Problemen met punt-naar-site-verbindingen oplossen
Dit artikel bevat veelvoorkomende punt-naar-site-verbindingsproblemen die u mogelijk ondervindt. Ook worden mogelijke oorzaken en oplossingen voor deze problemen besproken.
VPN-clientfout: er kan geen certificaat worden gevonden
Symptoom
Wanneer u verbinding probeert te maken met een virtueel Azure-netwerk met behulp van de VPN-client, ontvangt u het volgende foutbericht:
Er is geen certificaat gevonden dat kan worden gebruikt met dit Extensible Authentication Protocol. (Fout 798)
Oorzaak
Dit probleem treedt op als het clientcertificaat ontbreekt in Certificaten - Huidige gebruiker\Persoonlijk\Certificaten.
Oplossing
Volg deze stappen, om dit probleem op te lossen:
Open Certificaatbeheer: klik op Start, typ computercertificaten beheren en klik vervolgens op Computercertificaten beheren in het zoekresultaat.
Zorg ervoor dat de volgende certificaten zich op de juiste locatie bevinden:
Certificaat Locatie AzureClient.pfx Huidige gebruiker\Persoonlijk\Certificaten AzureRoot.cer Lokale computer\certificaten van vertrouwde basiscertificeringsinstanties Ga naar C:\Users UserName<>\AppData\Roaming\Microsoft\Network\Connections\Cm<GUID>, installeer het certificaat (*.cer bestand) handmatig in het archief van de gebruiker en computer.
Zie Certificaten genereren en exporteren voor punt-naar-site-verbindingen voor meer informatie over het installeren van het clientcertificaat.
Notitie
Wanneer u het clientcertificaat importeert, selecteert u niet de optie Sterke persoonlijke sleutelbeveiliging inschakelen.
De netwerkverbinding tussen uw computer en de VPN-server kan niet tot stand worden gebracht omdat de externe server niet reageert
Symptoom
Wanneer u verbinding probeert te maken met een gateway van een virtueel Azure-netwerk met behulp van IKEv2 in Windows, wordt het volgende foutbericht weergegeven:
De netwerkverbinding tussen uw computer en de VPN-server kan niet tot stand worden gebracht omdat de externe server niet reageert
Oorzaak
Het probleem treedt op als de versie van Windows geen ondersteuning heeft voor IKE-fragmentatie.
Oplossing
IKEv2 wordt ondersteund op Windows 10 en Server 2016. Als u IKEv2 wilt gebruiken, moet u lokaal updates installeren en een registersleutelwaarde instellen. Besturingssysteemversies vóór Windows 10 worden niet ondersteund en kunnen alleen SSTP gebruiken.
Windows 10 of Server 2016 voorbereiden voor IKEv2:
Installeer de update.
Besturingssysteemversie Datum Aantal/koppeling Windows Server 2016
Windows 10 versie 160717 januari 2018 KB4057142 Windows 10 versie 1703 17 januari 2018 KB4057144 Windows 10 versie 1709 22 maart 2018 KB4089848 De registersleutelwaarde instellen. Maak of stel
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload
REG_DWORD sleutel in het register in op 1.
VPN-clientfout: het ontvangen bericht is onverwacht of onjuist ingedeeld
Symptoom
Wanneer u verbinding probeert te maken met een virtueel Azure-netwerk met behulp van de VPN-client, ontvangt u het volgende foutbericht:
Het ontvangen bericht is onverwacht of onjuist opgemaakt. (Fout 0x80090326)
Oorzaak
Dit probleem treedt op als aan een van de volgende voorwaarden wordt voldaan:
- Het gebruik van door de gebruiker gedefinieerde routes (UDR) met standaardroute op het gatewaysubnet is onjuist ingesteld.
- De openbare sleutel van het basiscertificaat wordt niet geüpload naar de Azure VPN-gateway.
- De sleutel is beschadigd of verlopen.
Oplossing
Volg deze stappen, om dit probleem op te lossen:
- Verwijder UDR in het gatewaysubnet. Zorg ervoor dat UDR al het verkeer correct doorstuurt.
- Controleer de status van het basiscertificaat in Azure Portal om te zien of het is ingetrokken. Als het niet is ingetrokken, probeert u het basiscertificaat te verwijderen en opnieuw te laden. Zie Certificaten maken voor meer informatie.
VPN-clientfout: een certificaatketen is verwerkt, maar beëindigd
Symptoom
Wanneer u verbinding probeert te maken met een virtueel Azure-netwerk met behulp van de VPN-client, ontvangt u het volgende foutbericht:
Een certificaatketen is verwerkt, maar beëindigd in een basiscertificaat dat niet wordt vertrouwd door de vertrouwensprovider.
