Устранение неполадок Always On VPN Troubleshoot Always On VPN

Область применения: Windows Server (половина ежегодного канала), Windows Server 2016, Windows Server 2012 R2, Windows 10 Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016, Windows Server 2012 R2, Windows 10

Если Always On установки VPN не удается подключить клиентов к внутренней сети, причиной является недопустимый сертификат VPN, неправильные политики NPS или проблемы с сценариями развертывания клиента или маршрутизацией и удаленным доступом. If your Always On VPN setup is failing to connect clients to your internal network, the cause is likely an invalid VPN certificate, incorrect NPS policies, or issues with the client deployment scripts or in Routing and Remote Access. Первым шагом в устранении неполадок и тестировании VPN-подключения является понимание основных компонентов инфраструктуры VPN Always On. The first step in troubleshooting and testing your VPN connection is understanding the core components of the Always On VPN infrastructure.

Устранить проблемы с подключением можно несколькими способами. You can troubleshoot connection issues in several ways. Для проблем на стороне клиента и общего устранения неполадок приложение регистрируется на клиентских компьютерах. For client-side issues and general troubleshooting, the application logs on client computers are invaluable. Для проблем, связанных с проверкой подлинности, журнал NPS на сервере NPS может помочь определить источник проблемы. For authentication-specific issues, the NPS log on the NPS server can help you determine the source of the problem.

Коды ошибок Error codes

Код ошибки: 800 Error code: 800

Описание ошибки. Error description. «Удаленное подключение не удалось установить из-за сбоя использованных VPN-туннелей. The remote connection was not made because the attempted VPN tunnels failed. VPN-сервер может быть недоступен. The VPN server might be unreachable. Если это подключение пытается использовать туннель L2TP/IPsec, параметры безопасности, необходимые для согласования IPsec, могут быть настроены неправильно. If this connection is attempting to use an L2TP/IPsec tunnel, the security parameters required for IPsec negotiation might not be configured properly.

Возможная причина. Possible cause. Эта ошибка возникает, если VPN-туннель имеет тип Авто и попытка подключения завершается неудачно для всех VPN-туннелей. This error occurs when the VPN tunnel type is Automatic and the connection attempt fails for all VPN tunnels.

Возможные решения Possible solutions:

Если вы понимаете, какой туннель использовать для развертывания, задайте тип VPN на стороне VPN-клиента для этого типа туннеля. If you know which tunnel to use for your deployment, set the type of VPN to that particular tunnel type on the VPN client side.

При установлении VPN-подключения с определенным типом туннеля подключение по-прежнему будет завершаться сбоем, но это приведет к появлению дополнительной ошибки, относящейся к туннелю (например, «GRE заблокирован для PPTP»). By making a VPN connection with a particular tunnel type, your connection will still fail, but it will result in a more tunnel-specific error (for example, «GRE blocked for PPTP»).

Эта ошибка также возникает, когда не удается подключиться к VPN-серверу или не удается установить туннельное подключение. This error also occurs when the VPN server cannot be reached or the tunnel connection fails.

Проверьте следующее. Make sure:

Порты IKE (UDP-порты 500 и 4500) не блокируются. IKE ports (UDP ports 500 and 4500) aren’t blocked.

Правильные сертификаты для IKE существуют как на клиенте, так и на сервере. The correct certificates for IKE are present on both the client and the server.

Код ошибки: 809 Error code: 809

Описание ошибки. Error description. Не удалось установить сетевое подключение между компьютером и VPN-сервером, так как удаленный сервер не отвечает. The network connection between your computer and the VPN server could not be established because the remote server is not responding. Это может быть вызвано тем, что одно из сетевых устройств (например, брандмауэры, NAT, маршрутизаторы) между компьютером и удаленным сервером не настроено для разрешения VPN-подключений. This could be because one of the network devices (e.g., firewalls, NAT, routers) between your computer and the remote server is not configured to allow VPN connections. Обратитесь к администратору или поставщику услуг, чтобы определить, какое устройство может быть причиной проблемы. Please contact your administrator or your service provider to determine which device may be causing the problem.

