Ike не удалось найти действительный сертификат компьютера
У меня есть экземпляр AWS, который я хочу быть VPN-сервером. Он подключит клиентов Windows 7 к частной сети в облаке Amazon.
- Я установил Ubuntu 12.04 и пакет strongswan-ikev2 .
- ipsec version reports Linux strongSwan U4.5.2/K3.2.0-52-virtual
- Обратите внимание, что клиент и сервер находятся за NAT (клиент из-за того, что он находится в сети локального офиса и сервер, потому что он находится в облаке Amazon). У меня есть разблокированные UDP-порты 500 и 4500 как на панели управления Amazon, так и на брандмауэре клиента.
Я добавил сертификат CA, который подписал серверный сертификат сервера в хранилище сертификатов локального компьютера (а не пользователя), чтобы Windows могла аутентифицировать сервер.
Затем я пытаюсь подключиться к серверу с помощью клиента Windows 7, как указано здесь , за одним исключением - я использую DNS-имя, а не IP-адрес. Я ввожу имя пользователя, домен и пароль в свой файл ipsec.secrets, и он пытается подключиться.
Когда это произойдет, я получаю журналы сильного Свана, которые выглядят так. Я немного заманил их как цензурой, так и ясностью; CLIENTPUB /CLIENTPRIV являются общедоступными и частными IP-адресами клиента, а AMAZONPRIV является частным IP-адресом сервера (это то, что публичный IP-адрес сервера - Amazon называет это «Упругим IP» - вперед).
Через несколько секунд чанов снова попытается закрыть соединение.
Насколько я могу судить, я следую всем инструкциям на сильной вики.
Что я здесь делаю неправильно?
Изменить: это определенно проблема с сертификатами. Я отключил расширенные проверки проверки путем редактирования реестра и перезагрузки, как описано в MSKB926182 (lol, если вы хотите получить ссылку на это), и теперь я могу подключиться к моему VPN-серверу без ошибок. Я выясню, как создавать сертификаты, удовлетворяющие требованиям, и добавлять ответ. Благодаря @ecdsa для указателя на страницу сертификата на вики strongSwan, которая заставила меня указывать в правильном направлении.
Windows 8.1 Enterprise Windows 8.1 Pro Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Datacenter Windows Server 2012 R2 Essentials Windows Server 2012 R2 Foundation Windows Server 2012 R2 Standard Еще. Меньше
В данной статье описывается проблема, при algorithmin подписи Windows RT 8.1 Windows 8.1 или Windows Server 2012 R2 с помощью эллиптических кривых цифровой подписи алгоритм ECDSA. Неполадки в 2962409 накопительный пакет обновления или исправление 2961892, описанное в данной статье и необходимых компонентов.
Журналы
Сведения об исправлении
Существует исправление от корпорации Майкрософт. Однако данное исправление предназначено для устранения только проблемы, описанной в этой статье. Применяйте данное исправление только в тех системах, которые имеют данную проблему.
Если исправление доступно для скачивания, имеется раздел "Пакет исправлений доступен для скачивания" в верхней части этой статьи базы знаний. Если этого раздела нет, отправьте запрос в службу технической поддержки для получения исправления.
Примечание. Если наблюдаются другие проблемы или необходимо устранить неполадки, вам может понадобиться создать отдельный запрос на обслуживание. Стандартная оплата за поддержку будет взиматься только за дополнительные вопросы и проблемы, которые не соответствуют требованиям конкретного исправления. Полный список телефонов поддержки и обслуживания клиентов корпорации Майкрософт или создать отдельный запрос на обслуживание посетите следующий веб-узел корпорации Майкрософт:
http://support.microsoft.com/contactus/?ws=supportПримечание. В форме "Пакет исправлений доступен для скачивания" отображаются языки, для которых доступно исправление. Если нужный язык не отображается, значит исправление для данного языка отсутствует.
