Condividi tramite

Linee guida per la risoluzione dei problemi di Accesso remoto (VPN e AOVPN)

Provare l'agente virtuale: consente di identificare e risolvere rapidamente i problemi comuni di VPN e VNP Always On.

Le risorse elencate in questo articolo consentono di risolvere i problemi che si verificano quando si usa l'accesso remoto.

  • La distribuzione VPN richiede in genere una configurazione manuale minima in un server o in un computer client. Si noterà subito che le porte corrette sono aperte nel firewall e inoltrate al server e che la VPN è abilitata. La VPN dovrebbe funzionare subito. Assicurarsi anche che nelle impostazioni della VPN nel client siano selezionati i protocolli appropriati.
  • Il primo passaggio per la risoluzione dei problemi e il test della connessione VPN consiste nel comprendere quali siano i componenti principali dell'infrastruttura Always On VPN (AOVPN).
  • Se la configurazione di AOVPN non connette i client alla rete interna, è probabile che la causa sia un certificato VPN non valido, criteri NPS errati, problemi che interessano gli script di distribuzione client o problemi che si verificano durante il routing e l'accesso remoto.

Risolvere i problemi relativi alla VPN di Accesso remoto

  • Microsoft Edge ignora l'impostazione PAC: Microsoft Edge in Android 13 ignora un'impostazione di Configurazione automatica proxy (PAC) configurata in un profilo VPN per app in Microsoft Intune.

  • ID evento: 20227 con codice errore 720 - I client VPN non completano la connessione VPN perché la scheda WAN Miniport (IP) non è stata associata correttamente.

  • La VPN L2TP non riesce con errore 787 - Questo si verifica quando la connessione VPN L2TP a un server di accesso remoto non riesce. L'associazione di sicurezza IPSec (Internet Protocol Security) per la connessione L2TP (Layer Two Tunneling Protocol) non riesce perché il server usa il certificato con caratteri jolly o un certificato di un'autorità di certificazione diversa come certificato del computer configurato nei client. Routing e accesso remoto sceglie il primo certificato che può trovare nell'archivio certificati del computer. La connessione L2TP si comporta in modo diverso a tal proposito rispetto a Secure Socket Tunneling Protocol (SSTP) o a IP-HTTPS o a qualsiasi altra regola IPsec configurata manualmente. La connessione L2TP si basa sul meccanismo predefinito RRAS per la scelta del certificato. L'utente non può modificare questa condizione.

  • Le connessioni VPN RAS LT2P/IPsec non riescono quando si usa MS-CHAPv2 - Si verificano connessioni VPN L2TP/IPsec interrotte a un server di accesso remoto (RAS) di Windows quando viene usata l'autenticazione MS-CHAPv2. Questo problema può verificarsi se le impostazioni LmCompatibilityLevel nel controller di dominio dell'autenticazione sono state modificate rispetto alle impostazioni predefinite.

  • Non è possibile connettersi a Internet dopo la connessione a un server VPN - Questo problema impedisce di connettersi a Internet dopo l'accesso a un server che esegue il routing e l'accesso remoto tramite VPN. Questo problema può verificarsi se si configura la connessione VPN in modo che usi il gateway predefinito nella rete remota. Questa impostazione esegue l'override delle impostazioni del gateway predefinite specificate nelle impostazioni Transmission Control Protocol/Internet Protocol (TCP/IP).

  • Non è possibile stabilire una connessione VPN con accesso remoto - Informazioni che consentono di risolvere i problemi tipici che impediscono ai client di connettersi al server VPN.

  • Non è possibile inviare e ricevere dati - Informazioni sulle cause e le soluzioni comuni per gli errori di connessione VPN con accesso remoto bidirezionale (sistema operativo legacy).

Risolvere i problemi di AOVPN

  • Codice errore: 800 - La connessione remota non è stata stabilita perché i tunnel VPN usati non hanno funzionato. Il server VPN potrebbe non essere raggiungibile. Se questa connessione sta tentando di usare un tunnel L2TP/IPsec, i parametri di sicurezza necessari per la negoziazione IPsec potrebbero non essere configurati correttamente.

  • Codice errore: 809 - Non è stato possibile stabilire la connessione di rete tra il computer e il server VPN perché il server remoto non risponde. Ciò può verificarsi perché uno dei dispositivi di rete (ad esempio un firewall, NAT o router) tra il computer e il server remoto non è configurato per consentire le connessioni VPN. Contattare l'amministratore o il provider di servizi per capire quale sia il dispositivo che causa il problema.

  • Codice errore: 812 - Non è possibile connettersi ad AOVPN. Non è stato possibile stabilire la connessione a causa di un criterio configurato nel server RAS/VPN. In particolare, il metodo di autenticazione usato dal server per verificare il nome utente e la password non corrisponde al metodo di autenticazione configurato nel profilo di connessione. Segnalare l'errore all'amministratore del server RAS.

  • Codice errore: 13806 - L'IKE non ha trovato un certificato della macchina valido. Per informazioni su come installare un certificato valido nell'archivio certificati appropriato, contattare l'amministratore della sicurezza di rete.

  • Codice errore: 13801 - Le credenziali di autenticazione IKE non sono accettabili.

  • Codice errore: 0x80070040 - Il certificato del server non ha la voce Autenticazione server tra le voci relative all'utilizzo del certificato.

  • Codice errore: 0x800B0109 - Il client VPN viene aggiunto a un dominio di Active Directory che pubblica certificati radice trusted, ad esempio da un'Autorità di certificazione aziendale. In tutti i membri del dominio, il certificato viene installato automaticamente nell'archivio Autorità di certificazione radice disponibile nell'elenco locale. Tuttavia, se il computer non è aggiunto al dominio o se si usa una catena di certificati alternativa, è possibile che si verifichi questo problema.

  • Problemi di connessione del client VPN Always On - Un piccolo errore di configurazione può causare un errore nella connessione client. Trovare la causa può essere difficile. Un client AOVPN deve eseguire diversi passaggi prima di stabilire una connessione.

  • Non è possibile eliminare il certificato dal pannello della connettività VPN - I certificati nel pannello della connettività VPN non possono essere eliminati. (Problemi di connessione all'accesso condizionale di Microsoft Entra.

Raccolta dei dati

Prima di contattare il supporto tecnico Microsoft, è possibile raccogliere informazioni sul problema.

Prerequisiti

  1. Il TSS deve essere eseguito dagli account con privilegi di amministratore nel sistema locale e il contratto di licenza deve essere accettato (una volta accettato il contratto di licenza, il TSS non richiederà di nuovo).
  2. È consigliabile usare i criteri di esecuzione di PowerShell del computer RemoteSigned locale.

Note

Se i criteri di esecuzione correnti di PowerShell non consentono l'esecuzione di TSS, eseguire le azioni seguenti:

  • Impostare i RemoteSigned criteri di esecuzione per il livello di processo eseguendo il cmdlet PS C:\> Set-ExecutionPolicy -scope Process -ExecutionPolicy RemoteSigned.
  • Per verificare se la modifica ha effetto, eseguire il cmdlet PS C:\> Get-ExecutionPolicy -List.
  • Poiché le autorizzazioni a livello di processo si applicano solo alla sessione di PowerShell corrente, dopo la chiusura della finestra di PowerShell specificata in cui viene eseguita TSS, l'autorizzazione assegnata per il livello di processo tornerà allo stato configurato in precedenza.

Raccogliere le informazioni chiave prima di contattare il supporto tecnico Microsoft

  1. Scaricare TSS in tutti i nodi e decomprimerlo nella cartella C:\tss .

  2. Aprire la cartella C:\tss da un prompt dei comandi di PowerShell con privilegi elevati.

  3. Avviare le tracce nel client e nel server usando i cmdlet seguenti:

    • Client:

      TSS.ps1 -Scenario NET_VPN

    • Server:

      TSS.ps1 -Scenario NET_RAS

  4. Accettare il contratto di licenza se le tracce vengono eseguite per la prima volta nel server o nel client.

  5. Consenti registrazione (PSR o video).

  6. Riprodurre il problema prima di immettere Y.

    Note

    Se si raccolgono i log sia sul client che sul server, attendere questo messaggio in entrambi i nodi prima di riprodurre il problema.

  7. Immettere Y per completare la raccolta di log dopo la riproduzione del problema.

Le tracce verranno archiviate in un file ZIP nella cartella C:\MS_DATA , che può essere caricata nell'area di lavoro per l'analisi.

Riferimenti