Возможная причина. Possible cause. Эта ошибка вызвана блокированием портов UDP 500 или 4500 на VPN-сервере или брандмауэре. This error is caused by blocked UDP 500 or 4500 ports on the VPN server or the firewall.

Возможное решение. Possible solution. Убедитесь, что UDP-порты 500 и 4500 разрешены через все брандмауэры между клиентом и сервером RRAS. Ensure that UDP ports 500 and 4500 are allowed through all firewalls between the client and the RRAS server.

Код ошибки: 812 Error code: 812

Описание ошибки. Error description. Не удается подключиться к Always On VPN. Can’t connect to Always On VPN. Подключение не выполнено из-за политики, заданной на вашем RAS/VPN сервере. The connection was prevented because of a policy configured on your RAS/VPN server. В частности, метод проверки подлинности, используемый сервером для проверки имени пользователя и пароля, может не соответствовать методу проверки подлинности, настроенному в профиле подключения. Specifically, the authentication method the server used to verify your user name and password may not match the authentication method configured in your connection profile. Обратитесь к администратору сервера RAS и сообщите ему об этой ошибке. Please contact the administrator of the RAS server and notify him or her of this error.

Возможные причины: Possible causes:

Типичная причина этой ошибки заключается в том, что NPS указал условие проверки подлинности, которое клиент не может удовлетворить. The typical cause of this error is that the NPS has specified an authentication condition that the client cannot meet. Например, NPS может указать использование сертификата для защиты подключения PEAP, но клиент пытается использовать EAP-MSCHAPv2. For example, the NPS may specify the use of a certificate to secure the PEAP connection, but the client is attempting to use EAP-MSCHAPv2.

Журнал событий 20276 регистрируется в средстве просмотра событий, если параметр протокола проверки подлинности VPN-сервера на основе RRAS не соответствует компьютеру VPN-клиента. Event log 20276 is logged to the event viewer when the RRAS-based VPN server authentication protocol setting doesn’t match that of the VPN client computer.

Возможное решение. Possible solution. Убедитесь, что конфигурация клиента соответствует условиям, указанным на сервере NPS. Ensure that your client configuration matches the conditions that are specified on the NPS server.

Код ошибки: 13806 Error code: 13806

Описание ошибки. Error description. IKE не удалось найти действительный сертификат компьютера. IKE failed to find a valid machine certificate. Обратитесь к администратору безопасности сети, чтобы установить действительный сертификат в соответствующем хранилище сертификатов. Contact your network security administrator about installing a valid certificate in the appropriate certificate store.

Возможная причина. Possible cause. Эта ошибка обычно возникает, когда на VPN-сервере отсутствует сертификат компьютера или сертификат корневого компьютера. This error typically occurs when no machine certificate or root machine certificate is present on the VPN server.

Возможное решение. Possible solution. Убедитесь, что сертификаты, указанные в этом развертывании, установлены как на клиентском компьютере, так и на VPN-сервере. Ensure that the certificates outlined in this deployment are installed on both the client computer and the VPN server.

Код ошибки: 13801 Error code: 13801

Описание ошибки. Error description. Учетные данные проверки подлинности IKE недопустимы. IKE authentication credentials are unacceptable.

Возможные причины. Possible causes. Эта ошибка обычно возникает в одном из следующих случаев. This error typically occurs in one of the following cases:

Сертификат компьютера, используемый для проверки IKEv2 на сервере RAS, не имеет проверки подлинности сервера в разделе » Расширенное использование ключа«. The machine certificate used for IKEv2 validation on the RAS server doesn’t have Server Authentication under Enhanced Key Usage.

Срок действия сертификата компьютера на сервере удаленного доступа истек. The machine certificate on the RAS server has expired.

