Resolver problemas de VPN AlwaysOn

Este artigo fornece instruções para verificar e resolver problemas de implementação de VPN AlwaysOn.

Se a configuração da Rede Privada Virtual (VPN) AlwaysOn não estiver a ligar clientes à sua rede interna, poderá ter encontrado um dos seguintes problemas:

• O certificado VPN é inválido.
• As políticas do Servidor de Políticas de Rede (NPS) estão incorretas.
• Problemas com scripts de implementação de cliente ou Encaminhamento e Acesso Remoto.

O primeiro passo para resolver e testar a ligação VPN é compreender os componentes principais da infraestrutura de VPN AlwaysOn.

Pode resolver problemas de ligação de várias formas. Para problemas do lado do cliente e resolução de problemas gerais, os registos de aplicações nos computadores cliente são inestimáveis. Para problemas específicos da autenticação, o registo NPS localizado no servidor NPS pode ajudá-lo a determinar a origem do problema.

Resolução de problemas gerais de ligação VPN AlwaysOn

Os clientes VPN AlwaysOn passam por vários passos antes de estabelecer uma ligação. Como resultado, existem vários locais onde as ligações podem ser bloqueadas e, por vezes, é difícil descobrir onde está o problema.

Se estiver a deparar-se com problemas, eis alguns passos gerais que pode seguir para descobrir o que se passa:

• Execute uma análise whatismyip para se certificar de que o seu computador de modelo não está ligado externamente. Se o computador tiver um endereço IP público que não lhe pertence, deve alterar o IP para privado.
• Aceda a Rede do Painel> de Controlo eLigações de Rede da Internet>, abra as propriedades do perfil VPN e verifique se o valor no separador Geral pode ser resolvido publicamente através do DNS. Caso contrário, o servidor de Acesso Remoto ou o servidor VPN que não consegue resolver para um endereço IP é provavelmente a causa do problema.
• Abra o Protocolo ICMP (Internet Control Message Protocol) para a interface externa e envie um ping para o servidor VPN a partir do cliente remoto. Se o ping for bem-sucedido, pode remover a regra de permissão ICMP. Caso contrário, o servidor VPN inacessível está provavelmente a causar o problema.
• Verifique a configuração das NICs internas e externas no servidor VPN. Em particular, certifique-se de que estão na mesma sub-rede e de que o NIC externo se liga à interface correta na firewall.
• Verifique a firewall do cliente, a firewall do servidor e quaisquer firewalls de hardware para garantir que permitem a atividade de porta UDP 500 e 4500. Além disso, se estiver a utilizar a porta UDP 500, certifique-se de que o IPSEC não está desativado ou bloqueado em qualquer lugar. Caso contrário, as portas que não estão a ser abertas do cliente para a interface externa do servidor VPN estão a causar o problema.
• Confirme que o servidor NPS tem um certificado de Autenticação de Servidor que possa atender pedidos IKE. Além disso, certifique-se de que o cliente NPS tem o IP do servidor VPN correto nas respetivas definições. Só deve autenticar com PEAP e as propriedades PEAP só devem permitir a autenticação de certificados. Pode verificar se existem problemas de autenticação no registo de eventos do NPS. Para obter mais informações, veja Instalar e Configurar o Servidor NPS.
• Se conseguir ligar mas não tiver acesso à Internet ou à rede local, verifique se existem problemas de configuração nos conjuntos IP do servidor DHCP ou VPN. Além disso, certifique-se de que os seus clientes conseguem aceder a esses recursos. Pode utilizar o servidor VPN para encaminhar pedidos.

Resolução de problemas gerais de scripts VPN_Profile.ps1

Os problemas mais comuns ao executar manualmente o script deVPN_Profile.ps1 incluem:

• Se utilizar uma ferramenta de ligação remota, certifique-se de que não utiliza o Protocolo RDP (Remote Desktop Protocol) ou outros métodos de ligação remota. As ligações remotas podem interferir com a capacidade do serviço de o detetar quando inicia sessão.
• Se o utilizador afetado for um administrador no respetivo computador local, certifique-se de que tem privilégios de administrador durante a execução do script.
• Se tiver ativado outras funcionalidades de segurança do PowerShell, certifique-se de que a política de execução do PowerShell não está a bloquear o script. Desative o modo Idioma Restrito antes de executar o script e, em seguida, reative-o após a execução do script.