Предварительные условия
Это исправление необходимо сначала установить обновление 2919355 Windows RT 8.1, Windows 8.1 или Windows Server 2012 R2. Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
2919355 Windows RT 8.1, Windows 8.1 и Windows Server 2012 R2 накопительный пакет обновления: Июнь 2014 г
Сведения о реестре
Для использования исправления из этого пакета нет необходимости вносить изменения в реестр.
Если установка Always On VPN не подключает клиентов к внутренней сети, причиной являются недопустимый сертификат VPN, неверные политики NPS, проблемы со скриптами развертывания клиента или проблемы с маршрутизацией и удаленным доступом. Первым шагом в устранении неполадок и тестировании VPN-подключения является понимание основных компонентов инфраструктуры Always On VPN.
Устранить проблемы с подключением можно несколькими способами. Для проблем на стороне клиента и общего устранения неполадок приложение регистрируется на клиентских компьютерах. Для проблем, связанных с проверкой подлинности, журнал NPS на сервере NPS может помочь определить источник проблемы.
Доверенный корень сертификата отсутствует на клиенте.
Если клиент и сервер являются членами домена, корневой сертификат будет автоматически установлен в ‘доверенные корневые центры сертификации.’ Проверить наличие сертификата на клиенте можно здесь.
Решение
Чтобы устранить эту проблему, установите накопительный пакет обновления 2962409 или установить исправление, описанное в данной статье.
Сертификату не присвоены требуемые значения расширенного использования ключа (EKU).
Вы можете проверить это, выполнив следующие действия:
1]На сервере VPN запустите ммс, добавить оснастку ‘сертификаты. ‘
2]Разверните сертификаты-личные-сертификаты, дважды щелкните установленный сертификат
3]Щелкните подробное описание для «улучшенное использование ключа ‘, проверьте, есть ли ‘проверка подлинности сервера‘ ниже
Код ошибки: 809
Описание ошибки. Не удалось установить сетевое подключение между компьютером и VPN-сервером, так как удаленный сервер не отвечает. Это может быть вызвано тем, что одно из сетевых устройств (например, брандмауэры, NAT, маршрутизаторы) между компьютером и удаленным сервером не настроено для разрешения VPN-подключений. Обратитесь к администратору или поставщику услуг, чтобы определить, какое устройство может быть причиной проблемы.
Возможная причина. Эта ошибка вызвана блокированием портов UDP 500 или 4500 на VPN-сервере или брандмауэре.
Возможное решение. Убедитесь, что UDP-порты 500 и 4500 разрешены через все брандмауэры между клиентом и сервером RRAS.
Журналы NPS
NPS создает и сохраняет журналы учета NPS. По умолчанию они хранятся в%SYSTEMROOT%\System32\Logfiles\ в файле с именем вxxxx.txt, где XXXX — это Дата создания файла.
По умолчанию эти журналы находятся в формате значений с разделителями-запятыми, но не содержат строки заголовка. Строка заголовка:
если вставить эту строку заголовка в качестве первой строки файла журнала, а затем импортировать файл в Microsoft Excel, столбцы будут помечены правильно.
Журналы NPS могут быть полезны при диагностике проблем, связанных с политиками. Дополнительные сведения о журналах NPS см. в разделе Интерпретация файлов журнала в формате базы данных NPS.
Код ошибки: 13801
Описание ошибки. Учетные данные проверки подлинности IKE недопустимы.
Возможные причины. Эта ошибка обычно возникает в одном из следующих случаев.
Сертификат компьютера, используемый для проверки IKEv2 на сервере RAS, не имеет проверки подлинности сервера в разделе " Расширенное использование ключа".
Срок действия сертификата компьютера на сервере удаленного доступа истек.
Корневой сертификат для проверки сертификата сервера удаленного доступа отсутствует на клиентском компьютере.
Имя VPN-сервера, используемое на клиентском компьютере, не соответствует SubjectName сертификата сервера.
Возможное решение. Убедитесь, что сертификат сервера включает проверку подлинности сервера в разделе Расширенное использование ключа. Убедитесь, что сертификат сервера все еще действителен. Убедитесь, что используемый центр сертификации указан в списке Доверенные корневые центры сертификации на сервере RRAS. Убедитесь, что VPN-клиент подключается с помощью полного доменного имени VPN-сервера, представленного в сертификате VPN-сервера.
