Delen via

Richtlijnen voor probleemoplossing voor EXTERNE toegang (VPN en AOVPN)

Probeer onze virtuele agent : hiermee kunt u snel veelvoorkomende problemen met VPN en AlwaysOn VPN identificeren en oplossen.

De vermelde resources in dit artikel kunnen u helpen bij het oplossen van problemen die u ervaart wanneer u externe toegang gebruikt.

  • Voor VPN-implementaties is doorgaans een minimum aan handmatige configuraties op een server of clientcomputer vereist. Het belangrijkste is om ervoor te zorgen dat de juiste poorten zijn geopend op de firewall, dat deze worden doorgestuurd naar de server en dat het VPN is ingeschakeld. Het VPN is klaar voor gebruik. Zorg er ook voor dat de juiste protocollen zijn geselecteerd in de VPN-instellingen op de client.
  • De eerste stap bij het oplossen van problemen met en het testen van uw VPN-verbinding is inzicht te hebben in de belangrijkste onderdelen van de Always On-VPN-infrastructuur (AOVPN).
  • Als er via de AOVPN-installatie geen clients worden verbonden met uw interne netwerk, wordt het probleem waarschijnlijk veroorzaakt door een ongeldig VPN-certificaat, onjuiste NPS-beleidsregels, problemen die van invloed zijn op de clientimplementatiescripts of problemen die optreden bij routering en externe toegang.

Problemen met VPN voor externe toegang oplossen

  • Microsoft Edge negeert PAC-instelling - Microsoft Edge in Android 13 negeert een PAC-instelling (Proxy Auto Configuration) die is geconfigureerd in een VPN-profiel per app in Microsoft Intune.

  • Gebeurtenis-id: 20227 met foutcode 720: het tot stand brengen van een verbinding met een VPN wordt niet voltooid op VPN-clients omdat de WAN-minipoort (IP)-adapter niet juist is gebonden.

  • L2TP VPN mislukt met fout 787: dit probleem treedt op wanneer een L2TP VPN-verbinding met een RAS-server mislukt. Het tot stand brengen van de IPSec-SA (Internet Protocol Security-beveiligingskoppeling) voor de L2TP-verbinding (Layer Two Tunneling Protocol) mislukt omdat op de server het wildcardcertificaat of een certificaat van een andere certificeringsinstantie wordt gebruikt als het computercertificaat dat is geconfigureerd op de clients. Via routering en externe toegang (RRAS) wordt het eerste certificaat gekozen dat te vinden is in het certificaatarchief van de computer. Dit gedrag van L2TP wijkt af van dat van SSTP (Secure Socket Tunneling Protocol), van IP-HTTPS of van elke andere handmatig geconfigureerde IPsec-regel. Voor L2TP wordt gebruikgemaakt van het ingebouwde mechanisme van RRAS voor het kiezen van een certificaat. U kunt deze toestand niet wijzigen.

  • LT2P/IPsec RAS VPN-verbindingen mislukken bij het gebruik van MS-CHAPv2: L2TP/IPsec VPN-verbindingen met een Windows RAS-server (Remote Access Service) worden verbroken bij gebruik van MS-CHAPv2-verificatie. Dit probleem kan optreden als de standaardinstellingen van de LmCompatibilityLevel-instellingen op de domeincontroller (DC) voor verifiëren zijn gewijzigd.

  • Kan geen verbinding maken met internet na het maken van verbinding met een VPN-server: door dit probleem kunt u geen verbinding maken met internet nadat u zich hebt aangemeld bij een server waarop routering en externe toegang met behulp van een VPN wordt uitgevoerd. Dit probleem kan optreden als u de VPN-verbinding instelt op gebruik van de standaardgateway op het externe netwerk. Met die instelling worden de standaardgatewayinstellingen overschreven die u hebt opgegeven in de TCP/IP-instellingen (Transmission Control Protocol/Internet Protocol).

  • Kan geen VPN-verbinding voor externe toegang tot stand brengen: informatie om u te helpen typische problemen op te lossen waardoor op clients geen verbinding kan worden gemaakt met de VPN-server.

  • Kan geen gegevens verzenden en ontvangen: informatie over veelvoorkomende oorzaken en oplossingen voor fouten met externe tweerichtings-VPN-verbindingen (verouderd besturingssysteem).

Problemen met AOVPN oplossen

  • Foutcode: 800: de externe verbinding is niet tot stand gebracht omdat de VPN-tunnels zijn mislukt. De VPN-server is mogelijk niet bereikbaar. Als via deze verbinding een L2TP-/IPsec-tunnel wordt gebruikt, zijn de beveiligingsparameters die zijn vereist voor IPsec-onderhandeling mogelijk niet juist geconfigureerd.

