Always On VPN 문제 해결

이 문서에서는 VPN 배포를 확인하고 Always On 문제를 해결하기 위한 지침을 제공합니다.

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10

Always On VPN(Virtual Private Network) 설정이 클라이언트를 내부 네트워크에 연결하지 않는 경우 다음 문제 중 하나가 발생했을 수 있습니다.

• VPN 인증서가 잘못되었습니다.
• NPS(네트워크 정책 서버) 정책이 잘못되었습니다.
• 클라이언트 배포 스크립트 또는 라우팅 및 원격 액세스와 관련된 문제입니다.

VPN 연결 문제 해결 및 테스트의 첫 번째 단계는 Always On VPN 인프라의 핵심 구성 요소를 이해하는 것입니다.

여러 가지 방법으로 연결 문제를 해결할 수 있습니다. 클라이언트 쪽 문제 및 일반적인 문제 해결의 경우 클라이언트 컴퓨터의 애플리케이션 로그는 매우 중요합니다. 인증 관련 문제의 경우 NPS 서버에 있는 NPS 로그를 통해 문제의 원인을 확인할 수 있습니다.

Always On VPN 연결 문제에 대한 일반적인 문제 해결

Always On VPN 클라이언트는 연결을 설정하기 전에 여러 단계를 수행합니다. 결과적으로 연결을 차단할 수 있는 여러 위치가 있으며 문제가 있는 위치를 파악하기가 어려운 경우도 있습니다.

문제가 발생하는 경우 진행 중인 작업을 파악하기 위해 수행할 수 있는 몇 가지 일반적인 단계는 다음과 같습니다.

• whatismyip 검사를 실행하여 템플릿 컴퓨터가 외부에 연결되어 있지 않은지 확인합니다. 컴퓨터에 속하지 않는 공용 IP 주소가 있는 경우 IP를 프라이빗 IP 주소로 변경해야 합니다.
• 제어판>네트워크 및 인터넷>네트워크 Connections 이동하여 VPN 프로필의 속성을 열고 검사 일반 탭의 값이 DNS를 통해 공개적으로 resolve 수 있는지 확인합니다. 그렇지 않은 경우 원격 액세스 서버 또는 VPN 서버가 IP 주소에 resolve 수 없는 것이 문제의 원인일 수 있습니다.
• 외부 인터페이스에 대한 ICMP(인터넷 제어 메시지 프로토콜)를 열고 원격 클라이언트에서 VPN 서버를 ping합니다. ping이 성공하면 ICMP 허용 규칙을 제거할 수 있습니다. 그렇지 않은 경우 VPN 서버에 액세스할 수 없는 경우 문제가 발생할 수 있습니다.
• VPN 서버의 내부 및 외부 NIC에 대한 구성을 확인합니다. 특히 동일한 서브넷에 있고 외부 NIC가 방화벽의 올바른 인터페이스에 연결되어 있는지 확인합니다.
• 클라이언트 방화벽, 서버 방화벽 및 하드웨어 방화벽을 확인하여 UDP 500 및 4500 포트 작업을 허용하는지 확인합니다. 또한 UDP 포트 500을 사용하는 경우 IPSEC가 어디에서도 비활성화되거나 차단되지 않았는지 확인합니다. 그렇지 않은 경우 클라이언트에서 VPN 서버 외부 인터페이스로 열려 있지 않은 포트로 인해 문제가 발생합니다.
• NPS 서버에 IKE 요청을 서비스할 수 있는 서버 인증 인증서가 있는지 확인합니다. 또한 NPS 클라이언트의 설정에 올바른 VPN 서버 IP가 있는지 확인합니다. PEAP로만 인증해야 하며 PEAP 속성은 인증서 인증만 허용해야 합니다. NPS 이벤트 로그에서 인증 문제를 검사 수 있습니다. 자세한 내용은 NPS 서버 설치 및 구성을 참조하세요.
• 연결할 수 있지만 인터넷 또는 로컬 네트워크에 액세스할 수 없는 경우 구성 문제에 대한 DHCP 또는 VPN 서버 IP 풀을 검사. 또한 클라이언트가 해당 리소스에 연결할 수 있는지 확인합니다. VPN 서버를 사용하여 요청을 라우팅할 수 있습니다.