Код ошибки: 0x80070040
Описание ошибки. В сертификате сервера не используется Проверка подлинности сервера в качестве одной из записей использования сертификатов.
Возможная причина. Эта ошибка может возникать, если на сервере удаленного доступа не установлен сертификат проверки подлинности сервера.
Возможное решение. Убедитесь, что сертификат компьютера, используемый сервером RAS для IKEv2 , использует проверку подлинности сервера в качестве одной из записей использования сертификатов.
Код ошибки: 13806
Описание ошибки. IKE не удалось найти действительный сертификат компьютера. Обратитесь к администратору безопасности сети, чтобы установить действительный сертификат в соответствующем хранилище сертификатов.
Возможная причина. Эта ошибка обычно возникает, когда на VPN-сервере отсутствует сертификат компьютера или сертификат корневого компьютера.
Возможное решение. Убедитесь, что сертификаты, указанные в этом развертывании, установлены как на клиентском компьютере, так и на VPN-сервере.
Симптомы
Рассмотрим следующий сценарий:
У центра сертификации (ЦС), соответствует стандартам Suite B (эллиптических кривых), и центр сертификации выдает сертификаты компьютеров для проверки подлинности протокола IP-безопасность (IPsec), используя в качестве алгоритма подписи ECDSA.
У вас есть Windows RT 8.1, Windows 8.1 или компьютерах под управлением Windows Server 2012 R2, запросить сертификат IPSec из центра сертификации.
Настроить Internet Key Exchange версии 2 (IKEv2) VPN на клиентском компьютере.
Включите параметр Разрешить проверку подлинности сертификата компьютера для IKEv2на сервере.
Ошибка 13806 - сервер не имеет установленного сертификата, который подходит для использования с IKEv2
Срок действия сертификата компьютера на сервере удаленного доступа истек.
Если проблема вызвана этой причиной, подключите Администратор ЦС и зарегистрируйте новый сертификат, срок действия которого не истекает.
Не удалось удалить сертификат из колонки VPN-подключения
Описание ошибки. Не удается удалить сертификаты в колонке VPN-подключения.
Возможная причина. Для сертификата задан первичныйсертификат.
На удаленном сервере с OS Debian по вот этому гайду с использованием strongSwan организовал для себя VPN. Все отлично работает на iPhone и Mac, однако для подключения с Windows нужно проделать какие-то дополнительные манипуляции, потому что ни так, ни этак подключится не удается. Ошибки подключения разные, в зависимости от настроек создаваемого подключения в Windows.
Если делать подключение в лоб:
В свойствах подключения можно переставить проверку подлинности на "Использовать сертификаты компьютеров":
правда это ничего не меняет.
Вот этот мануал по strongSwan'у подсказывает, что "By default Windows 7 up to Windows 11 propose only the weak modp1024 Diffie-Hellman key exchange algorithm" и предлагает соотвествующую настройку для ipsec.conf:
мне, правда, это не помогло :(
Из какого-то источника, который я уже не могу нагуглить, я узнал что на компьютере нужно иметь корневой сертификат, который я создал на удаленном сервере. Сертификат был создан в формате *.pem, установить его в Windows я смог только переименовав файл в *.der и кликнув по нему два раза. Создать сертификат с помощью pki в формате, который винда переварила бы by-design я не смог. Установка сертификата в хранилице "Доверенных корневых центров сертификации" не помогла.
Вот эта статья из мануала strongSwan подсказывает, что для windows сертификат должен быть сгенерирован с дополнительным ключом:
subjectAltName = DNS:
но увы и это мне тоже не помогло.
В конце уже упомянутого выше мануала есть ссылки, в том числе на Configuring strongSwan for Windows clients для случая, когда Windows client "Using Passwords with EAP-MSCHAPv2", однако он предлагает конфигурировать файл swanctl.conf, а у меня конфигурация уже задана в ipsec.conf, понять как одно с другим связано квалификации моей не хватает :(
Вобщем, достаточно разрозненный набор фактов выглядит вот так, очень прошу помощь от гуру.
mphys, ващет я про то, что надо было по этой инструкции для тебя делать только импорт сертификата, а не все вообще.
