Dela via

Felsökning: Problem med punkt-till-plats-anslutningar i Azure

  • Artikel

Den här artikeln innehåller vanliga punkt-till-plats-anslutningsproblem som kan uppstå. I den diskuteras även möjliga orsaker och lösningar på dessa problem.

VPN-klientfel: Det gick inte att hitta något certifikat

Symptom

När du försöker ansluta till ett virtuellt Azure-nätverk med hjälp av VPN-klienten får du följande felmeddelande:

Det gick inte att hitta ett certifikat som kan användas med det här utökningsbara autentiseringsprotokollet. (Fel 798)

Orsak

Det här problemet uppstår om klientcertifikatet saknas i Certifikat – Aktuell användare\Personlig\Certifikat.

Lösning

Följ det här stegen för att lösa problemet:

  1. Öppna Certifikathanteraren: Klicka på Start, skriv hantera datorcertifikat och klicka sedan på Hantera datorcertifikat i sökresultatet.

  2. Kontrollera att följande certifikat finns på rätt plats:

    Certifikat Location
    AzureClient.pfx Aktuell användare\Personliga\Certifikat
    AzureRoot.cer Lokal dator\Betrodda rotcertifikatutfärdare

  3. Gå till C:\Users<UserName>\AppData\Roaming\Microsoft\Network\Connections\Cm<GUID>, installera certifikatet manuellt (*.cer fil) i användarens och datorns arkiv.

Mer information om hur du installerar klientcertifikatet finns i Generera och exportera certifikat för punkt-till-plats-anslutningar.

Kommentar

När du importerar klientcertifikatet väljer du inte alternativet Aktivera starkt skydd av privat nyckel.

Det gick inte att upprätta nätverksanslutningen mellan datorn och VPN-servern eftersom fjärrservern inte svarar

Symptom

När du försöker ansluta till en virtuell Azure-nätverksgateway med IKEv2 i Windows får du följande felmeddelande:

Det gick inte att upprätta nätverksanslutningen mellan datorn och VPN-servern eftersom fjärrservern inte svarar

Orsak

Problemet uppstår om versionen av Windows inte har stöd för IKE-fragmentering.

Lösning

IKEv2 stöds på Windows 10 och Server 2016. Om du vill använda IKEv2 måste du installera uppdateringar och ange ett registreringsnyckelvärde lokalt. Os-versioner före Windows 10 stöds inte och kan bara använda SSTP.

Förbereda Windows 10 eller Server 2016 för IKEv2:

  1. Installera uppdateringen.

    OS-version Datum Antal/länk
    Windows Server 2016
    Windows 10, version 1607    		 17 januari 2018 KB4057142
    Windows 10, version 1703 17 januari 2018 KB4057144
    Windows 10 version 1709 22 mars 2018 KB4089848

  2. Ange registernyckelvärdet. Skapa eller ange HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload REG_DWORD nyckel i registret till 1.

VPN-klientfel: Meddelandet som togs emot var oväntat eller felaktigt formaterat

Symptom

När du försöker ansluta till ett virtuellt Azure-nätverk med hjälp av VPN-klienten får du följande felmeddelande:

Meddelandet som togs emot var oväntat eller felaktigt formaterat. (Fel 0x80090326)

Orsak

Det här problemet uppstår om något av följande villkor är sant:

  • Använd användardefinierade vägar (UDR) med standardvägen i gatewayundernätet har angetts felaktigt.
  • Den offentliga rotcertifikatnyckeln laddas inte upp till Azure VPN-gatewayen.
  • Nyckeln är skadad eller har upphört att gälla.

Lösning

Följ det här stegen för att lösa problemet:

  1. Ta bort UDR i gatewayundernätet. Se till att UDR vidarebefordrar all trafik korrekt.
  2. Kontrollera statusen för rotcertifikatet i Azure-portalen för att se om det har återkallats. Om det inte har återkallats kan du försöka ta bort rotcertifikatet och ladda upp det igen. Mer information finns i Skapa certifikat.

VPN-klientfel: En certifikatkedja som bearbetas men avslutas

Symptom

När du försöker ansluta till ett virtuellt Azure-nätverk med hjälp av VPN-klienten får du följande felmeddelande:

En certifikatkedja som bearbetas men avslutas i ett rotcertifikat som inte är betrodd av förtroendeprovidern.