VPN_Profile.ps1 스크립트 문제에 대한 일반적인 문제 해결

VPN_Profile.ps1 스크립트를 수동으로 실행할 때 가장 일반적인 문제는 다음과 같습니다.

• 원격 연결 도구를 사용하는 경우 RDP(원격 데스크톱 프로토콜) 또는 기타 원격 연결 방법을 사용하지 않는지 확인합니다. 원격 연결은 로그인할 때 서비스를 검색하는 기능을 방해할 수 있습니다.
• 영향을 받는 사용자가 로컬 컴퓨터의 관리자인 경우 스크립트를 실행하는 동안 관리자 권한이 있는지 확인합니다.
• 다른 PowerShell 보안 기능을 사용하도록 설정한 경우 PowerShell 실행 정책이 스크립트를 차단하지 않는지 확인합니다. 스크립트를 실행하기 전에 제한된 언어 모드를 사용하지 않도록 설정한 다음 스크립트 실행이 완료된 후 다시 활성화합니다.

로그

문제가 발생하는 시기와 위치를 나타낼 수 있는 이벤트에 대해 애플리케이션 로그 및 NPS 로그를 검사 수도 있습니다.

응용 프로그램 로그

클라이언트 컴퓨터의 애플리케이션 로그는 VPN 연결 이벤트의 상위 수준 세부 정보를 기록합니다.

Always On VPN 문제를 해결하는 경우 RasClient라는 레이블이 지정된 이벤트를 찾습니다. 모든 오류 메시지는 메시지 끝에 오류 코드를 반환합니다. 오류 코드에는 Always On VPN과 관련된 몇 가지 일반적인 오류 코드가 나열됩니다. 오류 코드의 전체 목록은 라우팅 및 원격 액세스 오류 코드를 참조하세요.

NPS 로그

NPS는 NPS 회계 로그를 만들고 저장합니다. 기본적으로 로그는 로그 생성> 날짜.txt파일의 %SYSTEMROOT%\System32\Logfiles\에<저장됩니다.

기본적으로 이러한 로그는 쉼표로 구분된 값 형식이지만 제목 행은 포함하지 않습니다. 다음 코드 블록에는 제목 행이 포함됩니다.

ComputerName,ServiceName,Record-Date,Record-Time,Packet-Type,User-Name,Fully-Qualified-Distinguished-Name,Called-Station-ID,Calling-Station-ID,Callback-Number,Framed-IP-Address,NAS-Identifier,NAS-IP-Address,NAS-Port,Client-Vendor,Client-IP-Address,Client-Friendly-Name,Event-Timestamp,Port-Limit,NAS-Port-Type,Connect-Info,Framed-Protocol,Service-Type,Authentication-Type,Policy-Name,Reason-Code,Class,Session-Timeout,Idle-Timeout,Termination-Action,EAP-Friendly-Name,Acct-Status-Type,Acct-Delay-Time,Acct-Input-Octets,Acct-Output-Octets,Acct-Session-Id,Acct-Authentic,Acct-Session-Time,Acct-Input-Packets,Acct-Output-Packets,Acct-Terminate-Cause,Acct-Multi-Ssn-ID,Acct-Link-Count,Acct-Interim-Interval,Tunnel-Type,Tunnel-Medium-Type,Tunnel-Client-Endpt,Tunnel-Server-Endpt,Acct-Tunnel-Conn,Tunnel-Pvt-Group-ID,Tunnel-Assignment-ID,Tunnel-Preference,MS-Acct-Auth-Type,MS-Acct-EAP-Type,MS-RAS-Version,MS-RAS-Vendor,MS-CHAP-Error,MS-CHAP-Domain,MS-MPPE-Encryption-Types,MS-MPPE-Encryption-Policy,Proxy-Policy-Name,Provider-Type,Provider-Name,Remote-Server-Address,MS-RAS-Client-Name,MS-RAS-Client-Version

이 제목 행을 로그 파일의 첫 번째 줄로 붙여넣은 다음, 파일을 Microsoft Excel로 가져오면 Excel에서 열에 레이블을 올바르게 지정합니다.