Корневой сертификат для проверки сертификата сервера удаленного доступа отсутствует на клиентском компьютере. The root certificate to validate the RAS server certificate isn’t present on the client computer.

Имя VPN-сервера, используемое на клиентском компьютере, не соответствует SubjectName сертификата сервера. The VPN server name used on the client computer doesn’t match the subjectName of the server certificate.

Возможное решение. Possible solution. Убедитесь, что сертификат сервера включает проверку подлинности сервера в разделе Расширенное использование ключа. Verify that the server certificate includes Server Authentication under Enhanced Key Usage. Убедитесь, что сертификат сервера все еще действителен. Verify that the server certificate is still valid. Убедитесь, что используемый центр сертификации указан в списке Доверенные корневые центры сертификации на сервере RRAS. Verify that the CA used is listed under Trusted Root Certification Authorities on the RRAS server. Убедитесь, что VPN-клиент подключается с помощью полного доменного имени VPN-сервера, представленного в сертификате VPN-сервера. Verify that the VPN client connects by using the FQDN of the VPN server as presented on the VPN server’s certificate.

Код ошибки: 0x80070040 Error code: 0x80070040

Описание ошибки. Error description. В сертификате сервера не используется Проверка подлинности сервера в качестве одной из записей использования сертификатов. The server certificate does not have Server Authentication as one of its certificate usage entries.

Возможная причина. Possible cause. Эта ошибка может возникать, если на сервере удаленного доступа не установлен сертификат проверки подлинности сервера. This error may occur if no server authentication certificate is installed on the RAS server.

Возможное решение. Possible solution. Убедитесь, что сертификат компьютера, используемый сервером RAS для IKEv2 , использует проверку подлинности сервера в качестве одной из записей использования сертификатов. Make sure that the machine certificate the RAS server uses for IKEv2 has Server Authentication as one of the certificate usage entries.

Код ошибки: 0x800B0109 Error code: 0x800B0109

Как правило, компьютер VPN-клиента присоединяется к домену на основе Active Directory. Generally, the VPN client machine is joined to the Active Directory–based domain. Если для входа на VPN-сервер используются учетные данные домена, сертификат автоматически устанавливается в хранилище Доверенные корневые центры сертификации. If you use domain credentials to log on to the VPN server, the certificate is automatically installed in the Trusted Root Certification Authorities store. Однако если компьютер не присоединен к домену или используется другая цепочка сертификатов, может возникнуть эта проблема. However, if the computer is not joined to the domain or if you use an alternative certificate chain, you may experience this issue.

Описание ошибки. Error description. Цепочка сертификатов обработана, но была прервана в корневом сертификате, которому не доверяет поставщик доверия. A certificate chain processed but terminated in a root certificate that the trust provider does not trust.

Возможная причина. Possible cause. Эта ошибка может возникать, если соответствующий доверенный корневой сертификат ЦС не установлен в хранилище доверенных корневых центров сертификации на клиентском компьютере. This error may occur if the appropriate trusted root CA certificate is not installed in the Trusted Root Certification Authorities store on the client computer.

Возможное решение. Possible solution. Убедитесь, что корневой сертификат установлен на клиентском компьютере в хранилище доверенных корневых центров сертификации. Make sure that the root certificate is installed on the client computer in the Trusted Root Certification Authorities store.

Журналы Logs

Журналы приложений Application logs

Приложение регистрируется на клиентских компьютерах в большинстве сведений о событиях VPN-подключений более высокого уровня. The application logs on client computers record most of the higher-level details of VPN connection events.

Найдите события из источника Расклиент. Look for events from source RasClient. Все сообщения об ошибках возвращают код ошибки в конце сообщения. All error messages return the error code at the end of the message. Ниже описаны некоторые из наиболее распространенных кодов ошибок, но полный список доступен в кодах ошибок маршрутизации и удаленного доступа. Some of the more common error codes are detailed below, but a full list is available in Routing and Remote Access Error Codes.

