Problemen met AlwaysOn VPN oplossen

In dit artikel vindt u instructies voor het verifiëren en oplossen van problemen met AlwaysOn VPN-implementatie.

Als uw Vpn-installatie (AlwaysOn Virtual Private Network) geen verbinding maakt tussen clients en uw interne netwerk, is er mogelijk een van de volgende problemen opgetreden:

• Het VPN-certificaat is ongeldig.
• Het NPS-beleid (Network Policy Server) is onjuist.
• Problemen met clientimplementatiescripts of routering en externe toegang.

De eerste stap bij het oplossen van problemen en het testen van uw VPN-verbinding is het begrijpen van de kernonderdelen van de Always On VPN-infrastructuur.

U kunt verbindingsproblemen op verschillende manieren oplossen. Voor problemen aan de clientzijde en algemene probleemoplossing zijn de toepassingslogboeken op clientcomputers zeer waardevol. Voor verificatiespecifieke problemen kan het NPS-logboek op de NPS-server u helpen de oorzaak van het probleem te bepalen.

Algemene probleemoplossing voor problemen met AlwaysOn VPN-verbindingen

AlwaysOn VPN-clients doorlopen verschillende stappen voordat u een verbinding tot stand kunt brengen. Als gevolg hiervan zijn er verschillende plaatsen waar verbindingen kunnen worden geblokkeerd en soms is het lastig om te achterhalen waar het probleem zich voordoet.

Als u problemen ondervindt, volgen hier enkele algemene stappen die u kunt uitvoeren om erachter te komen wat er gebeurt:

• Voer een whatismyip-scan uit om ervoor te zorgen dat uw sjabloonmachine niet extern is verbonden. Als de computer een openbaar IP-adres heeft dat niet bij u hoort, moet u het IP-adres wijzigen in een privé-IP-adres.
• Ga naar Configuratiescherm> Network- en internetnetwerkverbindingen>, open de eigenschappen voor uw VPN-profiel en controleer of de waarde op het tabblad Algemeen openbaar kan worden omgezet via DNS. Als dat niet het probleem is, kan de RAS-server of VPN-server waarschijnlijk niet worden omgezet in een IP-adres.
• Open het ICMP (Internet Control Message Protocol) naar de externe interface en ping de VPN-server vanaf de externe client. Als de ping slaagt, kunt u de ICMP-regel voor toestaan verwijderen. Als dat niet het probleem is, veroorzaakt uw VPN-server die niet toegankelijk is waarschijnlijk het probleem.
• Controleer de configuratie voor de interne en externe NIC's op uw VPN-server. Zorg er met name voor dat ze zich in hetzelfde subnet bevinden en dat de externe NIC verbinding maakt met de juiste interface op uw firewall.
• Controleer de clientfirewall, serverfirewall en eventuele hardwarefirewalls om ervoor te zorgen dat UDP 500- en 4500-poortactiviteit is toegestaan. Als u UDP-poort 500 gebruikt, moet u er ook voor zorgen dat IPSEC nergens is uitgeschakeld of geblokkeerd. Als dat niet het probleem is, veroorzaken de poorten die niet van de client naar de externe interface van de VPN-server worden geopend.
• Zorg ervoor dat de NPS-server een serververificatiecertificaat heeft dat IKE-aanvragen kan verwerken. Zorg er ook voor dat uw NPS-client het juiste IP-adres van de VPN-server heeft in de instellingen. U moet alleen verifiëren met PEAP en de PEAP-eigenschappen mogen alleen certificaatverificatie toestaan. U kunt controleren op verificatieproblemen in het NPS-gebeurtenislogboek. Zie De NPS-server installeren en configureren voor meer informatie.
• Als u verbinding kunt maken maar geen toegang hebt tot internet of lokaal netwerk, controleert u de IP-adresgroepen van uw DHCP- of VPN-server op configuratieproblemen. Zorg er ook voor dat uw klanten deze resources kunnen bereiken. U kunt de VPN-server gebruiken om aanvragen te routeren.