Хотя это и странно, т.к. там и вцелом абсолютно все корректно написано. И раз ты уж начал делать все по ней, посмотри, возможно что-то ты не то настроил.
Я и так и этак сделал. Сертификаты в обоих случаях работают одинакого на iOS, а вот конфиг из гайда DigitalOcean не работает совсем. Есть такое ощущение что это винду надо как-то через одно место настраивать
Спасибо, попробую создать ключи по вашему гайду и сконфигурировать ipsec.conf как в статье, но сдается мне дело не в сервере, а в настройках 10-й винды.
mphys, Не обязательно настраивать именно ключи, скорее всего, достаточно будет скопировать набор ciphersuite'ов и другую конфигурацию.
ValdikSS, после копирования набора ciphersuite'ов слетает профиль подключения к vpn на ios, а vpn винды начинает ругаться на отсутствие сертификата
di_madsen, Сертификат нужно использовать из доверенного центра сертификации. Если есть только IP-адрес, а не домен, то его можно выпустить у ZeroSSL. Про iOS не подскажу.
Работает на ios и mac при таком ike=aes128gcm16-sha2_256-prfsha256-ecp256!
При подключении такая ошибка:
Ike не удалось найти действительный сертификат компьютера. Сертификат устанавливал в доверенные корневые сертификаты. Сам сертификат получил вот таким способом
openssl pkcs12 -export -inkey /etc/ipsec.d/private/me.pem -in /etc/ipsec.d/certs/me.pem -name "me" -certfile /etc/ipsec.d/cacerts/ca.pem -out cert.p12
di_madsen, Так точно не получится, нужно хотя бы правильный IP-адрес или DNS-имя в Common Name и Subject Alt Names.
Запросите лучше сертификат у ZeroSSL, VPN будет работать без добавления CA в ключницу.
ValdikSS, а почему? Я сам сертификат создавал из инструкции https://vc.ru/dev/66942-sozdaem-svoy-vpn-server-po. раздел "Создаем сертификаты доступа"
Приведённой выше командой я только перевёл его в формат p12
di_madsen,
Инструкция по ссылке выше настраивает аутентификацию с помощью клиентского сертификата. Необходимо импортировать в Windows CA (cacerts/ca.pem) в ключницу «доверенные центры сертификации» (возможно, компьютера, а не пользователя, но не в обе. ), клиентский сертификат (certs/me.pem) вместе с приватным ключом (private/me.pem) импортировать в «персональную» пользовательскую ключницу, вот только сначала придётся сертификат и приватный ключ объединить в контейнер pkcs12, иначе он не импортируется.
Попробуйте следующую команду, она должна создать pkcs12-контейнер my.p12. Пишу по памяти (вернее, подсматривая в исходники моей easy-rsa-ipsec), не проверял:
Если сработало, этот файл нужно скачать на компьютер с Windows, и просто кликнуть по нему двойным щелчком, далее-далее-далее. Пароль на импорт — 123.
Если не хочется ничего импортировать, можно получить бесплатный сертификат от публичного центра сертификации ZeroSSL на IP-адрес сервера, а сервер перенастроить на использование логина и пароля (EAP-MSCHAPv2).
А может, вы и вовсе ищете не просто VPN, а АнтиЗапрет?
ValdikSS, Попробовал сделать по вашей инструкции, результат не изменился. Так же не удаётся найти сертификат. Причём по ответу ещё одного пользователя, инструкцию которую я не могу сейчас нагуглить, предлагалось указать принудительно для Vpn сертификат что-то типа Get-ChildItem Cert:\LocalMachine\Root\ | ? SerialNumber и Set-VpnConnection -Name -MachineCertificateIssuerFilter $ca
А так ничего целенаправленно не игнорировалось. Просто та инструкция нагуглилась быстрее + и интересовал только ios по-началу. И по ней завелось с первого раза.