  • Foutcode: 809: de netwerkverbinding tussen uw computer en de VPN-server kan niet tot stand worden gebracht omdat de externe server niet reageert. Dit kan gebeuren omdat een van de netwerkapparaten (zoals een firewall, NAT of router) tussen uw computer en de externe server niet is geconfigureerd voor het toestaan van VPN-verbindingen. Neem contact op met uw beheerder of serviceprovider om te bepalen door welk apparaat dit probleem wordt veroorzaakt.

  • Foutcode: 812: kan geen verbinding maken met AOVPN. De verbinding is niet mogelijk vanwege beleid dat op uw RAS- of VPN-server is geconfigureerd. De verificatiemethode die op de server is gebruikt om uw gebruikersnaam en wachtwoord te verifiëren, komt niet overeen met de verificatiemethode die is geconfigureerd in uw verbindingsprofiel. Informeer de beheerder van de RAS-server over deze fout.

  • Foutcode: 13806: door IKE is geen geldig machinecertificaat gevonden. Neem contact op met uw netwerkbeveiligingsbeheerder over het installeren van een geldig certificaat in het juiste certificaatarchief.

  • Foutcode: 13801: IKE-verificatiereferenties zijn onaanvaardbaar.

  • Foutcode: 0x80070040: het servercertificaat bevat geen serververificatie als een van de certificaatgebruikvermeldingen.

  • Foutcode: 0x800B0109: de VPN-client is lid van een Active Directory-domein waarmee vertrouwde basiscertificaten worden gepubliceerd, zoals van een CA voor ondernemingen. Voor alle domeinleden wordt het certificaat automatisch geïnstalleerd in het archief Vertrouwde basiscertificeringsinstanties. Als de computer echter geen lid is van het domein of als u een alternatieve certificaatketen gebruikt, kan dit probleem zich voordoen.

  • Verbindingsproblemen met Always On-VPN-client: een kleine onjuiste configuratie kan ertoe leiden dat de clientverbinding mislukt. Het kan lastig zijn de oorzaak te vinden. Er wordt pas verbinding gemaakt via een AOVPN-client nadat er verschillende stappen zijn doorlopen.

  • Kan het certificaat niet verwijderen van de blade VPN-connectiviteit: certificaten op de blade VPN-connectiviteit kunnen niet worden verwijderd. (Verbindingsproblemen met voorwaardelijke toegang van Microsoft Entra.)

Gegevensverzameling

Voordat u contact op neemt met Microsoft Ondersteuning, kunt u informatie over uw probleem verzamelen.

Voorwaarden

  1. TSS moet worden uitgevoerd door accounts met beheerdersbevoegdheden op het lokale systeem en EULA moet worden geaccepteerd (zodra eula is geaccepteerd, wordt TSS niet opnieuw gevraagd).
  2. Het powerShell-uitvoeringsbeleid van de lokale computer RemoteSigned wordt aangeraden.

Notitie

Als het huidige PowerShell-uitvoeringsbeleid het uitvoeren van TSS niet toestaat, voert u de volgende acties uit:

  • Stel het RemoteSigned uitvoeringsbeleid voor het procesniveau in door de cmdlet PS C:\> Set-ExecutionPolicy -scope Process -ExecutionPolicy RemoteSigneduit te voeren.
  • Voer de cmdlet PS C:\> Get-ExecutionPolicy -Listuit om te controleren of de wijziging van kracht wordt.
  • Omdat de machtigingen op procesniveau alleen van toepassing zijn op de huidige PowerShell-sessie, gaat de toegewezen machtiging voor het procesniveau ook terug naar de eerder geconfigureerde status zodra het opgegeven PowerShell-venster waarin TSS wordt uitgevoerd is gesloten.

Belangrijke informatie verzamelen voordat u contact op neemt met Microsoft Ondersteuning

  1. Download TSS op alle knooppunten en pak deze uit in de map C:\tss .

  2. Open de map C:\tss vanuit een PowerShell-opdrachtprompt met verhoogde bevoegdheid.

  3. Start de traceringen op de client en de server met behulp van de volgende cmdlets:

    • Client:

      TSS.ps1 -Scenario NET_VPN

    • Server:

      TSS.ps1 -Scenario NET_RAS

  4. Accepteer de gebruiksrechtovereenkomst als de traceringen voor het eerst worden uitgevoerd op de server of de client.

  5. Opname toestaan (PSR of video).

  6. Reproduceer het probleem voordat u Y invoert.

    Notitie

    Als u logboeken op zowel de client als de server verzamelt, wacht u op dit bericht op beide knooppunten voordat u het probleem reproduceert.

  7. Voer Y in om de logboekverzameling te voltooien nadat het probleem is gereproduceerd.

De traceringen worden opgeslagen in een zip-bestand in de map C:\MS_DATA , die voor analyse naar de werkruimte kunnen worden geüpload.

Verwijzing