本文列出您可能遇到的常見點對站連線問題。 文中也會探討這些問題的可能原因和解決方案。
VPN 用戶端錯誤:找不到憑證
徵狀
當您使用 VPN 用戶端嘗試連線至 Azure 虛擬網路時,會收到下列錯誤訊息:
找不到可與此可延伸驗證通訊協定搭配使用的憑證。 (錯誤 798)
原因
若用戶端憑證未出現在憑證 - 目前使用者\個人\憑證中,就會發生此問題。
解決方案
若要解決此問題,請遵循下列步驟:
開啟憑證管理員:按一下開始,輸入管理電腦憑證,然後在搜尋結果中按一下管理電腦憑證。
請確定下列憑證位於正確的位置:
憑證 Location AzureClient.pfx 目前的使用者\個人\憑證 AzureRoot.cer 本機電腦\受信任的根憑證授權單位 前往 C:\Users<UserName>\AppData\Roaming\Microsoft\Network\Connections\Cm<GUID>,並在使用者與電腦的存放區中手動安裝憑證 (*.cer 檔案)。
如需有關如何安裝用戶端憑證的詳細資訊,請參閱為點對站連線產生並匯出憑證。
附註
匯入用戶端憑證時,請勿選取啟用強式私密金鑰保護選項。
由於遠端伺服器未回應,電腦與 VPN 伺服器之間的網路連線無法建立
徵狀
當您在 Windows 上使用 IKEv2 嘗試連線至 Azure 虛擬網路閘道時,會收到下列錯誤訊息:
由於遠端伺服器未回應,電腦與 VPN 伺服器之間的網路連線無法建立
原因
若 Windows 版本不支援 IKE 分段,就會發生此問題。
解決方案
Windows 10 與 Server 2016 支援 IKEv2。 不過,若要使用 IKEv2,您必須在本機安裝更新並設定登錄機碼值。 Windows 10 之前的 OS 版本不支援,且只能使用 SSTP。
若要為 Windows 10 或 Server 2016 準備 IKEv2:
安裝更新。
作業系統版本 日期 編號/連結 Windows 伺服器 2016
Windows 10 版本 16072018 年 1 月 17 日 KB4057142 Windows 10 版本 1703 2018 年 1 月 17 日 KB4057144 Windows 10 版本 1709 2018 年 3 月 22 日 KB4089848 設定登錄機碼值。 在登錄中建立或設定
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayloadREG_DWORD 機碼,並將值設為 1。
VPN 用戶端錯誤:收到的訊息未預期或格式錯誤
徵狀
當您使用 VPN 用戶端嘗試連線至 Azure 虛擬網路時,會收到下列錯誤訊息:
接收到的訊息超出預期或格式不正確。 (錯誤 0x80090326)
原因
若符合下列其中一個條件,就會發生此問題:
- 在閘道子網路上,使用具有預設路由的使用者定義路由 (UDR) 設定不正確。
- 根憑證公開金鑰尚未上傳至 Azure VPN 閘道。
- 金鑰已損毀或已過期。
解決方案
若要解決此問題,請遵循下列步驟:
- 移除閘道子網路上的 UDR。 確認 UDR 能正確轉送所有流量。
- 在 Azure 入口網站中檢查根憑證的狀態,以確認是否已遭撤銷。 如果未遭撤銷,請嘗試刪除根憑證並重新上傳。 如需詳細資訊,請參閱建立憑證。
VPN 用戶端錯誤:憑證鏈已處理但已終止
徵狀
當您使用 VPN 用戶端嘗試連線至 Azure 虛擬網路時,會收到下列錯誤訊息:
憑證鏈已處理,但在信任提供者不信任的根憑證處終止。
解決方案
請確定下列憑證位於正確的位置:
憑證 Location AzureClient.pfx 目前的使用者\個人\憑證 Azuregateway-GUID.cloudapp.net 目前使用者\受信任的根憑證授權單位 AzureGateway-GUID.cloudapp.net,AzureRoot.cer 本機電腦\受信任的根憑證授權單位 如果憑證已存在於該位置,請嘗試刪除憑證並重新安裝。 azuregateway-GUID.cloudapp.net 憑證包含在您從 Azure 入口網站下載的 VPN 用戶端組態套件中。 您可以使用檔案封存工具來擷取套件中的檔案。
