Compartilhar via

A Microsoft Store não abre depois que um computador ingressado no domínio faz uma conexão VPN

Este artigo discute um problema no qual você não pode abrir a Microsoft Store depois que um computador ingressado no domínio se conecta a uma conexão VPN que tem o túnel forçado habilitado.

Aplica-se a: Windows 10 – todas as edições
Número original do KB: 4537233

Sintomas

Suponha que você conecte um computador Windows 10 ingressado no domínio a uma conexão VPN que tenha o túnel forçado habilitado. Quando você tenta abrir a Microsoft Store, ela não abre e você recebe uma mensagem de erro "Falha ao carregar esta página".

Se você executar uma das seguintes operações, a Microsoft Store será aberta conforme o esperado:

  • Desconecte o computador do domínio e conecte-se à conexão VPN.
  • Conecte o computador a uma conexão VPN que tenha o túnel forçado desabilitado.
  • Desative o serviço Firewall do Windows Defender e conecte o computador à conexão VPN.

Causa

O aplicativo da Microsoft Store usa um modelo de segurança que depende do isolamento de rede. Recursos e limites de rede específicos devem ser habilitados para o aplicativo da loja e o acesso à rede deve ser permitido para o aplicativo.

Quando o perfil do Firewall do Windows não é Público, uma regra de bloqueio padrão bloqueia todo o tráfego de saída que tem o IP remoto definido como 0.0.0.0. Enquanto o computador estiver conectado a uma conexão VPN que tenha o túnel forçado habilitado, o IP do gateway padrão será definido como 0.0.0.0. Se os limites de acesso à rede não forem definidos adequadamente, ocorrerão os seguintes comportamentos:

  • A regra de firewall de bloco padrão é aplicada.
  • O tráfego de aplicativos da Microsoft Store está bloqueado.

Solução

Para corrigir esse problema, siga estas etapas para criar um GPO (objeto de Diretiva de Grupo):

  1. Abra o snap-in Gerenciamento de Diretiva de Grupo (gpmc.msc) e crie ou abra uma Diretiva de Grupo para edição.

  2. No Editor de Gerenciamento de Política de Grupo, expanda Rede de Modelos Administrativos>de Políticas de Configuração>>do Computador e selecione Isolamento de Rede.

  3. No painel direito, clique duas vezes em Intervalos de rede privada para aplicativos.

  4. Na caixa de diálogo Intervalos de rede privada para aplicativos , selecione Habilitado.

  5. Na caixa de texto Sub-redes privadas, digite o intervalo de IP do adaptador VPN e selecione OK.

    Por exemplo, se os IPs do adaptador VPN estiverem no intervalo 172.x.x.x, adicione 172.0.0.0/8 na caixa de texto.

  6. Clique duas vezes em As definições de sub-rede são autoritativas, selecione Habilitado e, em seguida, selecione OK.

  7. Reinicie o cliente para garantir que o GPO entre em vigor.

Depois que a Política de Grupo é aplicada, o intervalo de IP adicionado é o único intervalo de rede privada disponível para isolamento de rede. O Windows agora criará uma regra de firewall que permite o tráfego e substituirá a regra de bloqueio de saída anterior pela nova regra.

Observação

  • Quando o intervalo do pool de endereços VPN for alterado, você deverá alterar esse GPO de acordo. Caso contrário, o problema se repetirá.
  • Você pode enviar os mesmos GPOs do DC para vários computadores.
  • Nos computadores individuais, você pode verificar o seguinte local do Registro para garantir que o GPO entre em vigor:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkIsolation

Mais informações

Você pode usar a ferramenta integrada "checknetisolation" para verificar os recursos da rede. Quando o computador está conectado ao perfil de domínio e ao túnel forçado de VPN, os recursos InternetClient e InternetClientServer não estão ativos. Por exemplo:

C:\Windows\system32>checknetisolation Debug -n=microsoft.windowsstore_8wekyb3d8bbwe

Network Isolation Debug Session started.
Reproduce your scenario, then press Ctrl-C when done.
      Collecting Logs.....

Summary Report

Network Capabilities Status
----------------------------------------------------------------------
    InternetClient                Not Used and Insecure  
    InternetClientServer          Not Used and Insecure  
    PrivateNetworkClientServer    Missing, maybe intended  


Network Capabilities Status
----------------------------------------------------------------------
    InternetClient                Used and Declared
    InternetClientServer          Not Used and Insecure

Observação

No mesmo cliente, se você remover o computador do domínio ou desconectar a VPN, poderá ver que o cliente da Internet está sendo usado.

Para obter mais informações, consulte Isolando aplicativos da Windows Store em sua rede.