Vpn-gateway-troubleshoot-vpn-point-to-site-connection-problems.md at master ·

Устранение неполадок подключения типа «точка — сеть» Azure

В этой статье перечисляются распространенные проблемы подключения типа «точка — сеть», которые могут возникнуть. Кроме того, здесь рассматриваются возможные причины этих проблем и способы их устранения.

Ошибка VPN-клиента: не удалось найти сертификат

Симптом

При попытке подключения к виртуальной сети Azure с помощью VPN-клиента появляется следующее сообщение об ошибке:

Не удалось найти сертификат, который может использоваться с этим расширенным протоколом проверки подлинности. (Ошибка 798)

Причина

Решение

Устранить проблему можно так:

1. Откройте диспетчер сертификатов. Щелкните Запустить, введите управление сертификатами компьютеров и щелкните Управление сертификатами компьютеров в результатах поиска.

2. Убедитесь, что перечисленные ниже сертификаты находятся в правильном расположении.

Дополнительные сведения о том, как установить сертификат клиента, см. в статье Создание и экспорт сертификатов для подключений типа «точка — сеть» с помощью PowerShell в Windows 10.

Не удалось установить сетевое подключение между компьютером и VPN-сервером, так как удаленный сервер не отвечает

Симптом

При попытке подключения к шлюзу виртуальной сети Azure с помощью IKEv2 в Windows вы получаете следующее сообщение об ошибке:

Не удалось установить сетевое подключение между компьютером и VPN-сервером, так как удаленный сервер не отвечает

Причина

Проблема возникает, если в версии Windows отсутствует поддержка для фрагментации IKE

Решение

IKEv2 поддерживается в Windows 10 и Server 2016. Однако для использования IKEv2 необходимо установить обновления и задать значение раздела реестра локально. Версии операционной системы до Windows 10 не поддерживаются и могут использовать только SSTP.

Чтобы подготовить Windows 10 или Server 2016 IKEv2:

2. Установите значение раздела реестра. Создайте или задайте HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload REG_DWORD ключа в реестре равным 1.

Ошибка VPN-клиента: получено непредвиденное или неправильно отформатированное сообщение

Симптом

При попытке подключения к виртуальной сети Azure с помощью VPN-клиента появляется следующее сообщение об ошибке:

Полученное сообщение было непредвиденным или неправильно отформатировано. (Ошибка 0x80090326)

Причина

Эта проблема возникает, если выполняется одно из следующих условий.

• Определяемые пользователем маршруты (UDR) с маршрутом по умолчанию в подсети шлюза заданы неправильно.
• Открытый ключ корневого сертификата не был передан на VPN-шлюз Azure.
• Ключ поврежден или истек срок его действия.

Решение

Устранить проблему можно так:

1. Удалите UDR в подсети шлюза. Убедитесь, что UDR перенаправляет весь трафик должным образом.
2. Проверьте состояние корневого сертификата на портале Azure, чтобы узнать, не отменен ли он. Если он не был отозван, попробуйте удалить корневой сертификат и повторить его передачу. Дополнительные сведения см. в разделе Создание сертификатов.

Ошибка VPN-клиента: цепочка сертификатов обработана, но обработка прервана

Симптом

При попытке подключения к виртуальной сети Azure с помощью VPN-клиента появляется следующее сообщение об ошибке:

Цепочка сертификатов обработана, но обработка прервана на корневом сертификате, у которого отсутствует отношение доверия с поставщиком доверия.

Решение

1. Убедитесь, что перечисленные ниже сертификаты находятся в правильном расположении.

2. Если сертификаты уже находятся в соответствующих расположениях, попробуйте удалить эти сертификаты и установить их заново. Сертификат azuregateway-GUID.cloudapp.net находится в пакете конфигурации VPN-клиента, скачанном с портала Azure. Для извлечения файлов из пакета можно использовать архиваторы.

Произошла ошибка скачивания файла. Целевой URI не указан

Симптом

Отображается следующее сообщение об ошибке:

Ошибка скачивания файла. Не указан целевой URI.

Причина

Эта проблема возникает из-за неправильного типа шлюза.

Решение

Типом VPN-шлюза должен быть VPN, а типом VPN — routebased.

Ошибка VPN-клиента: сбой настраиваемого сценария VPN Azure

Симптом

При попытке подключения к виртуальной сети Azure с помощью VPN-клиента появляется следующее сообщение об ошибке:

Сбой пользовательского скрипта (для обновления таблицы маршрутизации). (Ошибка 8007026f)

Причина

Это может произойти, если вы пытаетесь открыть VPN-подключение типа «сеть — точка» с помощью ярлыка.

Решение

Откройте пакет VPN напрямую, а не с помощью ярлыка.

