トラブルシューティング:Azure ポイント対サイト接続の問題
この記事では、発生する可能性があるポイント対サイト接続のよくある問題について説明します。 また、これらの問題の考えられる原因と解決策についても説明します。
VPN クライアント エラー: 証明書が見つかりませんでした
症状
VPN クライアントを使用して Azure 仮想ネットワークに接続しようとすると、次のエラー メッセージが表示されます。
この拡張認証プロトコルで使用できる証明書が見つかりませんでした。 (エラー 798)
原因
この問題は、 Certificates - Current User\Personal\Certificates にクライアント証明書がない場合に発生します。
解決策
この問題を解決するには、次の手順に従ってください。
証明書マネージャーを開く: [開始] をクリックし、「コンピューター証明書の管理」と入力して、検索結果の [コンピューター証明書の管理] をクリックします。
次の証明書が正しい場所にあることを確認します。
Certificate 場所 AzureClient.pfx 現在のユーザー\個人\証明書 AzureRoot.cer ローカル コンピューター\信頼されたルート証明機関 C:\Users<UserName>\AppData\Roaming\Microsoft\Network\Connections\Cm<GUID> に移動し、ユーザーおよびコンピューターのストアに手動で証明書 (*.cer ファイル) をインストールします。
クライアント証明書をインストールする方法の詳細については、ポイント対サイト接続の証明書の生成とエクスポートに関する記事をご覧ください。
Note
クライアント証明書をインポートする際は、 [秘密キーの保護を強力にする] オプションを選択しないでください。
リモート サーバーが応答していないため、お使いのコンピューターと VPN サーバーの間のネットワーク接続を確立できませんでした
症状
Windows で IKEv2 を使用し、Azure 仮想ネットワーク ゲートウェイに接続しようとすると、次のエラー メッセージが表示されます。
リモート サーバーが応答していないため、お使いのコンピューターと VPN サーバーの間のネットワーク接続を確立できませんでした
原因
Windows のバージョンで IKE 断片化がサポートされていない場合にこの問題が発生します。
解決策
IKEv2 は、Windows 10 および Windows Server 2016 でサポートされています。 ただし、IKEv2 を使用するには、更新プログラムをインストールして、ローカルでレジストリ キーの値を設定する必要があります。 Windows 10 以前の OS バージョンはサポートされておらず、それらのバージョンで使用できるのは SSTP のみになります。
Windows 10 または Windows Server 2016 を IKEv2 用に準備するには:
更新プログラムをインストールします。
OS バージョン Date 数/リンク Windows Server 2016
Windows 10 バージョン 16072018 年 1 月 17 日 KB4057142 Windows 10 バージョン 1703 2018 年 1 月 17 日 KB4057144 Windows 10 バージョン 1709 2018 年 3 月 22 日 KB4089848 レジストリ キーの値を設定します。 レジストリの
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload
REG_DWORD キーを 1 として作成するか、1 に設定します。
VPN クライアント エラー:予期していない、または形式が間違ったメッセージを受信しました
症状
VPN クライアントを使用して Azure 仮想ネットワークに接続しようとすると、次のエラー メッセージが表示されます。
予期していない、または形式が間違ったメッセージを受信しました。 (エラー 0x80090326)
原因
この問題は、次のいずれかの条件に当てはまる場合に発生します。
- ゲートウェイ サブネット上のユーザー定義ルート (UDR) と既定のルートが正しく設定されていない。
- ルート証明書の公開キーが Azure VPN ゲートウェイにアップロードされていない。
- キーが破損しているか、有効期限が切れている。
解決策
この問題を解決するには、次の手順に従ってください。
- ゲートウェイ サブネット上の UDR を削除します。 UDR ですべてのトラフィックが正常に転送されるようにします。
- Azure Portal でルート証明書の状態をチェックして、失効しているかどうかを確認します。 失効していない場合は、ルート証明書を削除して再アップロードしてみます。 詳細については、「証明書の作成」を参照してください。
