setiap jam. Token akses yang valid hanya dapat dikeluarkan ketika pengguna memiliki token refresh yang valid. Jika pengguna tidak memiliki token refresh yang valid, koneksi akan terputus.
Token refresh dapat ditampilkan sebagai kedaluwarsa/tidak valid karena beberapa alasan. Anda dapat memeriksa log masuk Entra Pengguna untuk penelusuran kesalahan. Lihat Log masuk Microsoft Entra.
Token refresh telah kedaluwarsa
- Masa pakai default untuk token refresh adalah 90 hari. Setelah 90 hari, pengguna perlu terhubung kembali untuk mendapatkan token refresh baru.
- Admin penyewa Entra dapat menambahkan kebijakan akses bersyarat untuk frekuensi masuk yang memicu aautentikasi ulang berkala setiap jam 'X'. (Token refresh akan kedaluwarsa dalam 'X' jam). Dengan menggunakan kebijakan akses bersyarat kustom, pengguna dipaksa menggunakan rincian masuk interaktif setiap jam 'X'. Untuk informasi selengkapnya, lihat Menyegarkan token di platform identitas Microsoft dan Mengonfigurasi kebijakan masa pakai sesi adaptif.
Token refresh tidak valid
- Pengguna telah dihapus dari penyewa.
- Kredensial pengguna telah berubah.
- Sesi telah dicabut oleh Admin penyewa Entra.
- Perangkat telah menjadi tidak patuh (jika perangkat terkelola).
- Kebijakan Entra lainnya yang dikonfigurasi oleh Admin Entra yang mengharuskan pengguna untuk secara berkala menggunakan masuk interaktif.
Solusi
Dalam skenario ini, pengguna perlu terhubung kembali. Ini memicu proses masuk interaktif di Microsoft Entra yang mengeluarkan token refresh dan token akses baru.
Kesalahan klien VPN: Memanggil Nama> Koneksi VPN koneksi <VPN, Status = Platform VPN tidak memicu koneksi
Anda mungkin juga melihat kesalahan berikut dalam Pemantau Peristiwa dari RasClient: "Pengguna <> memanggil koneksi bernama <Nama> Koneksi VPN yang telah gagal. Kode kesalahan yang dikembalikan pada kegagalan adalah 1460."
Penyebab
Klien Azure VPN tidak mengaktifkan Izin Aplikasi "Aplikasi latar belakang" di Pengaturan Aplikasi untuk Windows.
Solusi
- Buka Start, lalu pilih Pengaturan -> Privasi -> Aplikasi latar belakang
- Aktifkan "Izinkan aplikasi berjalan di latar belakang"
Kesalahan: ‘Kesalahan pengunduhan file Target URI tidak ditentukan’
Penyebab
Ini disebabkan oleh jenis gateway yang salah dikonfigurasi.
Solusi
Jenis gateway VPN harus VPN dan jenis VPN harus RouteBased.
Alat penginstal paket VPN tidak lengkap
Penyebab
Masalah ini dapat disebabkan oleh instalasi klien VPN sebelumnya.
Solusi
Untuk mengatasi masalah tersebut, hapus file konfigurasi klien VPN lama dari C:\Users\UserName\AppData\Roaming\Microsoft\Network\Connections<VirtualNetworkId>, lalu jalankan penginstal klien VPN lagi.
Klien VPN berhibernasi atau tidur
Solusi
Periksa setelan tidur dan hibernasi di komputer yang dijalankan klien VPN.
Saya tidak dapat mengatasi rekaman di Zona DNS Privat menggunakan Pemecah Masalah Privat dari klien titik-ke-situs.
Gejala
Saat Anda menggunakan server DNS yang disediakan Azure (168.63.129.16) di jaringan virtual, klien point-to-site tidak akan dapat menyelesaikan rekaman yang ada di Zona DNS Privat (termasuk titik akhir privat).
Penyebab
Alamat IP server Azure DNS (168.63.129.16) hanya dapat diselesaikan dari platform Azure.
Solusi
Langkah-langkah berikut membantu Anda mengatasi rekaman dari zona DNS Privat:
Mengonfigurasi alamat IP masuk penyelesai privat sebagai server DNS kustom di jaringan virtual membantu Anda menyelesaikan rekaman di zona DNS privat (termasuk yang dibuat dari Titik Akhir Privat). Perhatikan zona DNS Privat harus dikaitkan dengan jaringan virtual yang memiliki Pemecah Masalah Privat.
Secara default, server DNS yang dikonfigurasi pada jaringan virtual akan didorong ke klien titik-ke-situs yang terhubung melalui gateway VPN. Oleh karena itu, mengonfigurasi alamat IP masuk pemecah masalah privat sebagai server DNS kustom di jaringan virtual akan secara otomatis mendorong alamat IP ini ke klien sebagai server DNS VPN dan Anda dapat menyelesaikan rekaman dengan mulus dari zona DNS privat (termasuk titik akhir privat).