Risoluzione dei problemi: problemi di connessione da punto a sito di Azure

Questo articolo elenca i problemi comuni di connessione da punto a sito che l'utente potrebbe riscontrare. e le possibili cause e soluzioni.

Errore del client VPN: non è stato possibile trovare un certificato

Sintomo

Quando si cerca di connettersi alla rete virtuale di Azure usando il client VPN, viene visualizzato il messaggio di errore seguente:

Impossibile trovare un certificato utilizzabile con il protocollo EAP (Extensible Authentication Protocol). (Errore 798)

Causa

Questo problema si verifica se il certificato client non è presente in Certificates - Current User\Personal\Certificates (Certificati - Utente corrente\Personale\Certificati).

Soluzione

Per risolvere il problema, seguire questa procedura:

1. Aprire Gestione certificati: fare clic sul pulsante Start, digitare gestisci i certificati computer e quindi fare clic su gestisci i certificati computer nei risultati della ricerca.

2. Verificare che i certificati seguenti siano nel percorso corretto:

   Certificato	Location
   AzureClient.pfx	Utente corrente\Personale\Certificati
   AzureRoot.cer	Computer locale\Autorità di certificazione radice attendibili

3. Passare a C:\Users<UserName>\AppData\Roaming\Microsoft\Network\Connessione ions\Cm<GUID>, installare manualmente il certificato (*.cer file) nell'archivio dell'utente e del computer.

Per altre informazioni su come installare il certificato client, vedere Generare ed esportare i certificati per le connessioni da punto a sito.

Nota

Quando si importa il certificato client, non selezionare l'opzione Abilita protezione avanzata chiave privata.

Impossibile stabilire la connessione di rete tra il computer e il server VPN perché il server remoto non risponde

Sintomo

Quando si tenta di connettersi a un gateway di rete virtuale di Azure usando IKEv2 in Windows, viene visualizzato il messaggio di errore seguente:

Impossibile stabilire la connessione di rete tra il computer e il server VPN perché il server remoto non risponde

Causa

Il problema si verifica se la versione di Windows non dispone del supporto per la frammentazione IKE.

Soluzione

IKEv2 è supportato in Windows 10 e Server 2016. Per poter usare IKEv2, è però necessario installare gli aggiornamenti e impostare in locale un valore della chiave del Registro di sistema. Le versioni del sistema operativo precedenti a Windows 10 non sono supportate e possono usare solo SSTP.

Per preparare Windows 10 o Server 2016 per IKEv2:

1. Installare l'aggiornamento.

   Versione sistema operativo	Data	Numero/collegamento
   Windows Server 2016 Windows 10 versione 1607	17 gennaio 2018	KB4057142
   Windows 10 versione 1703	17 gennaio 2018	KB4057144
   Windows 10 versione 1709	22 marzo 2018	KB4089848

2. Impostare il valore della chiave del Registro di sistema. Creare o impostare HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload REG_DWORD chiave nel Registro di sistema su 1.

Errore del client VPN: Il messaggio ricevuto era imprevisto o con formattazione scorretta

Sintomo

Quando si cerca di connettersi alla rete virtuale di Azure usando il client VPN, viene visualizzato il messaggio di errore seguente:

Il messaggio ricevuto era imprevisto o con formattazione scorretta. (Errore 0x80090326)

Causa

Questo problema si verifica in presenza di una delle condizioni seguenti:

• Le route definite dall'utente con la route predefinita nella subnet del gateway sono impostate in modo non corretto.
• La chiave pubblica del certificato radice non viene caricata nel gateway VPN di Azure.
• La chiave è danneggiata o scaduta.

Soluzione

Per risolvere il problema, seguire questa procedura:

1. Rimuovere la route definita dall'utente nella subnet del gateway. Assicurarsi che la route definita dall'utente inoltri tutto il traffico correttamente.
2. Controllare lo stato del certificato radice nel portale di Azure per verificare che non sia stato revocato. Se non viene revocato, provare a eliminare il certificato radice e ricaricarlo. Per altre informazioni, vedere Creare certificati.

Errore del client VPN: Una catena di certificati è stata elaborata correttamente, ma termina

Sintomo

Quando si cerca di connettersi alla rete virtuale di Azure usando il client VPN, viene visualizzato il messaggio di errore seguente:

Una catena di certificati è stata elaborata correttamente, ma termina con un certificato radice considerato non attendibile dal provider di attendibilità.