VPN クライアント エラー:証明書チェーンは処理されましたが、停止されました
症状
VPN クライアントを使用して Azure 仮想ネットワークに接続しようとすると、次のエラー メッセージが表示されます。
証明書チェーンは処理されましたが、ルート証明書で停止されました。証明書は信頼プロバイダーから信頼されていません。
解決策
次の証明書が正しい場所にあることを確認します。
Certificate 場所 AzureClient.pfx 現在のユーザー\個人\証明書 Azuregateway-GUID.cloudapp.net 現在のユーザー\信頼されたルート証明機関 AzureGateway-GUID.cloudapp.net、AzureRoot.cer ローカル コンピューター\信頼されたルート証明機関 証明書が既にその場所にある場合は、証明書を削除してから再インストールしてみます。 azuregateway-GUID.cloudapp.net 証明書は、Azure Portal からダウンロードした VPN クライアント構成パッケージに含まれています。 ファイル アーカイブ処理を使用して、パッケージからファイルを抽出できます。
ファイル ダウンロード エラー: ターゲット URI が指定されていません'
症状
次のエラー メッセージが表示されます。
ファイル ダウンロード エラー。 ターゲット URI が指定されていません。
原因
この問題は、ゲートウェイの種類が正しくないことが原因で発生します。
解決策
VPN ゲートウェイの種類は VPN で、VPN の種類は RouteBased でなければなりません。
VPN クライアント エラー:Azure VPN カスタム スクリプトの実行に失敗しました
症状
VPN クライアントを使用して Azure 仮想ネットワークに接続しようとすると、次のエラー メッセージが表示されます。
カスタム スクリプト (ルーティング テーブルを更新するため) の実行に失敗しました。 (エラー 8007026f)
原因
この問題は、ショートカットを使用してサイト対ポイント VPN 接続を開こうとした場合に発生することがあります。
解決策
VPN パッケージを、ショートカットからではなく、直接開きます。
VPN クライアントをインストールできない
原因
仮想ネットワークの VPN ゲートウェイを信頼するには、追加の証明書が必要です。 証明書は、Azure Portal から生成された VPN クライアント構成パッケージに含まれています。
解決策
VPN クライアント構成パッケージを抽出し、.cer ファイルを検索します。 証明書をインストールするには、次の手順を実行します。
- mmc.exe を開きます。
- 証明書スナップインを追加します。
- ローカル コンピューターのコンピューター アカウントを選択します。
- [信頼されたルート証明機関] ノードを右クリックします。 [すべてのタスク]>[インポート] の順にクリックし、VPN クライアント構成パッケージから抽出した .cer ファイルを参照します。
- コンピューターを再起動します。
- VPN クライアントをインストールしてみます。
Azure portal エラー:VPN ゲートウェイを保存できませんでした。データが無効です
症状
Azure Portal で VPN ゲートウェイの変更を保存しようとすると、次のエラー メッセージが表示されます。
仮想ネットワーク ゲートウェイ <ゲートウェイ名> を保存できませんでした。 証明書 <証明書 ID> のデータが無効です。
原因
この問題は、アップロードしたルート証明書の公開キーにスペースなどの無効な文字が含まれている場合に発生する可能性があります。
解決策
証明書のデータに改行 (キャリッジ リターン) などの無効な文字が含まれていないことを確認します。 値全体が 1 つの長い行である必要があります。 次の例は、証明書内のコピーする領域を示しています。
Azure portal エラー:VPN ゲートウェイを保存できませんでした。リソース名は無効です
症状
Azure Portal で VPN ゲートウェイの変更を保存しようとすると、次のエラー メッセージが表示されます。
仮想ネットワーク ゲートウェイ <ゲートウェイ名> を保存できませんでした。 リソース名 <アップロードしようとした証明書の名前> は無効です。
原因
この問題は、証明書の名前にスペースなどの無効な文字が含まれていることが原因で発生します。
Azure portal エラー:VPN パッケージ ファイルのダウンロード エラー 503
症状
VPN クライアント構成パッケージをダウンロードしようとすると、次のエラー メッセージが表示されます。
ファイルをダウンロードできませんでした。 エラーの詳細: エラー 503。 サーバーがビジーです。