Algemene probleemoplossing voor VPN_Profile.ps1-scriptproblemen

De meest voorkomende problemen bij het handmatig uitvoeren van het script VPN_Profile.ps1 zijn:

• Als u een hulpprogramma voor externe verbindingen gebruikt, moet u ervoor zorgen dat u geen RDP (Remote Desktop Protocol) of andere methoden voor externe verbindingen gebruikt. Externe verbindingen kunnen de mogelijkheid van de service verstoren om u te detecteren wanneer u zich aanmeldt.
• Als de betrokken gebruiker een beheerder is op de lokale computer, controleert u of deze beheerdersbevoegdheden heeft tijdens het uitvoeren van het script.
• Als u andere PowerShell-beveiligingsfuncties hebt ingeschakeld, controleert u of uw PowerShell-uitvoeringsbeleid het script niet blokkeert. Schakel de modus Beperkte taal uit voordat u het script uitvoert en schakel het vervolgens opnieuw uit nadat het script is uitgevoerd.

Logboeken

U kunt ook de toepassingslogboeken en NPS-logboeken controleren op gebeurtenissen die kunnen aangeven wanneer en waar een probleem zich voordoet.

Toepassingslogboeken

In de toepassingslogboeken op clientcomputers worden details van VPN-verbindingsgebeurtenissen op een hoger niveau vastgelegd.

Wanneer u problemen met AlwaysOn VPN wilt oplossen, zoekt u naar gebeurtenissen met het label RasClient. Alle foutberichten retourneren de foutcode aan het einde van het bericht. Foutcodes geven een overzicht van enkele veelvoorkomende foutcodes met betrekking tot AlwaysOn VPN. Zie Foutcodes voor routering en externe toegang voor een volledige lijst met foutcodes.

NPS-logboeken

NPS maakt en slaat de NPS-boekhoudlogboeken op. Logboeken worden standaard opgeslagen in %SYSTEMROOT%\System32\Logfiles\ in een bestand met de naam IN-datum<van het maken> van logboeken.txt.

Deze logboeken hebben standaard de indeling met door komma's gescheiden waarden, maar bevatten geen koprij. Het volgende codeblok bevat de veldnamenrij:

ComputerName,ServiceName,Record-Date,Record-Time,Packet-Type,User-Name,Fully-Qualified-Distinguished-Name,Called-Station-ID,Calling-Station-ID,Callback-Number,Framed-IP-Address,NAS-Identifier,NAS-IP-Address,NAS-Port,Client-Vendor,Client-IP-Address,Client-Friendly-Name,Event-Timestamp,Port-Limit,NAS-Port-Type,Connect-Info,Framed-Protocol,Service-Type,Authentication-Type,Policy-Name,Reason-Code,Class,Session-Timeout,Idle-Timeout,Termination-Action,EAP-Friendly-Name,Acct-Status-Type,Acct-Delay-Time,Acct-Input-Octets,Acct-Output-Octets,Acct-Session-Id,Acct-Authentic,Acct-Session-Time,Acct-Input-Packets,Acct-Output-Packets,Acct-Terminate-Cause,Acct-Multi-Ssn-ID,Acct-Link-Count,Acct-Interim-Interval,Tunnel-Type,Tunnel-Medium-Type,Tunnel-Client-Endpt,Tunnel-Server-Endpt,Acct-Tunnel-Conn,Tunnel-Pvt-Group-ID,Tunnel-Assignment-ID,Tunnel-Preference,MS-Acct-Auth-Type,MS-Acct-EAP-Type,MS-RAS-Version,MS-RAS-Vendor,MS-CHAP-Error,MS-CHAP-Domain,MS-MPPE-Encryption-Types,MS-MPPE-Encryption-Policy,Proxy-Policy-Name,Provider-Type,Provider-Name,Remote-Server-Address,MS-RAS-Client-Name,MS-RAS-Client-Version

Als u deze veldnamenrij als eerste regel van het logboekbestand plakt, importeert u het bestand vervolgens in Microsoft Excel. Vervolgens worden de kolommen correct gelabeld in Excel.