Но я обязательно на днях посмотрю ссылку на гитхабе, что Вы скинули, если это поможет, будет здорово
di_madsen, не нужно делать по моей инструкции (если вы о той, что на хабре) — там тоже используются самоподписные сертификаты. Вам также придётся импортировать сертификат, если вы ей следуете.
Инструкция по ссылке выше настраивает аутентификацию с помощью клиентского сертификата. Необходимо импортировать в Windows CA (cacerts/ca.pem) в ключницу «доверенные центры сертификации» (возможно, компьютера, а не пользователя, но не в обе. ), клиентский сертификат (certs/me.pem) вместе с приватным ключом (private/me.pem) импортировать в «персональную» пользовательскую ключницу, вот только сначала придётся сертификат и приватный ключ объединить в контейнер pkcs12, иначе он не импортируется.
Попробуйте следующую команду, она должна создать pkcs12-контейнер my.p12. Пишу по памяти (вернее, подсматривая в исходники моей easy-rsa-ipsec), не проверял:
Виртуальная частная сеть (VPN) в основном используется для защиты конфиденциальности пользователей в онлайн-мире и определения их физического местоположения. Хотя в большинстве случаев они работают хорошо, в некоторых случаях пользователь может столкнуться с ошибками, сбоями или другими проблемами с подключением в своей программе VPN. Если ваша VPN не работает, не подключается или заблокирована, вы можете попробовать несколько быстрых решений. Хотя существует множество возможных ошибок, с которыми пользователь может столкнуться при использовании VPN, некоторые из них получают большее признание, чем другие; один из таких кодов ошибки Ошибка VPN 13801.
Когда звонить администратору VPN-сервера
Необходимость иметь дело с ошибками VPN может быть чрезвычайно неприятным, а когда вы не можете устранить их самостоятельно, разочарование еще больше. Это именно тот случай с ошибкой VPN 13801, поэтому не теряйте времени и обратитесь к администратору VPN, чтобы убедиться, что на вашем ПК настроен правильный сертификат, который подтвержден удаленным сервером.
Ой! вы еще не можете получить доступ к этому
Возможная причина
У пользователя есть допустимый сертификат проверки подлинности клиента в хранилище личных сертификатов, который не был выдан Azure AD.
раздел тлсекстенсионс профиля < VPN отсутствует или не содержит <> и < екуоид >указывают VPN-клиенту, какой сертификат получить из хранилища сертификатов пользователя при передаче сертификата на VPN-сервер. Без этого VPN-клиент использует любой допустимый сертификат проверки подлинности клиента, находящегося в хранилище сертификатов пользователя, и проверка подлинности будет выполнена.
сервер RADIUS (NPS) не настроен на прием только сертификатов клиентов, содержащих идентификаторы OID условного доступа AAD .
Возможное решение. Для экранирования этого цикла выполните следующие действия.
в Windows PowerShell выполните командлет Get-WmiObject , чтобы создать дамп конфигурации профиля VPN.
Чтобы определить наличие допустимых сертификатов в хранилище сертификатов пользователя, выполните команду certutil :
Если в личном хранилище пользователя существует допустимый сертификат проверки подлинности клиента, соединение не будет выполнено (как оно должно) после того, как пользователь выберет значение X , и если разделы тлсекстенсионс , екунаме >и > существуют и содержат правильные сведения.
Проблемы с подключением клиента Always On VPN
Небольшая неудачная настройка может привести к сбою клиентского подключения, что может быть трудно обнаружить причину. Перед установкой соединения Always On VPN-клиент проходит несколько шагов. При устранении неполадок с подключением клиентов пройдите процесс исключения следующим образом:
Подключен ли шаблон к внешнему компьютеру? При сканировании вхатисмип должен отображаться общедоступный IP-адрес, который не принадлежит вам.
Можно ли разрешить имя сервера удаленного доступа или VPN-адреса в адрес? В окне "Сетевые подключения" панели управления откройте свойства профиля VPN. Значение на вкладке Общие должно быть открыто разрешимым с помощью DNS.