Logs

Também pode verificar os registos da aplicação e os registos NPS relativamente a eventos que possam indicar quando e onde está a ocorrer um problema.

Registos de aplicações

Os registos da aplicação nos computadores cliente registam detalhes de nível superior dos eventos de ligação VPN.

Quando estiver a resolver problemas de VPN AlwaysOn, procure eventos com o nome RasClient. Todas as mensagens de erro devolvem o código de erro no final da mensagem. Os códigos de erro listam alguns dos códigos de erro mais comuns relacionados com a VPN AlwaysOn. Para obter uma lista completa dos códigos de erro, veja Códigos de Erro de Encaminhamento e Acesso Remoto.

Registos NPS

O NPS cria e armazena os registos de contabilidade NPS. Por predefinição, os registos são armazenados em %SYSTEMROOT%\System32\Logfiles\ num ficheiro com o nome IN<date of log creation>.txt.

Por predefinição, estes registos estão no formato de valores separados por vírgulas, mas não incluem uma linha de cabeçalho. O bloco de código seguinte contém a linha de cabeçalho:

ComputerName,ServiceName,Record-Date,Record-Time,Packet-Type,User-Name,Fully-Qualified-Distinguished-Name,Called-Station-ID,Calling-Station-ID,Callback-Number,Framed-IP-Address,NAS-Identifier,NAS-IP-Address,NAS-Port,Client-Vendor,Client-IP-Address,Client-Friendly-Name,Event-Timestamp,Port-Limit,NAS-Port-Type,Connect-Info,Framed-Protocol,Service-Type,Authentication-Type,Policy-Name,Reason-Code,Class,Session-Timeout,Idle-Timeout,Termination-Action,EAP-Friendly-Name,Acct-Status-Type,Acct-Delay-Time,Acct-Input-Octets,Acct-Output-Octets,Acct-Session-Id,Acct-Authentic,Acct-Session-Time,Acct-Input-Packets,Acct-Output-Packets,Acct-Terminate-Cause,Acct-Multi-Ssn-ID,Acct-Link-Count,Acct-Interim-Interval,Tunnel-Type,Tunnel-Medium-Type,Tunnel-Client-Endpt,Tunnel-Server-Endpt,Acct-Tunnel-Conn,Tunnel-Pvt-Group-ID,Tunnel-Assignment-ID,Tunnel-Preference,MS-Acct-Auth-Type,MS-Acct-EAP-Type,MS-RAS-Version,MS-RAS-Vendor,MS-CHAP-Error,MS-CHAP-Domain,MS-MPPE-Encryption-Types,MS-MPPE-Encryption-Policy,Proxy-Policy-Name,Provider-Type,Provider-Name,Remote-Server-Address,MS-RAS-Client-Name,MS-RAS-Client-Version

Se colar esta linha de cabeçalho como a primeira linha do ficheiro de registo, importe o ficheiro para o Microsoft Excel e, em seguida, o Excel etiqueta corretamente as colunas.

Os registos NPS podem ajudá-lo a diagnosticar problemas relacionados com políticas. Para obter mais informações sobre os registos NPS, veja Interpretar Ficheiros de Registo de Formato de Base de Dados NPS.

Códigos de erro

As secções seguintes descrevem como resolver os erros mais frequentemente encontrados.

Erro 800: a ligação remota não conseguiu ligar

Este problema ocorre quando o serviço não consegue fazer uma ligação remota porque os túneis VPN tentados falharam, muitas vezes porque o servidor VPN não está acessível. Se a ligação estiver a tentar utilizar um túnel L2TP (Layer 2 Tunneling Protocol) ou IPsec, este erro significa que os parâmetros de segurança necessários para a negociação IPsec não estão configurados corretamente.

Causa: tipo de túnel VPN

Pode encontrar este problema quando o tipo de túnel VPN está definido como Automático e a tentativa de ligação não é bem-sucedida em todos os túneis VPN.