De NPS-logboeken kunnen u helpen bij het diagnosticeren van beleidsgerelateerde problemen. Zie Logboekbestanden van NPS-databaseindeling interpreteren voor meer informatie over NPS-logboeken.

Foutcodes

In de volgende secties wordt beschreven hoe u de meest voorkomende fouten kunt oplossen.

Fout 800: de externe verbinding kan geen verbinding maken

Dit probleem treedt op wanneer de service geen externe verbinding kan maken omdat de geprobeerde VPN-tunnels zijn mislukt, vaak omdat de VPN-server niet bereikbaar is. Als uw verbinding een L2TP-tunnel (Layer 2 Tunneling Protocol) of IPsec-tunnel probeert te gebruiken, betekent deze fout dat de vereiste beveiligingsparameters voor IPsec-onderhandeling niet juist zijn geconfigureerd.

Oorzaak: TYPE VPN-tunnel

U kunt dit probleem tegenkomen wanneer het type VPN-tunnel is ingesteld op Automatisch en uw verbindingspoging mislukt in alle VPN-tunnels.

Oplossing: uw VPN-configuratie controleren

Omdat VPN-instellingen dit probleem veroorzaken, moet u de VPN-instellingen en -verbinding oplossen door het volgende te proberen:

• Als u weet welke tunnel voor uw implementatie moet worden gebruikt, stelt u het type VPN in op dat specifieke tunneltype aan de zijde van de VPN-client.
• Zorg ervoor dat de IKE-poorten (Internet Key Exchange) op UDP-poorten (User Datagram Protocol) 500 en 4500 niet worden geblokkeerd.
• Zorg ervoor dat zowel de client als de server de juiste certificaten voor IKE hebben.

Fout 809: kan geen verbinding tot stand brengen tussen lokale computer en VPN-server

In dit probleem reageert de externe server niet, waardoor uw lokale computer en de VPN-server geen verbinding kunnen maken. Dit kan komen doordat een of meer netwerkapparaten, zoals routers, firewalls of NAT (Network Address Translation) tussen uw computer en de externe server, niet zijn geconfigureerd om VPN-verbindingen toe te staan. Neem contact op met uw beheerder of uw serviceprovider om te bepalen welk apparaat het probleem kan veroorzaken.

Fout 809 oorzaak

U kunt dit probleem tegenkomen wanneer de UDP 500- of 4500-poorten op de VPN-server of firewall worden geblokkeerd. Blokkeren kan optreden wanneer een van de netwerkapparaten tussen uw computer en de externe server, zoals de firewall, NAT of routers, niet juist is geconfigureerd.

Oplossing: controleer de poorten op apparaten tussen uw lokale computer en externe server

Als u dit probleem wilt oplossen, neemt u eerst contact op met uw beheerder of serviceprovider om erachter te komen welk apparaat is geblokkeerd. Controleer daarna of de firewalls voor dat apparaat de UDP 500- en 4500-poorten toestaan. Als dit het probleem niet verhelpt, controleert u de firewalls op elk apparaat tussen uw lokale computer en de externe server.

Fout 812: kan geen verbinding maken met AlwaysOn VPN

Dit probleem treedt op wanneer uw RAS -server (Remote Access Server) of VPN-server geen verbinding kan maken met AlwaysOn VPN. De verificatiemethode die de server heeft gebruikt om te controleren of uw gebruikersnaam en wachtwoord niet overeenkomen met de verificatiemethode die is geconfigureerd in uw verbindingsprofiel.

Wanneer u fout 812 tegenkomt, wordt u aangeraden onmiddellijk contact op te nemen met de RAS-serverbeheerder om hen te laten weten wat er is gebeurd.