Можно ли получить доступ к VPN-серверу из внешней сети? Попробуйте открыть внешний интерфейс с помощью протокола ICMP и проверить связь с именем удаленного клиента. После успешной проверки связи можно удалить правило Allow ICMP.
Правильно ли настроены внутренние и внешние сетевые адаптеры на VPN-сервере? Они находятся в разных подсетях? Подключение внешнего сетевого адаптера к правильному интерфейсу в брандмауэре?
Открыты ли порты UDP 500 и 4500 от клиента к внешнему интерфейсу VPN-сервера? Проверьте брандмауэр клиента, брандмауэр сервера и все аппаратные брандмауэры. IPSEC использует UDP-порт 500, поэтому убедитесь, что ИПЕК отключены или не заблокированы в любом месте.
Происходит сбой проверки сертификата? Убедитесь, что NPS-сервер имеет сертификат проверки подлинности сервера, который может обслуживать запросы IKE. Убедитесь, что в качестве клиента NPS указан правильный IP-адрес VPN-сервера. Убедитесь, что проверяется подлинность с помощью протокола PEAP, а защищенные свойства EAP должны разрешать проверку подлинности только с помощью сертификата. Журналы событий NPS можно проверить на наличие ошибок проверки подлинности. Дополнительные сведения см. в разделе Установка и настройка сервера NPS .
Вы подключаетесь, но у вас нет доступа к Интернету или локальной сети? Проверьте пулы IP-адресов серверов DHCP и VPN на наличие проблем с конфигурацией.
Вы подключаетесь и имеете действительный внутренний IP-адрес, но не имеете доступа к локальным ресурсам? Убедитесь, что клиенты узнают, как получить эти ресурсы. Для маршрутизации запросов можно использовать VPN-сервер.
Учетные данные для аутентификации IKE недопустимы
Вот краткое описание возможных причин ошибки 13801:
- Срок действия сертификата компьютера на сервере удаленного доступа истек.
- Доверенный корневой сертификат для проверки сертификата сервера удаленного доступа отсутствует на клиенте.
- Имя VPN-сервера, указанное на клиенте, не соответствует имени субъекта сертификата сервера.
- Сертификат компьютера, используемый для проверки IKEv2 на сервере удаленного доступа, не имеет «проверки подлинности сервера» в качестве EKU (расширенного использования ключа).
Ошибка VPN 13801 явно ссылается на протоколы, используемые службой VPN, поэтому вам не нужно тратить время на выяснение того, что такое IKEv2 для ошибки 1380 VPN. Найдите правильный сертификат IKEv2 в документации, предоставленной администратором VPN. Есть несколько способов подтвердить эту проблему:
- Сертификату не присвоены требуемые значения расширенного использования ключа (EKU).
- Срок действия сертификата компьютера на сервере удаленного доступа истек.
- Доверенный корень сертификата отсутствует на клиенте.
- Имя субъекта сертификата не соответствует удаленному компьютеру
Давайте рассмотрим эти варианты подробнее:
Код ошибки: 812
Описание ошибки. Не удается подключиться к Always On VPN. Подключение не выполнено из-за политики, заданной на вашем RAS/VPN сервере. В частности, метод проверки подлинности, используемый сервером для проверки имени пользователя и пароля, может не соответствовать методу проверки подлинности, настроенному в профиле подключения. Обратитесь к администратору сервера RAS и сообщите ему об этой ошибке.
Возможные причины:
Типичная причина этой ошибки заключается в том, что NPS указал условие проверки подлинности, которое клиент не может удовлетворить. Например, NPS может указать использование сертификата для защиты подключения PEAP, но клиент пытается использовать EAP-MSCHAPv2.
Журнал событий 20276 регистрируется в средстве просмотра событий, если параметр протокола проверки подлинности VPN-сервера на основе RRAS не соответствует компьютеру VPN-клиента.
Возможное решение. Убедитесь, что конфигурация клиента соответствует условиям, указанным на сервере NPS.