檔案下載錯誤:未指定目標 URI
徵狀
您收到下列錯誤訊息:
檔案下載錯誤。 未指定目標 URI。
原因
此問題是因為閘道類型不正確所造成。
解決方案
VPN 閘道類型必須為 VPN,且 VPN 類型必須為 RouteBased。
VPN 用戶端錯誤:Azure VPN 自訂指令碼失敗
徵狀
當您使用 VPN 用戶端嘗試連線至 Azure 虛擬網路時,會收到下列錯誤訊息:
自訂指令碼 (用於更新路由表) 失敗。 (錯誤 8007026f)
原因
如果您嘗試使用捷徑開啟站對點 VPN 連線,就可能會發生此問題。
解決方案
請直接開啟 VPN 套件,而不是從捷徑開啟。
VPN 設定檔在 Windows 11 上反覆刪除又重新建立
徵狀
- VPN 連線會在 Intune 同步期間或之後不久斷線。
- VPN 設定檔似乎被刪除後又重新配置,儘管沒有做任何設定變更。
- 此行為主要出現在 Windows 11 裝置上。
原因
此問題是因為 Intune 與 Windows 處理 VPN 配置檔 XML 的方式不同所引起:
- 在 Intune 同步過程中,Intune 會將分配給裝置的 VPN 設定檔與系統上目前存在的配置檔進行比較。
- Windows 並沒有以提供給 Intune 的方式原樣儲存原始 VPN 設定檔的 XML。 當被查詢時,Windows 會重新生成該設定檔的 XML 表示。
- 重新產生的 XML 可能在格式、排序或正規化上與上傳至 Intune 的原始 XML 有所不同。
- 雖然實際的 VPN 設定相同,但這些格式差異可能導致 Intune 將設定檔解讀為更改。
- 當 Intune 偵測到差異時,會刪除現有的 VPN 設定檔並重新配置新的,導致 VPN 連線斷線。
解決方案
為避免不必要的刪除與重建 VPN 設定檔,請確保 Intune 中使用的 XML 配置檔格式與 Windows 產生的格式相符。 建議的做法是從已經配置好且正常運作 VPN 設定檔的裝置中擷取設定檔 XML。
透過 Intune 設定一個包含所有必要設定的 VPN 設定檔。
在正確套用設定檔的 Windows 裝置上,打開 PowerShell 並取得已配置的 VPN 配置檔清單:
$vpns = Get-CimInstance -Namespace root\cimv2\mdm\dmmap -ClassName MDM_VPNv2_01請透過檢閱 InstanceID 值來識別正確的設定檔:
$vpns[0].InstanceID將設定檔 XML 匯出為檔案:
[System.IO.File]::WriteAllText("VPN-Corrected.xml", $vpns[0].ProfileXML)在 Intune 中使用匯出的 XML 檔案作為 VPN 設定檔定義
使用 Windows 產生的 XML 有助於確保裝置上儲存的設定檔與 Intune 評估的設定檔保持一致,降低同步時設定檔被刪除及 VPN 斷線的風險。
無法安裝 VPN 用戶端
原因
需要額外的憑證,才能信任虛擬網路的 VPN 閘道。 該憑證包含在從 Azure 入口網站產生的 VPN 用戶端組態套件中。
解決方案
請擷取 VPN 用戶端組態套件,並找到 .cer 檔案。 若要安裝憑證,請依照下列步驟操作:
- 開啟 mmc.exe。
- 新增憑證嵌入式管理單元。
- 為本機電腦選取電腦帳戶。
- 在受信任的根憑證授權單位節點上按一下滑鼠右鍵。 按一下所有工作>匯入,然後瀏覽至您從 VPN 用戶端組態套件中擷取的 .cer 檔案。
- 重新啟動電腦。
- 嘗試安裝 VPN 用戶端。
Azure 入口網站錯誤:無法儲存 VPN 閘道,且資料無效
徵狀
當您嘗試在 Azure 入口網站中儲存 VPN 閘道的變更時,會收到下列錯誤訊息:
無法儲存虛擬網路閘道<閘道名稱>。 憑證<憑證 ID> 的資料無效。
原因
如果您上傳的根憑證公開金鑰包含無效字元,例如空格,就可能會發生此問題。
解決方案
請確認憑證中的資料不包含無效字元,例如換行符號。 整個值應為單一長行。 下列範例顯示憑證中要複製的區域:
Azure 入口網站錯誤:無法儲存 VPN 閘道,且資源名稱無效
徵狀
當您嘗試在 Azure 入口網站中儲存 VPN 閘道的變更時,會收到下列錯誤訊息:
無法儲存虛擬網路閘道<閘道名稱>。 資源名稱<您嘗試上傳的憑證名稱>無效。
原因
此問題是因為憑證名稱包含無效字元 (例如空格) 所造成。
Azure 入口網站錯誤:VPN 套件檔案下載錯誤 503
徵狀
當您嘗試下載 VPN 用戶端組態套件時,會收到下列錯誤訊息:
無法下載檔案。 錯誤詳細資料:錯誤 503。 伺服器忙碌中。
解決方案
此錯誤可能是由暫時性的網路問題所造成。 請稍候幾分鐘後,再次嘗試下載 VPN 套件。
Azure VPN 閘道升級:所有點對站用戶端都無法連線
原因
如果憑證的使用壽命已超過 50%,就會進行憑證輪替。
解決方案
若要解決此問題,請在所有用戶端上重新下載並重新部署點對站套件。
同時連線的 VPN 用戶端過多
已達到允許的最大連線數。 您可以在 Azure 入口網站中查看目前連線的用戶端總數。
VPN 用戶端無法存取網路檔案共用
徵狀
VPN 用戶端已連線至 Azure 虛擬網路。 不過,用戶端無法存取網路共用。
原因
檔案共用存取會使用 SMB 通訊協定。 啟動連線時,VPN 用戶端會新增工作階段認證,並在此時發生失敗。 建立連線後,用戶端會被強制使用快取認證進行 Kerberos 驗證。 此程序會向金鑰發佈中心 (網域控制站) 發出查詢以取得權杖。 由於用戶端是從網際網路連線,可能無法連線至網域控制站。 因此,用戶端無法從 Kerberos 容錯移轉至 NTLM。
只有在用戶端具有由其加入之網域所發行的有效憑證 (SAN=UPN) 時,系統才會提示輸入認證。 此外,用戶端也必須實際連線至網域網路。 在此情況下,用戶端會嘗試使用憑證並連線至網域控制站。 接著,金鑰發佈中心會傳回「KDC_ERR_C_PRINCIPAL_UNKNOWN」錯誤。 用戶端會被強制容錯移轉至 NTLM。
解決方案
若要因應此問題,請在下列登錄子機碼中停用網域認證的快取:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableDomainCreds - Set the value to 1
重新安裝 VPN 用戶端後,在 Windows 中找不到點對站 VPN 連線
徵狀
您已移除點對站 VPN 連線,然後重新安裝 VPN 用戶端。 在此情況下,VPN 連線未成功設定。 您在 Windows 的網路連線設定中看不到 VPN 連線。
解決方案
若要解決此問題,請從 C:\Users\UserName\AppData\Roaming\Microsoft\Network\Connections<VirtualNetworkId> 刪除舊的 VPN 用戶端組態檔案,然後再次執行 VPN 用戶端安裝程式。
點對站 VPN 用戶端無法解析本機網域中資源的 FQDN
徵狀
當用戶端使用點對站 VPN 連線連線至 Azure 時,無法解析本機網域中資源的 FQDN。
原因
點對站 VPN 用戶端通常會使用在 Azure 虛擬網路中設定的 Azure DNS 伺服器。 Azure DNS 伺服器的優先順序高於用戶端中設定的本機 DNS 伺服器 (除非乙太網路介面的計量較低),因此所有 DNS 查詢都會傳送至 Azure DNS 伺服器。 如果 Azure DNS 伺服器沒有本機資源的記錄,查詢就會失敗。
解決方案
若要解決此問題,請確定 Azure 虛擬網路中使用的 Azure DNS 伺服器能夠解析本機資源的 DNS 記錄。 您可以使用 DNS 轉送站或條件式轉送站來完成此設定。 如需詳細資訊,請參閱使用自有 DNS 伺服器進行名稱解析。
點對站 VPN 連線已建立,但仍無法連線至 Azure 資源
原因
如果 VPN 用戶端未從 Azure VPN 閘道取得路由,就可能會發生此問題。
解決方案
若要解決此問題,請重設 Azure VPN 閘道。 為確保使用新的路由,在成功設定虛擬網路對等互連後,必須再次下載點對站 VPN 用戶端。
