疑難排解:Azure 點對站連線問題

  • 發行項

本文列出您可能遇到的常見點對站連線問題。 文中也會探討這些問題的可能原因和解決方案。

VPN 用戶端錯誤:找不到憑證

徵兆

當您嘗試使用 VPN 用戶端來連線到 Azure 虛擬網路時,會收到下列錯誤訊息:

找不到可以搭配這個可延伸的驗證通訊協定使用的憑證。 (錯誤 798)

原因

如果 [憑證 - 目前的使用者\個人\憑證] 中遺失了用戶端憑證,就會發生此問題。

解決方案

若要解決此問題,請遵循下列步驟:

  1. 開啟 [憑證管理員]:按一下 [啟動],輸入管理電腦憑證,然後按一下搜尋結果中的管理電腦憑證

  2. 請確定下列憑證位於正確的位置:

    憑證 位置
    AzureClient.pfx 目前的使用者\個人\憑證
    AzureRoot.cer 本機電腦\受信任的根憑證授權單位

  3. 移至 C:\Users<使用者名稱>\AppData\Roaming\Microsoft\Network\Connections\Cm<GUID>,在使用者和電腦的存放區中手動安裝憑證 (*.cer 檔案)。

如需如何安裝用戶端憑證的詳細資訊,請參閱產生並匯出點對站連線的憑證

注意

匯入用戶端憑證時,請勿選取 [啟用加強私密金鑰保護] 選項。

無法建立您的電腦與 VPN 伺服器之間的網路連線,因為遠端伺服器沒有回應

徵兆

當您嘗試在 Windows 上使用 IKEv2 連線到 Azure 虛擬網路閘道時,會收到下列錯誤訊息:

遠端伺服器沒有回應,因此無法建立您的電腦與 VPN 伺服器之間的網路連線

原因

如果 Windows 版本不支援 IKE 片段,就會發生此問題。

解決方案

Windows 10 和 Server 2016 都支援 IKEv2。 不過,若要使用 IKEv2,您必須在本機安裝更新並設定登錄機碼值。 不支援 Windows 10 之前的 OS 版本,且只能使用 SSTP。

若要準備 Windows 10 或 Server 2016 for IKEv2:

  1. 安裝更新。

    作業系統版本 Date 號碼/連結
    Windows Server 2016
    Windows 10 版本 1607    		 2018 年 1 月 17 日 KB4057142
    Windows 10 版本 1703 2018 年 1 月 17 日 KB4057144
    Windows 10 版本 1709 2018 年 3 月 22 日 KB4089848

  2. 設定登錄機碼值。 在登錄中建立 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload REG_DWORD 機碼,或將它設定為 1。

VPN 用戶端錯誤:接收到的訊息超出預期或格式不正確

徵兆

當您嘗試使用 VPN 用戶端來連線到 Azure 虛擬網路時,會收到下列錯誤訊息:

接收到的訊息超出預期或格式不正確。 (錯誤 0x80090326)

原因

如果發生下列其中一個情況,就會產生此問題:

  • 將使用者定義路由 (UDR) 與閘道子網路上的預設路由搭配使用的設定不正確。
  • 跟證書公鑰不會上傳至 Azure VPN 閘道。
  • 金鑰已經損毀或過期。

解決方案

若要解決此問題,請遵循下列步驟:

  1. 移除閘道子網路上的 UDR。 確定 UDR 會適當地轉送所有流量。
  2. 在 Azure 入口網站中檢查根憑證的狀態,以查看它是否已被撤銷。 如果未撤銷,請嘗試刪除跟證書並重新載入。 如需詳細資訊,請參閱 建立憑證

VPN 用戶端錯誤:憑證鏈結已處理但被終止

徵兆

當您嘗試使用 VPN 用戶端來連線到 Azure 虛擬網路時,會收到下列錯誤訊息:

憑證鏈結已處理,但它終止於信任提供者所未信任的根憑證。

解決方案

  1. 請確定下列憑證位於正確的位置:

    憑證 位置
    AzureClient.pfx 目前的使用者\個人\憑證
    Azuregateway-GUID.cloudapp.net 目前的使用者\受信任的根憑證授權單位
    AzureGateway-GUID.cloudapp.net、AzureRoot.cer 本機電腦\受信任的根憑證授權單位

  2. 如果憑證已經在該位置中,請嘗試將憑證刪除,然後重新安裝。 azuregateway-GUID.cloudapp.net 憑證位於您從 Azure 入口網站下載的 VPN 用戶端設定套件中。 您可以使用檔案封存工具從套件擷取檔案。

檔案下載錯誤:未指定目標 URI

徵兆

您收到下列錯誤訊息:

檔案下載錯誤。 未指定目標 URI。

原因

此問題的發生原因是閘道類型不正確。

解決方案

VPN 閘道類型必須是 VPN,且 VPN 類型必須是 RouteBased

VPN 用戶端錯誤:Azure VPN 自訂指令碼失敗

徵兆

當您嘗試使用 VPN 用戶端來連線到 Azure 虛擬網路時,會收到下列錯誤訊息:

自訂指令碼 (用於更新路由表) 失敗。 (錯誤 8007026f)

原因

如果您嘗試使用快捷方式開啟站對點 VPN 連線,可能會發生此問題。

解決方案

直接開啟 VPN 套件,而不要從捷徑開啟開啟它。

無法安裝 VPN 用戶端

原因

必須有額外的憑證,才能信任您虛擬網路的 VPN 閘道。 此憑證包含在從 Azure 入口網站產生的 VPN 用戶端組態套件中。

解決方案

擷取 VPN 用戶端組態套件,並尋找 .cer 檔案。 若要安裝憑證,請遵循下列步驟:

  1. 開啟 mmc.exe。
  2. 新增 [憑證] 嵌入式管理單元。
  3. 選取本機電腦的 [電腦] 帳戶。
  4. 以滑鼠右鍵按一下 [受信任的根憑證授權單位] 節點。 按一下 [所有工作]>[匯入],然後瀏覽至您從 VPN 用戶端組態套件擷取的 .cer 檔案。
  5. 重新啟動電腦。
  6. 嘗試安裝 VPN 用戶端。

Azure 入口網站錯誤:無法儲存 VPN 閘道且資料無效

徵兆

當您嘗試在 Azure 入口網站中儲存 VPN 閘道變更時,收到下列錯誤訊息:

無法儲存虛擬網路閘道<閘道名稱>。 憑證<憑證識別碼>的資料無效。

原因

如果您上傳的根憑證公開金鑰包含無效的字元 (例如空格),就可能發生此問題。

解決方案

請確定憑證中的數據不包含無效的字元,例如換行符(歸位字元)。 整個值應該是一個長行。 以下文字是憑證的範例:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Azure 入口網站錯誤:無法儲存 VPN 閘道且資源名稱無效

徵兆

當您嘗試在 Azure 入口網站中儲存 VPN 閘道變更時,收到下列錯誤訊息:

無法儲存虛擬網路閘道<閘道名稱>。 資源名稱 <您嘗試上傳的憑證名稱> 無效。

原因

此問題的發生原因是憑證的名稱包含無效的字元 (例如空格)。

Azure 入口網站錯誤:VPN 套件檔案下載錯誤 503

徵兆

當您嘗試下載 VPN 用戶端組態套件時,收到下列錯誤訊息:

無法下載檔案。 錯誤詳細資料:錯誤 503。 伺服器忙碌中。

解決方案

此錯誤可能是由暫時性的網路問題所造成。 請在幾分鐘後再重新嘗試下載 VPN 套件。

Azure VPN 閘道 升級:所有點對站用戶端都無法連線

原因

如果憑證的存留期已過了 50%,就會變換該憑證。

解決方案

若要解決此問題,請在所有用戶端上重新下載並重新部署點對站套件。

一次有太多 VPN 用戶端連線

已達允許的連線數目上限。 您可以在 Azure 入口網站中查看已連線的用戶端總數。

VPN 用戶端無法存取網路檔案共用

徵兆

VPN 用戶端已連線到 Azure 虛擬網路。 不過,客戶端無法存取網路共用。

原因

使用 SMB 通訊協定來進行檔案共用存取。 起始連線時,VPN 用戶端會新增會話認證,併發生失敗。 建立連線之後,用戶端被迫使用快取認證來進行 Kerberos 驗證。 此程序會對金鑰發佈中心 (網域控制站) 起始查詢,以取得權杖。 因為用戶端會從網際網路連線,所以它可能無法連線到網域控制站。 因此,客戶端無法從 Kerberos 故障轉移至 NTLM。

唯一提示用戶端輸入認證的時間是,當它具有已加入的網域所簽發的有效憑證 (SAN=UPN) 時。 用戶端也必須實際連線到網域網路。 在此情況下,用戶端會嘗試使用該憑證並向外連線到網域控制站。 金鑰發佈中心接著會傳回 "KDC_ERR_C_PRINCIPAL_UNKNOWN" 錯誤。 系統會強制用戶端容錯移轉至 NTLM。

解決方案

若要解決此問題,請從下列登錄子機碼停用網域認證快取功能:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableDomainCreds - Set the value to 1

重新安裝 VPN 用戶端之後,在 Windows 中找不到點對站 VPN 連線

徵兆

您移除點對站 VPN 連線,然後重新安裝 VPN 用戶端。 在此情況下,VPN 連線未成功設定。 您在 Windows 中的 [網路連線 ] 設定中看不到 VPN 連線。

解決方案

若要解決此問題,請從 C:\Users\UserName\AppData\Roaming\Microsoft\Network\Connections<VirtualNetworkId> 中刪除舊的 VPN 用戶端設定檔,然後重新執行 VPN 用戶端安裝程式。

點對站 VPN 用戶端無法解析本機網域中資源的 FQDN

徵兆

當用戶端使用點對站 VPN 連線連線至 Azure 時,就無法解析本機網域中資源的 FQDN。

原因

點對站 VPN 用戶端通常會使用 Azure 虛擬網路中設定的 Azure DNS 伺服器。 Azure DNS 伺服器的優先順序高於用戶端中設定的本機 DNS 伺服器 (除非乙太網路介面的計量較低),因此所有 DNS 查詢都會傳送至 Azure DNS 伺服器。 如果 Azure DNS 伺服器沒有本機資源的記錄,則查詢會失敗。

解決方案

若要解決此問題,請確定 Azure 虛擬網路中使用的 Azure DNS 伺服器可以解析本機資源的 DNS 記錄。 若要這樣做,您可以使用 DNS 轉寄站或條件式轉寄站。 如需詳細資訊,請參閱 使用您自己的 DNS 伺服器進行名稱解析。

點對站 VPN 連線已建立,但您仍然無法連線到 Azure 資源

原因

如果 VPN 用戶端未從 Azure VPN 閘道取得路由,就可能發生此問題。

解決方案

若要解決此問題,請重設 Azure VPN 閘道。 若要確保會使用新的路由,成功設定虛擬網路對等互連之後,必須再次下載「點對站」VPN 用戶端。

錯誤:「撤銷函式無法檢查撤銷,因為撤銷伺服器已離線。 (錯誤0x80092013)”

原因

如果客戶端無法存取 http://crl3.digicert.com/ssca-sha2-g1.crlhttp://crl4.digicert.com/ssca-sha2-g1.crl,就會發生此錯誤訊息。 撤銷檢查需要存取這兩個網站。 此問題通常是在已設定 Proxy 伺服器的用戶端上發生。 在某些環境中,如果要求未通過 Proxy 伺服器,則會在邊緣防火牆遭到拒絕。

解決方案

請檢查 Proxy 伺服器設定,並確定用戶端能夠存取 http://crl3.digicert.com/ssca-sha2-g1.crlhttp://crl4.digicert.com/ssca-sha2-g1.crl

VPN 用戶端發生錯誤:因為您 RAS/VPN 伺服器設定的原則,連線被禁止。 (錯誤 812)

原因

如果您用來驗證 VPN 用戶端的 RADIUS 伺服器設定不正確,或 Azure 閘道無法連線到 Radius 伺服器,就會發生這個錯誤。

解決方案

請確定已正確設定 RADIUS 伺服器。 如需詳細資訊,請參閱將 RADIUS 驗證與 Azure Multi-Factor Authentication Server 整合

從 VPN 閘道下載根憑證時發生「錯誤 405」

原因

尚未安裝跟證書。 根憑證已安裝在用戶端的信任的憑證存放區中。

VPN 用戶端錯誤:因為嘗試的 VPN 通道失敗,未建立遠端連線。 (錯誤 800)

原因

NIC 驅動程式已過時。

解決方案

更新 NIC 驅動程式:

  1. 按一下 [開始],輸入裝置管理員,然後從結果清單中選取它。 如果系統提示您輸入系統管理員密碼或確認,請輸入密碼或提供確認。
  2. 在 [網路介面卡] 類別中,尋找您想要更新的 NIC。
  3. 按兩下裝置名稱,選取 [更新驅動程式],選取 [自動搜尋更新的驅動程式軟體]
  4. 如果 Windows 找不到新的驅動程式,您可以嘗試前往裝置製造商的網站尋找,並遵循他們的指示更新驅動程式。
  5. 重新啟動電腦,然後嘗試重新連線。

VPN 用戶端錯誤:撥號 VPN <VPN 連線名稱>,狀態 = VPN 平台未觸發連線

您也可以在 RasClient 的 事件檢視器 中看到下列錯誤:「使用者撥打<>了名為 <VPN 連線 ion Name> 的連線,但失敗。 失敗時傳回的錯誤碼為 1460。」

原因

Azure VPN 用戶端在適用於 Windows 的應用程式 設定 中未啟用「背景應用程式」應用程式許可權。

解決方案

  1. 在 Windows 中,移至 [設定] -> [隱私權] -> [背景應用程式]
  2. 將 [讓應用程式在背景執行] 切換至開啟

錯誤:「檔案下載錯誤。未指定目標 URI」

原因

這是因為設定的閘道類型不正確。

解決方案

Azure VPN 閘道類型必須是 VPN,且 VPN 類型必須是 RouteBased

VPN 套件安裝程式未完成

原因

這可能是因為先前的 VPN 用戶端安裝所產生的問題。

解決方案

C:\Users\UserName\AppData\Roaming\Microsoft\Network\Connections<VirtualNetworkId> 刪除舊的 VPN 用戶端設定檔,然後重新執行 VPN 用戶端安裝程式。

我無法使用私人解析程序從點對站用戶端解析 私用 DNS 區域中的記錄。

徵兆

當您在虛擬網路上使用 Azure 提供的 (168.63.129.16) DNS 伺服器時,點對站用戶端將無法解析 私用 DNS 區域中出現的記錄(包括私人端點)。

此螢幕快照顯示 Azure VPN 用戶端、開啟的 PowerShell 視窗,以及 [Azure 入口網站 DNS 伺服器] 頁面。

原因

Azure DNS 伺服器 IP 位址 (168.63.129.16) 只能從 Azure 平台解析。

解決方案

下列步驟可協助您解析來自 私用 DNS 區域的記錄:

將私人解析程式的輸入IP位址設定為虛擬網路上的自定義 DNS 伺服器,可協助您解析私人 DNS 區域中的記錄(包括從私人端點建立的記錄)。 請注意,私用 DNS 區域必須與具有私人解析程式的虛擬網路相關聯。

此螢幕快照顯示 Azure VPN 用戶端、開啟的 PowerShell 視窗,以及開啟至 DNS 伺服器頁面的 Azure 入口網站。

根據預設,虛擬網路上設定的 DNS 伺服器將會推送至透過 VPN 網關聯機的點對站用戶端。 因此,將私人解析程式輸入IP位址設定為虛擬網路上的自定義 DNS 伺服器,會自動將這些IP位址推送至客戶端作為 VPN DNS 伺服器,而且您可以順暢地解析私人 DNS 區域的記錄(包括私人端點)。