Soluzione

1. Verificare che i certificati seguenti siano nel percorso corretto:

   Certificato	Location
   AzureClient.pfx	Utente corrente\Personale\Certificati
   Azuregateway-GUID.cloudapp.net	Utente corrente\Autorità di certificazione radice attendibili
   AzureGateway-GUID.cloudapp.net, AzureRoot.cer	Computer locale\Autorità di certificazione radice attendibili

2. Se i certificati sono già presenti nel percorso, provare a eliminarli e reinstallarli. Il certificato azuregateway-GUID.cloudapp.net si trova nel pacchetto di configurazione del client VPN scaricato dal portale di Azure. Per estrarre i file dal pacchetto, è possibile usare un archiver di file.

Errore di download del file: l'URI di destinazione non è specificato

Sintomo

Viene visualizzato il messaggio di errore seguente:

Errore di download del file. L'URI di destinazione non è specificato.

Causa

Questo problema si verifica a causa di un tipo di gateway non corretto.

Soluzione

Il tipo di gateway VPN deve essere VPN e il tipo di VPN deve essere RouteBased.

Errore del client VPN: Azure VPN custom script failed (Impossibile eseguire lo script personalizzato per la VPN di Azure)

Sintomo

Quando si cerca di connettersi alla rete virtuale di Azure usando il client VPN, viene visualizzato il messaggio di errore seguente:

Custom script (to update your routing table) failed. (Impossibile eseguire lo script personalizzato per aggiornare la tabella di routing). (Errore 8007026f)

Causa

Questo problema può verificarsi se si sta tentando di aprire la connessione VPN da sito a punto usando un collegamento.

Soluzione

Aprire direttamente il pacchetto VPN invece di aprirlo dal collegamento.

Non è possibile installare il client VPN

Causa

È necessario un certificato aggiuntivo per considerare attendibile il gateway VPN per la rete virtuale. Il certificato è incluso nel pacchetto di configurazione del client VPN generato dal portale di Azure.

Soluzione

Estrarre il pacchetto di configurazione del client VPN e trovare il file con estensione CER. Per installare il certificato, seguire questa procedura:

1. Aprire mmc.exe.
2. Aggiungere lo snap-in Certificati.
3. Selezionare l'account Computer per il computer locale.
4. Fare clic con il pulsante destro del mouse sul nodo Autorità di certificazione radice attendibili. Fare clic su All-Task(Tutte le attività)>Importa e passare al file CER estratto dal pacchetto di configurazione del client VPN.
5. Riavviare il computer.
6. Provare a installare il client VPN.

Errore del portale di Azure: Failed to save the VPN gateway, and the data is invalid (Impossibile salvare il gateway VPN. I dati non sono validi)

Sintomo

Quando si prova a salvare le modifiche per il gateway VPN nel portale di Azure, viene visualizzato il messaggio di errore seguente:

Impossibile salvare il nome> del gateway <di rete virtuale. I dati per l'<ID certificato> non sono validi.

Causa

Questo problema può verificarsi se la chiave pubblica del certificato radice caricata contiene caratteri non validi, ad esempio uno spazio.

Soluzione

Assicurarsi che i dati nel certificato non contengano caratteri non validi, ad esempio interruzioni di riga (ritorni a capo). L'intero valore deve essere un'unica riga lunga. Il testo seguente è un esempio del certificato:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Errore del portale di Azure: Failed to save the VPN gateway, and the resource name is invalid (Non è stato possibile salvare il gateway VPN. Nome risorsa non valido)

Sintomo

Quando si prova a salvare le modifiche per il gateway VPN nel portale di Azure, viene visualizzato il messaggio di errore seguente:

Impossibile salvare il nome> del gateway <di rete virtuale. Il nome del certificato del nome <della risorsa che si tenta di caricare> non è valido.

Causa

Questo problema si verifica perché il nome del certificato contiene caratteri non validi, ad esempio uno spazio.

Errore del portale di Azure: VPN package file download error 503 (Errore 503 relativo al download del file del pacchetto VPN)

Sintomo

Quando si prova a scaricare il pacchetto di configurazione del client VPN, viene visualizzato il messaggio di errore seguente:

Non è stato possibile scaricare il file. Dettagli errore: errore 503. Il server è occupato.

Soluzione

Questo errore può essere causato da un problema di rete temporaneo. Provare di nuovo a scaricare il pacchetto VPN dopo alcuni minuti.

Aggiornamento di Azure Gateway VPN: tutti i client da punto a sito non sono in grado di connettersi

Causa

Se il certificato ha superato il 50% del ciclo di vita, ne viene eseguito il rollover.