錯誤:「撤銷功能無法檢查撤銷狀態,因為撤銷伺服器已離線。 (錯誤 0x80092013)」
原因
如果用戶端無法存取 http://crl3.digicert.com/ssca-sha2-g1.crl 與 http://crl4.digicert.com/ssca-sha2-g1.crl,就會發生此錯誤訊息。 撤銷檢查需要存取這兩個網站。 此問題通常發生在已設定 Proxy 伺服器的用戶端上。 在某些環境中,如果要求未經由 Proxy 伺服器,就會在邊界防火牆遭到拒絕。
解決方案
請檢查 Proxy 伺服器設定,並確認用戶端可以存取 http://crl3.digicert.com/ssca-sha2-g1.crl 與 http://crl4.digicert.com/ssca-sha2-g1.crl。
VPN 用戶端錯誤:因在 RAS/VPN 伺服器上設定的原則而阻止連線。 (錯誤 812)
原因
如果用於驗證 VPN 用戶端的 RADIUS 伺服器設定不正確,或 Azure 閘道無法連線至 RADIUS 伺服器,就會發生此錯誤。
解決方案
請確認 RADIUS 伺服器已正確設定。 如需詳細資訊,請參閱整合 RADIUS 驗證與 Azure Multi-Factor Authentication Server。
從 VPN 閘道下載根憑證時出現「錯誤 405」
原因
尚未安裝根憑證。 根憑證已安裝在用戶端的受信任的憑證存放區中。
VPN 用戶端錯誤:由於嘗試的 VPN 通道失敗,因此未建立遠端連線。 (錯誤 800)
原因
NIC 驅動程式已過期。
解決方案
更新 NIC 驅動程式:
- 按一下開始,輸入裝置管理員,然後從結果清單中選取。 如果系統提示您輸入系統管理員密碼或確認,請輸入密碼或提供確認。
- 在網路介面卡類別中,找出您要更新的 NIC。
- 按兩下裝置名稱,選取更新驅動程式,然後選取自動搜尋更新的驅動程式軟體。
- 如果 Windows 找不到新的驅動程式,您可以嘗試前往裝置製造商的網站尋找,並依照其指示操作。
- 重新啟動電腦,然後再次嘗試連線。
VPN 用戶端錯誤:您在 Microsoft Entra 的驗證已過期
如果您使用 Microsoft Entra ID 驗證,可能會遇到下列其中一個錯誤:
您在 Microsoft Entra 的驗證已過期。 您需要在 Entra 中重新驗證,以取得新的權杖。 驗證逾時可由您的系統管理員進行調整。
或
您在 Microsoft Entra 的驗證已過期,因此需要重新驗證以取得新的權杖。 請嘗試再次連線。 驗證原則與逾時由 Entra 租用戶中的系統管理員進行設定。
原因
由於目前的重新整理權杖已過期或變為無效,點對站連線已中斷。 無法取得新的存取權杖來驗證使用者。
當 Azure VPN Client 嘗試使用 Microsoft Entra ID 驗證與 Azure VPN 閘道建立連線時,需要存取權杖來驗證使用者。 此權杖大約每小時會更新一次。 只有在使用者具有有效的重新整理權杖時,系統才會發出有效的存取權杖。 如果使用者沒有有效的重新整理權杖,連線就會中斷。
重新整理權杖可能因多種原因而顯示為已過期或無效。 您可以檢查使用者的 Entra 登入記錄以進行偵錯。 請參閱 Microsoft Entra 登入記錄。
重新整理權杖已過期
- 重新整理權杖的預設存續時間為 90 天。 在 90 天後,使用者需要重新連線以取得新的重新整理權杖。
- Entra 租用戶系統管理員可以新增條件式存取原則,以設定登入頻率,觸發每隔「X」小時進行一次週期性重新驗證。 (重新整理權杖將在「X」小時後過期)。 使用自訂的條件式存取原則時,會強制使用者每隔「X」小時進行一次互動式登入。 如需詳細資訊,請參閱 Microsoft 身分識別平台中的重新整理權杖,以及設定調適型工作階段存續時間原則。
重新整理權杖無效
- 使用者已從租用戶中移除。
- 使用者的認證已變更。
- Entra 租用戶系統管理員已撤銷工作階段。
- 裝置已變為不符合規範 (如果是受控裝置)。
- Entra 系統管理員設定的其他 Entra 原則,要求使用者定期進行互動式登入。
解決方案