解決策
このエラーは、一時的なネットワークの問題が原因で発生します。 数分経ってからもう一度 VPN パッケージをダウンロードしてみてください。
Azure VPN Gateway のアップグレード: すべてのポイント対サイト クライアントが接続できません
原因
証明書は、有効期間の半分を経過すると、ロールオーバーされます。
解決策
この問題を解決するには、すべてのクライアントでポイント対サイト パッケージを再ダウンロードして再デプロイします。
一度に接続する VPN クライアントが多すぎる
接続の最大許容数に達しました。 接続されているクライアントの総数は、Azure Portal で確認できます。
VPN クライアントがネットワーク ファイル共有にアクセスできない
症状
VPN クライアントは Azure 仮想ネットワークに接続しています。 しかし、クライアントはネットワーク共有にアクセスできません。
原因
ファイル共有アクセスには、SMB プロトコルが使用されます。 接続の開始時にセッション資格情報が VPN クライアントによって追加されると、このエラーが発生します。 接続が確立されると、クライアントは Kerberos 認証にキャッシュ資格情報を使用するよう強制されます。 このプロセスにより、キー配布センター (ドメイン コントローラー) に対するクエリが開始され、トークンが取得されます。 クライアントはインターネットから接続するため、ドメイン コントローラーにアクセスできない場合があります。 そのため、クライアントは Kerberos から NTLM にフェールオーバーできません。
クライアントが資格情報を求められるのは、クライアントが参加しているドメインによって発行された有効な証明書 (SAN=UPN) がクライアントにある場合のみです。 また、クライアントはドメイン ネットワークに物理的に接続されている必要があります。 この場合、クライアントはその証明書を使用して、ドメイン コントローラーにアクセスしようとします。 そうすると、キー配布センターは "KDC_ERR_C_PRINCIPAL_UNKNOWN" エラーを返します。 クライアントは強制的に NTLM にフェールオーバーされます。
解決策
この問題を回避するには、次のレジストリ サブキーからドメイン資格情報のキャッシュを無効にします。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableDomainCreds - Set the value to 1
VPN クライアントを再インストールした後に Windows でポイント対サイト VPN 接続が見つからない
症状
ポイント対サイト VPN 接続を削除した後に、VPN クライアントを再インストールすると、 VPN 接続が正常に構成されません。 Windows の [ネットワーク接続] 設定に VPN 接続が表示されません。
解決策
この問題を解決するには、C:\Users\UserName\AppData\Roaming\Microsoft\Network\Connections<VirtualNetworkId> から古い VPN クライアント構成ファイルを削除し、VPN クライアント インストーラーを再度実行します。
ポイント対サイト VPN クライアントがローカル ドメイン内のリソースの FQDN を解決できません
症状
クライアントがポイント対サイト VPN 接続を使用して Azure に接続するとき、ローカル ドメイン内のリソースの FQDN を解決できません。
原因
ポイント対サイト VPN クライアントでは通常、Azure 仮想ネットワーク内に構成されている Azure DNS サーバーが使用されます。 (Ethernet インターフェイスのメトリックがより低い場合を除いて、) Azure DNS サーバーはクライアント内に構成されているローカル DNS サーバーに優先するため、すべての DNS クエリは Azure DNS サーバーに送信されます。 Azure DNS サーバーにローカル リソースのレコードがない場合、クエリは失敗します。
解決策
問題を解決するには、Azure 仮想ネットワークで使用する Azure DNS サーバーがローカル リソースの DNS レコードを解決できることを確認します。 これを行うには、DNS フォワーダーまたは条件付きフォワーダーを使用できます。 詳細については、「独自 DNS サーバー使用の名前解決」を参照してください。
ポイント対サイト VPN 接続は確立されるが Azure リソースに接続できません
原因
この問題は、VPN クライアントが Azure VPN ゲートウェイからのルートを取得していない場合に発生する可能性があります。
解決策