Oplossing
Zorg ervoor dat de volgende certificaten zich op de juiste locatie bevinden:
Certificaat Locatie AzureClient.pfx Huidige gebruiker\Persoonlijk\Certificaten Azuregateway-GUID.cloudapp.net Huidige gebruiker\vertrouwde basiscertificeringsinstanties AzureGateway-GUID.cloudapp.net, AzureRoot.cer Lokale computer\certificaten van vertrouwde basiscertificeringsinstanties Als de certificaten zich al op de locatie bevinden, probeert u de certificaten te verwijderen en opnieuw te installeren. Het certificaat azuregateway-GUID.cloudapp.net bevindt zich in het configuratiepakket van de VPN-client dat u hebt gedownload vanuit Azure Portal. U kunt bestandsarchivers gebruiken om de bestanden uit het pakket te extraheren.
Fout bij downloaden van bestand: doel-URI is niet opgegeven
Symptoom
Mogelijk wordt het volgende foutbericht weergegeven:
Fout bij downloaden van bestand. De doel-URI is niet opgegeven.
Oorzaak
Dit probleem treedt op vanwege een onjuist gatewaytype.
Oplossing
Het VPN-gatewaytype moet VPN zijn en het VPN-type moet RouteBased zijn.
VPN-clientfout: aangepast Azure VPN-script is mislukt
Symptoom
Wanneer u verbinding probeert te maken met een virtueel Azure-netwerk met behulp van de VPN-client, ontvangt u het volgende foutbericht:
Aangepast script (om de routeringstabel bij te werken) is mislukt. (Fout 8007026f)
Oorzaak
Dit probleem kan optreden als u de site-naar-punt-VPN-verbinding probeert te openen met behulp van een snelkoppeling.
Oplossing
Open het VPN-pakket rechtstreeks in plaats van het te openen vanuit de snelkoppeling.
Kan de VPN-client niet installeren
Oorzaak
Er is een extra certificaat vereist om de VPN-gateway voor uw virtuele netwerk te vertrouwen. Het certificaat is opgenomen in het configuratiepakket voor de VPN-client dat wordt gegenereerd vanuit Azure Portal.
Oplossing
Pak het configuratiepakket voor de VPN-client uit en zoek het .cer-bestand. Voer de volgende stappen uit om het certificaat te installeren:
- Open mmc.exe.
- Voeg de module Certificaten toe.
- Selecteer het computeraccount voor de lokale computer.
- Klik met de rechtermuisknop op het knooppunt Vertrouwde basiscertificeringsinstanties . Klik op Alle taken>importeren en blader naar het .cer bestand dat u hebt geëxtraheerd uit het configuratiepakket van de VPN-client.
- Start de computer opnieuw op.
- Probeer de VPN-client te installeren.
Fout in Azure Portal: kan de VPN-gateway niet opslaan en de gegevens zijn ongeldig
Symptoom
Wanneer u de wijzigingen voor de VPN-gateway probeert op te slaan in Azure Portal, ontvangt u het volgende foutbericht:
Kan de gatewaynaam> van de virtuele netwerkgateway <niet opslaan. Gegevens voor certificaatcertificaat-id <> zijn ongeldig.
Oorzaak
Dit probleem kan optreden als de openbare sleutel van het basiscertificaat dat u hebt geüpload een ongeldig teken bevat, zoals een spatie.
Oplossing
Zorg ervoor dat de gegevens in het certificaat geen ongeldige tekens bevatten, zoals regeleinden (regelterugloop). De volledige waarde moet één lange regel zijn. In het volgende voorbeeld ziet u het gebied dat u binnen het certificaat wilt kopiëren:
Fout in Azure Portal: kan de VPN-gateway niet opslaan en de resourcenaam is ongeldig
Symptoom
Wanneer u de wijzigingen voor de VPN-gateway probeert op te slaan in Azure Portal, ontvangt u het volgende foutbericht:
Kan de gatewaynaam> van de virtuele netwerkgateway <niet opslaan. De certificaatnaam van de resourcenaam <die u probeert te uploaden> , is ongeldig.
Oorzaak
Dit probleem treedt op omdat de naam van het certificaat een ongeldig teken bevat, zoals een spatie.
Fout bij downloaden van VPN-pakketbestand in Azure Portal 503
Symptoom
Wanneer u het configuratiepakket voor de VPN-client probeert te downloaden, wordt het volgende foutbericht weergegeven:
Kan het bestand niet downloaden. Foutdetails: fout 503. De server is bezet.