Журналы NPS NPS logs

NPS создает и сохраняет журналы учета NPS. NPS creates and stores the NPS accounting logs. По умолчанию они хранятся в файлах% SYSTEMROOT% \ system32 \ \ в файле с именемXXXX. txt, где XXXX — это Дата создания файла. By default, these are stored in %SYSTEMROOT%\System32\Logfiles\ in a file named INXXXX.txt, where XXXX is the date the file was created.

По умолчанию эти журналы находятся в формате значений с разделителями-запятыми, но не содержат строки заголовка. By default, these logs are in comma-separated values format, but they don’t include a heading row. Строка заголовка: The heading row is:

Если вставить эту строку заголовка в качестве первой строки файла журнала, а затем импортировать файл в Microsoft Excel, столбцы будут помечены правильно. If you paste this heading row as the first line of the log file, then import the file into Microsoft Excel, the columns will be properly labeled.

Журналы NPS могут быть полезны при диагностике проблем, связанных с политиками. The NPS logs can be helpful in diagnosing policy-related issues. Дополнительные сведения о журналах NPS см. в разделе Интерпретация файлов журнала в формате базы данных NPS. For more information about NPS logs, see Interpret NPS Database Format Log Files.

Проблемы в работе скрипта VPN_Profile.ps1 VPN_Profile.ps1 script issues

Наиболее распространенные проблемы, возникающие при ручном запуске Profile.ps1 сценария VPN_ включают: The most common issues when manually running the VPN_ Profile.ps1 script include:

Используется ли средство удаленного подключения? Do you use a remote connection tool? Не следует использовать RDP или другой метод удаленного подключения, так как он перепутать с обнаружением входа пользователя. Make sure not to use RDP or another remote connection method as it messes with user login detection.

Является ли пользователь администратором этого локального компьютера? Is the user an administrator of that local machine? Убедитесь, что при выполнении сценария VPN_Profile.ps1, у которого у пользователя есть права администратора. Make sure that while running the VPN_Profile.ps1 script that the user has administrator privileges.

Включены ли дополнительные функции безопасности PowerShell? Do you have additional PowerShell security features enabled? Убедитесь, что политика выполнения PowerShell не блокирует скрипт. Make sure that the PowerShell execution policy is not blocking the script. Перед выполнением скрипта можно отключить ограниченный языковой режим, если он включен. You might consider turning off Constrained Language mode, if enabled, before running the script. Вы можете активировать ограниченный языковой режим после успешного завершения сценария. You can activate Constrained Language mode after the script completes successfully.

Проблемы с подключением клиента Always On VPN Always On VPN client connection issues

Небольшая неудачная настройка может привести к сбою клиентского подключения, что может быть трудно обнаружить причину. A small misconfiguration can cause the client connection to fail and can be challenging to find the cause. Перед установкой соединения Always On VPN-клиент проходит несколько шагов. An Always On VPN client goes through several steps before establishing a connection. При устранении неполадок с подключением клиентов пройдите процесс исключения следующим образом: When troubleshooting client connection issues, go through the process of elimination with the following:

Подключен ли шаблон к внешнему компьютеру? Is the template machine externally connected? При сканировании вхатисмип должен отображаться общедоступный IP-адрес, который не принадлежит вам. A whatismyip scan should show a public IP address that does not belong to you.

Можно ли разрешить имя сервера удаленного доступа или VPN-адреса в адрес? Can you resolve the Remote Access/VPN server name to an IP address? В окне «Сетевые подключения» панели управления > Network Internet > Network Connectionsоткройте свойства профиля VPN. In Control Panel > Network and Internet > Network Connections, open the properties for your VPN Profile. Значение на вкладке Общие должно быть открыто разрешимым с помощью DNS. The value in the General tab should be publicly resolvable through DNS.