この問題を解決するには、Azure VPN ゲートウェイをリセットします。 新しいルートが使用されていることを確認するには、仮想ネットワーク ピアリングが正常に構成された後で、もう一度ポイント対サイト VPN クライアントをダウンロードする必要があります。
エラー: "失効サーバーがオフラインであったため、失効関数が失効を確認できませんでした。 (エラー 0x80092013)"
原因
このエラー メッセージは、クライアントが http://crl3.digicert.com/ssca-sha2-g1.crl と http://crl4.digicert.com/ssca-sha2-g1.crl にアクセスできない場合に発生します。 失効を確認するには、この 2 つのサイトにアクセスする必要があります。 この問題は、通常は、プロキシ サーバーが構成されているクライアントで発生します。 一部の環境では、要求がプロキシ サーバーを経由しない場合はエッジ ファイアウォールで拒否されます。
解決策
プロキシ サーバーの設定を調べて、クライアントが http://crl3.digicert.com/ssca-sha2-g1.crl と http://crl4.digicert.com/ssca-sha2-g1.crl にアクセスできることを確認します。
VPN クライアント エラー: RAS/VPN サーバーに構成されたポリシーにより、接続できませんでした。 (エラー 812)
原因
このエラーは、VPN クライアントを認証するために使用する RADIUS サーバーの設定が正しくない場合、または Azure ゲートウェイが RADIUS サーバーに到達できない場合に発生します。
解決策
RADIUS サーバーが正しく構成されていることを確認します。 詳細については、「RADIUS 認証と Azure Multi-Factor Authentication Server の統合」を参照してください。
VPN Gateway からルート証明書をダウンロードするときに "エラー 405" が発生します
原因
ルート証明書がインストールされていません。 ルート証明書は、クライアントの信頼された証明書ストアにインストールされます。
VPN クライアント エラー: VPN トンネルの試行に失敗したため、リモート接続を確立できませんでした。 (エラー 800)
原因
NIC ドライバーの期限が切れています。
解決策
NIC ドライバーを更新します。
- [開始] をクリックして「デバイス マネージャー」と入力し、結果の一覧から選択します。 管理者パスワードまたは確認を求められたら、パスワードを入力するか、確認を行います。
- ネットワーク アダプターカテゴリで、更新したい NIC を見つけます。
- デバイス名をダブルクリックして [ドライバーの更新] を選択し、 [自動的に更新されたドライバ ソフトウェアを検索します] を選択します。
- Windows によって新しいドライバーが検出されない場合、デバイス製造元の Web サイト上にあるドライバーを探してその手順に従うことができます。
- コンピューターを再起動して、もう一度接続を試してみてください。
VPN クライアント エラー: Microsoft Entra での認証の有効期限が切れました
Microsoft Entra ID 認証を使用している場合、次のエラーのうちいずれかが発生する場合があります。
Microsoft Entra での認証の有効期限が切れています。 新しいトークンを取得するには、Entra で再認証する必要があります。 認証タイムアウトは管理者が調整できます。
または
Microsoft Entra での認証の有効期限が切れているため、新しいトークンを取得するために再認証する必要があります。 もう一度接続してみてください。 認証ポリシーとタイムアウトは、Entra テナントで管理者によって構成されています。
原因
現在の更新トークンの有効期限が切れているか、無効になったため、ポイント対サイト接続が切断されています。 ユーザーを認証するための新しいアクセス トークンをフェッチできません。
Azure VPN クライアントが Microsoft Entra ID 認証を使用して Azure VPN ゲートウェイとの接続を確立しようとする場合、ユーザーを認証するためにアクセス トークンが必要です。 このトークンは約 1 時間ごとに更新されます。 有効なアクセス トークンは、ユーザーが有効な更新トークンを持っている場合にのみ発行できます。 ユーザーが有効な更新トークンを持っていない場合、接続は切断されます。
更新トークンは、いくつかの理由により期限切れまたは無効と表示される場合があります。 デバッグのためにユーザー Entra サインイン ログを確認できます。 Microsoft Entra サインイン ログに関する記事を参照してください。
更新トークンの有効期限が切れている