Oplossing
Deze fout kan worden veroorzaakt door een tijdelijk netwerkprobleem. Probeer het VPN-pakket na enkele minuten opnieuw te downloaden.
Upgrade van Azure VPN Gateway: alle punt-naar-site-clients kunnen geen verbinding maken
Oorzaak
Als het certificaat langer is dan 50 procent gedurende de levensduur, wordt het certificaat overgezet.
Oplossing
U kunt dit probleem oplossen door het punt-naar-site-pakket opnieuw te downloaden en opnieuw te implementeren op alle clients.
Te veel VPN-clients tegelijk verbonden
Het maximum aantal toegestane verbindingen wordt bereikt. U ziet het totale aantal verbonden clients in Azure Portal.
VPN-client heeft geen toegang tot netwerkbestandsshares
Symptoom
De VPN-client heeft verbinding gemaakt met het virtuele Azure-netwerk. De client heeft echter geen toegang tot netwerkshares.
Oorzaak
Het SMB-protocol wordt gebruikt voor toegang tot bestandsshares. Wanneer de verbinding wordt gestart, voegt de VPN-client de sessiereferenties toe en treedt de fout op. Nadat de verbinding tot stand is gebracht, wordt de client gedwongen de cachereferenties voor Kerberos-verificatie te gebruiken. Dit proces initieert query's naar het Key Distribution Center (een domeincontroller) om een token op te halen. Omdat de client verbinding maakt vanaf internet, kan de domeincontroller mogelijk niet worden bereikt. Daarom kan de client geen failover van Kerberos naar NTLM uitvoeren.
De enige keer dat de client om een referentie wordt gevraagd, is wanneer er een geldig certificaat (met SAN=UPN) is uitgegeven door het domein waaraan de client is toegevoegd. De client moet ook fysiek zijn verbonden met het domeinnetwerk. In dit geval probeert de client het certificaat te gebruiken en naar de domeincontroller te gaan. Vervolgens retourneert het Sleuteldistributiecentrum de fout 'KDC_ERR_C_PRINCIPAL_UNKNOWN'. De client wordt gedwongen om een failover uit te geven naar NTLM.
Oplossing
U kunt dit probleem omzeilen door de cache van domeinreferenties uit te schakelen met de volgende registersubsleutel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableDomainCreds - Set the value to 1
Kan de punt-naar-site-VPN-verbinding niet vinden in Windows nadat de VPN-client opnieuw is geïnstalleerd
Symptoom
U verwijdert de punt-naar-site-VPN-verbinding en installeert vervolgens de VPN-client opnieuw. In dit geval is de VPN-verbinding niet geconfigureerd. U ziet de VPN-verbinding niet in de instellingen voor netwerkverbindingen in Windows.
Oplossing
Verwijder de oude configuratiebestanden van de VPN-client uit C:\Users\UserName\AppData\Roaming\Microsoft\Network\Connections<VirtualNetworkId> en voer vervolgens het installatieprogramma van de VPN-client opnieuw uit om het probleem op te lossen.
Punt-naar-site-VPN-client kan de FQDN van de resources in het lokale domein niet omzetten
Symptoom
Wanneer de client verbinding maakt met Azure met behulp van punt-naar-site-VPN-verbinding, kan de FQDN van de resources in uw lokale domein niet worden omgezet.
Oorzaak
Punt-naar-site VPN-client maakt normaal gesproken gebruik van Azure DNS-servers die zijn geconfigureerd in het virtuele Azure-netwerk. De Azure DNS-servers hebben voorrang op de lokale DNS-servers die zijn geconfigureerd in de client (tenzij de metrische gegevens van de Ethernet-interface lager zijn), zodat alle DNS-query's worden verzonden naar de Azure DNS-servers. Als de Azure DNS-servers niet over de records voor de lokale resources beschikken, mislukt de query.
Oplossing
Als u het probleem wilt oplossen, moet u ervoor zorgen dat de Azure DNS-servers die in het virtuele Azure-netwerk worden gebruikt, de DNS-records voor lokale resources kunnen omzetten. Hiervoor kunt u DNS-doorstuurservers of voorwaardelijke doorstuurservers gebruiken. Zie Naamomzetting met uw eigen DNS-server voor meer informatie.
De punt-naar-site-VPN-verbinding is tot stand gebracht, maar u kunt nog steeds geen verbinding maken met Azure-resources
Oorzaak
Dit probleem kan optreden als de VPN-client de routes niet opvraagt van de Azure VPN-gateway.
