次の方法で共有

リモート アクセス (VPN と AOVPN) のトラブルシューティング ガイダンス

仮想オペレーターを試す - VPN および AlwaysOn VPN に関する一般的な問題をすばやく特定、解決するのに役立ちます。

この記事に記載されているリソースは、リモート アクセスを使用するときに発生する問題を解決する上で役立ちます。

  • VPN のデプロイでは通常、サーバーまたはクライアント コンピューターで行う必要がある手動での構成は最小限です。 主な考慮事項は、正しいポートがファイアウォールで開いており、サーバーに転送されることと、VPN が有効になっていることです。 VPN はすぐに利用できる必要があります。 また、クライアントの VPN 設定で適切なプロトコルが選択されている必要があります。
  • VPN 接続のトラブルシューティングとテストではまず最初に、Always On VPN (AOVPN) インフラストラクチャのコア コンポーネントについて理解します。
  • AOVPN セットアップでクライアントが内部ネットワークに接続されない場合に原因として考えられるのは、無効な VPN 証明書、不適切な NPS ポリシー、クライアント展開スクリプトに影響する問題、またはルーティングとリモート アクセスで発生する問題などです。

リモート アクセス VPN に関する問題のトラブルシューティング

  • Microsoft Edge は PAC 設定を無視します - Android 13 の Microsoft Edge は、Microsoft Intune のアプリごとの VPN プロファイルで構成されたプロキシ自動構成 (PAC) 設定を無視します。

  • イベント ID: 20227 (エラー コード 720) - WAN ミニポート (IP) アダプターが正しくバインドされていないため、VPN クライアントで VPN 接続が完了しません。

  • L2TP VPN がエラー 787 で失敗する - リモート アクセス サーバーへの L2TP VPN 接続が失敗した場合に発生します。 クライアントで構成されているコンピューター証明書とは異なる証明機関からの証明書またはワイルドカード証明書をサーバーが使用していることが原因で、レイヤー 2 トンネリング プロトコル (L2TP) 接続でのインターネット プロトコル セキュリティ (IPSec) セキュリティ アソシエーション (SA) の確立が失敗します。 ルーティングとリモート アクセス (RRAS) では、コンピューター証明書ストアで最初に検出された証明書が選択されます。 この点で L2TP の動作は、Secure Socket トンネリング プロトコル (SSTP)、IP-HTTPS、および手動で構成されたその他の IPsec 規則とは異なります。 L2TP の場合、証明書の選択に RRAS 組み込みメカニズムが使用されます。 この条件は変更できません。

  • MS-CHAPv2 を使用すると LT2P/IPsec RAS VPN 接続が失敗する - MS-CHAPv2 認証を使用すると、Windows リモート アクセス サービス (RAS) サーバーへの L2TP/IPsec VPN 接続が切断されます。 この問題は、認証ドメイン コントローラー (DC) の LmCompatibilityLevel 設定が既定値から変更された場合に発生する可能性があります。

  • VPN サーバーへの接続後にインターネットに接続できない - この問題が発生すると、VPN を使用してルーティングとリモート アクセスを実行しているサーバーにログオンした後にインターネットに接続できません。 この問題は、リモート ネットワークで既定のゲートウェイを使用するように VPN 接続を構成している場合に発生する場合があります。 この設定は、伝送制御プロトコル/インターネット プロトコル (TCP/IP) 設定で指定した既定のゲートウェイ設定をオーバーライドします。

  • リモート アクセス VPN 接続を確立できない - クライアントが VPN サーバーに接続できない一般的な問題のトラブルシューティングに役立つ情報です。

  • データの送受信ができない - 双方向のリモート アクセス VPN 接続の障害 (レガシ OS) の一般的な原因と解決策に関する情報です。

AOVPN に関する問題のトラブルシューティング

  • エラー コード: 800 - VPN トンネルの試行に失敗したため、リモート接続を確立できませんでした。 VPN サーバーに到達できない可能性があります。 この接続で L2TP/IPsec トンネルの使用が試行される場合、IPsec ネゴシエーションに必要なセキュリティ パラメーターが正しく構成されていない可能性があります。

  • エラー コード: 809 - リモート サーバーが応答していないため、お使いのコンピューターと VPN サーバーの間のネットワーク接続を確立できませんでした。 これは、コンピューターとリモート サーバーの間にあるネットワーク デバイス (ファイアウォール、NAT、ルーターなど) のいずれかが、VPN 接続を許可するように構成されていないことが原因で発生する場合があります。 管理者またはサービス プロバイダーに連絡して、問題の原因となっているデバイスを特定してください。