- 更新トークンの既定の有効期間は 90 日です。 90 日後、ユーザーは再接続して新しい更新トークンを取得する必要があります。
- Entra テナント管理者は、"X" 時間ごとに定期的な再認証をトリガーするサインイン頻度の条件付きアクセス ポリシーを追加できます。 (更新トークンは "X" 時間に期限切れになります)。 カスタム条件付きアクセス ポリシーを使用すると、ユーザーは "X" 時間ごとに対話型サインインの使用が強制されます。 詳細については、「Microsoft ID プラットフォームの更新トークン」と「アダプティブ セッションの有効期間ポリシーを構成する」を参照してください。
更新トークンが無効である
- ユーザーがテナントから削除されました。
- ユーザーの資格情報が変更されました。
- セッションが Entra テナント管理者によって取り消されました。
- デバイスが非準拠になりました (マネージド デバイスの場合)。
- Entra 管理者によって構成されたその他の Entra ポリシーにより、ユーザーが対話型サインインを定期的に使用する必要があります。
解決策
これらのシナリオでは、ユーザーが再接続する必要があります。 これにより、Microsoft Entra で対話型サインイン プロセスがトリガーされ、新しい更新トークンとアクセス トークンが発行されます。
VPN クライアント エラー: VPN 接続 <VPN 接続名> にダイヤルしています、状況 = VPN プラットフォームで接続がトリガーされませんでした
また、RasClient からイベント ビューアーに次のエラーが表示されることがあります: "<ユーザー>は <VPN 接続名> という接続にダイヤルし、失敗しました。 失敗時に返された理由コードは 1460 です。"
原因
Windows のアプリ設定で、Azure VPN クライアントについては [バックグラウンド アプリ] アプリのアクセス許可が有効になっていません。
解決策
- Windows で、[設定]-> [プライバシー]-> [バックグラウンドアプリ] にアクセスします
- [アプリのバックグラウンド実行を許可する] をオンに切り替えます
エラー:'ファイル ダウンロード エラー: ターゲット URI が指定されていません'
原因
これは、ゲートウェイの種類が正しく構成されていないことが原因です。
解決策
Azure VPN ゲートウェイの種類は VPN で、VPN の種類は RouteBased にする必要があります。
VPN パッケージのインストーラーが完了しない
原因
この問題の原因は、以前の VPN クライアントのインストールである可能性があります。
解決策
C:\Users\UserName\AppData\Roaming\Microsoft\Network\Connections<VirtualNetworkId> から古い VPN クライアント構成ファイルを削除し、VPN クライアント インストーラーを再度実行します。
VPN クライアントが休止状態またはスリープ状態
解決策
VPN クライアントが実行されているコンピューターのスリープ設定および休止状態設定をチェックします。
ポイント対サイト クライアントからプライベート リゾルバーを使用してプライベート DNS ゾーンのレコードを解決できません。
症状
仮想ネットワークで Azure 提供の (168.63.129.16) DNS サーバーを使用している場合、ポイント対サイト クライアントはプライベート DNS ゾーン (プライベート エンドポイントを含む) に存在するレコードを解決できません。
原因
Azure DNS サーバーの IP アドレス (168.63.129.16) は、Azure プラットフォームからのみ解決できます。
解決策
次の手順は、プライベート DNS ゾーンからレコードを解決するのに役立ちます。
プライベート リゾルバーの仮想ネットワーク上のカスタム DNS サーバーとして受信 IP アドレスを構成すると、プライベート DNS ゾーン (プライベート エンドポイントから作成されたものも含む) のレコードを解決するのに役立ちます。 プライベート DNS ゾーンは、プライベート リゾルバーを持つ仮想ネットワークに関連付けられている必要があることに注意してください。
既定では、仮想ネットワークで構成されている DNS サーバーは、VPN ゲートウェイ経由で接続されているポイント対サイト クライアントにプッシュされます。 そのため、プライベート リゾルバーの受信 IP アドレスを仮想ネットワーク上のカスタム DNS サーバーとして構成すると、これらの IP アドレスが VPN DNS サーバーとしてクライアントに自動的にプッシュされ、プライベート DNS ゾーン (プライベート エンドポイントを含む) からレコードをシームレスに解決できます。