Поделиться через

Microsoft Store не открывается после того, как компьютер, присоединенный к домену, делает VPN-подключение

В этой статье рассматривается проблема, из-за которой невозможно открыть Microsoft Store после подключения компьютера, присоединенного к домену, к VPN-подключению с включенной принудительной туннелированием.

Область применения: Windows 10 — все выпуски
Исходный номер базы знаний: 4537233

Симптомы

Предположим, что вы подключаете присоединенный к домену компьютер Windows 10 к VPN-подключению, которое включает принудительное туннелирование. При попытке открыть Microsoft Store он не открывается, и вы получите сообщение об ошибке "Эта страница не удалось загрузить".

Если вы выполняете одну из следующих операций, Microsoft Store откроется должным образом:

  • Отключите компьютер от домена и подключитесь к VPN-подключению.
  • Подключите компьютер к VPN-подключению, которое принудительно отключило туннелирование.
  • Отключите службу брандмауэра Защитника Windows и подключите компьютер к VPN-подключению.

Причина

Приложение Microsoft Store использует модель безопасности, которая зависит от сетевой изоляции. Для приложения магазина необходимо включить определенные сетевые возможности и границы, а для приложения должен быть разрешен доступ к сети.

Если профиль брандмауэра Windows не является общедоступным, правило блокировки по умолчанию блокирует весь исходящий трафик с удаленным IP-адресом, заданным как 0.0.0.0.0. Хотя компьютер подключен к VPN-подключению с включенной принудительной туннелированием, IP-адрес шлюза по умолчанию имеет значение 0.0.0.0.0. Если границы доступа к сети не заданы соответствующим образом, происходит следующее поведение:

  • Применяется правило брандмауэра по умолчанию.
  • Трафик приложений Microsoft Store заблокирован.

Решение

Чтобы устранить эту проблему, выполните следующие действия, чтобы создать объект групповой политики (GPO):

  1. Откройте оснастку управления групповыми политиками (gpmc.msc) и создайте или откройте групповую политику для редактирования.

  2. В редакторе управления групповыми политиками разверните сеть административных шаблонов>политик>конфигурации>компьютера и выберите сетевую изоляцию.

  3. На правой панели дважды щелкните Диапазоны частных сетей для приложений.

  4. В диалоговом окне "Диапазоны частной сети" для приложений выберите "Включено".

  5. В текстовом поле "Частные подсети" введите диапазон IP-адресов адаптера VPN и нажмите кнопку "ОК".

    Например, если IP-адреса VPN-адаптера находятся в диапазоне 172.x.x.x, добавьте 172.0.0.0/8 в текстовое поле.

  6. Дважды щелкните определения подсети доверенными, выберите "Включено" и нажмите кнопку "ОК".

  7. Перезапустите клиент, чтобы убедиться, что объект групповой политики вступил в силу.

После применения групповой политики добавленный диапазон IP-адресов является единственным диапазоном частной сети, доступным для сетевой изоляции. Теперь Windows создаст правило брандмауэра, разрешающее трафик, и переопределит предыдущее правило для исходящего трафика новым правилом.

Примечание.

  • При изменении диапазона пула VPN-адресов необходимо соответствующим образом изменить этот объект групповой политики. В противном случае проблема повторится.
  • Вы можете отправить одни и те же объекты групповой политики из контроллера домена на несколько компьютеров.
  • На отдельных компьютерах можно проверить следующее расположение реестра, чтобы убедиться, что объект групповой политики вступает в силу:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkIsolation

Дополнительная информация

Встроенное средство checknetisolation можно использовать для проверки сетевых возможностей. Если компьютер подключен к профилю домена и принудительному туннелирование VPN, возможности InternetClient и InternetClientServer не активны. Рассмотрим пример.

C:\Windows\system32>checknetisolation Debug -n=microsoft.windowsstore_8wekyb3d8bbwe

Network Isolation Debug Session started.
Reproduce your scenario, then press Ctrl-C when done.
      Collecting Logs.....

Summary Report

Network Capabilities Status
----------------------------------------------------------------------
    InternetClient                Not Used and Insecure  
    InternetClientServer          Not Used and Insecure  
    PrivateNetworkClientServer    Missing, maybe intended  


Network Capabilities Status
----------------------------------------------------------------------
    InternetClient                Used and Declared
    InternetClientServer          Not Used and Insecure

Примечание.

На том же клиенте, если удалить компьютер из домена или отключить VPN, можно увидеть, что используется internetclient .

Дополнительные сведения см. в разделе "Изоляция приложений Магазина Windows" в сети.