  • エラー コード: 812 - AOVPN に接続できません。 RAS または VPN サーバーで構成されているポリシーが原因で、接続できませんでした。 具体的には、サーバーでユーザー名とパスワードの確認に使用された認証方法と、接続プロファイルで構成されている認証方法が一致していません。 RAS サーバーの管理者にこのエラーを通知してください。

  • エラー コード: 13806 - IKE で有効なマシン証明書が見つかりませんでした。 適切な証明書ストアに有効な証明書をインストールする方法については、ネットワーク セキュリティ管理者に問い合わせてください。

  • エラー コード: 13801 - IKE 認証資格情報が受け入れられません。

  • エラー コード: 0x80070040 - サーバー証明書に、証明書の使用方法エントリの 1 つとしてサーバー認証がありません。

  • エラー コード: 0x800B0109 - VPN クライアントは、信頼されたルート証明書 (エンタープライズ CA からの証明書など) を発行する Active Directory ドメインに参加しています。 すべてのドメイン メンバーで、この証明書は信頼されたルート証明機関のストアに自動的にインストールされます。 ただし、コンピューターがドメインに参加していない場合、または別の証明書チェーンを使用している場合に、この問題が発生するおそれがあります。

  • Always On VPN クライアント接続の問題 - わずかな構成の誤りが原因で、クライアント接続が失敗することがあります。 原因の特定が困難なことがあります。 AOVPN クライアントでは、接続を確立する前にいくつかのステップが実行されます。

  • VPN 接続ブレードから証明書を削除できない - VPN 接続ブレードの証明書を削除できません。 (Microsoft Entra の条件付きアクセスの接続に関する問題)。

データ収集

Microsoft サポートに問い合わせる前に、問題に関する情報を収集できます。

前提条件

  1. TSS は、ローカル システムの管理者特権を持つアカウントで実行する必要があり、EULA を受け入れる必要があります (EULA が承認されると、TSS は再度プロンプトを表示しません)。
  2. PowerShell 実行ポリシー RemoteSigned ローカル コンピューターをお勧めします。

Note

現在の PowerShell 実行ポリシーで TSS の実行が許可されていない場合は、次のアクションを実行します。

  • コマンドレット PS C:\> Set-ExecutionPolicy -scope Process -ExecutionPolicy RemoteSignedを実行して、プロセス レベルのRemoteSigned実行ポリシーを設定します。
  • 変更が有効かどうかを確認するには、コマンドレット PS C:\> Get-ExecutionPolicy -Listを実行します。
  • プロセス レベルのアクセス許可は現在の PowerShell セッションにのみ適用されるため、TSS を実行する特定の PowerShell ウィンドウが閉じられると、プロセス レベルに割り当てられたアクセス許可も以前に構成された状態に戻ります。

Microsoft サポートに連絡する前に重要な情報を収集する

  1. すべてのノードで TSS をダウンロードし、 C:\tss フォルダーに解凍します。

  2. 管理者特権の PowerShell コマンド プロンプトから C:\tss フォルダーを開きます。

  3. 次のコマンドレットを使用して、クライアントとサーバーでトレースを開始します。

    • クライアント:

      TSS.ps1 -Scenario NET_VPN

    • サーバー:

      TSS.ps1 -Scenario NET_RAS

  4. トレースがサーバーまたはクライアントで初めて実行される場合は、EULA に同意します。

  5. 記録を許可する (PSR またはビデオ)。

  6. Yに入る前に問題を再現してください。

    Note

    クライアントとサーバーの両方でログを収集する場合は、両方のノードでこのメッセージを待ってから問題を再現してください。

  7. Y を入力して、問題の再現後にログ収集を完了します。

トレースは、 C:\MS_DATA フォルダー内の zip ファイルに格納されます。これは、分析のためにワークスペースにアップロードできます。

リファレンス

  • Windows Server 2016 および Windows 10 用の Always On VPN 展開 - ポイント対サイト VPN 接続用のシングル テナント VPN RAS ゲートウェイとしてリモート アクセスを展開する方法について説明します。これにより、リモートの従業員が AOVPN 接続を使用して組織のネットワークに接続できます。 この展開で使用される各テクノロジについてはそれぞれの設計および展開のガイドを参照することをお勧めします。

  • Configuration Manager で VPN プロファイルを作成する方法 - このトピックでは、Configuration Manager で VPN プロファイルを作成する方法を説明します。

  • Always On VPN の機能 - このトピックでは、AOVPN の機能について説明します。