NPS 로그는 정책 관련 문제를 진단하는 데 도움이 될 수 있습니다. NPS 로그에 대한 자세한 내용은 NPS 데이터베이스 형식 로그 파일 해석을 참조하세요.

오류 코드

다음 섹션에서는 가장 일반적으로 발생하는 오류를 resolve 방법을 설명합니다.

오류 800: 원격 연결을 연결할 수 없음

이 문제는 VPN 서버에 연결할 수 없기 때문에 시도된 VPN 터널이 실패했기 때문에 서비스가 원격 연결을 만들 수 없는 경우에 발생합니다. 연결에서 L2TP(계층 2 터널링 프로토콜) 또는 IPsec 터널을 사용하려고 하는 경우 이 오류는 IPsec 협상에 필요한 보안 매개 변수가 제대로 구성되지 않음을 의미합니다.

원인: VPN 터널 유형

VPN 터널 유형이 자동 으로 설정되고 모든 VPN 터널에서 연결 시도가 실패하면 이 문제가 발생할 수 있습니다.

해결 방법: VPN 구성 검사

VPN 설정으로 인해 이 문제가 발생하므로 다음을 시도하여 VPN 설정 및 연결 문제를 해결해야 합니다.

• 배포에 사용할 터널을 알고 있는 경우 VPN 클라이언트 쪽의 특정 터널 유형으로 VPN 유형을 설정합니다.
• UDP(사용자 데이터그램 프로토콜) 포트 500 및 4500의 IKE(인터넷 키 교환) 포트가 차단되지 않았는지 확인합니다.
• 클라이언트와 서버 모두 IKE에 대한 올바른 인증서가 있는지 확인합니다.

오류 809: 로컬 컴퓨터와 VPN 서버 간에 연결을 설정할 수 없습니다.

이 문제에서는 원격 서버가 응답하지 않으므로 로컬 컴퓨터와 VPN 서버가 연결되지 않습니다. 이는 라우터, 방화벽 또는 컴퓨터와 원격 서버 간의 NAT(네트워크 주소 변환)와 같은 하나 이상의 네트워크 디바이스가 VPN 연결을 허용하도록 구성되지 않았기 때문일 수 있습니다. 문제를 일으킬 수 있는 디바이스를 확인하려면 관리자 또는 서비스 공급자에게 문의하세요.

오류 809 원인

VPN 서버 또는 방화벽의 UDP 500 또는 4500 포트가 차단되면 이 문제가 발생할 수 있습니다. 차단은 컴퓨터와 원격 서버(예: 방화벽, NAT 또는 라우터) 간의 네트워크 디바이스 중 하나가 올바르게 구성되지 않은 경우에 발생할 수 있습니다.

해결 방법: 로컬 컴퓨터와 원격 서버 간에 디바이스의 포트 검사

이 문제를 해결하려면 먼저 관리자 또는 서비스 공급자에게 문의하여 차단된 디바이스를 확인해야 합니다. 그런 다음 해당 디바이스의 방화벽에서 UDP 500 및 4500 포트를 허용하는지 확인합니다. 이 문제가 해결되지 않으면 로컬 컴퓨터와 원격 서버 사이의 모든 디바이스에서 방화벽을 검사.

오류 812: Always On VPN에 연결할 수 없음

이 문제는 RAS(원격 액세스 서버) 또는 VPN 서버가 Always On VPN에 연결할 수 없는 경우에 발생합니다. 서버에서 사용자 이름과 암호를 확인하는 데 사용한 인증 방법이 연결 프로필에 구성된 인증 방법과 일치하지 않습니다.