Solução: verifique a configuração da VPN

Uma vez que as definições de VPN causam este problema, deve resolver os problemas das definições de VPN e da ligação ao tentar o seguinte:

• Se souber que túnel utilizar para a implementação, defina o tipo de VPN para esse tipo de túnel específico no lado do cliente VPN.
• Certifique-se de que as portas IKE (Internet Key Exchange) nas portas UDP (User Datagram Protocol) 500 e 4500 não estão bloqueadas.
• Certifique-se de que o cliente e o servidor têm certificados corretos para o IKE.

Erro 809: não é possível estabelecer uma ligação entre o computador local e o servidor VPN

Neste problema, o servidor remoto não responde, o que impede a ligação do computador local e do servidor VPN. Tal pode dever-se ao facto de um ou mais dispositivos de rede, como routers, firewalls ou a Tradução de Endereços de Rede (NAT) entre o computador e o servidor remoto não estarem configurados para permitir ligações VPN. Contacte o administrador ou o fornecedor de serviços para determinar que dispositivo pode estar a causar o problema.

Erro 809 causa

Pode encontrar este problema quando as portas UDP 500 ou 4500 no servidor VPN ou na firewall estão bloqueadas. O bloqueio pode ocorrer quando um dos dispositivos de rede entre o computador e o servidor remoto, como a firewall, o NAT ou os routers, não estão configurados corretamente.

Solução: verifique as portas nos dispositivos entre o computador local e o servidor remoto

Para resolver este problema, deve contactar primeiro o administrador ou o fornecedor de serviços para saber que dispositivo está bloqueado. Depois disso, certifique-se de que as firewalls desse dispositivo permitem as portas UDP 500 e 4500. Se isso não resolver o problema, verifique as firewalls em todos os dispositivos entre o computador local e o servidor remoto.

Erro 812: não é possível ligar à VPN AlwaysOn

Este problema ocorre quando o servidor de acesso remoto (RAS) ou o servidor VPN não consegue ligar à VPN AlwaysOn. O método de autenticação que o servidor utilizou para verificar se o nome de utilizador e a palavra-passe não correspondem ao método de autenticação configurado no perfil de ligação.

Sempre que encontrar o erro 812, recomendamos que contacte imediatamente o administrador do servidor RAS para que saibam o que aconteceu.

Se estiver a utilizar o Visualizador de Eventos para resolver problemas, pode encontrar este problema marcado como registo de eventos 20276. Normalmente, este evento é apresentado quando uma definição de protocolo de autenticação de servidor VPN baseada em encaminhamento e acesso remoto (RRAS) não corresponde às definições no computador cliente VPN.

Erro 812 causa

Normalmente, este erro ocorre quando o NPS especificou uma condição de autenticação que o cliente não consegue cumprir. Por exemplo, se o NPS especificar que precisa de um certificado para proteger a ligação do Protocolo de Autenticação Extensível Protegida (PEAP), não poderá autenticar se o cliente estiver a tentar utilizar EAP-MSCHAPv2.

Solução: verificar as definições de autenticação do cliente e do servidor NPS

Para resolver este problema, certifique-se de que os requisitos de autenticação do cliente e do servidor NPS correspondem. Caso contrário, altere-os em conformidade.

Erro 13806: O IKE não consegue encontrar um certificado de computador válido

Este problema ocorre quando o IKE não consegue encontrar um certificado de computador válido.

Erro 13806 causa

Normalmente, este erro ocorre quando o servidor VPN não tem o computador ou o certificado de computador de raiz necessários.

Solução: instalar um certificado válido no arquivo de certificados relevante

Para resolver este problema, certifique-se de que os certificados necessários estão instalados no computador cliente e no servidor VPN. Caso contrário, contacte o administrador de segurança de rede e peça-lhe para instalar certificados válidos no arquivo de certificados relevante.

Erro 13801: as credenciais de autenticação IKE são inválidas

Este problema ocorre quando o servidor ou o cliente não consegue aceitar as credenciais de autenticação IKE.