Als u de Logboeken gebruikt om het probleem op te lossen, kunt u dit probleem vinden dat is gemarkeerd als gebeurtenislogboek 20276. Deze gebeurtenis wordt meestal weergegeven wanneer een op RRAS gebaseerde VPN-serververificatieprotocolinstelling niet overeenkomt met de instellingen op de VPN-clientcomputer.

Fout 812 oorzaak

Deze fout treedt meestal op wanneer de NPS een verificatievoorwaarde heeft opgegeven waaraan de client niet kan voldoen. Als de NPS bijvoorbeeld aangeeft dat er een certificaat nodig is om de PEAP-verbinding (Protected Extensible Authentication Protocol) te beveiligen, kan deze niet worden geverifieerd als de client in plaats daarvan EAP-MSCHAPv2 probeert te gebruiken.

Oplossing: controleer de verificatie-instellingen van uw client- en NPS-server

U kunt dit probleem oplossen door ervoor te zorgen dat de verificatievereisten voor uw client en de NPS-server overeenkomen. Zo niet, wijzig ze dienovereenkomstig.

Fout 13806: IKE kan geen geldig machinecertificaat vinden

Dit probleem treedt op wanneer IKE geen geldig machinecertificaat kan vinden.

Fout 13806 oorzaak

Deze fout treedt meestal op wanneer de VPN-server niet beschikt over het vereiste computer- of basiscomputercertificaat.

Oplossing: een geldig certificaat installeren in het relevante certificaatarchief

U kunt dit probleem oplossen door ervoor te zorgen dat de vereiste certificaten zijn geïnstalleerd op zowel de clientcomputer als de VPN-server. Als dat niet het probleem is, neemt u contact op met de netwerkbeveiligingsbeheerder en vraagt u hen om geldige certificaten te installeren in het relevante certificaatarchief.

Fout 13801: de IKE-verificatiereferenties zijn ongeldig

Dit probleem treedt op wanneer de server of client de IKE-verificatiereferenties niet kan accepteren.

Fout 13801 oorzaak

Deze fout kan optreden als gevolg van het volgende:

• Het computercertificaat dat wordt gebruikt voor IKEv2-validatie op de RAS-server, heeft geen serververificatie ingeschakeld onder Uitgebreid sleutelgebruik.
• Het computercertificaat op de RAS-server is verlopen.
• De clientcomputer beschikt niet over het basiscertificaat voor het valideren van het RAS-servercertificaat.
• De naam van de VPN-server van de clientcomputer komt niet overeen met de waarde subjectName op het servercertificaat.

Oplossing 1: de servercertificaatinstellingen controleren

Als het probleem het RAS-servercomputercertificaat is, controleert u of het certificaat serververificatie bevat onder Uitgebreid sleutelgebruik.

Oplossing 2: zorg ervoor dat het machinecertificaat nog steeds geldig is

Als het probleem is dat het RAS-computercertificaat is verlopen, controleert u of het nog geldig is. Als dit niet het probleem is, installeert u een geldig certificaat.

Oplossing 3: zorg ervoor dat de clientcomputer een basiscertificaat heeft

Als het probleem is gerelateerd aan de clientcomputer die geen basiscertificaat heeft, controleert u eerst de vertrouwde basiscertificeringsinstanties op de RRAS-server om ervoor te zorgen dat de certificeringsinstantie die u gebruikt daar is. Als dit niet het probleem is, installeert u een geldig basiscertificaat.

Oplossing 4: ervoor zorgen dat de VPN-servernaam van de clientcomputer overeenkomt met het servercertificaat

Controleer eerst of de VPN-client verbinding maakt met behulp van dezelfde FQDN (Fully Qualified Domain Name) die door het VPN-servercertificaat wordt gebruikt. Zo niet, wijzigt u de clientnaam zodat deze overeenkomt met de naam van het servercertificaat.