Можно ли получить доступ к VPN-серверу из внешней сети? Can you access the VPN server from an external network? Попробуйте открыть внешний интерфейс с помощью протокола ICMP и проверить связь с именем удаленного клиента. Consider opening Internet Control Message Protocol (ICMP) to the external interface and pinging the name from the remote client. После успешной проверки связи можно удалить правило Allow ICMP. After a ping is successful, you can remove the ICMP allow rule.

Правильно ли настроены внутренние и внешние сетевые адаптеры на VPN-сервере? Do you have the internal and external NICs on the VPN server configured correctly? Они находятся в разных подсетях? Are they in different subnets? Подключение внешнего сетевого адаптера к правильному интерфейсу в брандмауэре? Does the external NIC connect to the correct interface on your firewall?

Открыты ли порты UDP 500 и 4500 от клиента к внешнему интерфейсу VPN-сервера? Are UDP 500 and 4500 ports open from the client to the VPN server’s external interface? Проверьте брандмауэр клиента, брандмауэр сервера и все аппаратные брандмауэры. Check the client firewall, server firewall, and any hardware firewalls. IPSEC использует UDP-порт 500, поэтому убедитесь, что ИПЕК отключены или не заблокированы в любом месте. IPSEC uses UDP port 500, so make sure that you do not have IPEC disabled or blocked anywhere.

Происходит сбой проверки сертификата? Is certificate validation failing? Убедитесь, что NPS-сервер имеет сертификат проверки подлинности сервера, который может обслуживать запросы IKE. Verify the NPS server has a Server Authentication certificate that can service IKE requests. Убедитесь, что в качестве клиента NPS указан правильный IP-адрес VPN-сервера. Make sure that you have the correct VPN server IP specified as an NPS client. Убедитесь, что проверяется подлинность с помощью протокола PEAP, а защищенные свойства EAP должны разрешать проверку подлинности только с помощью сертификата. Make sure that you are authenticating with PEAP, and the Protected EAP properties should only allow authentication with a certificate. Журналы событий NPS можно проверить на наличие ошибок проверки подлинности. You can check the NPS event logs for authentication failures. Дополнительные сведения см. в разделе Установка и настройка сервера NPS . For more details, see Install and Configure the NPS Server

Вы подключаетесь, но у вас нет доступа к Интернету или локальной сети? Are you connecting but do not have Internet/local network access? Проверьте пулы IP-адресов серверов DHCP и VPN на наличие проблем с конфигурацией. Check your DHCP/VPN server IP pools for configuration issues.

Вы подключаетесь и имеете действительный внутренний IP-адрес, но не имеете доступа к локальным ресурсам? Are you connecting and have a valid internal IP but do not have access to local resources? Убедитесь, что клиенты узнают, как получить эти ресурсы. Verify that clients know how to get to those resources. Для маршрутизации запросов можно использовать VPN-сервер. You can use the VPN server to route requests.

Проблемы подключения при использовании условного доступа Azure AD Azure AD Conditional Access connection issues

Ой! вы еще не можете получить доступ к этому Oops — You can’t get to this yet

Описание ошибки. Error description. Если политика условного доступа не удовлетворена, блокирует VPN-подключение, но подключается после того, как пользователь выберет X , чтобы закрыть сообщение. When the Conditional Access policy is not satisfied, blocking the VPN connection, but connects after the user selects X to close the message. Нажатие кнопки ОК вызывает другую проверку подлинности, которая завершается другим сообщением «ой». Selecting OK causes another authentication attempt, which ends in another «Oops» message. Эти события записываются в журнал рабочих событий AAD клиента. These events are recorded in the AAD Operational Event log of the client.

Возможные причины Possible cause

У пользователя есть допустимый сертификат проверки подлинности клиента в хранилище личных сертификатов, который не был выдан Azure AD. The user has a valid client authentication certificate in their Personal Certificate store that was not issued by Azure AD.