Soluzione

Per risolvere questo problema, scaricare di nuovo e ridistribuire il pacchetto da punto a sito in tutti i client.

Troppi client VPN connessi contemporaneamente

È stato raggiunto il numero massimo di connessioni consentite. È possibile visualizzare il numero totale di client connessi nel portale di Azure.

Il client VPN non può accedere alle condivisioni file di rete

Sintomo

Il client VPN si è connesso alla rete virtuale di Azure, Tuttavia, il client non può accedere alle condivisioni di rete.

Causa

Per l'accesso alle condivisioni file, viene usato il protocollo SMB. Quando viene avviata la connessione, il client VPN aggiunge le credenziali della sessione e si verifica l'errore. Dopo che la connessione è stata stabilita, il client è forzato a usare le credenziali della cache per l'autenticazione Kerberos. Questo processo avvia le query al Centro distribuzione chiavi, ovvero un controller di dominio, per ottenere un token. Poiché il client si connette da Internet, potrebbe non riuscire a raggiungere il controller di dominio. Pertanto, il client non può eseguire il failover da Kerberos a NTLM.

L'unica volta che il client richiede una credenziale è quando ha un certificato valido (con SAN=UPN) rilasciato dal dominio a cui è aggiunto. Il client deve anche essere fisicamente connesso alla rete di dominio. In questo caso, il client prova a usare il certificato e a raggiunge il controller di dominio. Il Centro distribuzione chiavi restituisce quindi un errore "KDC_ERR_C_PRINCIPAL_UNKNOWN". Il client deve effettuare il failover a NTLM.

Soluzione

Per risolvere il problema, disabilitare la memorizzazione nella cache delle credenziali di dominio dalla sottochiave del registro di sistema seguente:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableDomainCreds - Set the value to 1

Non è possibile trovare la connessione VPN da punto a sito in Windows dopo aver reinstallato il client VPN

Sintomo

Si rimuove la connessione VPN da punto a sito e quindi si reinstalla il client VPN. In questo caso, la connessione VPN non è configurata correttamente. La connessione VPN non viene visualizzata nelle impostazioni Connessioni di rete in Windows.

Soluzione

Per risolvere il problema, eliminare i file di configurazione del client VPN precedenti da C:\Users\UserName\AppData\Roaming\Microsoft\Network\Connessione ions<VirtualNetworkId> e quindi eseguire di nuovo il programma di installazione del client VPN.

Il client VPN da punto a sito non è in grado di risolvere il nome di dominio completo delle risorse nel dominio locale

Sintomo

Quando il client si connette ad Azure usando la connessione VPN da punto a sito, non può risolvere il nome di dominio completo delle risorse nel dominio locale.

Causa

Il client VPN da punto a sito usa in genere server DNS di Azure configurati nella rete virtuale di Azure. I server DNS di Azure hanno la precedenza sui server DNS locali configurati nel client (a meno che la metrica dell'interfaccia Ethernet non sia inferiore), quindi tutte le query DNS vengono inviate ai server DNS di Azure. Se i server DNS di Azure non hanno i record per le risorse locali, la query ha esito negativo.

Soluzione

Per risolvere il problema, assicurarsi che i server DNS di Azure usati nella rete virtuale di Azure siano in grado di risolvere i record DNS per le risorse locali. A tale scopo, è possibile usare server di inoltro DNS o server di inoltro condizionali. Per altre informazioni, vedere Risoluzione dei nomi con il proprio server DNS.

Viene stabilita la connessione VPN da punto a sito, ma non è ancora possibile connettersi alle risorse di Azure

Causa

Questo problema può verificarsi se il client VPN non ottiene le route dal gateway VPN di Azure.

Soluzione

Per risolvere questo problema, reimpostare il gateway VPN di Azure. Per assicurarsi che vengano usate le nuove route, scaricare di nuovo i client VPN da punto a sito dopo la configurazione del peering della rete virtuale.

Errore: "La funzione di revoca non è riuscita a controllare la revoca perché il server di revoca era offline. (Errore 0x80092013)"

Cause

Questo messaggio di errore si verifica se il client non riesce ad accedere a http://crl3.digicert.com/ssca-sha2-g1.crl e http://crl4.digicert.com/ssca-sha2-g1.crl. La verifica delle revoche richiede l'accesso a questi due siti. Questo problema si verifica in genere nel client che ha un server proxy configurato. In alcuni ambienti, se le richieste non passano attraverso il server proxy, verrà negato al firewall perimetrale.