Не удается установить VPN-клиент

Причина

Для установления отношений доверия между VPN-шлюзом и виртуальной сетью требуется дополнительный сертификат. Этот сертификат включен в пакет конфигурации VPN-клиента, который создается на портале Azure.

Решение

Извлеките содержимое пакета конфигурации VPN-клиента и найдите CER-файл. Для установки сертификата выполните следующие действия:

1. Запустите mmc.exe.
2. Добавьте оснастку Сертификаты.
3. Выберите учетную запись Компьютер для локального компьютера.
4. Щелкните правой кнопкой мыши узел Доверенные корневые центры сертификации. Щелкните все — > Импорт задач и перейдите к CER-файлу, извлеченному из пакета конфигурации VPN-клиента.
5. Перезагрузите компьютер.
6. Попробуйте установить VPN-клиент.

Ошибка портала Azure: не удалось сохранить VPN-шлюз, так как данные являются недопустимыми

Симптом

При попытке сохранить изменения для VPN-шлюза на портале Azure появляется следующее сообщение об ошибке:

Не удалось сохранить < имя шлюза шлюза виртуальной сети > . Недопустимые данные для < идентификатора сертификата сертификата > .

Причина

Эта проблема может возникнуть, если переданный вами открытый ключ корневого сертификата содержит недопустимые знаки, например пробел.

Решение

Убедитесь, что данные в сертификате не содержат недопустимых знаков, таких как разрывы строки (возврат каретки). Значение целиком должно находиться в одной длинной строке. Ниже приведен пример содержимого сертификата.

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Ошибка портала Azure: не удалось сохранить VPN-шлюз, так как имя ресурса является недопустимым

Симптом

При попытке сохранить изменения для VPN-шлюза на портале Azure появляется следующее сообщение об ошибке:

Не удалось сохранить < имя шлюза шлюза виртуальной сети > . < > Недопустимое имя ресурса имя сертификата, которое вы пытаетесь отправить.

Причина

Эта проблема возникает, когда имя сертификата содержит недопустимые знаки, например пробел.

Ошибка портала Azure: ошибка 503 при скачивании файла пакета VPN

Симптом

Решение

Обновление VPN-шлюза Azure, всем клиентам типа «точка — сеть» не удается подключиться

Причина

Если время существования сертификата составляет более 50 процентов, то сертификат сменяется.

Решение

Слишком много одновременно подключенных VPN-клиентов

Достигнуто максимальное число допустимых подключений. Общее количество подключенных клиентов можно просмотреть на портале Azure.

VPN-клиент не может получить доступ к сетевым файловым ресурсам

Симптом

VPN-клиент подключился к виртуальной сети Azure. Однако он не может получить доступ к сетевым папкам.

Причина

Для доступа к файловым ресурсам используется протокол SMB. Когда VPN-клиент добавляет учетные данные сеанса при инициировании подключения, происходит сбой. После установления подключения клиент принудительно использует кэшированные учетные данные для аутентификации Kerberos. Это инициирует отправку запросов к центру распространения ключей (контроллеру домена) для получения токена. Так как клиенты подключаются через Интернет, они могут не подключиться к контроллеру домена. Следовательно, клиенты не могут выполнить отработку отказа с Kerberos на NTLM.

Единственный случай, в котором клиенту будет предложено указать учетные данные — когда у клиента есть действительный сертификат (в котором для параметра SAN указано имя участника-пользователя), выданный доменом, к которому присоединен клиент. Клиент также должен быть физически подключен к доменной сети. В этом случае клиент пытается использовать сертификат и подключиться к контроллеру домена. Затем центр распространения ключей возвращает ошибку «KDC_ERR_C_PRINCIPAL_UNKNOWN». Это вынуждает клиента выполнить отработку отказа на NTLM.

Решение

Чтобы обойти эту проблему, отключите кэширование учетных данных домена в следующем подразделе реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableDomainCreds - Set the value to 1

Не удается найти VPN-подключение типа «точка — сеть» в Windows после повторной установки VPN-клиента

Симптом

Вы удаляете VPN-подключение типа «точка — сеть», а затем переустанавливаете VPN-клиент. В этом случае VPN-подключение не будет успешно настроено. Вы не видите VPN-подключение в параметрах Сетевые подключения в Windows.

Решение

Чтобы устранить эту проблему, удалите старые файлы конфигурации VPN-клиента из к:\усерс\усернаме\аппдата\роаминг\микрософт\нетворк\коннектионс <VirtualNetworkId>, а затем снова запустите установщик VPN-клиента.