오류 812가 발생할 때마다 즉시 RAS 서버 관리자에게 문의하여 무슨 일이 일어났는지 알려주는 것이 좋습니다.

이벤트 뷰어 사용하여 문제를 해결하는 경우 이벤트 로그 20276으로 표시된 이 문제를 찾을 수 있습니다. 이 이벤트는 일반적으로 RRAS(라우팅 및 원격 액세스) 기반 VPN 서버 인증 프로토콜 설정이 VPN 클라이언트 컴퓨터의 설정과 일치하지 않는 경우에 나타납니다.

오류 812 원인

일반적으로 NPS가 클라이언트가 충족할 수 없는 인증 조건을 지정했을 때 이 오류가 발생합니다. 예를 들어 NPS에서 PEAP(Protected Extensible Authentication Protocol) 연결을 보호하기 위해 인증서가 필요하다고 지정하는 경우 클라이언트가 대신 EAP-MSCHAPv2 사용하려고 하면 인증할 수 없습니다.

해결 방법: 클라이언트 및 NPS 서버 인증 설정 검사

이 문제를 resolve 클라이언트 및 NPS 서버에 대한 인증 요구 사항이 일치하는지 확인합니다. 그렇지 않은 경우 적절하게 변경합니다.

오류 13806: IKE에서 유효한 컴퓨터 인증서를 찾을 수 없음

이 문제는 IKE가 유효한 컴퓨터 인증서를 찾을 수 없는 경우에 발생합니다.

오류 13806 원인

일반적으로 VPN 서버에 필요한 컴퓨터 또는 루트 컴퓨터 인증서가 없는 경우 이 오류가 발생합니다.

해결 방법: 관련 인증서 저장소에 유효한 인증서 설치

이 문제를 resolve 위해 필요한 인증서가 클라이언트 컴퓨터와 VPN 서버 모두에 설치되어 있는지 확인합니다. 그렇지 않은 경우 네트워크 보안 관리자에게 문의하여 관련 인증서 저장소에 유효한 인증서를 설치하도록 요청합니다.

오류 13801: IKE 인증 자격 증명이 잘못되었습니다.

서버 또는 클라이언트가 IKE 인증 자격 증명을 수락할 수 없는 경우 이 문제가 발생합니다.

오류 13801 원인

이 오류는 다음으로 인해 발생할 수 있습니다.

• RAS 서버에서 IKEv2 유효성 검사에 사용되는 컴퓨터 인증서에는 향상된 키 사용에서 서버 인증이 사용하도록 설정되어 있지 않습니다.
• RAS 서버의 컴퓨터 인증서가 만료되었습니다.
• 클라이언트 머신에는 RAS 서버 인증서의 유효성을 검사하기 위한 루트 인증서가 없습니다.
• 클라이언트 컴퓨터의 VPN 서버 이름이 서버 인증서의 subjectName 값과 일치하지 않습니다.

해결 방법 1: 서버 인증서 설정 확인

문제가 RAS 서버 컴퓨터 인증서인 경우 인증서에 향상된 키 사용에서 서버 인증이 포함되어 있는지 확인합니다.

해결 방법 2: 컴퓨터 인증서가 여전히 유효한지 확인

RAS 컴퓨터 인증서가 만료된 경우 여전히 유효한지 확인합니다. 그렇지 않은 경우 유효한 인증서를 설치합니다.

해결 방법 3: 클라이언트 컴퓨터에 루트 인증서가 있는지 확인합니다.

문제가 루트 인증서가 없는 클라이언트 머신과 관련된 경우 먼저 RRAS 서버에서 신뢰할 수 있는 루트 인증 기관을 검사 사용 중인 인증 기관이 있는지 확인합니다. 없는 경우 유효한 루트 인증서를 설치합니다.

해결 방법 4: 클라이언트 컴퓨터의 VPN 서버 이름이 서버 인증서와 일치하게 만들기

먼저 VPN 서버 인증서에서 사용하는 것과 동일한 FQDN(정규화된 도메인 이름)을 사용하여 VPN 클라이언트가 연결되었는지 확인합니다. 그렇지 않은 경우 서버 인증서 이름과 일치하도록 클라이언트 이름을 변경합니다.

