次の方法で共有


リモート アクセス (VPN と AOVPN) のトラブルシューティングガイダンス

仮想エージェントを試す - VPN と AlwaysOn VPN に関する一般的な問題をすばやく特定して修正するのに役立ちます。

この記事に記載されているリソースは、リモート アクセスを使用するときに発生する問題を解決するのに役立ちます。

  • 通常、VPN の展開には、サーバーまたはクライアント コンピューターで最小限の手動構成が必要です。 メインの考慮事項は、ファイアウォールで正しいポートが開き、サーバーに転送され、VPN が有効になっているということです。 VPN はすぐに動作します。 また、クライアントの VPN 設定で適切なプロトコルが選択されていることを確認します。
  • VPN 接続のトラブルシューティングとテストの最初の手順は、Always On VPN (AOVPN) インフラストラクチャのコア コンポーネントを理解することです。
  • AOVPN セットアップがクライアントを内部ネットワークに接続しない場合、原因は無効な VPN 証明書、不適切な NPS ポリシー、クライアント展開スクリプトに影響する問題、またはルーティングとリモート アクセスで発生する問題である可能性があります。

リモート アクセス VPN の問題のトラブルシューティング

  • Microsoft Edge は PAC 設定を無視します-Android 13 の Microsoft Edge は、Microsoft Intuneのアプリごとの VPN プロファイルで構成されたプロキシ自動構成 (PAC) 設定を無視します。

  • イベント ID: エラー コード 720 の 20227 - WAN ミニポート (IP) アダプターが正しくバインドされていないため、VPN クライアントが VPN 接続を完了しません。

  • L2TP VPN がエラー 787 で失敗 する - リモート アクセス サーバーへの L2TP VPN 接続が失敗したときに発生します。 レイヤー 2 トンネリング プロトコル (L2TP) 接続のインターネット プロトコル セキュリティ (IPSec) セキュリティ アソシエーション (SA) の確立は失敗します。これは、サーバーがクライアントで構成されているコンピューター証明書として別の証明機関のワイルドカード証明書または証明書を使用するためです。 ルーティングとリモート アクセス (RRAS) は、コンピューター証明書ストアで見つけることができる最初の証明書を選択しています。 この点で L2TP の動作は、Secure Socket Tunneling Protocol (SSTP) または IP-HTTPS、またはその他の手動で構成された IPsec 規則とは異なります。 L2TP の場合、証明書を選択するための RRAS 組み込みメカニズムに依存します。 この条件は変更できません。

  • MS-CHAPv2 の使用時に LT2P/IPsec RAS VPN 接続が失敗 する - MS-CHAPv2 認証を使用すると、Windows リモート アクセス サービス (RAS) サーバーへの L2TP/IPsec VPN 接続が切断されます。 この問題は、認証ドメイン コントローラー (DC) の LmCompatibilityLevel 設定が既定値から変更された場合に発生する可能性があります。

  • VPN サーバーに接続した後にインターネットに接続できない - この問題により、VPN を使用してルーティングとリモート アクセスを実行しているサーバーにログオンした後にインターネットに接続できなくなります。 この問題は、リモート ネットワークで既定のゲートウェイを使用するように VPN 接続を構成した場合に発生する可能性があります。 この設定は、伝送制御プロトコル/インターネット プロトコル (TCP/IP) 設定で指定した既定のゲートウェイ設定をオーバーライドします。

  • リモート アクセス VPN 接続を確立できない - クライアントが VPN サーバーに接続できない一般的な問題のトラブルシューティングに役立つ情報。

  • データの送受信ができない - 双方向リモート アクセス VPN 接続エラー (レガシ OS) の一般的な原因と解決策に関する情報。

AOVPN の問題のトラブルシューティング

  • エラー コード: 800 - 試行された VPN トンネルが失敗したため、リモート接続が行われませんでした。 VPN サーバーに到達できない可能性があります。 この接続で L2TP/IPsec トンネルを使用しようとしている場合、IPsec ネゴシエーションに必要なセキュリティ パラメーターが正しく構成されていない可能性があります。

  • エラー コード: 809 - リモート サーバーが応答していないため、コンピューターと VPN サーバー間のネットワーク接続を確立できませんでした。 これは、コンピューターとリモート サーバー間のネットワーク デバイス (ファイアウォール、NAT、ルーターなど) の 1 つが VPN 接続を許可するように構成されていないために発生する可能性があります。 問題の原因となっているデバイスを特定するには、管理者またはサービス プロバイダーに問い合わせてください。

