Delen via

Microsoft Store wordt niet geopend nadat een computer die lid is van een domein een VPN-verbinding heeft

In dit artikel wordt een probleem besproken waarbij u De Microsoft Store niet kunt openen nadat een computer die lid is van een domein verbinding maakt met een VPN-verbinding waarvoor geforceerde tunneling is ingeschakeld.

Van toepassing op: Windows 10 – alle edities
Oorspronkelijk KB-nummer: 4537233

Symptomen

Stel dat u een Windows 10-computer die lid is van een domein verbindt met een VPN-verbinding waarvoor geforceerde tunneling is ingeschakeld. Wanneer u Microsoft Store probeert te openen, wordt deze niet geopend en wordt het foutbericht 'Deze pagina kan niet worden geladen' weergegeven.

Als u een van de volgende bewerkingen uitvoert, wordt Microsoft Store geopend zoals verwacht:

  • Koppel de computer los van het domein en maak vervolgens verbinding met de VPN-verbinding.
  • Verbind de computer met een VPN-verbinding waarvoor geforceerde tunneling is uitgeschakeld.
  • Schakel de Windows Defender Firewall-service uit en verbind de computer vervolgens met de VPN-verbinding.

Oorzaak

De Microsoft Store-app maakt gebruik van een beveiligingsmodel dat afhankelijk is van netwerkisolatie. Specifieke netwerkmogelijkheden en -grenzen moeten zijn ingeschakeld voor de Store-app en netwerktoegang moet zijn toegestaan voor de app.

Wanneer het Windows Firewall-profiel niet openbaar is, blokkeert een standaardblokregel al het uitgaande verkeer met het externe IP-adres ingesteld op 0.0.0.0. Terwijl de computer is verbonden met een VPN-verbinding waarvoor geforceerde tunneling is ingeschakeld, wordt het standaardgateway-IP-adres ingesteld op 0.0.0.0. Als de netwerktoegangsgrenzen niet juist zijn ingesteld, treden de volgende gedragingen op:

  • De standaardregel voor firewallblokken wordt toegepast.
  • Microsoft Store-app-verkeer wordt geblokkeerd.

Oplossing

Volg deze stappen om een groepsbeleidsobject (GPO) te maken om dit probleem op te lossen:

  1. Open de module Groepsbeleidsbeheer (gpmc.msc) en maak of open een groepsbeleid om te bewerken.

  2. Vouw in de editor voor groepsbeleidsbeheer het netwerk Computerconfiguratiebeleid>>beheersjablonen>uit en selecteer vervolgens Netwerkisolatie.

  3. Dubbelklik in het rechterdeelvenster op Privénetwerkbereiken voor apps.

  4. Selecteer Ingeschakeld in het dialoogvenster Privénetwerkbereiken voor apps.

  5. Typ in het tekstvak Privésubnetten het IP-bereik van uw VPN-adapter en selecteer VERVOLGENS OK.

    Als de IP-adressen van uw VPN-adapter zich bijvoorbeeld in het bereik 172.x.x.x bevinden, voegt u 172.0.0.0/8 toe in het tekstvak.

  6. Dubbelklik op Subnetdefinities zijn gezaghebbend, selecteer Ingeschakeld en selecteer VERVOLGENS OK.

  7. Start de client opnieuw op om ervoor te zorgen dat het groepsbeleidsobject van kracht wordt.

Nadat het groepsbeleid is toegepast, is het toegevoegde IP-bereik het enige privénetwerkbereik dat beschikbaar is voor netwerkisolatie. Windows maakt nu een firewallregel die het verkeer toestaat en overschrijft de vorige uitgaande blokregel met de nieuwe regel.

Notitie

  • Wanneer het bereik van uw VPN-adresgroep wordt gewijzigd, moet u dit groepsbeleidsobject dienovereenkomstig wijzigen. Anders treedt het probleem opnieuw op.
  • U kunt dezelfde GPO's van de DC naar meerdere computers pushen.
  • Op de afzonderlijke computers kunt u de volgende registerlocatie controleren om ervoor te zorgen dat het groepsbeleidsobject van kracht wordt:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkIsolation

Meer informatie

U kunt het ingebouwde hulpprogramma checknetisolation gebruiken om de netwerkmogelijkheden te controleren. Wanneer de computer is verbonden met het domeinprofiel en VPN-geforceerde tunneling, zijn de mogelijkheden van InternetClient en InternetClientServer niet actief. Bijvoorbeeld:

C:\Windows\system32>checknetisolation Debug -n=microsoft.windowsstore_8wekyb3d8bbwe

Network Isolation Debug Session started.
Reproduce your scenario, then press Ctrl-C when done.
      Collecting Logs.....

Summary Report

Network Capabilities Status
----------------------------------------------------------------------
    InternetClient                Not Used and Insecure  
    InternetClientServer          Not Used and Insecure  
    PrivateNetworkClientServer    Missing, maybe intended  


Network Capabilities Status
----------------------------------------------------------------------
    InternetClient                Used and Declared
    InternetClientServer          Not Used and Insecure

Notitie

Als u op dezelfde client de computer uit het domein verwijdert of de VPN loskoppelt, kunt u zien dat internetclient wordt gebruikt.

Zie Windows Store-apps isoleren op uw netwerk voor meer informatie.