VPN-клиенту типа «точка — сеть» не удается разрешить полные доменные имена ресурсов в локальном домене

Симптом

Когда клиент подключается к Azure с помощью VPN-подключения типа «точка — сеть», ему не удается разрешить полные доменные имена ресурсов в локальном домене.

Причина

VPN-клиент типа «точка — сеть» обычно использует Azure DNS серверы, настроенные в виртуальной сети Azure. Azure DNS серверы имеют приоритет над локальными DNS-серверами, настроенными в клиенте (если только Метрика интерфейса Ethernet не ниже), поэтому все запросы DNS отправляются на серверы Azure DNS. Если на DNS-серверах Azure нет записей для локальных ресурсов, запрос завершается ошибкой.

Решение

Чтобы устранить эту проблему, убедитесь, что DNS-серверы Azure, используемые в виртуальной сети Azure, могут разрешать записи DNS для локальных ресурсов. Для этого можно использовать DNS-серверы пересылки или серверы условной пересылки. Дополнительные сведения см. в разделе Разрешение имен с помощью собственного DNS-сервера.

VPN-подключение типа «точка — сеть» устанавливается, но по-прежнему не удается подключиться к ресурсам Azure

Причина

Это может происходить, если VPN-клиент не получает маршруты из VPN-шлюза Azure.

Решение

Чтобы устранить эту проблему, сбросьте VPN-шлюз Azure. Чтобы убедиться, что используются новые маршруты, клиенты VPN «точка-сеть» необходимо загрузить заново после успешной настройки пиринга виртуальной сети.

Ошибка: «Функции отзыва не удалось проверить отзыв, так как сервер отзыва был не в сети. (Ошибка 0x80092013.)»

Причины

Решение

Ошибка VPN-клиента: «Подключение не выполнено из-за политики, заданной на сервере службы удаленного доступа/виртуальной частной сети. (Ошибка 812.)»

Причина

Эта ошибка возникает, если для сервера RADIUS, который использовался для аутентификации VPN-клиента, заданы неправильные параметры или шлюзу Azure не удается подключиться к серверу RADIUS.

Решение

Убедитесь, что сервер RADIUS настроен правильно. Дополнительные сведения см. в статье Интеграция аутентификации RADIUS с Azure AD сервер многофакторной идентификации.

«Ошибка 405» при скачивании корневого сертификата из VPN-шлюза

Причина

Корневой сертификат не установлен. Корневой сертификат установлен в хранилище доверенных сертификатов клиента.

Ошибка VPN-клиента: «Удаленное подключение не удалось установить из-за сбоя использованных VPN-туннелей. (Ошибка 800.)»

Причина

Драйвер сетевого адаптера является устаревшим.

Решение

Обновите драйвер сетевого адаптера.

1. Нажмите кнопку Пуск, введите диспетчер устройств и выберите диспетчер устройств из списка результатов. Если появится запрос на ввод или подтверждение пароля администратора, введите пароль или подтвердите его.
2. В категориях Сетевые адаптеры найдите сетевой адаптер, который требуется обновить.
3. Дважды щелкните имя устройства, выберите Обновить драйвер и щелкните Автоматический поиск обновленных драйверов.
4. Если Windows не удастся найти новый драйвер, его можно будет найти на веб-сайте изготовителя устройства и следовать представленным инструкциям.
5. Перезагрузите компьютер и повторите попытку подключения.

Ошибка VPN-клиента: набор VPN-подключения , состояние = платформа VPN не активировала подключение

Кроме того, в Просмотр событий из Расклиент можно столкнуться со следующей ошибкой: «пользователь набирает соединение с ошибкой. Код ошибки, возвращенный при сбое, — 1460. «

Причина

В параметрах приложения для Windows VPN-клиент Azure не включено разрешение приложения «фоновые приложения».

Решение

1. В Windows перейдите в раздел Параметры — > конфиденциальность — > фоновые приложения.
2. Установите переключатель «разрешить запуск приложений в фоновом режиме» на

Ошибка: «Произошла ошибка скачивания файла. Целевой URI не указан.»

Причина

Эта ошибка возникает из-за неправильной настройки типа шлюза.

Решение

Типом VPN-шлюза Azure должен быть «VPN», а типом VPN — RouteBased.

Установщик пакета VPN не завершен

Причина

Причиной этой проблемы могут быть предыдущие установки VPN-клиента.

Решение

Удалите старые файлы конфигурации VPN-клиента из к:\усерс\усернаме\аппдата\роаминг\микрософт\нетворк\коннектионс <VirtualNetworkId> и снова запустите установщик VPN-клиента.

Через некоторое время VPN-клиент переходит в режим гибернации или спящий режим

Решение

Проверьте параметры спящего режима и режима гибернации на компьютере с VPN-клиентом.