本文讨论在已加入域的计算机连接到启用了强制隧道的 VPN 连接后无法打开Microsoft存储的问题。
适用于: Windows 10 – 所有版本
原始 KB 数: 4537233
现象
假设将已加入域的 Windows 10 计算机连接到启用了强制隧道的 VPN 连接。 尝试打开Microsoft应用商店时,它不会打开,并且收到“此页面无法加载”错误消息。
如果执行以下操作之一,Microsoft Store 将按预期打开:
- 断开计算机与域的连接,然后连接到 VPN 连接。
- 将计算机连接到禁用强制隧道的 VPN 连接。
- 关闭 Windows Defender 防火墙 服务,然后将计算机连接到 VPN 连接。
原因
Microsoft应用商店应用使用依赖于网络隔离的安全模型。 必须为应用商店应用启用特定的网络功能和边界,并且必须允许应用访问网络。
当 Windows 防火墙配置文件不 公开时,默认阻止规则会阻止所有将远程 IP 设置为 0.0.0.0 的传出流量。 当计算机连接到启用了强制隧道的 VPN 连接时,默认网关 IP 设置为 0.0.0.0。 如果未适当设置网络访问边界,则会发生以下行为:
- 应用默认阻止防火墙规则。
- Microsoft应用商店应用流量被阻止。
解决方法
若要解决此问题,请按照以下步骤创建组策略对象(GPO):
打开组策略管理管理单元(gpmc.msc),然后创建或打开组策略进行编辑。
在组策略管理编辑器中,展开计算机配置>策略>管理模板>网络,然后选择“网络隔离”。
在右侧窗格中,双击“应用程序的专用网络范围”。
在 “应用 专用网络范围”对话框中,选择“ 已启用”。
在 “专用子网 ”文本框中,键入 VPN 适配器的 IP 范围,然后选择“ 确定”。
例如,如果 VPN 适配器 IP 位于 172.x.x.x 范围内,请在文本框中添加 172.0.0.0/8 。
双击“ 子网定义是权威的”,选择“ 已启用”,然后选择“ 确定”。
重启客户端以确保 GPO 生效。
应用组策略后,添加的 IP 范围是唯一可用于网络隔离的专用网络范围。 Windows 现在将创建允许流量的防火墙规则,并使用新规则替代以前的出站阻止规则。
注意
- VPN 地址池范围发生更改时,应相应地更改此 GPO。 否则,问题将递归。
- 可以将同一 GPO 从 DC 推送到多台计算机。
- 在各个计算机上,可以检查以下注册表位置,以确保 GPO 生效:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkIsolation
详细信息
可以使用“checknetisolation”内置工具检查网络功能。 当计算机连接到域配置文件和 VPN 强制隧道时,InternetClient 和 InternetClientServer 功能不会处于活动状态。 例如:
C:\Windows\system32>checknetisolation Debug -n=microsoft.windowsstore_8wekyb3d8bbwe
Network Isolation Debug Session started.
Reproduce your scenario, then press Ctrl-C when done.
Collecting Logs.....
Summary Report
Network Capabilities Status
----------------------------------------------------------------------
InternetClient Not Used and Insecure
InternetClientServer Not Used and Insecure
PrivateNetworkClientServer Missing, maybe intended
Network Capabilities Status
----------------------------------------------------------------------
InternetClient Used and Declared
InternetClientServer Not Used and Insecure
注意
在同一客户端上,如果从域中删除计算机或断开 VPN 的连接,可以看到 正在使用 Internetclient 。
有关详细信息,请参阅 在网络上隔离 Windows 应用商店应用。