Lösning

  1. Kontrollera att följande certifikat finns på rätt plats:

    Certifikat Location
    AzureClient.pfx Aktuell användare\Personliga\Certifikat
    Azuregateway-GUID.cloudapp.net Aktuell användare\Betrodda rotcertifikatutfärdare
    AzureGateway-GUID.cloudapp.net, AzureRoot.cer Lokal dator\Betrodda rotcertifikatutfärdare

  2. Om certifikaten redan finns på platsen kan du försöka ta bort certifikaten och installera om dem. Certifikatet azuregateway-GUID.cloudapp.net finns i konfigurationspaketet för VPN-klienten som du laddade ned från Azure-portalen. Du kan använda filarkivering för att extrahera filerna från paketet.

Filnedladdningsfel: Mål-URI har inte angetts

Symptom

Du får följande felmeddelande:

Filnedladdningsfel. Mål-URI har inte angetts.

Orsak

Det här problemet uppstår på grund av en felaktig gatewaytyp.

Lösning

VPN-gatewaytypen måste vara VPN och VPN-typen måste vara RouteBased.

VPN-klientfel: Azure VPN-anpassat skript misslyckades

Symptom

När du försöker ansluta till ett virtuellt Azure-nätverk med hjälp av VPN-klienten får du följande felmeddelande:

Det gick inte att uppdatera routningstabellen med det anpassade skriptet (för att uppdatera routningstabellen). (Fel 8007026f)

Orsak

Det här problemet kan uppstå om du försöker öppna VPN-anslutningen från plats till punkt med hjälp av en genväg.

Lösning

Öppna VPN-paketet direkt i stället för att öppna det från genvägen.

Det går inte att installera VPN-klienten

Orsak

Ett ytterligare certifikat krävs för att lita på VPN-gatewayen för ditt virtuella nätverk. Certifikatet ingår i VPN-klientkonfigurationspaketet som genereras från Azure-portalen.

Lösning

Extrahera VPN-klientkonfigurationspaketet och leta reda på filen .cer. Följ dessa steg för att installera certifikatet:

  1. Öppna mmc.exe.
  2. Lägg till snapin-modulen Certifikat .
  3. Välj datorkontot för den lokala datorn.
  4. Högerklicka på noden Betrodda rotcertifikatutfärdare . Klicka på All-Task Import (All-Task>Import) och bläddra till den .cer fil som du extraherade från VPN-klientkonfigurationspaketet.
  5. Starta om datorn.
  6. Försök att installera VPN-klienten.

Fel i Azure-portalen: Det gick inte att spara VPN-gatewayen och data är ogiltiga

Symptom

När du försöker spara ändringarna för VPN-gatewayen i Azure-portalen får du följande felmeddelande:

Det gick inte att spara gatewaynamnet för den virtuella nätverksgatewayen<.> Data för certifikatcertifikat-ID <> är ogiltiga.

Orsak

Det här problemet kan uppstå om den offentliga rotcertifikatnyckeln som du laddade upp innehåller ett ogiltigt tecken, till exempel ett blanksteg.

Lösning

Kontrollera att data i certifikatet inte innehåller ogiltiga tecken, till exempel radbrytningar (vagnreturer). Hela värdet ska vara en lång rad. I följande exempel visas det område som ska kopieras i certifikatet:

Skärmbild av data i certifikatet.

Fel i Azure-portalen: Det gick inte att spara VPN-gatewayen och resursnamnet är ogiltigt

Symptom

När du försöker spara ändringarna för VPN-gatewayen i Azure-portalen får du följande felmeddelande:

Det gick inte att spara gatewaynamnet för den virtuella nätverksgatewayen<.> Namnet på det resursnamnscertifikat <som du försöker ladda upp> är ogiltigt.

Orsak

Det här problemet beror på att namnet på certifikatet innehåller ett ogiltigt tecken, till exempel ett blanksteg.

Fel i Azure-portalen: Nedladdningsfel för VPN-paketfil 503

Symptom

När du försöker ladda ned VPN-klientkonfigurationspaketet får du följande felmeddelande:

Det gick inte att ladda ned filen. Felinformation: fel 503. Servern är upptagen.

