Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo discute um problema no qual você não pode abrir a Microsoft Store depois que um computador ingressado no domínio se conecta a uma conexão VPN que tem o túnel forçado habilitado.
Aplica-se a: Windows 10 – todas as edições
Número original do KB: 4537233
Sintomas
Suponha que você conecte um computador Windows 10 ingressado no domínio a uma conexão VPN que tenha o túnel forçado habilitado. Quando você tenta abrir a Microsoft Store, ela não abre e você recebe uma mensagem de erro "Falha ao carregar esta página".
Se você executar uma das seguintes operações, a Microsoft Store será aberta conforme o esperado:
- Desconecte o computador do domínio e conecte-se à conexão VPN.
- Conecte o computador a uma conexão VPN que tenha o túnel forçado desabilitado.
- Desative o serviço Firewall do Windows Defender e conecte o computador à conexão VPN.
Causa
O aplicativo da Microsoft Store usa um modelo de segurança que depende do isolamento de rede. Recursos e limites de rede específicos devem ser habilitados para o aplicativo da loja e o acesso à rede deve ser permitido para o aplicativo.
Quando o perfil do Firewall do Windows não é Público, uma regra de bloqueio padrão bloqueia todo o tráfego de saída que tem o IP remoto definido como 0.0.0.0. Enquanto o computador estiver conectado a uma conexão VPN que tenha o túnel forçado habilitado, o IP do gateway padrão será definido como 0.0.0.0. Se os limites de acesso à rede não forem definidos adequadamente, ocorrerão os seguintes comportamentos:
- A regra de firewall de bloco padrão é aplicada.
- O tráfego de aplicativos da Microsoft Store está bloqueado.
Solução
Para corrigir esse problema, siga estas etapas para criar um GPO (objeto de Diretiva de Grupo):
Abra o snap-in Gerenciamento de Diretiva de Grupo (gpmc.msc) e crie ou abra uma Diretiva de Grupo para edição.
No Editor de Gerenciamento de Política de Grupo, expanda Rede de Modelos Administrativos>de Políticas de Configuração>>do Computador e selecione Isolamento de Rede.
No painel direito, clique duas vezes em Intervalos de rede privada para aplicativos.
Na caixa de diálogo Intervalos de rede privada para aplicativos , selecione Habilitado.
Na caixa de texto Sub-redes privadas, digite o intervalo de IP do adaptador VPN e selecione OK.
Por exemplo, se os IPs do adaptador VPN estiverem no intervalo 172.x.x.x, adicione 172.0.0.0/8 na caixa de texto.
Clique duas vezes em As definições de sub-rede são autoritativas, selecione Habilitado e, em seguida, selecione OK.
Reinicie o cliente para garantir que o GPO entre em vigor.
Depois que a Política de Grupo é aplicada, o intervalo de IP adicionado é o único intervalo de rede privada disponível para isolamento de rede. O Windows agora criará uma regra de firewall que permite o tráfego e substituirá a regra de bloqueio de saída anterior pela nova regra.
Observação
- Quando o intervalo do pool de endereços VPN for alterado, você deverá alterar esse GPO de acordo. Caso contrário, o problema se repetirá.
- Você pode enviar os mesmos GPOs do DC para vários computadores.
- Nos computadores individuais, você pode verificar o seguinte local do Registro para garantir que o GPO entre em vigor:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkIsolation
Mais informações
Você pode usar a ferramenta integrada "checknetisolation" para verificar os recursos da rede. Quando o computador está conectado ao perfil de domínio e ao túnel forçado de VPN, os recursos InternetClient e InternetClientServer não estão ativos. Por exemplo:
C:\Windows\system32>checknetisolation Debug -n=microsoft.windowsstore_8wekyb3d8bbwe
Network Isolation Debug Session started.
Reproduce your scenario, then press Ctrl-C when done.
Collecting Logs.....
Summary Report
Network Capabilities Status
----------------------------------------------------------------------
InternetClient Not Used and Insecure
InternetClientServer Not Used and Insecure
PrivateNetworkClientServer Missing, maybe intended
Network Capabilities Status
----------------------------------------------------------------------
InternetClient Used and Declared
InternetClientServer Not Used and Insecure
Observação
No mesmo cliente, se você remover o computador do domínio ou desconectar a VPN, poderá ver que o cliente da Internet está sendo usado.
Para obter mais informações, consulte Isolando aplicativos da Windows Store em sua rede.