トラブルシューティング:Azure ポイント対サイト接続の問題

  • [アーティクル]

この記事では、発生する可能性があるポイント対サイト接続のよくある問題について説明します。 また、これらの問題の考えられる原因と解決策についても説明します。

VPN クライアント エラー: 証明書が見つかりませんでした

症状

VPN クライアントを使用して Azure 仮想ネットワークに接続しようとすると、次のエラー メッセージが表示されます。

この拡張認証プロトコルで使用できる証明書が見つかりませんでした。 (エラー 798)

原因

この問題は、 Certificates - Current User\Personal\Certificates にクライアント証明書がない場合に発生します。

解決策

この問題を解決するには、次の手順に従ってください。

  1. 証明書マネージャーを開く: [開始] をクリックし、「コンピューター証明書の管理」と入力して、検索結果の [コンピューター証明書の管理] をクリックします。

  2. 次の証明書が正しい場所にあることを確認します。

    Certificate 場所
    AzureClient.pfx 現在のユーザー\個人\証明書
    AzureRoot.cer ローカル コンピューター\信頼されたルート証明機関

  3. C:\Users<UserName>\AppData\Roaming\Microsoft\Network\Connections\Cm<GUID> に移動し、ユーザーおよびコンピューターのストアに手動で証明書 (*.cer ファイル) をインストールします。

クライアント証明書をインストールする方法の詳細については、ポイント対サイト接続の証明書の生成とエクスポートに関する記事をご覧ください。

Note

クライアント証明書をインポートする際は、 [秘密キーの保護を強力にする] オプションを選択しないでください。

リモート サーバーが応答していないため、お使いのコンピューターと VPN サーバーの間のネットワーク接続を確立できませんでした

症状

Windows で IKEv2 を使用し、Azure 仮想ネットワーク ゲートウェイに接続しようとすると、次のエラー メッセージが表示されます。

リモート サーバーが応答していないため、お使いのコンピューターと VPN サーバーの間のネットワーク接続を確立できませんでした

原因

Windows のバージョンで IKE 断片化がサポートされていない場合にこの問題が発生します。

解決策

IKEv2 は、Windows 10 および Windows Server 2016 でサポートされています。 ただし、IKEv2 を使用するには、更新プログラムをインストールして、ローカルでレジストリ キーの値を設定する必要があります。 Windows 10 以前の OS バージョンはサポートされておらず、それらのバージョンで使用できるのは SSTP のみになります。

Windows 10 または Windows Server 2016 を IKEv2 用に準備するには:

  1. 更新プログラムをインストールします。

    OS バージョン Date 数/リンク
    Windows Server 2016
    Windows 10 バージョン 1607    		 2018 年 1 月 17 日 KB4057142
    Windows 10 バージョン 1703 2018 年 1 月 17 日 KB4057144
    Windows 10 バージョン 1709 2018 年 3 月 22 日 KB4089848

  2. レジストリ キーの値を設定します。 レジストリの HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload REG_DWORD キーを 1 として作成するか、1 に設定します。

VPN クライアント エラー:予期していない、または形式が間違ったメッセージを受信しました

症状

VPN クライアントを使用して Azure 仮想ネットワークに接続しようとすると、次のエラー メッセージが表示されます。

予期していない、または形式が間違ったメッセージを受信しました。 (エラー 0x80090326)

原因

この問題は、次のいずれかの条件に当てはまる場合に発生します。

  • ゲートウェイ サブネット上のユーザー定義ルート (UDR) と既定のルートが正しく設定されていない。
  • ルート証明書の公開キーが Azure VPN ゲートウェイにアップロードされていない。
  • キーが破損しているか、有効期限が切れている。

解決策

この問題を解決するには、次の手順に従ってください。

  1. ゲートウェイ サブネット上の UDR を削除します。 UDR ですべてのトラフィックが正常に転送されるようにします。
  2. Azure Portal でルート証明書の状態をチェックして、失効しているかどうかを確認します。 失効していない場合は、ルート証明書を削除して再アップロードしてみます。 詳細については、「証明書の作成」を参照してください。

VPN クライアント エラー:証明書チェーンは処理されましたが、停止されました

症状

VPN クライアントを使用して Azure 仮想ネットワークに接続しようとすると、次のエラー メッセージが表示されます。

証明書チェーンは処理されましたが、ルート証明書で停止されました。証明書は信頼プロバイダーから信頼されていません。

解決策

  1. 次の証明書が正しい場所にあることを確認します。

    Certificate 場所
    AzureClient.pfx 現在のユーザー\個人\証明書
    Azuregateway-GUID.cloudapp.net 現在のユーザー\信頼されたルート証明機関
    AzureGateway-GUID.cloudapp.net、AzureRoot.cer ローカル コンピューター\信頼されたルート証明機関

