Поделиться через

Руководство по устранению неполадок с удаленным доступом (VPN и AOVPN)

Попробуйте наш виртуальный агент . Это поможет вам быстро определить и устранить распространенные проблемы VPN и AlwaysOn VPN.

Перечисленные в этой статье ресурсы помогут устранить проблемы, возникающие при использовании удаленного доступа.

  • Для развертывания VPN обычно требуется как минимум ручная настройка как на сервере, так и на клиентском компьютере. Основным моментом является то, что на брандмауэре открыты правильные порты и они перенаправляются на сервер и что VPN включена. VPN должна работать без предварительной настройки. Также убедитесь, что для параметров VPN на клиенте выбраны соответствующие протоколы.
  • Первым шагом в устранении неполадок и тестировании VPN-подключения является понимание основных компонентов инфраструктуры Always On VPN (AOVPN).
  • Если программа установки AOVPN не подключает клиентов к внутренней сети, причиной являются недопустимый сертификат VPN, неверные политики NPS, проблемы, влияющие на сценарии развертывания клиента, или проблемы, возникающие при маршрутизации и удаленном доступе.

Устранение неполадок VPN удаленного доступа

  • Microsoft Edge игнорирует параметр PAC. Microsoft Edge в Android 13 игнорирует параметр автоматической настройки прокси-сервера (PAC), настроенный в профиле VPN для каждого приложения в Microsoft Intune.

  • ИД события: 20227 с кодом ошибки 720 — клиенты VPN не выполнят VPN-подключение, поскольку адаптер WAN Miniport (IP) привязан неправильно.

  • Сбой VPN L2TP с ошибкой 787 — происходит при сбое VPN-подключения L2TP к серверу удаленного доступа. Не удается установить сопоставление безопасности протокола IP (IPSec) для подключения по протоколу L2TP, поскольку сервер использует сертификат с подстановочными знаками или сертификат от другого центра сертификации в качестве сертификата компьютера, настроенного на клиентах. Служба маршрутизации и удаленного доступа (RRAS) выбирает первый сертификат, который она может найти в хранилище сертификатов на компьютере. В зависимости от этого протокол L2TP работает по-другому, чем протокол SSTP или IP-HTTPS или любое другое правило IPsec, настроенное вручную. Для протокола L2TP вы используете встроенный механизм RRAS для выбора сертификата. Изменить это условие невозможно.

  • Сбой VPN-подключений LT2P/IPsec RAS при использовании MS-CHAPv2 — в случае использования проверки подлинности MS-CHAPv2 происходит разрыв VPN-подключения L2TP/IPsec к серверу службы удаленного доступа Windows (RAS). Эта проблема может возникать, если параметры по умолчанию LmCompatibilityLevel на контроллере домена, выполняющем проверку подлинности, были изменены.

  • Не удается подключиться к Интернету после подключения к VPN-серверу — эта проблема не позволяет подключиться к Интернету после входа на сервер, на котором выполняются маршрутизация и удаленный доступ с помощью VPN. Эта проблема может возникнуть при настройке VPN-подключения на использование шлюза по умолчанию в удаленной сети. Этот параметр переопределяет параметры шлюза по умолчанию, заданные в параметрах протокола TCP/IP.

  • Не удается установить VPN-подключение для удаленного доступа — сведения, помогающие устранить типичные проблемы, препятствующие подключению клиентов к VPN-серверу.

  • Не удается отправить и получить данные — сведения об общих причинах сбоев VPN-подключений для удаленного доступа и способах их решения (устаревшие ОС).

Устранение неполадок AOVPN

  • Код ошибки: 800 —"Не удалось установить удаленное подключение из-за сбоя использованных VPN-туннелей". VPN-сервер может быть недоступен. Если это подключение пытается использовать туннель L2TP/IPsec, параметры безопасности, необходимые для согласования IPsec, могут быть настроены неправильно.

  • Код ошибки: 809 — "Не удалось установить сетевое подключение между компьютером и VPN-сервером, так как удаленный сервер не отвечает". Это может произойти из-за того, что одно из сетевых устройств (например, брандмауэр, NAT или маршрутизатор) между компьютером и удаленным сервером не настроено для разрешения подключений VPN. Обратитесь к администратору или поставщику услуг, чтобы определить, какое устройство является причиной проблемы.