Проблемы подключения при использовании условного доступа Azure AD
Код ошибки: 800
Описание ошибки. "Удаленное подключение не удалось установить из-за сбоя использованных VPN-туннелей. VPN-сервер может быть недоступен. Если это подключение пытается использовать туннель L2TP/IPsec, параметры безопасности, необходимые для согласования IPsec, могут быть настроены неправильно.
Возможная причина. Эта ошибка возникает, если VPN-туннель имеет тип Авто и попытка подключения завершается неудачно для всех VPN-туннелей.
Возможные решения:
Если вы понимаете, какой туннель использовать для развертывания, задайте тип VPN на стороне VPN-клиента для этого типа туннеля.
При установлении VPN-подключения с определенным типом туннеля подключение по-прежнему будет завершаться сбоем, но это приведет к появлению дополнительной ошибки, относящейся к туннелю (например, "GRE заблокирован для PPTP").
Эта ошибка также возникает, когда не удается подключиться к VPN-серверу или не удается установить туннельное подключение.
Проверьте следующее.
Порты IKE (UDP-порты 500 и 4500) не блокируются.
Правильные сертификаты для IKE существуют как на клиенте, так и на сервере.
Сведения об обновлении
Дополнительные сведения о том, как получить этот накопительный пакет обновления, щелкните следующий номер статьи базы знаний Майкрософт:
2962409 Windows RT 8.1, Windows 8.1 и Windows Server 2012 R2 накопительный пакет обновления: Июнь 2014 г
Проблемы в работе скрипта VPN_Profile.ps1
Наиболее распространенные проблемы, возникающие при ручном запуске Profile.ps1 сценария VPN_ включают:
Используется ли средство удаленного подключения? Не следует использовать RDP или другой метод удаленного подключения, так как он перепутать с обнаружением входа пользователя.
Является ли пользователь администратором этого локального компьютера? Убедитесь, что при выполнении сценария VPN_Profile.ps1, у которого у пользователя есть права администратора.
Включены ли дополнительные функции безопасности PowerShell? Убедитесь, что политика выполнения PowerShell не блокирует скрипт. Перед выполнением скрипта можно отключить ограниченный языковой режим, если он включен. Вы можете активировать ограниченный языковой режим после успешного завершения сценария.
Имя субъекта сертификата не соответствует удаленному компьютеру
Вы можете подтвердить, используя следующие шаги:
1]На клиенте открыть ‘Свойства VPN-подключения‘, щелкните’Общий. ‘
2]В ‘имя хоста или IP-адрес назначения‘вам нужно будет ввести’имя субъекта‘сертификата, используемого сервером VPN вместо IP-адреса сервера VPN.
Примечание: Имя субъекта сертификата сервера обычно настраивается как полное доменное имя VPN-сервера.
Ошибка VPN 13801 в Windows 10
Эти ошибки Internet Key Exchange версии 2 (IKEv2) связаны с проблемами с сертификатом проверки подлинности сервера. По сути, сертификат компьютера, необходимый для аутентификации, либо недействителен, либо отсутствует на вашем клиентском компьютере, на сервере или на обоих.
Коды ошибок
Журналы приложений
Приложение регистрируется на клиентских компьютерах в большинстве сведений о событиях VPN-подключений более высокого уровня.
Код ошибки: 0x800B0109
Как правило, компьютер VPN-клиента присоединяется к домену на основе Active Directory. Если для входа на VPN-сервер используются учетные данные домена, сертификат автоматически устанавливается в хранилище Доверенные корневые центры сертификации. Однако если компьютер не присоединен к домену или используется другая цепочка сертификатов, может возникнуть эта проблема.
Описание ошибки. Цепочка сертификатов обработана, но была прервана в корневом сертификате, которому не доверяет поставщик доверия.
Возможная причина. Эта ошибка может возникать, если соответствующий доверенный корневой сертификат ЦС не установлен в хранилище доверенных корневых центров сертификации на клиентском компьютере.
Возможное решение. Убедитесь, что корневой сертификат установлен на клиентском компьютере в хранилище доверенных корневых центров сертификации.
Читайте также: