Risolvere i problemi relativi Always On VPN

Questo articolo fornisce istruzioni per la verifica e la risoluzione dei problemi Always On distribuzione VPN.

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10

Se la configurazione della rete privata virtuale (VPN) Always On non connette i client alla rete interna, è possibile che si sia verificato uno dei problemi seguenti:

• Il certificato VPN non è valido.
• I criteri del server dei criteri di rete non sono corretti.
• Problemi relativi agli script di distribuzione client o al routing e all'accesso remoto.

Il primo passaggio per la risoluzione dei problemi e il test della connessione VPN consiste nel comprendere i componenti principali dell'infrastruttura VPN Always On.

È possibile risolvere i problemi di connessione in diversi modi. Per i problemi sul lato client e la risoluzione dei problemi generali, i log delle applicazioni nei computer client sono preziosi. Per i problemi specifici dell'autenticazione, il log dei criteri di rete che si trova nel server Dei criteri di rete consente di determinare l'origine del problema.

Risoluzione dei problemi generali per i problemi di connessione VPN Always On

Always On i client VPN passano attraverso diversi passaggi prima di stabilire una connessione. Di conseguenza, esistono diverse posizioni in cui le connessioni possono essere bloccate e a volte è difficile capire dove si trova il problema.

Se si verificano problemi, ecco alcuni passaggi generali che è possibile eseguire per capire cosa sta succedendo:

• Eseguire un'analisi whatismyip per assicurarsi che il computer modello non sia connesso esternamente. Se il computer ha un indirizzo IP pubblico che non appartiene all'utente, è necessario impostare l'INDIRIZZO IP su un indirizzo privato.
• Passare a Pannello di controllo>Rete e rete Internet>Connections, aprire le proprietà per il profilo VPN e verificare che il valore nella scheda Generale possa essere risolto pubblicamente tramite DNS. In caso contrario, il server di Accesso remoto o il server VPN che non è in grado di risolvere in un indirizzo IP è probabilmente la causa del problema.
• Aprire il protocollo ICMP (Internet Control Message Protocol) nell'interfaccia esterna e effettuare il ping del server VPN dal client remoto. Se il ping ha esito positivo, è possibile rimuovere la regola di autorizzazione ICMP. In caso contrario, il server VPN inaccessibile probabilmente causa il problema.
• Controllare la configurazione delle schede di interfaccia di rete interne ed esterne nel server VPN. In particolare, assicurarsi che si trovano nella stessa subnet e che la scheda di interfaccia di rete esterna si connetta all'interfaccia corretta nel firewall.
• Controllare il firewall client, il firewall del server e tutti i firewall hardware per assicurarsi che consentano l'attività delle porte UDP 500 e 4500. Inoltre, se si usa la porta UDP 500, assicurarsi che IPSEC non sia disabilitato o bloccato ovunque. In caso contrario, il problema è causato dalle porte non aperte dal client all'interfaccia esterna del server VPN.
• Assicurarsi che il server Dei criteri di rete disponga di un certificato di autenticazione server in grado di eseguire richieste IKE. Assicurarsi inoltre che il client NPS disponga dell'INDIRIZZO IP del server VPN corretto nelle impostazioni. È consigliabile eseguire l'autenticazione solo con PEAP e le proprietà PEAP devono consentire solo l'autenticazione del certificato. È possibile verificare la presenza di problemi di autenticazione nel registro eventi di Server dei criteri di rete. Per altre informazioni, vedere Installare e configurare il server dei criteri di rete.
• Se è possibile connettersi ma non si dispone dell'accesso a Internet o alla rete locale, controllare i pool IP del server DHCP o VPN per verificare la presenza di problemi di configurazione. Assicurarsi inoltre che i client possano raggiungere tali risorse. È possibile usare il server VPN per instradare le richieste.

Risoluzione dei problemi generali per i problemi di script di VPN_Profile.ps1

I problemi più comuni quando si esegue manualmente lo script VPN_Profile.ps1 includono:

• Se si usa uno strumento di connessione remota, assicurarsi di non usare RDP (Remote Desktop Protocol) o altri metodi di connessione remota. Le connessioni remote possono interferire con la capacità del servizio di rilevare l'utente quando si accede.
• Se l'utente interessato è un amministratore nel computer locale, assicurarsi di disporre dei privilegi di amministratore durante l'esecuzione dello script.
• Se sono state abilitate altre funzionalità di sicurezza di PowerShell, assicurarsi che i criteri di esecuzione di PowerShell non blocchino lo script. Disabilitare la modalità lingua vincolata prima di eseguire lo script, quindi riattivarlo al termine dell'esecuzione dello script.

Log

È anche possibile controllare i log dell'applicazione e i log del server dei criteri di rete per individuare gli eventi che possono indicare quando e dove si verifica un problema.

Registri applicazioni

I log dell'applicazione nei computer client registrano i dettagli di livello superiore degli eventi di connessione VPN.

Quando si sta risolvendo Always On VPN, cercare gli eventi con etichetta RasClient. Tutti i messaggi di errore restituiscono il codice di errore alla fine del messaggio. I codici di errore elencano alcuni dei codici di errore più comuni correlati a Always On VPN. Per un elenco completo dei codici di errore, vedere Codici di errore di routing e accesso remoto.

Log di Server dei criteri di rete

Server dei criteri di rete crea e archivia i log di contabilità del server dei criteri di rete. Per impostazione predefinita, i log vengono archiviati in %SYSTEMROOT%\System32\Logfiles\ in un file denominato IN<date of log creation>.txt.

Per impostazione predefinita, questi log sono in formato valori delimitati da virgole, ma non includono una riga di intestazione. Il blocco di codice seguente contiene la riga dell'intestazione:

ComputerName,ServiceName,Record-Date,Record-Time,Packet-Type,User-Name,Fully-Qualified-Distinguished-Name,Called-Station-ID,Calling-Station-ID,Callback-Number,Framed-IP-Address,NAS-Identifier,NAS-IP-Address,NAS-Port,Client-Vendor,Client-IP-Address,Client-Friendly-Name,Event-Timestamp,Port-Limit,NAS-Port-Type,Connect-Info,Framed-Protocol,Service-Type,Authentication-Type,Policy-Name,Reason-Code,Class,Session-Timeout,Idle-Timeout,Termination-Action,EAP-Friendly-Name,Acct-Status-Type,Acct-Delay-Time,Acct-Input-Octets,Acct-Output-Octets,Acct-Session-Id,Acct-Authentic,Acct-Session-Time,Acct-Input-Packets,Acct-Output-Packets,Acct-Terminate-Cause,Acct-Multi-Ssn-ID,Acct-Link-Count,Acct-Interim-Interval,Tunnel-Type,Tunnel-Medium-Type,Tunnel-Client-Endpt,Tunnel-Server-Endpt,Acct-Tunnel-Conn,Tunnel-Pvt-Group-ID,Tunnel-Assignment-ID,Tunnel-Preference,MS-Acct-Auth-Type,MS-Acct-EAP-Type,MS-RAS-Version,MS-RAS-Vendor,MS-CHAP-Error,MS-CHAP-Domain,MS-MPPE-Encryption-Types,MS-MPPE-Encryption-Policy,Proxy-Policy-Name,Provider-Type,Provider-Name,Remote-Server-Address,MS-RAS-Client-Name,MS-RAS-Client-Version

Se si incolla questa riga di intestazione come prima riga del file di log, quindi importare il file in Microsoft Excel, le colonne verranno etichettate correttamente in Excel.

I log di Server dei criteri di rete consentono di diagnosticare i problemi correlati ai criteri. Per altre informazioni sui log del server dei criteri di rete, vedere Interpretare i file di log del formato del database dei criteri di rete.

Codici di errore

Le sezioni seguenti descrivono come risolvere gli errori riscontrati più di frequente.

Errore 800: impossibile connettersi alla connessione remota

Questo problema si verifica quando il servizio non riesce a stabilire una connessione remota perché i tunnel VPN tentati non sono riusciti, spesso perché il server VPN non è raggiungibile. Se la connessione tenta di usare un tunnel L2TP (Layer 2 Tunneling Protocol) o IPsec, questo errore indica che i parametri di sicurezza necessari per la negoziazione IPsec non sono configurati correttamente.

Causa: tipo di tunnel VPN

È possibile riscontrare questo problema quando il tipo di tunnel VPN è impostato su Automatico e il tentativo di connessione non riesce in tutti i tunnel VPN.

Soluzione: controllare la configurazione VPN

Poiché le impostazioni VPN causano questo problema, è consigliabile risolvere i problemi relativi alle impostazioni e alla connessione VPN provando quanto segue:

• Se si sa quale tunnel usare per la distribuzione, impostare il tipo di VPN su quel particolare tipo di tunnel sul lato client VPN.
• Assicurarsi che le porte IKE (Internet Key Exchange) sulle porte UDP (User Datagram Protocol) 500 e 4500 non siano bloccate.
• Assicurarsi che il client e il server dispongano dei certificati corretti per IKE.

Errore 809: impossibile stabilire una connessione tra il computer locale e il server VPN

In questo problema il server remoto non risponde, impedendo la connessione del computer locale e del server VPN. Ciò potrebbe essere dovuto al fatto che uno o più dispositivi di rete, ad esempio router, firewall o NAT (Network Address Translation) tra il computer e il server remoto non sono configurati per consentire le connessioni VPN. Contattare l'amministratore o il provider di servizi per determinare quale dispositivo potrebbe causare il problema.

Errore 809 causa

È possibile riscontrare questo problema quando le porte UDP 500 o 4500 nel server VPN o nel firewall sono bloccate. Il blocco può verificarsi quando uno dei dispositivi di rete tra il computer e il server remoto, ad esempio firewall, NAT o router, non è configurato correttamente.

Soluzione: controllare le porte nei dispositivi tra il computer locale e il server remoto

Per risolvere questo problema, è necessario contattare innanzitutto l'amministratore o il provider di servizi per scoprire quale dispositivo è bloccato. Successivamente, assicurarsi che i firewall per il dispositivo consentano le porte UDP 500 e 4500. Se questo non risolve il problema, controllare i firewall in ogni dispositivo tra il computer locale e il server remoto.

Errore 812: impossibile connettersi a Always On VPN

Questo problema si verifica quando il server di accesso remoto (RAS) o il server VPN non riesce a connettersi a Always On VPN. Metodo di autenticazione usato dal server per verificare che il nome utente e la password non corrispondano al metodo di autenticazione configurato nel profilo di connessione.

Ogni volta che si verifica l'errore 812, è consigliabile contattare immediatamente l'amministratore del server RAS per segnalare cosa è successo.

Se si usa il Visualizzatore eventi per la risoluzione dei problemi, è possibile trovare questo problema contrassegnato come registro eventi 20276. Questo evento viene in genere visualizzato quando un'impostazione del protocollo di autenticazione del server VPN basata su routing e accesso remoto (RRAS) non corrisponde alle impostazioni nel computer client VPN.

Errore 812 causa

Questo errore si verifica in genere quando il server dei criteri di rete ha specificato una condizione di autenticazione che il client non può soddisfare. Ad esempio, se il server dei criteri di rete specifica che è necessario un certificato per proteggere la connessione PEAP (Protected Extensible Authentication Protocol), non può eseguire l'autenticazione se il client sta tentando di usare EAP-MSCHAPv2.

Soluzione: controllare le impostazioni di autenticazione del client e del server dei criteri di rete

Per risolvere questo problema, verificare che i requisiti di autenticazione per il client e il server dei criteri di rete corrispondano. In caso contrario, modificarli di conseguenza.

Errore 13806: IKE non riesce a trovare un certificato del computer valido

Questo problema si verifica quando IKE non riesce a trovare un certificato del computer valido.

Errore 13806 causa

Questo errore si verifica in genere quando il server VPN non dispone del computer o del certificato del computer radice richiesto.

Soluzione: installare un certificato valido nell'archivio certificati pertinente

Per risolvere questo problema, verificare che i certificati necessari siano installati sia nel computer client che nel server VPN. In caso contrario, contattare l'amministratore della sicurezza di rete e chiedere loro di installare certificati validi nell'archivio certificati pertinente.

Errore 13801: le credenziali di autenticazione IKE non sono valide

Questo problema si verifica quando il server o il client non può accettare le credenziali di autenticazione IKE.

Errore 13801 causa

Questo errore può verificarsi a causa dei seguenti problemi:

• Il certificato del computer usato per la convalida IKEv2 nel server RAS non ha l'autenticazione server abilitata in Utilizzo chiavi avanzato.
• Il certificato del computer nel server RAS è scaduto.
• Il computer client non dispone del certificato radice per la convalida del certificato del server RAS.
• Il nome del server VPN del computer client non corrisponde al valore subjectName nel certificato del server.

Soluzione 1: verificare le impostazioni del certificato del server

Se il problema è il certificato del computer server RAS, assicurarsi che il certificato includa l'autenticazione server in Utilizzo chiavi avanzato.

Soluzione 2: verificare che il certificato del computer sia ancora valido

Se il problema è che il certificato del computer RAS è scaduto, assicurarsi che sia ancora valido. In caso contrario, installare un certificato valido.

Soluzione 3: assicurarsi che il computer client abbia un certificato radice

Se il problema è correlato al computer client che non ha un certificato radice, controllare innanzitutto le autorità di certificazione radice attendibili nel server RRAS per assicurarsi che l'autorità di certificazione in uso sia presente. In caso contrario, installare un certificato radice valido.

Soluzione 4: fare in modo che il nome del server VPN del computer client corrisponda al certificato del server

Assicurarsi innanzitutto che il client VPN si connetta usando lo stesso nome di dominio completo (FQDN) usato dal certificato del server VPN. In caso contrario, modificare il nome del client in modo che corrisponda al nome del certificato del server.

Errore 0x80070040: il certificato server non include l'autenticazione server nelle voci di utilizzo

Questo problema si verifica quando il certificato server non dispone dell'autenticazione server come una delle voci di utilizzo del certificato.

Errore 0x80070040 causa

Questo errore si verifica quando nel server RAS non è installato un certificato di autenticazione del server.

Soluzione: assicurarsi che il certificato del computer disponga della voce di utilizzo del certificato necessaria

Per risolvere questo problema, assicurarsi che il certificato del computer usato dal server RAS per la convalida IKEv2 includa l'autenticazione del server nell'elenco delle voci di utilizzo del certificato.

Errore 0x800B0109: una catena di certificati elaborata ma terminata in un certificato radice

La descrizione completa dell'errore è"Una catena di certificati elaborata ma terminata in un certificato radice che il provider di attendibilità non considera attendibile".

In genere, il computer client VPN viene aggiunto a un dominio basato su Active Directory (AD). Se si usano le credenziali di dominio per accedere al server VPN, il servizio installa automaticamente il certificato nell'archivio Autorità di certificazione radice attendibili. Questo problema può verificarsi se il computer non è aggiunto a un dominio di Active Directory o se si usa una catena di certificati alternativa.

Errore 0x800B0109 causa

Questo errore può verificarsi se nel computer client non è installato un certificato CA radice attendibile appropriato nell'archivio Autorità di certificazione radice attendibili.

Soluzione: installare il certificato radice attendibile

Per risolvere questo problema, verificare che nel computer client sia installato un certificato radice attendibile nell'archivio Autorità di certificazione radice attendibili. In caso contrario, installare un certificato radice appropriato.

Errore: Oops, non è ancora possibile accedervi

Questo messaggio di errore è associato a Microsoft Entra problemi di connessione all'accesso condizionale. Quando viene visualizzato questo problema, i criteri di accesso condizionale non vengono soddisfatti, bloccando la connessione VPN ma quindi connettendosi dopo che l'utente ha chiuso la finestra di dialogo. Se l'utente seleziona OK, avvia un altro tentativo di autenticazione che non riesce e richiede un messaggio di errore identico. Il registro eventi operativi Microsoft Entra del client registra questi eventi.

Microsoft Entra causa dell'errore di accesso condizionale

Questo problema può verificarsi per alcuni motivi:

• L'utente ha un certificato di autenticazione client nell'archivio certificati personali valido ma non proveniente da Microsoft Entra ID.