Soluzione

Controllare le impostazioni del server proxy, assicurarsi che il client possa accedere a http://crl3.digicert.com/ssca-sha2-g1.crl e http://crl4.digicert.com/ssca-sha2-g1.crl.

Errore del client VPN: Impossibile stabilire la connessione a causa di un criterio configurato nel server RAS/VPN (errore 812)

Causa

Questo errore si verifica se il server RADIUS usato per l'autenticazione del client VPN ha impostazioni non corrette o se il gateway di Azure non è in grado di raggiungere il server Radius.

Soluzione

Assicurarsi che il server RADIUS sia configurato correttamente. Per altre informazioni, vedere Integrare l'autenticazione con il server Azure Multi-Factor Authentication.

"Errore 405" quando si scarica il certificato radice dal gateway VPN

Causa

Il certificato radice non è stato installato. Il certificato radice è installato nell'archivio certificati attendibili del client.

Errore del client VPN: Impossibile stabilire la connessione remota. Tentativi di tunnel VPN non riusciti (errore 800)

Causa

Il driver della scheda di interfaccia di rete non è aggiornato.

Soluzione

Aggiornare il driver della scheda di interfaccia di rete:

1. Fare clic su Start, digitare Gestione dispositivi e selezionarlo dall'elenco dei risultati. Se viene chiesto di immettere la password amministratore o di confermare l'operazione, digitare la password o confermare.
2. Nelle categorie Schede di rete trovare la scheda di interfaccia di rete che si vuole aggiornare.
3. Fare doppio clic sul nome del dispositivo, selezionare Aggiorna driver e quindi Cerca automaticamente un driver aggiornato.
4. Se Windows non trova un nuovo driver, è possibile cercarne uno nel sito Web del produttore del dispositivo e seguire le istruzioni.
5. Riavviare il computer e riprovare la connessione.

Errore del client VPN: Connessione VPN <di chiamata vpn Connessione nome>, Stato = Piattaforma VPN non ha attivato la connessione

È anche possibile che venga visualizzato l'errore seguente in Visualizzatore eventi da RasClient: "L'utente <> ha composto una connessione denominata <VPN Connessione ion Name> che non è riuscita. Il codice di errore restituito in caso di errore è 1460".

Causa

Il client VPN di Azure non dispone dell'autorizzazione app "App in background" abilitata in App Impostazioni per Windows.

Soluzione

1. In Windows passare a Impostazioni - Privacy ->> App in background
2. Attivare o disattivare l'opzione "Consenti l'esecuzione delle app in background" su Sì

Errore: "Errore di download del file. L'URI di destinazione non è specificato"

Causa

Questo problema è causato dalla configurazione di un tipo di gateway non corretto.

Soluzione

Il tipo di gateway VPN di Azure deve essere VPN e il tipo di VPN deve essere RouteBased.

Il programma di installazione del pacchetto VPN non viene completato

Causa

Questo problema può essere causato dalle installazioni di client VPN precedenti.

Soluzione

Eliminare i file di configurazione del client VPN precedenti da C:\Users\UserName\AppData\Roaming\Microsoft\Network\Connessione ions<VirtualNetworkId> ed eseguire di nuovo il programma di installazione del client VPN.

Non è possibile risolvere i record nelle zone DNS privato usando il sistema di risoluzione privato dai client da punto a sito.

Sintomo

Quando si usa il server DNS fornito da Azure (168.63.129.16) nella rete virtuale, i client da punto a sito non saranno in grado di risolvere i record presenti nelle zone DNS privato (inclusi gli endpoint privati).

Causa

L'indirizzo IP del server DNS di Azure (168.63.129.16) è risolvibile solo dalla piattaforma Azure.

Soluzione

La procedura seguente consente di risolvere i record dalla zona DNS privato:

La configurazione dell'indirizzo IP in ingresso del sistema di risoluzione privato come server DNS personalizzati nella rete virtuale consente di risolvere i record nella zona DNS privata (inclusi quelli creati da endpoint privati). Si noti che le zone di DNS privato devono essere associate alla rete virtuale con sistema di risoluzione privato.

Per impostazione predefinita, i server DNS configurati in una rete virtuale verranno inseriti nei client da punto a sito connessi tramite gateway VPN. Di conseguenza, la configurazione dell'indirizzo IP in ingresso del resolver privato come server DNS personalizzati nella rete virtuale eseguirà automaticamente il push di questi indirizzi IP ai client come server DNS VPN ed è possibile risolvere facilmente i record dalle zone DNS private (inclusi gli endpoint privati).