  2. 証明書が既にその場所にある場合は、証明書を削除してから再インストールしてみます。 azuregateway-GUID.cloudapp.net 証明書は、Azure Portal からダウンロードした VPN クライアント構成パッケージに含まれています。 ファイル アーカイブ処理を使用して、パッケージからファイルを抽出できます。

ファイル ダウンロード エラー: ターゲット URI が指定されていません'

症状

次のエラー メッセージが表示されます。

ファイル ダウンロード エラー。 ターゲット URI が指定されていません。

原因

この問題は、ゲートウェイの種類が正しくないことが原因で発生します。

解決策

VPN ゲートウェイの種類は VPN で、VPN の種類は RouteBased でなければなりません。

VPN クライアント エラー:Azure VPN カスタム スクリプトの実行に失敗しました

症状

VPN クライアントを使用して Azure 仮想ネットワークに接続しようとすると、次のエラー メッセージが表示されます。

カスタム スクリプト (ルーティング テーブルを更新するため) の実行に失敗しました。 (エラー 8007026f)

原因

この問題は、ショートカットを使用してサイト対ポイント VPN 接続を開こうとした場合に発生することがあります。

解決策

VPN パッケージを、ショートカットからではなく、直接開きます。

VPN クライアントをインストールできない

原因

仮想ネットワークの VPN ゲートウェイを信頼するには、追加の証明書が必要です。 証明書は、Azure Portal から生成された VPN クライアント構成パッケージに含まれています。

解決策

VPN クライアント構成パッケージを抽出し、.cer ファイルを検索します。 証明書をインストールするには、次の手順を実行します。

  1. mmc.exe を開きます。
  2. 証明書スナップインを追加します。
  3. ローカル コンピューターのコンピューター アカウントを選択します。
  4. [信頼されたルート証明機関] ノードを右クリックします。 [すべてのタスク]>[インポート] の順にクリックし、VPN クライアント構成パッケージから抽出した .cer ファイルを参照します。
  5. コンピューターを再起動します。
  6. VPN クライアントをインストールしてみます。

Azure portal エラー:VPN ゲートウェイを保存できませんでした。データが無効です

症状

Azure Portal で VPN ゲートウェイの変更を保存しようとすると、次のエラー メッセージが表示されます。

仮想ネットワーク ゲートウェイ <ゲートウェイ名> を保存できませんでした。 証明書 <証明書 ID> のデータが無効です。

原因

この問題は、アップロードしたルート証明書の公開キーにスペースなどの無効な文字が含まれている場合に発生する可能性があります。

解決策

証明書のデータに改行 (キャリッジ リターン) などの無効な文字が含まれていないことを確認します。 値全体が 1 つの長い行である必要があります。 次のテキストは、証明書のサンプルです。

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Azure portal エラー:VPN ゲートウェイを保存できませんでした。リソース名は無効です

症状

Azure Portal で VPN ゲートウェイの変更を保存しようとすると、次のエラー メッセージが表示されます。

仮想ネットワーク ゲートウェイ <ゲートウェイ名> を保存できませんでした。 リソース名 <アップロードしようとした証明書の名前> は無効です。

原因

この問題は、証明書の名前にスペースなどの無効な文字が含まれていることが原因で発生します。

Azure portal エラー:VPN パッケージ ファイルのダウンロード エラー 503

症状

VPN クライアント構成パッケージをダウンロードしようとすると、次のエラー メッセージが表示されます。

ファイルをダウンロードできませんでした。 エラーの詳細: エラー 503。 サーバーがビジーです。

解決策

このエラーは、一時的なネットワークの問題が原因で発生します。 数分経ってからもう一度 VPN パッケージをダウンロードしてみてください。

Azure VPN Gateway のアップグレード: すべてのポイント対サイト クライアントが接続できません

原因

証明書は、有効期間の半分を経過すると、ロールオーバーされます。

解決策

この問題を解決するには、すべてのクライアントでポイント対サイト パッケージを再ダウンロードして再デプロイします。

一度に接続する VPN クライアントが多すぎる

接続の最大許容数に達しました。 接続されているクライアントの総数は、Azure Portal で確認できます。

VPN クライアントがネットワーク ファイル共有にアクセスできない

症状

VPN クライアントは Azure 仮想ネットワークに接続しています。 しかし、クライアントはネットワーク共有にアクセスできません。

原因

ファイル共有アクセスには、SMB プロトコルが使用されます。 接続の開始時にセッション資格情報が VPN クライアントによって追加されると、このエラーが発生します。 接続が確立されると、クライアントは Kerberos 認証にキャッシュ資格情報を使用するよう強制されます。 このプロセスにより、キー配布センター (ドメイン コントローラー) に対するクエリが開始され、トークンが取得されます。 クライアントはインターネットから接続するため、ドメイン コントローラーにアクセスできない場合があります。 そのため、クライアントは Kerberos から NTLM にフェールオーバーできません。