Lösning

Det här felet kan orsakas av ett tillfälligt nätverksproblem. Försök att ladda ned VPN-paketet igen efter några minuter.

Azure VPN Gateway-uppgradering: Alla punkt-till-plats-klienter kan inte ansluta

Orsak

Om certifikatet är mer än 50 procent under dess livslängd överförs certifikatet.

Lösning

Lös problemet genom att ladda ned och distribuera om punkt-till-plats-paketet på alla klienter.

För många VPN-klienter anslutna samtidigt

Det maximala antalet tillåtna anslutningar har uppnåtts. Du kan se det totala antalet anslutna klienter i Azure-portalen.

VPN-klienten kan inte komma åt nätverksfilresurser

Symptom

VPN-klienten har anslutit till det virtuella Azure-nätverket. Klienten kan dock inte komma åt nätverksresurser.

Orsak

SMB-protokollet används för filresursåtkomst. När anslutningen initieras lägger VPN-klienten till sessionsautentiseringsuppgifterna och felet inträffar. När anslutningen har upprättats tvingas klienten att använda cacheautentiseringsuppgifterna för Kerberos-autentisering. Den här processen initierar frågor till Key Distribution Center (en domänkontrollant) för att hämta en token. Eftersom klienten ansluter från Internet kanske den inte kan nå domänkontrollanten. Därför kan klienten inte redundansväxla från Kerberos till NTLM.

Den enda gången som klienten uppmanas att ange en autentiseringsuppgift är när den har ett giltigt certifikat (med SAN=UPN) utfärdat av domänen som den är ansluten till. Klienten måste också vara fysiskt ansluten till domännätverket. I det här fallet försöker klienten använda certifikatet och kontaktar domänkontrollanten. Sedan returnerar Nyckeldistributionscenter ett "KDC_ERR_C_PRINCIPAL_UNKNOWN"-fel. Klienten tvingas redundansväxla till NTLM.

Lösning

Du kan undvika problemet genom att inaktivera cachelagring av domänautentiseringsuppgifter från följande registerundernyckel:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableDomainCreds - Set the value to 1

Det går inte att hitta punkt-till-plats-VPN-anslutningen i Windows när VPN-klienten har installerats om

Symptom

Du tar bort punkt-till-plats-VPN-anslutningen och installerar sedan om VPN-klienten. I det här fallet har VPN-anslutningen inte konfigurerats. Du ser inte VPN-anslutningen i inställningarna för nätverksanslutningar i Windows.

Lösning

Lös problemet genom att ta bort de gamla VPN-klientkonfigurationsfilerna från C:\Users\UserName\AppData\Roaming\Microsoft\Network\Connections<VirtualNetworkId> och sedan köra VPN-klientinstallationsprogrammet igen.

Punkt-till-plats-VPN-klienten kan inte matcha FQDN för resurserna i den lokala domänen

Symptom

När klienten ansluter till Azure med hjälp av punkt-till-plats-VPN-anslutning kan den inte matcha FQDN för resurserna i din lokala domän.

Orsak

Punkt-till-plats-VPN-klienten använder normalt Azure DNS-servrar som är konfigurerade i det virtuella Azure-nätverket. Azure DNS-servrarna har företräde framför de lokala DNS-servrar som är konfigurerade i klienten (såvida inte måttet för Ethernet-gränssnittet är lägre), så alla DNS-frågor skickas till Azure DNS-servrarna. Om Azure DNS-servrarna inte har posterna för de lokala resurserna misslyckas frågan.

Lösning

Lös problemet genom att se till att de Azure DNS-servrar som används i det virtuella Azure-nätverket kan matcha DNS-posterna för lokala resurser. För att göra detta kan du använda DNS-vidarebefordrare eller villkorsstyrda vidarebefordrare. Mer information finns i Namnmatchning med din egen DNS-server.

Punkt-till-plats-VPN-anslutningen upprättas, men du kan fortfarande inte ansluta till Azure-resurser

Orsak

Det här problemet kan uppstå om VPN-klienten inte hämtar vägarna från Azure VPN-gatewayen.