Erro 13801 causa

Este erro pode ocorrer devido ao seguinte:

• O certificado de computador utilizado para validação IKEv2 no servidor RAS não tem a Autenticação do Servidor ativada em Utilização avançada de Chaves.
• O certificado do computador no servidor RAS expirou.
• O computador cliente não tem o certificado de raiz para validar o certificado de servidor RAS.
• O nome do servidor VPN do computador cliente não corresponde ao valor subjectName no certificado de servidor.

Solução 1: verificar as definições de certificado do servidor

Se o problema for o certificado do computador do servidor RAS, certifique-se de que o certificado inclui a Autenticação do Servidor em Utilização Avançada da Chave.

Solução 2: certifique-se de que o certificado do computador ainda é válido

Se o problema for que o certificado do computador RAS expirou, certifique-se de que ainda é válido. Se não estiver, instale um certificado válido.

Solução 3: certifique-se de que o computador cliente tem um certificado de raiz

Se o problema estiver relacionado com o computador cliente não ter um certificado de raiz, verifique primeiro as Autoridades de Certificação de Raiz Fidedigna no servidor RRAS para se certificar de que a autoridade de certificação que está a utilizar está lá. Se não estiver lá, instale um certificado de raiz válido.

Solução 4: fazer com que o nome do servidor VPN do computador cliente corresponda ao certificado de servidor

Primeiro, certifique-se de que o cliente VPN se liga com o mesmo nome de domínio completamente qualificado (FQDN) que o certificado de servidor VPN utiliza. Caso contrário, altere o nome do cliente para corresponder ao nome do certificado de servidor.

Erro 0x80070040: o certificado de servidor não tem a Autenticação do Servidor nas entradas de utilização

Este problema ocorre quando o certificado de servidor não tem a Autenticação do Servidor como uma das entradas de utilização do certificado.

Erro 0x80070040 causa

Este erro ocorre quando o servidor RAS não tem um certificado de autenticação de servidor instalado.

Solução: certifique-se de que o certificado do computador tem a entrada de utilização do certificado necessária

Para resolver este problema, certifique-se de que o certificado de computador que o servidor RAS utiliza para a validação IKEv2 inclui a Autenticação do Servidor na lista de entradas de utilização de certificados.

Erro 0x800B0109: uma cadeia de certificados processada, mas terminada num certificado de raiz

A descrição completa do erro é "Uma cadeia de certificados processada, mas terminada num certificado de raiz em que o fornecedor de confiança não confia".

Geralmente, o computador cliente VPN está associado a um domínio baseado no Active Directory (AD). Se utilizar credenciais de domínio para iniciar sessão no servidor VPN, o serviço instala automaticamente o certificado no arquivo autoridades de certificação de raiz fidedigna. Poderá deparar-se com este problema se o computador não estiver associado a um domínio do AD ou se utilizar uma cadeia de certificados alternativa.

Erro 0x800B0109 causa

Poderá deparar-se com este erro se o computador cliente não tiver um certificado de AC de raiz fidedigna adequado instalado no respetivo arquivo de Autoridades de Certificação de Raiz Fidedigna.

Solução: instalar o certificado de raiz fidedigna

Para resolver este problema, certifique-se de que o computador cliente tem um certificado de raiz fidedigna instalado no respetivo arquivo de Autoridades de Certificação de Raiz Fidedigna. Caso contrário, instale um certificado de raiz adequado.

Erro: Ops, ainda não consegue aceder a isto

Esta mensagem de erro está associada a problemas de ligação de Acesso Condicional do Microsoft Entra. Quando este problema é apresentado, a política de Acesso Condicional não é satisfeita, bloqueando a ligação VPN, mas ligando-se depois de o utilizador fechar a janela de diálogo. Se o utilizador selecionar OK, inicia outra tentativa de autenticação que também não é bem-sucedida e pede uma mensagem de erro idêntica. O registo de Eventos Operacionais do Microsoft Entra do cliente regista estes eventos.

Causa do erro de Acesso Condicional do Microsoft Entra

Existem algumas razões pelas quais este problema pode ocorrer:

• O utilizador tem um certificado de autenticação de cliente no respetivo arquivo de Certificados Pessoais que é válido, mas que não veio do Microsoft Entra ID.