クライアントが資格情報を求められるのは、クライアントが参加しているドメインによって発行された有効な証明書 (SAN=UPN) がクライアントにある場合のみです。 また、クライアントはドメイン ネットワークに物理的に接続されている必要があります。 この場合、クライアントはその証明書を使用して、ドメイン コントローラーにアクセスしようとします。 そうすると、キー配布センターは "KDC_ERR_C_PRINCIPAL_UNKNOWN" エラーを返します。 クライアントは強制的に NTLM にフェールオーバーされます。

解決策

この問題を回避するには、次のレジストリ サブキーからドメイン資格情報のキャッシュを無効にします。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableDomainCreds - Set the value to 1

VPN クライアントを再インストールした後に Windows でポイント対サイト VPN 接続が見つからない

症状

ポイント対サイト VPN 接続を削除した後に、VPN クライアントを再インストールすると、 VPN 接続が正常に構成されません。 Windows の [ネットワーク接続] 設定に VPN 接続が表示されません。

解決策

この問題を解決するには、C:\Users\UserName\AppData\Roaming\Microsoft\Network\Connections<VirtualNetworkId> から古い VPN クライアント構成ファイルを削除し、VPN クライアント インストーラーを再度実行します。

ポイント対サイト VPN クライアントがローカル ドメイン内のリソースの FQDN を解決できません

症状

クライアントがポイント対サイト VPN 接続を使用して Azure に接続するとき、ローカル ドメイン内のリソースの FQDN を解決できません。

原因

ポイント対サイト VPN クライアントでは通常、Azure 仮想ネットワーク内に構成されている Azure DNS サーバーが使用されます。 (Ethernet インターフェイスのメトリックがより低い場合を除いて、) Azure DNS サーバーはクライアント内に構成されているローカル DNS サーバーに優先するため、すべての DNS クエリは Azure DNS サーバーに送信されます。 Azure DNS サーバーにローカル リソースのレコードがない場合、クエリは失敗します。

解決策

問題を解決するには、Azure 仮想ネットワークで使用する Azure DNS サーバーがローカル リソースの DNS レコードを解決できることを確認します。 これを行うには、DNS フォワーダーまたは条件付きフォワーダーを使用できます。 詳細については、「独自 DNS サーバー使用の名前解決」を参照してください。

ポイント対サイト VPN 接続は確立されるが Azure リソースに接続できません

原因

この問題は、VPN クライアントが Azure VPN ゲートウェイからのルートを取得していない場合に発生する可能性があります。

解決策

この問題を解決するには、Azure VPN ゲートウェイをリセットします。 新しいルートが使用されていることを確認するには、仮想ネットワーク ピアリングが正常に構成された後で、もう一度ポイント対サイト VPN クライアントをダウンロードする必要があります。

エラー: "失効サーバーがオフラインであったため、失効関数が失効を確認できませんでした。 (エラー 0x80092013)"

原因

このエラー メッセージは、クライアントが http://crl3.digicert.com/ssca-sha2-g1.crlhttp://crl4.digicert.com/ssca-sha2-g1.crl にアクセスできない場合に発生します。 失効を確認するには、この 2 つのサイトにアクセスする必要があります。 この問題は、通常は、プロキシ サーバーが構成されているクライアントで発生します。 一部の環境では、要求がプロキシ サーバーを経由しない場合はエッジ ファイアウォールで拒否されます。

解決策

プロキシ サーバーの設定を調べて、クライアントが http://crl3.digicert.com/ssca-sha2-g1.crlhttp://crl4.digicert.com/ssca-sha2-g1.crl にアクセスできることを確認します。

VPN クライアント エラー:RAS/VPN サーバーに構成されたポリシーにより、接続できませんでした。 (エラー 812)

原因

このエラーは、VPN クライアントを認証するために使用する RADIUS サーバーの設定が正しくない場合、または Azure ゲートウェイが RADIUS サーバーに到達できない場合に発生します。

解決策

RADIUS サーバーが正しく構成されていることを確認します。 詳細については、「RADIUS 認証と Azure Multi-Factor Authentication Server の統合」を参照してください。

VPN Gateway からルート証明書をダウンロードするときに "エラー 405" が発生します

原因

ルート証明書がインストールされていません。 ルート証明書は、クライアントの信頼された証明書ストアにインストールされます。

VPN クライアント エラー:VPN トンネルの試行に失敗したため、リモート接続を確立できませんでした。 (エラー 800)

原因

NIC ドライバーの期限が切れています。

解決策

NIC ドライバーを更新します。

  1. [開始] をクリックして「デバイス マネージャー」と入力し、結果の一覧から選択します。 管理者パスワードまたは確認を求められたら、パスワードを入力するか、確認を行います。
  2. ネットワーク アダプターカテゴリで、更新したい NIC を見つけます。
  3. デバイス名をダブルクリックして [ドライバーの更新] を選択し、 [自動的に更新されたドライバ ソフトウェアを検索します] を選択します。
  4. Windows によって新しいドライバーが検出されない場合、デバイス製造元の Web サイト上にあるドライバーを探してその手順に従うことができます。
  5. コンピューターを再起動して、もう一度接続を試してみてください。

VPN クライアント エラー: Dialing VPN connection <VPN Connection Name>, Status = VPN Platform did not trigger connection (VPN 接続 にダイヤルしています、状況 = VPN プラットフォームでは接続がトリガーされませんでした)

また、RasClient からイベント ビューアーに次のエラーが表示されることがあります: "<ユーザー>は <VPN 接続名> という接続にダイヤルし、失敗しました。 失敗時に返された理由コードは 1460 です。"

原因

Windows のアプリ設定で、Azure VPN クライアントについては [バックグラウンド アプリ] アプリのアクセス許可が有効になっていません。

解決策

  1. Windows で、[設定]-> [プライバシー]-> [バックグラウンドアプリ] にアクセスします
  2. [アプリのバックグラウンド実行を許可する] をオンに切り替えます

エラー:'ファイル ダウンロード エラー: ターゲット URI が指定されていません'

原因

これは、ゲートウェイの種類が正しく構成されていないことが原因です。

解決策

Azure VPN ゲートウェイの種類は VPN で、VPN の種類は RouteBased にする必要があります。

VPN パッケージのインストーラーが完了しない

原因

この問題の原因は、以前の VPN クライアントのインストールである可能性があります。

解決策

C:\Users\UserName\AppData\Roaming\Microsoft\Network\Connections<VirtualNetworkId> から古い VPN クライアント構成ファイルを削除し、VPN クライアント インストーラーを再度実行します。

ポイント対サイト クライアントからプライベート リゾルバーを使用してプライベート DNS ゾーンのレコードを解決できません。

症状

仮想ネットワークで Azure 提供の (168.63.129.16) DNS サーバーを使用している場合、ポイント対サイト クライアントはプライベート DNS ゾーン (プライベート エンドポイントを含む) に存在するレコードを解決できません。

スクリーンショットは、Azure VPN クライアント、開いている PowerShell ウィンドウ、Azure portal の [DNS サーバー] ページを示しています。

原因

Azure DNS サーバーの IP アドレス (168.63.129.16) は、Azure プラットフォームからのみ解決できます。

解決策

次の手順は、プライベート DNS ゾーンからレコードを解決するのに役立ちます。

プライベート リゾルバーの仮想ネットワーク上のカスタム DNS サーバーとして受信 IP アドレスを構成すると、プライベート DNS ゾーン (プライベート エンドポイントから作成されたものも含む) のレコードを解決するのに役立ちます。 プライベート DNS ゾーンは、プライベート リゾルバーを持つ仮想ネットワークに関連付けられている必要があることに注意してください。

スクリーンショットは、Azure VPN クライアント、開いている PowerShell ウィンドウ、Azure portal の開いている [DNS サーバー] ページを示しています。

既定では、仮想ネットワークで構成されている DNS サーバーは、VPN ゲートウェイ経由で接続されているポイント対サイト クライアントにプッシュされます。 そのため、プライベート リゾルバーの受信 IP アドレスを仮想ネットワーク上のカスタム DNS サーバーとして構成すると、これらの IP アドレスが VPN DNS サーバーとしてクライアントに自動的にプッシュされ、プライベート DNS ゾーン (プライベート エンドポイントを含む) からレコードをシームレスに解決できます。