  • エラー コード: 812 - AOVPN に接続できません。 RAS または VPN サーバーに構成されているポリシーが原因で、接続が禁止されました。 具体的には、サーバーがユーザー名とパスワードを確認するために使用した認証方法が、接続プロファイルで構成されている認証方法と一致しません。 このエラーについて、RAS サーバーの管理者に通知します。

  • エラー コード: 13806 - IKE で有効なコンピューター証明書が見つかりませんでした。 適切な証明書ストアに有効な証明書をインストールする方法については、ネットワーク セキュリティ管理者に問い合わせてください。

  • エラー コード: 13801 - IKE 認証資格情報は受け入れられません。

  • エラー コード: 0x80070040 - サーバー証明書には、証明書の使用エントリの 1 つとしてサーバー認証がありません。

  • エラー コード: 0x800B0109 - VPN クライアントは、エンタープライズ CA などの信頼されたルート証明書を発行する Active Directory ドメインに参加しています。 すべてのドメイン メンバーで、証明書は信頼されたルート証明機関ストアに自動的にインストールされます。 ただし、コンピューターがドメインに参加していない場合、または代替の証明書チェーンを使用している場合は、この問題が発生する可能性があります。

  • ALWAYS ON VPN クライアント接続の問題 - 構成が小さいと、クライアント接続が失敗する可能性があります。 原因を見つけることは困難な場合があります。 AOVPN クライアントは、接続を確立する前にいくつかの手順を実行します。

  • [VPN 接続] ブレードから証明書を削除できない - [VPN 接続] ブレード の証明書を削除できません。 (Microsoft Entra条件付きアクセス接続の問題)。

データ収集

Microsoft サポートに問い合わせる前に、問題に関する情報を収集できます。

前提条件

  1. TSS は、ローカル システムの管理者権限を持つアカウントで実行する必要があり、EULA を受け入れる必要があります (EULA が承認されると、TSS は再度プロンプトを表示しません)。
  2. ローカル コンピューター RemoteSigned の PowerShell 実行ポリシーをお勧めします。

注:

現在の PowerShell 実行ポリシーで TSS の実行が許可されていない場合は、次のアクションを実行します。

  • コマンドレット を RemoteSigned 実行して、プロセス レベルの実行ポリシーを設定します PS C:\> Set-ExecutionPolicy -scope Process -ExecutionPolicy RemoteSigned
  • 変更が有効かどうかを確認するには、 コマンドレット を実行します PS C:\> Get-ExecutionPolicy -List
  • プロセス レベルのアクセス許可は現在の PowerShell セッションにのみ適用されるため、TSS が実行される特定の PowerShell ウィンドウが閉じられると、プロセス レベルに割り当てられたアクセス許可も以前に構成された状態に戻ります。

Microsoft サポートに連絡する前に重要な情報を収集する

  1. すべてのノードで TSS をダウンロードし、 C:\tss フォルダーに解凍します。

  2. 管理者特権の PowerShell コマンド プロンプトから C:\tss フォルダーを開きます。

  3. 次のコマンドレットを使用して、クライアントとサーバーでトレースを開始します。

    • クライアント:

      TSS.ps1 -Scenario NET_VPN
      
    • サーバー:

      TSS.ps1 -Scenario NET_RAS
      
  4. トレースがサーバーまたはクライアントで初めて実行される場合は、EULA に同意します。

  5. 記録を許可する (PSR またはビデオ)。

  6. Y に入る前に問題を再現します。

    注:

    クライアントとサーバーの両方でログを収集する場合は、問題を再現する前に、両方のノードでこのメッセージを待機します。

  7. 問題の再現後にログ収集を完了するには、「 Y 」と入力します。

トレースは、分析のためにワークスペースにアップロードできる C:\MS_DATA フォルダー内の zip ファイルに格納されます。

関連情報

  • Windows Server 2016とWindows 10のAlways On VPN 展開 - リモート 従業員が AOVPN 接続を使用してorganization ネットワークに接続できるようにするポイント対サイト VPN 接続用の単一テナント VPN RAS ゲートウェイとしてリモート アクセスを展開する方法について説明します。 このデプロイで使用されるテクノロジごとに、設計と展開のガイドを確認することをお勧めします。

  • Configuration Managerで VPN プロファイルを作成する方法 - このトピックでは、Configuration Managerで VPN プロファイルを作成する方法について説明します。

  • Always On VPN の機能 - このトピックでは、AOVPN の機能について説明します。