在這些情況下,使用者需要重新連線。 這會在 Microsoft Entra 中觸發互動式登入程序,並發出新的重新整理權杖與存取權杖。
Azure VPN 用戶端搭配 Entra ID 認證時,不會每次斷線時都要求使用者重新驗證
原因
Azure VPN 用戶端若使用點對點連線並使用 Entra ID 認證,斷線後不需要互動式重新認證。
建議的登入頻率(SIF)或刷新令牌到期時間,以獲得最佳 Azure VPN 客戶端體驗,應設定為超過 2 小時,視客戶需求而定。 這表示客戶在此期間內將保持連線,無需互動式重新驗證。
不建議將 SIF 設定為「每次」,因為這會需要每小時互動式重新認證,導致頻繁斷線。
啟用登入快取(預設)後,憑證會永久儲存,即使斷線後只要刷新憑證有效,也能無需互動式重新認證即可重新連線。 也就是說,重新連線的持續時間會落在 SIF 或重新整理權杖的到期時間內。
解決方案
為了確保 Azure VPN 用戶端每次斷線都會被要求重新認證,客戶可以在 Azure VPN 用戶端(版本 4.0.0.0 及以上)中使用「登入快取被停用」選項。 客戶可將使用者設定檔(XML) cachesigninuser 修改為 false。
<azvpnprofile>
<clientauth>
<aad>
<cachesigninuser>false</cachesigninuser>
</aad>
</clientauth>
</azvpnprofile>
當登入快取被停用時,令牌會儲存在記憶體中,該憑證有效於單一連線(或會話),不論連線長度(從 30 分鐘到 90 天不等)。 一旦連線斷開,記憶體中的標記就會被丟棄。 一個連線的持續時間取決於刷新令牌的到期時間或 SIF。
VPN 用戶端錯誤:正在撥號 VPN 連線 <VPN Connection Name>,狀態 = VPN 平台未觸發連線
您也可能會在 RasClient 的事件檢視器中看到下列錯誤:「使用者 <User> 撥號名為 <VPN Connection Name> 的連線,但該連線已失敗。 失敗時傳回的錯誤碼為 1460。」
原因
Azure VPN Client 在 Windows 的應用程式設定中未啟用「背景應用程式」應用程式權限。
解決方案
- 在 Windows 中,移至設定 -> 隱私權 -> 背景應用程式
- 將「允許應用程式在背景執行」切換為開啟
錯誤:「檔案下載錯誤,未指定目標 URI」
原因
這是因為設定了不正確的閘道類型。
解決方案
Azure VPN 閘道類型必須為 VPN,且 VPN 類型必須為 RouteBased。
VPN 套件安裝程式未完成
原因
此問題可能是由先前的 VPN 用戶端安裝所造成。
解決方案
從 C:\Users\UserName\AppData\Roaming\Microsoft\Network\Connections<VirtualNetworkId> 刪除舊的 VPN 用戶端組態檔案,然後再次執行 VPN 用戶端安裝程式。
VPN 用戶端進入休眠或睡眠
解決方案
檢查執行 VPN 用戶端的電腦上的睡眠與休眠設定。
我無法從點對站用戶端使用私人解析器解析私用 DNS 區域中的記錄。
徵狀
當您在虛擬網路上使用 Azure 提供的 DNS 伺服器 (168.63.129.16) 時,點對站用戶端將無法解析私用 DNS 區域中的記錄 (包括私用端點)。
原因
Azure DNS 伺服器 IP 位址 (168.63.129.16) 只能從 Azure 平台進行解析。
解決方案
下列步驟可協助您從私用 DNS 區域解析記錄:
將私人解析器的傳入 IP 位址設定為虛擬網路上的自訂 DNS 伺服器,可協助您解析私用 DNS 區域中的記錄 (包括由私用端點建立的記錄)。 請注意,私用 DNS 區域必須與具有私人解析器的虛擬網路建立關聯。
依預設,在虛擬網路上設定的 DNS 伺服器會推送至透過 VPN 閘道連線的點對站用戶端。 因此,將私人解析器傳入 IP 位址設定為虛擬網路上的自訂 DNS 伺服器,會自動將這些 IP 位址推送至用戶端作為 VPN DNS 伺服器,讓您可順暢地解析私用 DNS 區域中的記錄 (包括私用端點)。