• A secção perfil <TLSExtensions> VPN está em falta ou não contém as <EKUName>AAD Conditional Access</EKUName><EKUOID>1.3.6.1.4.1.311.87</EKUOID><EKUName>AAD Conditional Access</EKUName><EKUOID>1.3.6.1.4.1.311.87</EKUOID> entradas. As <EKUName> entradas e <EKUOID> indicam ao cliente VPN qual o certificado a obter do arquivo de certificados do utilizador ao transmitir o certificado para o servidor VPN. Sem as <EKUName> entradas e <EKUOID> , o cliente VPN utiliza o certificado de Autenticação de Cliente válido no arquivo de certificados do utilizador e a autenticação é efetuada com êxito.

• O servidor RADIUS (NPS) não foi configurado para aceitar apenas certificados de cliente que contenham o identificador de objetos de Acesso Condicional (OID) do AAD .

Solução: utilizar o PowerShell para determinar o estado do certificado

Para escapar a este ciclo:

1. No Windows PowerShell, execute o Get-WmiObject cmdlet para capturar a configuração do perfil VPN.

2. Verifique se as <TLSExtensions>variáveis , <EKUName>e <EKUOID> existem e a saída mostra o nome e o OID corretos.

   O código seguinte é um exemplo de saída do Get-WmiObject cmdlet .

   PS C:\> Get-WmiObject -Class MDM_VPNv2_01 -Namespace root\cimv2\mdm\dmmap
   
   __GENUS                 : 2
   __CLASS                 : MDM_VPNv2_01
   __SUPERCLASS            :
   __DYNASTY               : MDM_VPNv2_01
   __RELPATH               : MDM_VPNv2_01.InstanceID="AlwaysOnVPN",ParentID="./Vendor/MSFT/VPNv2"
   __PROPERTY_COUNT        : 10
   __DERIVATION            : {}
   __SERVER                : DERS2
   __NAMESPACE             : root\cimv2\mdm\dmmap
   __PATH                  : \\DERS2\root\cimv2\mdm\dmmap:MDM_VPNv2_01.InstanceID="AlwaysOnVPN",ParentID="./Vendor/MSFT/VP
                               Nv2"
   AlwaysOn                :
   ByPassForLocal          :
   DnsSuffix               :
   EdpModeId               :
   InstanceID              : AlwaysOnVPN
   LockDown                :
   ParentID                : ./Vendor/MSFT/VPNv2
   ProfileXML              : <VPNProfile><RememberCredentials>false</RememberCredentials><DeviceCompliance><Enabled>true</
                               Enabled><Sso><Enabled>true</Enabled></Sso></DeviceCompliance><NativeProfile><Servers>derras2.corp.deverett.info;derras2.corp.deverett.info</Servers><RoutingPolicyType>ForceTunnel</RoutingPolicyType><NativeProtocolType>Ikev2</NativeProtocolType><Authentication><UserMethod>Eap</UserMethod><MachineMethod>Eap</MachineMethod><Eap><Configuration><EapHostConfigxmlns="https://www.microsoft.com/provisioning/EapHostConfig"><EapMethod><Typexmlns="https://www.microsoft.com/provisioning/EapCommon">25</Type><VendorIdxmlns="https://www.microsoft.com/provisioning/EapCommon">0</VendorId><VendorTypexmlns="https://www.microsoft.com/provisioning/EapCommon">0</VendorType><AuthorIdxmlns="https://www.microsoft.com/provisioning/EapCommon">0</AuthorId></EapMethod><Configxmlns="https://www.microsoft.com/provisioning/EapHostConfig"><Eap xmlns="https://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>25</Type><EapType xmlns="https://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV1"><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames></ServerNames></ServerValidation><FastReconnect>true</FastReconnect><InnerEapOptional>false</InnerEapOptional><Eap xmlns="https://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>13</Type>
                               <EapType xmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1"><CredentialsSource><CertificateStore><SimpleCertSelection>true</SimpleCertSelection></CertificateStore></CredentialsSource><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames></ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><DifferentUsername>false</DifferentUsername><PerformServerValidation xmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName><TLSExtensionsxmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2"><FilteringInfo xml ns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3"><EKUMapping><EKUMap><EKUName>AAD Conditional Access</EKUName><EKUOID>1.3.6.1.4.1.311.87</EKUOID></EKUMap></EKUMapping><ClientAuthEKUListEnabled="true"><EKUMapInList><EKUName>AAD Conditional Access</EKUName></EKUMapInList></ClientAuthEKUList></FilteringInfo></TLSExtensions></EapType></Eap><EnableQuarantineChecks>false</EnableQuarantineChecks><RequireCryptoBinding>false</RequireCryptoBinding><PeapExtensions><PerformServerValidation xmlns="https://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">false</PerformServerValidation><AcceptServerName xmlns="https://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">false</AcceptServerName></PeapExtensions></EapType></Eap></Config></EapHostConfig></Configuration></Eap></Authentication></NativeProfile></VPNProfile>
   RememberCredentials     : False
   TrustedNetworkDetection :
   PSComputerName          : DERS2
   