Раздел профиля VPN отсутствует или не содержит ** условия условного доступа AAD 1.3.6.1.4.1.311.87 AAD 1.3.6.1.4.1.311.87 ** . The VPN profile section is either missing or does not contain the AAD Conditional Access 1.3.6.1.4.1.311.87 AAD Conditional Access 1.3.6.1.4.1.311.87 entries. Записи и указывают VPN-клиенту, какой сертификат следует получить из хранилища сертификатов пользователя при передаче сертификата на VPN-сервер. The and entries tell the VPN client which certificate to retrieve from the user’s certificate store when passing the certificate to the VPN server. Без этого VPN-клиент использует любой допустимый сертификат проверки подлинности клиента, находящегося в хранилище сертификатов пользователя, и проверка подлинности будет выполнена. Without this, the VPN client uses whatever valid Client Authentication certificate is in the user’s certificate store and authentication succeeds.

Сервер RADIUS (NPS) не настроен на прием только сертификатов клиентов, содержащих OID условного доступа AAD . The RADIUS server (NPS) has not been configured to only accept client certificates that contain the AAD Conditional Access OID.

Возможное решение. Possible solution. Для экранирования этого цикла выполните следующие действия. To escape this loop, do the following:

В Windows PowerShell выполните командлет Get-WmiObject , чтобы создать дамп конфигурации профиля VPN. In Windows PowerShell, run the Get-WmiObject cmdlet to dump the VPN profile configuration.

Убедитесь, что разделы, и содержат правильное имя и идентификатор объекта. Verify that the , , and sections exist and shows the correct name and OID.

Чтобы определить наличие допустимых сертификатов в хранилище сертификатов пользователя, выполните команду certutil : To determine if there are valid certificates in the user’s certificate store, run the Certutil command:

Если сертификат от издателя CN = корневой ЦС Microsoft VPN Gen 1 имеется в личном хранилище пользователя, но пользователь получил доступ, выбрав X , чтобы закрыть сообщение о сообщении, СОбирайте журналы событий CAPI2, чтобы убедиться, что сертификат, используемый для проверки подлинности, был допустимым сертификатом проверки подлинности клиента, который не был выдан корневым ЦС Microsoft VPN. If a certificate from Issuer CN=Microsoft VPN root CA gen 1 is present in the user’s Personal store, but the user gained access by selecting X to close the Oops message, collect CAPI2 event logs to verify the certificate used to authenticate was a valid Client Authentication certificate that was not issued from the Microsoft VPN root CA.

Если в личном хранилище пользователя существует допустимый сертификат проверки подлинности клиента, соединение не будет выполнено (как должно) после выбора пользователем X и существования разделов, и и содержащих правильные данные. If a valid Client Authentication certificate exists in the user’s Personal store, the connection fails (as it should) after the user selects the X and if the , , and sections exist and contain the correct information.

Появляется сообщение об ошибке «не удалось найти сертификат, который может использоваться с протоколом расширяемого протокола проверки подлинности». An error message that says «A certificate could not be found that can be used with the Extensible Authenticate Protocol» appears.

Не удалось удалить сертификат из колонки VPN-подключения Unable to delete the certificate from the VPN connectivity blade

Описание ошибки. Error description. Не удается удалить сертификаты в колонке VPN-подключения. Certificates on the VPN connectivity blade cannot be deleted.

Возможная причина. Possible cause. Для сертификата задан первичныйсертификат. The certificate is set to Primary.

Возможное решение. Possible solution.

1. В колонке VPN-подключение выберите сертификат. In the VPN connectivity blade, select the certificate.
2. В разделе Основнаявыберите нет, а затем нажмите кнопку сохранить. Under Primary, select No, then select Save.
3. В колонке VPN-подключение снова выберите сертификат. In the VPN connectivity blade, select the certificate again.
4. Нажмите кнопку Удалить. Select Delete.

—>