Oplossing
U kunt dit probleem oplossen door de Azure VPN-gateway opnieuw in te stellen. Om ervoor te zorgen dat de nieuwe routes worden gebruikt, moeten de punt-naar-site-VPN-clients opnieuw worden gedownload nadat peering van virtuele netwerken is geconfigureerd.
Fout: 'De intrekkingsfunctie kan intrekking niet controleren omdat de intrekkingsserver offline was. (Fout 0x80092013)"
Oorzaken
Dit foutbericht treedt op als de client geen toegang heeft tot http://crl3.digicert.com/ssca-sha2-g1.crl en http://crl4.digicert.com/ssca-sha2-g1.crl. Voor de intrekkingscontrole is toegang tot deze twee sites vereist. Dit probleem treedt meestal op op de client waarop de proxyserver is geconfigureerd. Als de aanvragen in sommige omgevingen niet via de proxyserver worden verzonden, wordt deze geweigerd bij de edge-firewall.
Oplossing
Controleer de proxyserverinstellingen, zorg ervoor dat de client toegang heeft tot http://crl3.digicert.com/ssca-sha2-g1.crl en http://crl4.digicert.com/ssca-sha2-g1.crl.
VPN-clientfout: de verbinding is voorkomen vanwege een beleid dat is geconfigureerd op uw RAS/VPN-server. (Fout 812)
Oorzaak
Deze fout treedt op als de RADIUS-server die u hebt gebruikt voor het verifiëren van de VPN-client onjuiste instellingen heeft of azure Gateway de Radius-server niet kan bereiken.
Oplossing
Zorg ervoor dat de RADIUS-server juist is geconfigureerd. Zie RADIUS-verificatie integreren met de Azure Multi-Factor Authentication-server voor meer informatie.
Fout 405 bij het downloaden van het basiscertificaat van VPN Gateway
Oorzaak
Het basiscertificaat is niet geïnstalleerd. Het basiscertificaat wordt geïnstalleerd in het archief met vertrouwde certificaten van de client.
VPN-clientfout: de externe verbinding is niet gemaakt omdat de poging tot VPN-tunnels is mislukt. (Fout 800)
Oorzaak
Het NIC-stuurprogramma is verouderd.
Oplossing
Werk het NIC-stuurprogramma bij:
- Klik op Start, typ Apparaatbeheer en selecteer deze in de lijst met resultaten. Als u wordt gevraagd naar een administratorwachtwoord of om bevestiging, typt u het wachtwoord of bevestigt u de bewerking.
- Zoek in de categorieën Netwerkadapters de NIC die u wilt bijwerken.
- Dubbelklik op de apparaatnaam, selecteer Stuurprogramma bijwerken, selecteer Automatisch zoeken naar bijgewerkte stuurprogrammasoftware.
- Als Windows geen nieuw stuurprogramma vindt, kunt u proberen er een te zoeken op de website van de fabrikant van het apparaat en de bijbehorende instructies te volgen.
- Start de computer opnieuw op en probeer de verbinding opnieuw.
VPN-clientfout: uw verificatie met Microsoft Entra is verlopen
Als u Microsoft Entra ID-verificatie gebruikt, kan een van de volgende fouten optreden:
Uw verificatie met Microsoft Entra is verlopen. U moet zich opnieuw verifiëren in Entra om een nieuw token te verkrijgen. Time-out voor verificatie kan worden afgestemd door uw beheerder.
or
Uw verificatie met Microsoft Entra is verlopen, zodat u zich opnieuw moet verifiëren om een nieuw token te verkrijgen. Probeer opnieuw verbinding te maken. Verificatiebeleid en time-out worden geconfigureerd door uw beheerder in entra-tenant.
Oorzaak
De verbinding met een punt-naar-site is verbroken omdat het huidige vernieuwingstoken is verlopen of ongeldig wordt. Er kunnen geen nieuwe toegangstokens worden opgehaald om de gebruiker te verifiëren.
Wanneer een Azure VPN-client verbinding probeert te maken met een Azure VPN-gateway met behulp van Microsoft Entra ID-verificatie, is een toegangstoken vereist om de gebruiker te verifiëren. Dit token wordt ongeveer elk uur vernieuwd. Een geldig toegangstoken kan alleen worden uitgegeven wanneer de gebruiker een geldig vernieuwingstoken heeft. Als de gebruiker geen geldig vernieuwingstoken heeft, wordt de verbinding verbroken.
Het vernieuwingstoken kan om verschillende redenen worden weergegeven als verlopen/ongeldig. U kunt aanmeldingslogboeken van User Entra controleren op foutopsporing. Raadpleeg de aanmeldingslogboeken van Microsoft Entra.