Lösning

Lös problemet genom att återställa Azure VPN-gatewayen. För att säkerställa att de nya vägarna används måste punkt-till-plats-VPN-klienterna laddas ned igen när peering för virtuella nätverk har konfigurerats.

Fel: "Återkallningsfunktionen kunde inte kontrollera återkallningen eftersom återkallningsservern var offline. (Fel 0x80092013)"

Orsaker

Det här felmeddelandet uppstår om klienten inte kan komma åt http://crl3.digicert.com/ssca-sha2-g1.crl och http://crl4.digicert.com/ssca-sha2-g1.crl. Återkallningskontrollen kräver åtkomst till dessa två platser. Det här problemet inträffar vanligtvis på klienten som har proxyservern konfigurerad. Om begäranden inte går via proxyservern i vissa miljöer nekas de i gränsbrandväggen.

Lösning

Kontrollera proxyserverinställningarna och kontrollera att klienten kan komma åt http://crl3.digicert.com/ssca-sha2-g1.crl och http://crl4.digicert.com/ssca-sha2-g1.crl.

VPN-klientfel: Anslutningen förhindrades på grund av en princip som konfigurerats på RAS/VPN-servern. (Fel 812)

Orsak

Det här felet uppstår om RADIUS-servern som du använde för att autentisera VPN-klienten har felaktiga inställningar, eller om Azure Gateway inte kan nå Radius-servern.

Lösning

Kontrollera att RADIUS-servern är korrekt konfigurerad. Mer information finns i Integrera RADIUS-autentisering med Azure Multi-Factor Authentication Server.

"Fel 405" när du laddar ned rotcertifikat från VPN Gateway

Orsak

Rotcertifikatet har inte installerats. Rotcertifikatet installeras i klientens arkiv för betrodda certifikat .

VPN-klientfel: Fjärranslutningen gjordes inte eftersom VPN-tunnlarna misslyckades. (Fel 800)

Orsak

Nätverkskortets drivrutin är inaktuell.

Lösning

Uppdatera NIC-drivrutinen:

  1. Klicka på Start, skriv Upravljač uređajima och välj det i listan med resultat. Om du uppmanas att ange ett administratörslösenord eller en bekräftelse skriver du lösenordet eller anger bekräftelsen.
  2. I kategorierna Nätverkskort hittar du det nätverkskort som du vill uppdatera.
  3. Dubbelklicka på enhetsnamnet, välj Uppdatera drivrutin, välj Sök automatiskt efter uppdaterad drivrutinsprogramvara.
  4. Om Windows inte hittar någon ny drivrutin kan du prova att leta efter en på enhetstillverkarens webbplats och följa instruktionerna.
  5. Starta om datorn och försök ansluta igen.

VPN-klientfel: Din autentisering med Microsoft Entra har upphört att gälla

Om du använder Microsoft Entra-ID-autentisering kan följande fel uppstå:

Din autentisering med Microsoft Entra har upphört att gälla, så du måste autentisera igen för att hämta en ny token. Försök att ansluta igen. Autentiseringsprinciper och timeout konfigureras av administratören i Entra-klientorganisationen.

Orsak

Punkt-till-plats-anslutningen kopplas från eftersom den aktuella uppdateringstoken har upphört att gälla eller blir ogiltig. Det går inte att hämta nya åtkomsttoken för att autentisera användaren.

När en Azure VPN-klient försöker upprätta en anslutning till en Azure VPN-gateway med hjälp av Microsoft Entra-ID-autentisering krävs en åtkomsttoken för att autentisera användaren. Den här token förnyas ungefär varje timme. En giltig åtkomsttoken kan bara utfärdas när användaren har en giltig uppdateringstoken. Om användaren inte har en giltig uppdateringstoken kopplas anslutningen från.

Uppdateringstoken kan visas som förfallen/ogiltig på grund av flera orsaker. Du kan kontrollera inloggningsloggarna för Användare Entra för felsökning. Se Inloggningsloggar för Microsoft Entra.