3. Em seguida, execute o Certutil comando para determinar se existem certificados válidos no arquivo de certificados do utilizador:

   C:\>certutil -store -user My
   
   My "Personal"
   ================ Certificate 0 ================
   Serial Number: 32000000265259d0069fa6f205000000000026
   Issuer: CN=corp-DEDC0-CA, DC=corp, DC=deverett, DC=info
     NotBefore: 12/8/2017 8:07 PM
     NotAfter: 12/8/2018 8:07 PM
   Subject: E=winfed@deverett.info, CN=WinFed, OU=Users, OU=Corp, DC=corp, DC=deverett, DC=info
   Certificate Template Name (Certificate Type): User
   Non-root Certificate
   Template: User
   Cert Hash(sha1): a50337ab015d5612b7dc4c1e759d201e74cc2a93
     Key Container = a890fd7fbbfc072f8fe045e680c501cf_5834bfa9-1c4a-44a8-a128-c2267f712336
     Simple container name: te-User-c7bcc4bd-0498-4411-af44-da2257f54387
     Provider = Microsoft Enhanced Cryptographic Provider v1.0
   Encryption test passed
   
   ================ Certificate 1 ================
   Serial Number: 367fbdd7e6e4103dec9b91f93959ac56
   Issuer: CN=Microsoft VPN root CA gen 1
     NotBefore: 12/8/2017 6:24 PM
     NotAfter: 12/8/2017 7:29 PM
   Subject: CN=WinFed@deverett.info
   Non-root Certificate
   Cert Hash(sha1): 37378a1b06dcef1b4d4753f7d21e4f20b18fbfec
     Key Container = 31685cae-af6f-48fb-ac37-845c69b4c097
     Unique container name: bf4097e20d4480b8d6ebc139c9360f02_5834bfa9-1c4a-44a8-a128-c2267f712336
     Provider = Microsoft Software Key Storage Provider
   Private key is NOT exportable
   Encryption test passed
   

   Observação

   Se um certificado do Issuer CN=Microsoft VPN root CA gen1 estiver presente no arquivo Pessoal do utilizador, mas o utilizador tiver obtido acesso ao selecionar X para fechar a mensagem Oops, recolha os registos de eventos CAPI2 para verificar se o certificado utilizado para autenticar era um certificado de Autenticação de Cliente válido que não foi emitido a partir da AC de raiz da VPN da Microsoft.

4. Se existir um certificado de Autenticação de Cliente válido no arquivo pessoal do utilizador e os TLSExtensionsvalores , EKUNamee EKUOID estiverem configurados corretamente, a ligação não deverá ter êxito depois de o utilizador fechar a caixa de diálogo.

Deverá ser apresentada uma mensagem de erro a indicar "Não foi possível encontrar um certificado que possa ser utilizado com o Protocolo de Autenticação Extensível".

Não é possível eliminar o certificado do separador conectividade VPN

Este problema ocorre quando não é possível eliminar certificados no separador conectividade VPN.

Motivo

Este problema ocorre quando o certificado está definido como Primário.

Solução: alterar as definições do certificado

Para eliminar certificados:

1. No separador conectividade VPN , selecione o certificado.
2. Em Principal, selecione Não e, em seguida, selecione Guardar.
3. No separador conectividade VPN , selecione novamente o certificado.
4. Selecione Excluir.