Condividi tramite

Microsoft Store non si apre dopo che un computer aggiunto a un dominio effettua una connessione VPN

Questo articolo illustra un problema in cui non è possibile aprire Microsoft Store dopo che un computer aggiunto a un dominio si connette a una connessione VPN con il tunneling forzato abilitato.

Si applica a: Windows 10 - tutte le edizioni
Numero KB originale: 4537233

Sintomi

Si supponga di connettere un computer Windows 10 aggiunto a un dominio a una connessione VPN con il tunneling forzato abilitato. Quando si tenta di aprire Microsoft Store, non viene aperto e viene visualizzato un messaggio di errore "Impossibile caricare la pagina".

Se si esegue una delle operazioni seguenti, Microsoft Store viene aperto come previsto:

  • Disconnettere il computer dal dominio e quindi connettersi alla connessione VPN.
  • Connettere il computer a una connessione VPN con il tunneling forzato disabilitato.
  • Disattivare il servizio Windows Defender Firewall e quindi connettere il computer alla connessione VPN.

Causa

L'app di Microsoft Store usa un modello di sicurezza che dipende dall'isolamento della rete. Le funzionalità e i limiti di rete specifici devono essere abilitati per l'app dello Store e l'accesso alla rete deve essere consentito per l'app.

Quando il profilo di Windows Firewall non è Pubblico, una regola di blocco predefinita blocca tutto il traffico in uscita con l'INDIRIZZO IP remoto impostato su 0.0.0.0. Mentre il computer è connesso a una connessione VPN con il tunneling forzato abilitato, l'IP del gateway predefinito è impostato su 0.0.0.0. Se i limiti di accesso alla rete non sono impostati in modo appropriato, si verificano i comportamenti seguenti:

  • Viene applicata la regola del firewall di blocco predefinita.
  • Il traffico dell'app di Microsoft Store è bloccato.

Risoluzione

Per risolvere questo problema, seguire questa procedura per creare un oggetto Criteri di gruppo:

  1. Aprire lo snap-in Gestione Criteri di gruppo (gpmc.msc) e creare o aprire criteri di gruppo per la modifica.

  2. Nell'Editor Gestione Criteri di gruppo espandere Criteri di configurazione>computer Modelli>amministrativi>Rete e quindi selezionare Isolamento rete.

  3. Nel riquadro destro fare doppio clic su Intervalli della rete privata per app.

  4. Nella finestra di dialogo Intervalli di rete privati per le app selezionare Abilitato.

  5. Nella casella di testo Subnet private digitare l'intervallo IP della scheda VPN e quindi selezionare OK.

    Ad esempio, se gli indirizzi IP della scheda VPN si trovano nell'intervallo 172.x.x.x, aggiungere 172.0.0.0/8 nella casella di testo.

  6. Fare doppio clic su Definizioni subnet autorevoli, selezionare Abilitato e quindi selezionare OK.

  7. Riavviare il client per assicurarsi che l'oggetto Criteri di gruppo abbia effetto.

Dopo l'applicazione di Criteri di gruppo, l'intervallo IP aggiunto è l'unico intervallo di rete privato disponibile per l'isolamento di rete. Windows creerà ora una regola del firewall che consente il traffico ed eseguirà l'override della regola di blocco in uscita precedente con la nuova regola.

Note

  • Quando l'intervallo di pool di indirizzi VPN cambia, è necessario modificare questo oggetto Criteri di gruppo di conseguenza. In caso contrario, il problema verrà rieserito.
  • È possibile eseguire il push degli stessi oggetti Criteri di gruppo dal controller di dominio a più computer.
  • Nei singoli computer è possibile controllare il percorso del Registro di sistema seguente per assicurarsi che l'oggetto Criteri di gruppo abbia effetto:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkIsolation

Ulteriori informazioni

È possibile usare lo strumento predefinito "checknetisolation" per controllare le funzionalità di rete. Quando il computer è connesso al profilo di dominio e al tunneling forzato VPN, le funzionalità InternetClient e InternetClientServer non sono attive. Ad esempio:

C:\Windows\system32>checknetisolation Debug -n=microsoft.windowsstore_8wekyb3d8bbwe

Network Isolation Debug Session started.
Reproduce your scenario, then press Ctrl-C when done.
      Collecting Logs.....

Summary Report

Network Capabilities Status
----------------------------------------------------------------------
    InternetClient                Not Used and Insecure  
    InternetClientServer          Not Used and Insecure  
    PrivateNetworkClientServer    Missing, maybe intended  


Network Capabilities Status
----------------------------------------------------------------------
    InternetClient                Used and Declared
    InternetClientServer          Not Used and Insecure

Note

Nello stesso client, se si rimuove il computer dal dominio o si disconnette la VPN, è possibile vedere che internetclient è in uso.

Per altre informazioni, vedi Isolare le app di Windows Store nella rete.