Fout 0x80070040: servercertificaat heeft geen serververificatie in de gebruiksgegevens

Dit probleem treedt op wanneer het servercertificaat geen serververificatie heeft als een van de vermeldingen in het certificaatgebruik.

Fout 0x80070040 oorzaak

Deze fout treedt op wanneer op de RAS-server geen serververificatiecertificaat is geïnstalleerd.

Oplossing: zorg ervoor dat het computercertificaat de vereiste certificaatgebruiksvermelding heeft

Om dit probleem op te lossen, moet u ervoor zorgen dat het computercertificaat dat de RAS-server gebruikt voor IKEv2-validatie serververificatie bevat in de lijst met vermeldingen voor certificaatgebruik.

Fout 0x800B0109: een certificaatketen verwerkt maar beëindigd in een basiscertificaat

De volledige beschrijving van de fout is: 'Een certificaatketen verwerkt maar beëindigd in een basiscertificaat dat de vertrouwensprovider niet vertrouwt'.

Over het algemeen wordt de VPN-clientcomputer toegevoegd aan een op Active Directory (AD) gebaseerd domein. Als u domeinreferenties gebruikt om u aan te melden bij de VPN-server, installeert de service het certificaat automatisch in het archief vertrouwde basiscertificeringsinstanties. Dit probleem kan optreden als de computer niet is gekoppeld aan een AD-domein of als u een alternatieve certificaatketen gebruikt.

Fout 0x800B0109 oorzaak

Deze fout kan optreden als op de clientcomputer geen geschikt vertrouwd basis-CA-certificaat is geïnstalleerd in het archief vertrouwde basiscertificeringsinstanties.

Oplossing: het vertrouwde basiscertificaat installeren

U kunt dit probleem oplossen door ervoor te zorgen dat op de clientcomputer een vertrouwd basiscertificaat is geïnstalleerd in het archief met vertrouwde basiscertificeringsinstanties. Als dat niet het geval is, installeert u een geschikt basiscertificaat.

Fout: U kunt dit nog niet bereiken

Dit foutbericht is gekoppeld aan verbindingsproblemen met voorwaardelijke toegang van Microsoft Entra. Wanneer dit probleem wordt weergegeven, wordt niet voldaan aan het beleid voor voorwaardelijke toegang, waardoor de VPN-verbinding wordt geblokkeerd, maar vervolgens verbinding wordt gemaakt nadat de gebruiker het dialoogvenster heeft gesloten. Als de gebruiker OK selecteert, wordt er een andere verificatiepoging gestart die ook niet slaagt en een identiek foutbericht wordt gevraagd. In het Microsoft Entra Operational Event-logboek van de client worden deze gebeurtenissen vastgelegd.

Foutoorzaak voor voorwaardelijke toegang van Microsoft Entra

Er zijn enkele redenen waarom dit probleem kan optreden:

• De gebruiker heeft een clientverificatiecertificaat in het persoonlijke certificaatarchief dat geldig is, maar niet afkomstig is van Microsoft Entra-id.

• De sectie VPN-profiel <TLSExtensions> ontbreekt of bevat de <EKUName>AAD Conditional Access</EKUName><EKUOID>1.3.6.1.4.1.311.87</EKUOID><EKUName>AAD Conditional Access</EKUName><EKUOID>1.3.6.1.4.1.311.87</EKUOID> vermeldingen niet. De <EKUName> en <EKUOID> vermeldingen vertellen de VPN-client welk certificaat moet worden opgehaald uit het certificaatarchief van de gebruiker bij het doorgeven van het certificaat aan de VPN-server. Zonder de <EKUName> en <EKUOID> vermeldingen gebruikt de VPN-client elk geldig certificaat voor clientverificatie in het certificaatarchief van de gebruiker en de verificatie slaagt.

• De RADIUS-server (NPS) is niet geconfigureerd om alleen clientcertificaten te accepteren die de AAD-object-id voor voorwaardelijke toegang (OID) bevatten.

