遠端訪問 (VPN 和 AOVPN) 疑難解答指引

試用虛擬代理程式 - 它可協助您快速找出並修正常見的 VPN 和 AlwaysOn VPN 問題。

本文中列出的資源可協助您解決使用遠端訪問時遇到的問題。

建議的疑難解答步驟

• VPN 部署通常需要伺服器或用戶端電腦上至少手動設定。 您的主要考慮是在防火牆上開啟正確的埠，並轉送至伺服器，並啟用 VPN。 VPN 應該立即運作。 也請確定用戶端上的 VPN 設定已選取適當的通訊協定。
• 針對 VPN 連線進行疑難解答和測試的第一個步驟，是瞭解 Always On VPN (AOVPN) 基礎結構的核心元件。
• 如果 AOVPN 安裝程式未將用戶端連線到您的內部網路，原因可能是 VPN 憑證無效、NPS 原則不正確、影響用戶端部署腳本的問題，或路由和遠端訪問中發生的問題。

針對遠端訪問 VPN 問題進行疑難解答

• Microsoft Edge 會忽略 PAC 設定 - Android 13 中的 Microsoft Edge 會忽略在 Microsoft Intune 中每個應用程式 VPN 設定檔中設定的 Proxy 自動設定 (PAC) 設定。

• 事件標識符：錯誤碼為 720 的 20227 - VPN 用戶端未完成 VPN 連線，因為 WAN Miniport (IP) 適配卡未正確系結。

• L2TP VPN 失敗並出現錯誤 787 - 發生於 L2TP VPN 連線至遠端訪問伺服器失敗時。 因特網通訊協定安全性 (IPSec) 安全性關聯 (SA) 建立第二層通道通訊協定 (L2TP) 連線失敗，因為伺服器使用通配符憑證或來自不同證書頒發機構單位的憑證作為用戶端上設定的電腦憑證。 路由和遠端訪問 (RRAS) 選擇可在計算機證書存儲中找到的第一個憑證。 L2TP 在此方面的行為與安全套接字通道通訊協定 (SSTP) 或 IP-HTTPS 或任何其他手動設定的 IPsec 規則不同。 針對 L2TP，您需要 RRAS 內建機制來選擇憑證。 您無法變更此條件。

• 使用 MS-CHAPv2 時，LT2P/IPsec RAS VPN 連線失敗 - 使用 MS-CHAPv2 驗證時，您遇到 Windows 遠端存取服務 (RAS) Server 的 L2TP/IPsec VPN 連線中斷。 如果驗證域控制器上的 LmCompatibilityLevel 設定 (DC) 從預設值修改，就會發生此問題。

• 連線到 VPN 伺服器之後無法連線到 因特網 - 此問題會在您使用 VPN 登入執行路由和遠端存取的伺服器之後，防止您連線到因特網。 如果您將 VPN 連線設定為使用遠端網路上的預設閘道，可能會發生此問題。 該設定會覆寫您在傳輸控制通訊協定/因特網通訊協定 (TCP/IP) 設定中指定的預設網關設定。

• 無法建立遠端存取 VPN 連線 - 可協助您針對防止用戶端連線到 VPN 伺服器的一般問題進行疑難解答的資訊。

• 無法傳送和接收數據 - 舊版OS) (雙向遠端訪問 VPN 連線失敗的常見原因和解決方案相關信息。

針對 AOVPN 問題進行疑難解答

• 錯誤碼：800 - 未進行遠端連線，因為嘗試的 VPN 通道失敗。 VPN 伺服器可能無法連線。 如果此連線嘗試使用 L2TP/IPsec 通道，則 IPsec 交涉所需的安全性參數可能未正確設定。

• 錯誤碼：809 - 無法建立計算機與 VPN 伺服器之間的網路連線，因為遠端伺服器沒有回應。 這可能是因為您的電腦與遠端伺服器之間 (防火牆、NAT 或路由器等其中一個網路裝置) 未設定為允許 VPN 連線。 請連絡您的系統管理員或服務提供者，以判斷哪個裝置造成問題。