오류 0x80070040: 서버 인증서의 사용 항목에 서버 인증이 없습니다.

이 문제는 서버 인증서에 인증서 사용 항목 중 하나로 서버 인증 이 없는 경우에 발생합니다.

오류 0x80070040 원인

이 오류는 RAS 서버에 서버 인증 인증서가 설치되어 있지 않은 경우에 발생합니다.

해결 방법: 컴퓨터 인증서에 필요한 인증서 사용 항목이 있는지 확인합니다.

이 문제를 해결하려면 RAS 서버가 IKEv2 유효성 검사에 사용하는 컴퓨터 인증서에 인증서 사용 항목 목록에 서버 인증 이 포함되어 있는지 확인합니다.

오류 0x800B0109: 루트 인증서에서 처리되었지만 종료된 인증서 체인

전체 오류 설명은 "신뢰 공급자가 신뢰하지 않는 루트 인증서에서 처리되었지만 종료된 인증서 체인"입니다.

일반적으로 VPN 클라이언트 컴퓨터는 AD(Active Directory) 기반 도메인에 조인됩니다. 도메인 자격 증명을 사용하여 VPN 서버에 로그인하는 경우 서비스는 신뢰할 수 있는 루트 인증 기관 저장소에 인증서를 자동으로 설치합니다. 컴퓨터가 AD 도메인에 가입되지 않았거나 대체 인증서 체인을 사용하는 경우 이 문제가 발생할 수 있습니다.

오류 0x800B0109 원인

클라이언트 컴퓨터에 신뢰할 수 있는 루트 인증 기관 저장소에 설치된 적절한 신뢰할 수 있는 루트 CA 인증서가 없는 경우 이 오류가 발생할 수 있습니다.

해결 방법: 신뢰할 수 있는 루트 인증서 설치

이 문제를 resolve 클라이언트 컴퓨터에 신뢰할 수 있는 루트 인증 기관 저장소에 설치된 신뢰할 수 있는 루트 인증서가 있는지 확인합니다. 그렇지 않은 경우 적절한 루트 인증서를 설치합니다.

오류: 죄송합니다. 아직 이 작업을 수행할 수 없습니다.

이 오류 메시지는 Microsoft Entra 조건부 액세스 연결 문제와 연결됩니다. 이 문제가 나타나면 조건부 액세스 정책이 충족되지 않아 VPN 연결을 차단한 다음 사용자가 대화 상자를 닫은 후 연결합니다. 사용자가 확인을 선택하면 성공하지 못하는 또 다른 인증 시도가 시작되고 동일한 오류 메시지가 표시됩니다. 클라이언트의 Microsoft Entra 운영 이벤트 로그는 이러한 이벤트를 기록합니다.

조건부 액세스 오류 원인 Microsoft Entra

이 문제가 발생할 수 있는 몇 가지 이유가 있습니다.

• 사용자에게는 유효하지만 Microsoft Entra ID 제공되지 않은 클라이언트 인증 인증서가 개인 인증서 저장소에 있습니다.

• VPN 프로필 <TLSExtensions> 섹션이 없거나 항목이 <EKUName>AAD Conditional Access</EKUName><EKUOID>1.3.6.1.4.1.311.87</EKUOID><EKUName>AAD Conditional Access</EKUName><EKUOID>1.3.6.1.4.1.311.87</EKUOID> 포함되어 있지 않습니다. 및 <EKUOID> 항목은 <EKUName> VPN 클라이언트에 인증서를 VPN 서버에 전달할 때 사용자의 인증서 저장소에서 검색할 인증서를 알려줍니다. 및 <EKUOID> 항목이 <EKUName> 없으면 VPN 클라이언트는 사용자의 인증서 저장소에 있는 유효한 클라이언트 인증 인증서를 사용하고 인증에 성공합니다.