• La sezione Profilo <TLSExtensions> VPN è mancante o non contiene le <EKUName>AAD Conditional Access</EKUName><EKUOID>1.3.6.1.4.1.311.87</EKUOID><EKUName>AAD Conditional Access</EKUName><EKUOID>1.3.6.1.4.1.311.87</EKUOID> voci. Le <EKUName> voci e <EKUOID> indicano al client VPN quale certificato recuperare dall'archivio certificati dell'utente quando si passa il certificato al server VPN. Senza le <EKUName> voci e <EKUOID> , il client VPN usa qualsiasi certificato di autenticazione client valido nell'archivio certificati dell'utente e l'autenticazione ha esito positivo.

• Il server RADIUS (NPS) non è stato configurato per accettare solo i certificati client che contengono l'identificatore OID (Conditional Access Object Identifier) di AAD .

Soluzione: usare PowerShell per determinare lo stato del certificato

Per eseguire l'escape di questo ciclo:

1. In Windows PowerShell eseguire il cmdlet per eseguire il Get-WmiObject dump della configurazione del profilo VPN.

2. Verificare che le <TLSExtensions>variabili , <EKUName>e <EKUOID> esistano e che l'output mostri il nome e l'OID corretti.

   Il codice seguente è un output di esempio del Get-WmiObject cmdlet.

   PS C:\> Get-WmiObject -Class MDM_VPNv2_01 -Namespace root\cimv2\mdm\dmmap
   
   __GENUS                 : 2
   __CLASS                 : MDM_VPNv2_01
   __SUPERCLASS            :
   __DYNASTY               : MDM_VPNv2_01
   __RELPATH               : MDM_VPNv2_01.InstanceID="AlwaysOnVPN",ParentID="./Vendor/MSFT/VPNv2"
   __PROPERTY_COUNT        : 10
   __DERIVATION            : {}
   __SERVER                : DERS2
   __NAMESPACE             : root\cimv2\mdm\dmmap
   __PATH                  : \\DERS2\root\cimv2\mdm\dmmap:MDM_VPNv2_01.InstanceID="AlwaysOnVPN",ParentID="./Vendor/MSFT/VP
                               Nv2"
   AlwaysOn                :
   ByPassForLocal          :
   DnsSuffix               :
   EdpModeId               :
   InstanceID              : AlwaysOnVPN
   LockDown                :
   ParentID                : ./Vendor/MSFT/VPNv2
   ProfileXML              : <VPNProfile><RememberCredentials>false</RememberCredentials><DeviceCompliance><Enabled>true</
                               Enabled><Sso><Enabled>true</Enabled></Sso></DeviceCompliance><NativeProfile><Servers>derras2.corp.deverett.info;derras2.corp.deverett.info</Servers><RoutingPolicyType>ForceTunnel</RoutingPolicyType><NativeProtocolType>Ikev2</NativeProtocolType><Authentication><UserMethod>Eap</UserMethod><MachineMethod>Eap</MachineMethod><Eap><Configuration><EapHostConfigxmlns="https://www.microsoft.com/provisioning/EapHostConfig"><EapMethod><Typexmlns="https://www.microsoft.com/provisioning/EapCommon">25</Type><VendorIdxmlns="https://www.microsoft.com/provisioning/EapCommon">0</VendorId><VendorTypexmlns="https://www.microsoft.com/provisioning/EapCommon">0</VendorType><AuthorIdxmlns="https://www.microsoft.com/provisioning/EapCommon">0</AuthorId></EapMethod><Configxmlns="https://www.microsoft.com/provisioning/EapHostConfig"><Eap xmlns="https://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>25</Type><EapType xmlns="https://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV1"><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames></ServerNames></ServerValidation><FastReconnect>true</FastReconnect><InnerEapOptional>false</InnerEapOptional><Eap xmlns="https://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>13</Type>
                               <EapType xmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1"><CredentialsSource><CertificateStore><SimpleCertSelection>true</SimpleCertSelection></CertificateStore></CredentialsSource><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames></ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><DifferentUsername>false</DifferentUsername><PerformServerValidation xmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName><TLSExtensionsxmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2"><FilteringInfo xml ns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3"><EKUMapping><EKUMap><EKUName>AAD Conditional Access</EKUName><EKUOID>1.3.6.1.4.1.311.87</EKUOID></EKUMap></EKUMapping><ClientAuthEKUListEnabled="true"><EKUMapInList><EKUName>AAD Conditional Access</EKUName></EKUMapInList></ClientAuthEKUList></FilteringInfo></TLSExtensions></EapType></Eap><EnableQuarantineChecks>false</EnableQuarantineChecks><RequireCryptoBinding>false</RequireCryptoBinding><PeapExtensions><PerformServerValidation xmlns="https://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">false</PerformServerValidation><AcceptServerName xmlns="https://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">false</AcceptServerName></PeapExtensions></EapType></Eap></Config></EapHostConfig></Configuration></Eap></Authentication></NativeProfile></VPNProfile>
   RememberCredentials     : False
   TrustedNetworkDetection :
   PSComputerName          : DERS2
   