Vernieuwingstoken is verlopen
- De standaardlevensduur voor de vernieuwingstokens is 90 dagen. Na 90 dagen moeten gebruikers opnieuw verbinding maken om een nieuw vernieuwingstoken op te halen.
- Tenantbeheerders van Entra kunnen beleidsregels voor voorwaardelijke toegang toevoegen voor aanmeldingsfrequentie die elke X-uren periodieke verificatie activeren. (Het vernieuwingstoken verloopt in 'X' uur). Door aangepast beleid voor voorwaardelijke toegang te gebruiken, worden gebruikers elke X-uur gedwongen een interactieve aanmelding te gebruiken. Zie Tokens vernieuwen in het Microsoft Identity Platform en het beleid voor de levensduur van adaptieve sessies configureren voor meer informatie.
Het vernieuwingstoken is ongeldig
- De gebruiker is verwijderd uit de tenant.
- De referenties van de gebruiker zijn gewijzigd.
- Sessies zijn ingetrokken door de Entra-tenantbeheerder.
- Het apparaat is niet-compatibel geworden (als het een beheerd apparaat is).
- Andere Entra-beleidsregels die zijn geconfigureerd door Entra-beheerders waarvoor gebruikers periodiek interactieve aanmelding moeten gebruiken.
Oplossing
In deze scenario's moeten gebruikers opnieuw verbinding maken. Dit activeert een interactief aanmeldingsproces in Microsoft Entra dat een nieuw vernieuwingstoken en toegangstoken uitgeeft.
VPN-clientfout: Vpn-verbindingsnaam <>inbellen, status = VPN-platform heeft geen verbinding geactiveerd
Mogelijk ziet u ook de volgende fout in Logboeken van RasClient: "De gebruiker <> heeft een verbinding met de naam <VPN-verbindingsnaam> gekozen die is mislukt. De foutcode die is geretourneerd bij de fout is 1460.
Oorzaak
Voor de Azure VPN-client is de app-machtiging 'Achtergrond-apps' niet ingeschakeld in app-instellingen voor Windows.
Oplossing
- Ga in Windows naar Instellingen -> Privacy -> Achtergrond-apps
- Schakel de optie 'Apps op de achtergrond uitvoeren' in op Aan
Fout: 'Bestandsdownloadfout doel-URI is niet opgegeven'
Oorzaak
Dit wordt veroorzaakt door een onjuist gatewaytype dat is geconfigureerd.
Oplossing
Het Type Azure VPN-gateway moet VPN zijn en het VPN-type moet op RouteBased zijn.
Het installatieprogramma voor VPN-pakketten wordt niet voltooid
Oorzaak
Dit probleem kan worden veroorzaakt door de vorige VPN-clientinstallaties.
Oplossing
Verwijder de oude VPN-clientconfiguratiebestanden uit C:\Users\UserName\AppData\Roaming\Microsoft\Network\Connections<VirtualNetworkId> en voer het installatieprogramma van de VPN-client opnieuw uit.
De VPN-client sluimert of slaapstand
Oplossing
Controleer de slaap- en sluimerstandinstellingen op de computer waarop de VPN-client wordt uitgevoerd.
Ik kan records in Privé-DNS zones niet oplossen met behulp van privé-resolver van punt-naar-site-clients.
Symptoom
Wanneer u azure gebruikt (168.63.129.16) DNS-server in het virtuele netwerk, kunnen punt-naar-site-clients records die aanwezig zijn in Privé-DNS Zones (inclusief privé-eindpunten) niet oplossen.
Oorzaak
IP-adres van Azure DNS-server (168.63.129.16) kan alleen worden omgezet vanuit het Azure-platform.
Oplossing
De volgende stappen helpen u bij het oplossen van records uit Privé-DNS zone:
Door het binnenkomende IP-adres van een privé-resolver te configureren als aangepaste DNS-servers in het virtuele netwerk, kunt u records in de privé-DNS-zone omzetten (inclusief records die zijn gemaakt op basis van privé-eindpunten). Houd er rekening mee dat de Privé-DNS zones moeten worden gekoppeld aan het virtuele netwerk met de privé-resolver.
DNS-servers die zijn geconfigureerd in een virtueel netwerk, worden standaard gepusht naar punt-naar-site-clients die zijn verbonden via VPN-gateway. Het configureren van een privé-resolver inkomende IP-adres als aangepaste DNS-servers in het virtuele netwerk pusht deze IP-adres automatisch naar clients als de VPN DNS-server en u kunt records naadloos omzetten vanuit privé-DNS-zones (inclusief privé-eindpunten).