• NPS(RADIUS 서버)는 AAD OID(조건부 액세스 개체 식별자)가 포함된 클라이언트 인증서만 허용하도록 구성되지 않았습니다.

해결 방법: PowerShell을 사용하여 인증서 상태 확인

이 루프를 이스케이프하려면 다음을 수행합니다.

1. Windows PowerShell cmdlet을 Get-WmiObject 실행하여 VPN 프로필 구성을 덤프합니다.

2. , <EKUName>및 <EKUOID> 변수가 <TLSExtensions>있고 해당 출력에 올바른 이름과 OID가 표시되는지 확인합니다.

   다음 코드는 cmdlet의 Get-WmiObject 예제 출력입니다.

   PS C:\> Get-WmiObject -Class MDM_VPNv2_01 -Namespace root\cimv2\mdm\dmmap
   
   __GENUS                 : 2
   __CLASS                 : MDM_VPNv2_01
   __SUPERCLASS            :
   __DYNASTY               : MDM_VPNv2_01
   __RELPATH               : MDM_VPNv2_01.InstanceID="AlwaysOnVPN",ParentID="./Vendor/MSFT/VPNv2"
   __PROPERTY_COUNT        : 10
   __DERIVATION            : {}
   __SERVER                : DERS2
   __NAMESPACE             : root\cimv2\mdm\dmmap
   __PATH                  : \\DERS2\root\cimv2\mdm\dmmap:MDM_VPNv2_01.InstanceID="AlwaysOnVPN",ParentID="./Vendor/MSFT/VP
                               Nv2"
   AlwaysOn                :
   ByPassForLocal          :
   DnsSuffix               :
   EdpModeId               :
   InstanceID              : AlwaysOnVPN
   LockDown                :
   ParentID                : ./Vendor/MSFT/VPNv2
   ProfileXML              : <VPNProfile><RememberCredentials>false</RememberCredentials><DeviceCompliance><Enabled>true</
                               Enabled><Sso><Enabled>true</Enabled></Sso></DeviceCompliance><NativeProfile><Servers>derras2.corp.deverett.info;derras2.corp.deverett.info</Servers><RoutingPolicyType>ForceTunnel</RoutingPolicyType><NativeProtocolType>Ikev2</NativeProtocolType><Authentication><UserMethod>Eap</UserMethod><MachineMethod>Eap</MachineMethod><Eap><Configuration><EapHostConfigxmlns="https://www.microsoft.com/provisioning/EapHostConfig"><EapMethod><Typexmlns="https://www.microsoft.com/provisioning/EapCommon">25</Type><VendorIdxmlns="https://www.microsoft.com/provisioning/EapCommon">0</VendorId><VendorTypexmlns="https://www.microsoft.com/provisioning/EapCommon">0</VendorType><AuthorIdxmlns="https://www.microsoft.com/provisioning/EapCommon">0</AuthorId></EapMethod><Configxmlns="https://www.microsoft.com/provisioning/EapHostConfig"><Eap xmlns="https://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>25</Type><EapType xmlns="https://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV1"><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames></ServerNames></ServerValidation><FastReconnect>true</FastReconnect><InnerEapOptional>false</InnerEapOptional><Eap xmlns="https://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>13</Type>
                               <EapType xmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1"><CredentialsSource><CertificateStore><SimpleCertSelection>true</SimpleCertSelection></CertificateStore></CredentialsSource><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames></ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><DifferentUsername>false</DifferentUsername><PerformServerValidation xmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName><TLSExtensionsxmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2"><FilteringInfo xml ns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3"><EKUMapping><EKUMap><EKUName>AAD Conditional Access</EKUName><EKUOID>1.3.6.1.4.1.311.87</EKUOID></EKUMap></EKUMapping><ClientAuthEKUListEnabled="true"><EKUMapInList><EKUName>AAD Conditional Access</EKUName></EKUMapInList></ClientAuthEKUList></FilteringInfo></TLSExtensions></EapType></Eap><EnableQuarantineChecks>false</EnableQuarantineChecks><RequireCryptoBinding>false</RequireCryptoBinding><PeapExtensions><PerformServerValidation xmlns="https://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">false</PerformServerValidation><AcceptServerName xmlns="https://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">false</AcceptServerName></PeapExtensions></EapType></Eap></Config></EapHostConfig></Configuration></Eap></Authentication></NativeProfile></VPNProfile>
   RememberCredentials     : False
   TrustedNetworkDetection :
   PSComputerName          : DERS2
   