  • Код ошибки: 812 — "Не удается подключиться к AOVPN. Подключение не выполнено из-за политики, заданной на вашем сервере удаленного доступа или VPN." В частности, метод проверки подлинности, используемый сервером для проверки имени пользователя и пароля, не соответствует методу проверки подлинности, настроенному в профиле подключения. Уведомите администратора сервера RAS об этой ошибке.

  • Код ошибки: 13806 — "IKE не удалось найти действительный сертификат компьютера". Обратитесь к администратору безопасности сети и узнайте, как установить действительный сертификат в соответствующее хранилище сертификатов.

  • Код ошибки: 13801 — "Недопустимые учетные данные проверки подлинности IKE".

  • Код ошибки: 0x80070040 — "В сертификате сервера отсутствует запись проверки подлинности сервера".

  • Код ошибки: 0x800B0109 — "VPN-клиент присоединен к домену Active Directory, который публикует доверенные корневые сертификаты, например из ЦС предприятия". На всех членах домена сертификат автоматически устанавливается в хранилище доверенных корневых центров сертификации. Однако если компьютер не присоединен к домену или используется другая цепочка сертификатов, может возникнуть эта проблема.

  • Проблемы с подключением клиента Always On VPN — небольшая ошибка в настройке может привести к сбою клиентского подключения. Найти причину может быть непросто. Клиент АОВПН выполняет несколько шагов, прежде чем установить подключение.

  • Не удалось удалить сертификат из колонки VPN-подключения — невозможно удалить сертификаты в колонке VPN-подключения. (Проблемы с подключением условного доступа Microsoft Entra.)

Сбор данных

Перед обращением в службу поддержки Майкрософт вы можете собирать сведения о проблеме.

Предварительные требования

  1. TSS должен выполняться учетными записями с правами администратора в локальной системе, и EULA необходимо принять (после принятия лицензионного соглашения TSS не будет запрашивать снова).
  2. Рекомендуется использовать политику выполнения PowerShell локального компьютера RemoteSigned .

Примечание.

Если текущая политика выполнения PowerShell не разрешает выполнение TSS, выполните следующие действия:

  • RemoteSigned Задайте политику выполнения для уровня процесса, выполнив командлетPS C:\> Set-ExecutionPolicy -scope Process -ExecutionPolicy RemoteSigned.
  • Чтобы проверить, вступает ли в силу изменение, выполните командлет PS C:\> Get-ExecutionPolicy -List.
  • Так как разрешения уровня процесса применяются только к текущему сеансу PowerShell, после закрытия заданного окна PowerShell, в котором выполняется TSS, назначенное разрешение для уровня процесса также будет возвращено в ранее настроенное состояние.

Сбор ключевых сведений перед обращением в службу поддержки Майкрософт

  1. Скачайте TSS на всех узлах и распакуйте его в папке C:\tss.

  2. Откройте папку C:\tss из командной строки PowerShell с повышенными привилегиями.

  3. Запустите трассировку на клиенте и сервере с помощью следующих командлетов:

    • Клиент —

      TSS.ps1 -Scenario NET_VPN

    • Сервер:

      TSS.ps1 -Scenario NET_RAS

  4. Примите EULA, если трассировки выполняются в первый раз на сервере или клиенте.

  5. Разрешить запись (PSR или видео).

  6. Воспроизвести проблему перед вводом Y.

    Примечание.

    Если вы собираете журналы как на клиенте, так и на сервере, дождитесь появления этого сообщения на обоих узлах перед воспроизведением проблемы.

  7. Введите Y , чтобы завершить коллекцию журналов после воспроизведения проблемы.

Трассировки будут храниться в ZIP-файле в папке C:\MS_DATA , которую можно отправить в рабочую область для анализа.

Справочные материалы

  • Развертывание Always On VPN для Windows Server 2016 и Windows 10 — содержит инструкции по развертыванию удаленного доступа в качестве шлюза VPN RAS с одним клиентом для VPN-подключений типа "точка — сеть", позволяющего удаленным сотрудникам подключаться к сети организации с помощью подключений AOVPN. Рекомендуется ознакомиться с руководствами по проектированию и развертыванию для каждой из технологий, используемых в данном сценарии развертывания.

  • Создание профилей VPN в Configuration Manager — в этом разделе объясняется, как создать профили VPN в Configuration Manager.

  • Функции и функциональные возможности Always On VPN — в этом разделе обсуждаются функции и функциональные возможности AOVPN.