Oplossing: PowerShell gebruiken om de certificaatstatus te bepalen

Ga als volgt te werk om deze lus te ontsnappen:

1. Voer in Windows PowerShell de Get-WmiObject cmdlet uit om de configuratie van het VPN-profiel te dumpen.

2. Controleer of de <TLSExtensions>, <EKUName>en <EKUOID> variabelen bestaan en de uitvoer toont de juiste naam en OID.

   De volgende code is een voorbeelduitvoer van de Get-WmiObject cmdlet.

   PS C:\> Get-WmiObject -Class MDM_VPNv2_01 -Namespace root\cimv2\mdm\dmmap
   
   __GENUS                 : 2
   __CLASS                 : MDM_VPNv2_01
   __SUPERCLASS            :
   __DYNASTY               : MDM_VPNv2_01
   __RELPATH               : MDM_VPNv2_01.InstanceID="AlwaysOnVPN",ParentID="./Vendor/MSFT/VPNv2"
   __PROPERTY_COUNT        : 10
   __DERIVATION            : {}
   __SERVER                : DERS2
   __NAMESPACE             : root\cimv2\mdm\dmmap
   __PATH                  : \\DERS2\root\cimv2\mdm\dmmap:MDM_VPNv2_01.InstanceID="AlwaysOnVPN",ParentID="./Vendor/MSFT/VP
                               Nv2"
   AlwaysOn                :
   ByPassForLocal          :
   DnsSuffix               :
   EdpModeId               :
   InstanceID              : AlwaysOnVPN
   LockDown                :
   ParentID                : ./Vendor/MSFT/VPNv2
   ProfileXML              : <VPNProfile><RememberCredentials>false</RememberCredentials><DeviceCompliance><Enabled>true</
                               Enabled><Sso><Enabled>true</Enabled></Sso></DeviceCompliance><NativeProfile><Servers>derras2.corp.deverett.info;derras2.corp.deverett.info</Servers><RoutingPolicyType>ForceTunnel</RoutingPolicyType><NativeProtocolType>Ikev2</NativeProtocolType><Authentication><UserMethod>Eap</UserMethod><MachineMethod>Eap</MachineMethod><Eap><Configuration><EapHostConfigxmlns="https://www.microsoft.com/provisioning/EapHostConfig"><EapMethod><Typexmlns="https://www.microsoft.com/provisioning/EapCommon">25</Type><VendorIdxmlns="https://www.microsoft.com/provisioning/EapCommon">0</VendorId><VendorTypexmlns="https://www.microsoft.com/provisioning/EapCommon">0</VendorType><AuthorIdxmlns="https://www.microsoft.com/provisioning/EapCommon">0</AuthorId></EapMethod><Configxmlns="https://www.microsoft.com/provisioning/EapHostConfig"><Eap xmlns="https://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>25</Type><EapType xmlns="https://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV1"><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames></ServerNames></ServerValidation><FastReconnect>true</FastReconnect><InnerEapOptional>false</InnerEapOptional><Eap xmlns="https://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>13</Type>
                               <EapType xmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1"><CredentialsSource><CertificateStore><SimpleCertSelection>true</SimpleCertSelection></CertificateStore></CredentialsSource><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames></ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><DifferentUsername>false</DifferentUsername><PerformServerValidation xmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName><TLSExtensionsxmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2"><FilteringInfo xml ns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3"><EKUMapping><EKUMap><EKUName>AAD Conditional Access</EKUName><EKUOID>1.3.6.1.4.1.311.87</EKUOID></EKUMap></EKUMapping><ClientAuthEKUListEnabled="true"><EKUMapInList><EKUName>AAD Conditional Access</EKUName></EKUMapInList></ClientAuthEKUList></FilteringInfo></TLSExtensions></EapType></Eap><EnableQuarantineChecks>false</EnableQuarantineChecks><RequireCryptoBinding>false</RequireCryptoBinding><PeapExtensions><PerformServerValidation xmlns="https://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">false</PerformServerValidation><AcceptServerName xmlns="https://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">false</AcceptServerName></PeapExtensions></EapType></Eap></Config></EapHostConfig></Configuration></Eap></Authentication></NativeProfile></VPNProfile>
   RememberCredentials     : False
   TrustedNetworkDetection :
   PSComputerName          : DERS2
   