3. Eseguire quindi il Certutil comando per determinare se sono presenti certificati validi nell'archivio certificati dell'utente:

   C:\>certutil -store -user My
   
   My "Personal"
   ================ Certificate 0 ================
   Serial Number: 32000000265259d0069fa6f205000000000026
   Issuer: CN=corp-DEDC0-CA, DC=corp, DC=deverett, DC=info
     NotBefore: 12/8/2017 8:07 PM
     NotAfter: 12/8/2018 8:07 PM
   Subject: E=winfed@deverett.info, CN=WinFed, OU=Users, OU=Corp, DC=corp, DC=deverett, DC=info
   Certificate Template Name (Certificate Type): User
   Non-root Certificate
   Template: User
   Cert Hash(sha1): a50337ab015d5612b7dc4c1e759d201e74cc2a93
     Key Container = a890fd7fbbfc072f8fe045e680c501cf_5834bfa9-1c4a-44a8-a128-c2267f712336
     Simple container name: te-User-c7bcc4bd-0498-4411-af44-da2257f54387
     Provider = Microsoft Enhanced Cryptographic Provider v1.0
   Encryption test passed
   
   ================ Certificate 1 ================
   Serial Number: 367fbdd7e6e4103dec9b91f93959ac56
   Issuer: CN=Microsoft VPN root CA gen 1
     NotBefore: 12/8/2017 6:24 PM
     NotAfter: 12/8/2017 7:29 PM
   Subject: CN=WinFed@deverett.info
   Non-root Certificate
   Cert Hash(sha1): 37378a1b06dcef1b4d4753f7d21e4f20b18fbfec
     Key Container = 31685cae-af6f-48fb-ac37-845c69b4c097
     Unique container name: bf4097e20d4480b8d6ebc139c9360f02_5834bfa9-1c4a-44a8-a128-c2267f712336
     Provider = Microsoft Software Key Storage Provider
   Private key is NOT exportable
   Encryption test passed
   

   Nota

   Se un certificato dell'autorità di certificazione CN=Microsoft VPN root CA gen 1 è presente nell'archivio personale dell'utente, ma l'utente ha ottenuto l'accesso selezionando X per chiudere il messaggio Oops, raccogliere i log eventi CAPI2 per verificare che il certificato usato per l'autenticazione sia un certificato di autenticazione client valido che non è stato emesso dalla CA radice vpn Microsoft.

4. Se nell'archivio personale dell'utente esiste un certificato di autenticazione client valido e i TLSExtensionsvalori , EKUNamee EKUOID sono configurati correttamente, la connessione non dovrebbe avere esito positivo dopo la chiusura della finestra di dialogo da parte dell'utente.

Verrà visualizzato un messaggio di errore che indica che non è stato trovato un certificato utilizzabile con extensible Authenticate Protocol.

Impossibile eliminare il certificato dalla scheda connettività VPN

Questo problema si verifica quando non è possibile eliminare i certificati nella scheda connettività VPN.

Causa

Questo problema si verifica quando il certificato è impostato su Primario.

Soluzione: modificare le impostazioni del certificato

Per eliminare i certificati:

1. Nella scheda Connettività VPN selezionare il certificato.
2. In Primario selezionare No, quindi selezionare Salva.
3. Nella scheda Connettività VPN selezionare di nuovo il certificato.
4. Selezionare Elimina.