3. 다음으로 명령을 실행 Certutil 하여 사용자의 인증서 저장소에 유효한 인증서가 있는지 확인합니다.

   C:\>certutil -store -user My
   
   My "Personal"
   ================ Certificate 0 ================
   Serial Number: 32000000265259d0069fa6f205000000000026
   Issuer: CN=corp-DEDC0-CA, DC=corp, DC=deverett, DC=info
     NotBefore: 12/8/2017 8:07 PM
     NotAfter: 12/8/2018 8:07 PM
   Subject: E=winfed@deverett.info, CN=WinFed, OU=Users, OU=Corp, DC=corp, DC=deverett, DC=info
   Certificate Template Name (Certificate Type): User
   Non-root Certificate
   Template: User
   Cert Hash(sha1): a50337ab015d5612b7dc4c1e759d201e74cc2a93
     Key Container = a890fd7fbbfc072f8fe045e680c501cf_5834bfa9-1c4a-44a8-a128-c2267f712336
     Simple container name: te-User-c7bcc4bd-0498-4411-af44-da2257f54387
     Provider = Microsoft Enhanced Cryptographic Provider v1.0
   Encryption test passed
   
   ================ Certificate 1 ================
   Serial Number: 367fbdd7e6e4103dec9b91f93959ac56
   Issuer: CN=Microsoft VPN root CA gen 1
     NotBefore: 12/8/2017 6:24 PM
     NotAfter: 12/8/2017 7:29 PM
   Subject: CN=WinFed@deverett.info
   Non-root Certificate
   Cert Hash(sha1): 37378a1b06dcef1b4d4753f7d21e4f20b18fbfec
     Key Container = 31685cae-af6f-48fb-ac37-845c69b4c097
     Unique container name: bf4097e20d4480b8d6ebc139c9360f02_5834bfa9-1c4a-44a8-a128-c2267f712336
     Provider = Microsoft Software Key Storage Provider
   Private key is NOT exportable
   Encryption test passed
   

   참고

   발급자 CN=Microsoft VPN 루트 CA gen 1 의 인증서가 사용자의 개인 저장소에 있지만 Oops 메시지를 닫기 위해 X 를 선택하여 액세스 권한을 얻은 경우 CAPI2 이벤트 로그를 수집하여 인증에 사용된 인증서가 Microsoft VPN 루트 CA에서 발급되지 않은 유효한 클라이언트 인증 인증서인지 확인합니다.

4. 유효한 클라이언트 인증 인증서가 사용자의 개인 저장소 및 TLSExtensions, 및 EKUNameEKUOID 값에 올바르게 구성된 경우 사용자가 대화 상자를 닫은 후에 연결이 성공하지 않아야 합니다.

"확장 가능한 인증 프로토콜과 함께 사용할 수 있는 인증서를 찾을 수 없습니다."라는 오류 메시지가 나타납니다.

VPN 연결 탭에서 인증서를 삭제할 수 없음

이 문제는 VPN 연결 탭에서 인증서를 삭제할 수 없는 경우입니다.

원인

이 문제는 인증서가 기본으로 설정된 경우에 발생 합니다.

해결 방법: 인증서 설정 변경

인증서를 삭제하려면 다음을 수행합니다.

1. VPN 연결 탭에서 인증서를 선택합니다.
2. 기본에서 아니요를 선택한 다음 저장을 선택합니다.
3. VPN 연결 탭에서 인증서를 다시 선택합니다.
4. 삭제를 선택합니다.