3. Voer vervolgens de Certutil opdracht uit om te bepalen of er geldige certificaten zijn in het certificaatarchief van de gebruiker:

   C:\>certutil -store -user My
   
   My "Personal"
   ================ Certificate 0 ================
   Serial Number: 32000000265259d0069fa6f205000000000026
   Issuer: CN=corp-DEDC0-CA, DC=corp, DC=deverett, DC=info
     NotBefore: 12/8/2017 8:07 PM
     NotAfter: 12/8/2018 8:07 PM
   Subject: E=winfed@deverett.info, CN=WinFed, OU=Users, OU=Corp, DC=corp, DC=deverett, DC=info
   Certificate Template Name (Certificate Type): User
   Non-root Certificate
   Template: User
   Cert Hash(sha1): a50337ab015d5612b7dc4c1e759d201e74cc2a93
     Key Container = a890fd7fbbfc072f8fe045e680c501cf_5834bfa9-1c4a-44a8-a128-c2267f712336
     Simple container name: te-User-c7bcc4bd-0498-4411-af44-da2257f54387
     Provider = Microsoft Enhanced Cryptographic Provider v1.0
   Encryption test passed
   
   ================ Certificate 1 ================
   Serial Number: 367fbdd7e6e4103dec9b91f93959ac56
   Issuer: CN=Microsoft VPN root CA gen 1
     NotBefore: 12/8/2017 6:24 PM
     NotAfter: 12/8/2017 7:29 PM
   Subject: CN=WinFed@deverett.info
   Non-root Certificate
   Cert Hash(sha1): 37378a1b06dcef1b4d4753f7d21e4f20b18fbfec
     Key Container = 31685cae-af6f-48fb-ac37-845c69b4c097
     Unique container name: bf4097e20d4480b8d6ebc139c9360f02_5834bfa9-1c4a-44a8-a128-c2267f712336
     Provider = Microsoft Software Key Storage Provider
   Private key is NOT exportable
   Encryption test passed
   

   Notitie

   Als een certificaat van Issuer CN=Microsoft VPN root CA gen 1 aanwezig is in het persoonlijke archief van de gebruiker, maar de gebruiker toegang heeft verkregen door X te selecteren om het Oops-bericht te sluiten, verzamelt u CAPI2-gebeurtenislogboeken om te controleren of het certificaat dat is gebruikt voor verificatie een geldig certificaat voor clientverificatie is dat niet is uitgegeven vanuit de Microsoft VPN-basis-CA.

4. Als er een geldig clientverificatiecertificaat bestaat in het persoonlijke archief van de gebruiker en het TLSExtensions, EKUNameen EKUOID de waarden correct zijn geconfigureerd, moet de verbinding niet slagen nadat de gebruiker het dialoogvenster heeft gesloten.

Er wordt een foutbericht weergegeven met de tekst 'Er kan geen certificaat worden gevonden dat kan worden gebruikt met het Extensible Authenticate Protocol'.

Kan het certificaat niet verwijderen van het tabblad VPN-connectiviteit

Dit probleem is wanneer u certificaten niet kunt verwijderen op het tabblad VPN-connectiviteit.

Oorzaak

Dit probleem treedt op wanneer het certificaat is ingesteld op Primair.

Oplossing: certificaatinstellingen wijzigen

Certificaten verwijderen:

1. Selecteer het certificaat op het tabblad VPN-connectiviteit .
2. Selecteer Onder Primair de optie Nee en selecteer Vervolgens Opslaan.
3. Selecteer het certificaat opnieuw op het tabblad VPN-connectiviteit .
4. Selecteer Verwijderen.