  • Uppdateringstoken har upphört att gälla

    • Standardlivslängden för uppdateringstoken är 90 dagar. Efter 90 dagar måste användarna återansluta för att få en ny uppdateringstoken.
    • Entra-klientadministratörer kan lägga till principer för villkorlig åtkomst för inloggningsfrekvens som utlöser regelbunden omautentisering varje X-timme. (Uppdateringstoken upphör att gälla i "X" hrs). Genom att använda anpassade principer för villkorlig åtkomst tvingas användarna använda en interaktiv inloggning varje X-timme. Mer information finns i Uppdatera token i principerna för Microsoft platforma za identitete och Konfigurera anpassningsbar sessionslivslängd.

  • Uppdateringstoken är ogiltig

    • Användaren har tagits bort från klientorganisationen.
    • Användarens autentiseringsuppgifter har ändrats.
    • Sessioner har återkallats av Entra-klientadministratören.
    • Enheten har blivit inkompatibel (om det är en hanterad enhet).
    • Andra Entra-principer som konfigurerats av Entra-administratörer som kräver att användarna regelbundet använder interaktiv inloggning.

Lösning

I dessa scenarier måste användarna återansluta. Detta utlöser en interaktiv inloggningsprocess i Microsoft Entra som utfärdar en ny uppdateringstoken och åtkomsttoken.

VPN-klientfel: Vpn-anslutningsnamn> för uppringningsanslutning<, Status = VPN Platform utlöste inte anslutning

Du kan också se följande fel i Prikazivač događaja från RasClient: "Användaren <har> ringt en anslutning med namnet <VPN-anslutningsnamn> som har misslyckats. Felkoden som returnerades vid fel är 1460."

Orsak

Azure VPN-klienten har inte appbehörigheten "Bakgrundsappar" aktiverad i Appinställningar för Windows.

Lösning

  1. I Windows går du till Inställningar –> Sekretess –> Bakgrundsappar
  2. Växla "Låt appar köras i bakgrunden" till På

Fel: "Filhämtningsfel Mål-URI har inte angetts"

Orsak

Detta orsakas av att en felaktig gatewaytyp har konfigurerats.

Lösning

Azure VPN-gatewaytypen måste vara VPN och VPN-typen måste vara RouteBased.

Installationsprogrammet för VPN-paket slutförs inte

Orsak

Det här problemet kan orsakas av tidigare VPN-klientinstallationer.

Lösning

Ta bort de gamla VPN-klientkonfigurationsfilerna från C:\Users\UserName\AppData\Roaming\Microsoft\Network\Connections<VirtualNetworkId> och kör VPN-klientinstallationsprogrammet igen.

VPN-klienten viloläge eller viloläge

Lösning

Kontrollera vilolägesinställningarna på datorn som VPN-klienten körs på.

Jag kan inte matcha poster i privata DNS-zoner med private resolver från punkt-till-plats-klienter.

Symptom

När du använder azure-tillhandahållen DNS-server (168.63.129.16) i det virtuella nätverket kan punkt-till-plats-klienter inte matcha poster som finns i privata DNS-zoner (inklusive privata slutpunkter).

Skärmbild som visar Azure VPN-klienten, ett öppet PowerShell-fönster och sidan DNS-servrar i Azure-portalen.

Orsak

Azure DNS-serverns IP-adress (168.63.129.16) kan endast matchas från Azure-plattformen.

Lösning

Följande steg hjälper dig att lösa poster från en privat DNS-zon:

Genom att konfigurera den privata matcharens inkommande IP-adress som anpassade DNS-servrar i det virtuella nätverket kan du lösa poster i den privata DNS-zonen (inklusive de som skapats från privata slutpunkter). Observera att de privata DNS-zonerna måste associeras med det virtuella nätverk som har den privata matcharen.

Skärmbild som visar Azure VPN-klienten, ett öppet PowerShell-fönster och azure-portalen som är öppen för SIDAN DNS-servrar.

Som standard skickas DNS-servrar som är konfigurerade i ett virtuellt nätverk till punkt-till-plats-klienter som är anslutna via VPN-gateway. Att konfigurera inkommande IP-adress för privat matchare som anpassade DNS-servrar i det virtuella nätverket skickar därför automatiskt dessa IP-adresser till klienter som VPN DNS-server och du kan sömlöst matcha poster från privata DNS-zoner (inklusive privata slutpunkter).