• 錯誤碼：812 - 無法連線到 AOVPN。 線上因為 RAS 或 VPN 伺服器上設定的原則而無法連線。 具體而言，伺服器用來驗證使用者名稱和密碼的驗證方法不符合連線配置檔中設定的驗證方法。 通知 RAS 伺服器的系統管理員有關此錯誤。

• 錯誤碼：13806 - IKE 找不到有效的機器憑證。 請連絡網路安全性系統管理員，瞭解如何在適當的證書存儲中安裝有效的憑證。

• 錯誤碼：13801 - 無法接受 IKE 驗證認證。

• 錯誤碼：0x80070040 - 伺服器證書沒有伺服器驗證作為其中一個憑證使用專案。

• 錯誤碼：0x800B0109 - VPN 用戶端已加入發佈受信任跟證書的 Active Directory 網域，例如從企業 CA。 在所有網域成員上，憑證會自動安裝在 [受信任的跟證書授權單位] 存放區中。 不過，如果計算機未加入網域，或如果您使用替代憑證鏈結，您可能會遇到此問題。

• Always On VPN 用戶端連線問題 - 設定錯誤可能會導致用戶端連線失敗。 尋找原因可能很困難。 AOVPN 用戶端會先經過數個步驟，再建立連線。

• 無法從 [VPN 連線能力] 刀 鋒視窗刪除憑證 - 無法刪除 [VPN 連線] 刀鋒視窗上的憑證。 (Microsoft Entra 條件式存取連線問題。)

資料收集

在連絡 Microsoft 支援服務之前，您可以收集問題的相關信息。

必要條件

1. TSS 必須由具有本機系統系統系統管理員許可權的帳戶執行，而且在接受 EULA 之後，必須接受 (EULA，TSS 將不會再次提示) 。
2. 我們建議使用本機電腦 RemoteSigned PowerShell 執行原則。

注意事項

如果目前的 PowerShell 執行原則不允許執行 TSS，請採取下列動作：

• RemoteSigned執行 Cmdlet，以設定進程層級的執行原則PS C:\> Set-ExecutionPolicy -scope Process -ExecutionPolicy RemoteSigned。
• 若要確認變更是否生效，請執行 Cmdlet PS C:\> Get-ExecutionPolicy -List。
• 由於處理程式層級許可權僅適用於目前的 PowerShell 工作階段，因此，一旦 TSS 執行所在的指定 PowerShell 視窗關閉，指派的進程層級許可權也會回到先前設定的狀態。

請先收集金鑰資訊，再連絡 Microsoft 支援服務

1. 在所有節點上下載 TSS ，並將它解壓縮到 C：\tss 資料夾中。

2. 從提升許可權的 PowerShell 命令提示字元開啟 C：\tss 資料夾。

3. 使用下列 Cmdlet 在用戶端和伺服器上啟動追蹤：

   • 客戶：

     TSS.ps1 -Scenario NET_VPN
     

   • 伺服器：

     TSS.ps1 -Scenario NET_RAS
     

4. 如果第一次在伺服器或用戶端上執行追蹤，請接受EULA。

5. 允許錄製 (PSR 或視訊) 。

6. 在輸入 Y 之前重現問題。

   注意事項

   如果您在用戶端和伺服器上收集記錄，請在這兩個節點上等候此訊息，然後再重現問題。

7. 輸入 Y 以在重現問題之後完成記錄收集。

追蹤會儲存在 C：\MS_DATA 資料夾的 zip 檔案中，可上傳至工作區進行分析。

參考

• Always On 適用於 Windows Server 2016 和 Windows 10 的 VPN 部署 - 提供如何將遠端存取部署為點對站 VPN 連線的單一租使用者 VPN RAS 閘道的指示，讓遠端員工使用 AOVPN 連線連線到您的組織網路。 建議您檢閱此部署中所使用每個技術的設計和部署指南。

• 如何在 Configuration Manager 中建立 VPN 設定檔 - 本主題說明如何在 Configuration Manager 中建立 VPN 設定檔。

• Always On VPN 功能 - 本主題討論 AOVPN 的特性和功能。