Подключение не выполнено из за политики заданной на сервере службы удаленного доступа windows 10

Обновлено: 06.07.2024

Если Always On установки VPN не удается подключить клиентов к внутренней сети, причиной является недопустимый сертификат VPN, неправильные политики NPS или проблемы с сценариями развертывания клиента или маршрутизацией и удаленным доступом. Первым шагом в устранении неполадок и тестировании VPN-подключения является понимание основных компонентов инфраструктуры VPN Always On.

Устранить проблемы с подключением можно несколькими способами. Для проблем на стороне клиента и общего устранения неполадок приложение регистрируется на клиентских компьютерах. Для проблем, связанных с проверкой подлинности, журнал NPS на сервере NPS может помочь определить источник проблемы.

Коды ошибок

Код ошибки: 800

Описание ошибки. "Удаленное подключение не удалось установить из-за сбоя использованных VPN-туннелей. VPN-сервер может быть недоступен. Если это подключение пытается использовать туннель L2TP/IPsec, параметры безопасности, необходимые для согласования IPsec, могут быть настроены неправильно.

Возможная причина. Эта ошибка возникает, если VPN-туннель имеет тип Авто и попытка подключения завершается неудачно для всех VPN-туннелей.

Возможные решения:

Если вы понимаете, какой туннель использовать для развертывания, задайте тип VPN на стороне VPN-клиента для этого типа туннеля.

При установлении VPN-подключения с определенным типом туннеля подключение по-прежнему будет завершаться сбоем, но это приведет к появлению дополнительной ошибки, относящейся к туннелю (например, "GRE заблокирован для PPTP").

Эта ошибка также возникает, когда не удается подключиться к VPN-серверу или не удается установить туннельное подключение.

Проверьте следующее.

Порты IKE (UDP-порты 500 и 4500) не блокируются.

Правильные сертификаты для IKE существуют как на клиенте, так и на сервере.

Код ошибки: 809

Описание ошибки. Не удалось установить сетевое подключение между компьютером и VPN-сервером, так как удаленный сервер не отвечает. Это может быть вызвано тем, что одно из сетевых устройств (например, брандмауэры, NAT, маршрутизаторы) между компьютером и удаленным сервером не настроено для разрешения VPN-подключений. Обратитесь к администратору или поставщику услуг, чтобы определить, какое устройство может быть причиной проблемы.

Возможная причина. Эта ошибка вызвана блокированием портов UDP 500 или 4500 на VPN-сервере или брандмауэре.

Возможное решение. Убедитесь, что UDP-порты 500 и 4500 разрешены через все брандмауэры между клиентом и сервером RRAS.

Код ошибки: 812

Описание ошибки. Не удается подключиться к Always On VPN. Подключение не выполнено из-за политики, заданной на вашем RAS/VPN сервере. В частности, метод проверки подлинности, используемый сервером для проверки имени пользователя и пароля, может не соответствовать методу проверки подлинности, настроенному в профиле подключения. Обратитесь к администратору сервера RAS и сообщите ему об этой ошибке.

Возможные причины:

Типичная причина этой ошибки заключается в том, что NPS указал условие проверки подлинности, которое клиент не может удовлетворить. Например, NPS может указать использование сертификата для защиты подключения PEAP, но клиент пытается использовать EAP-MSCHAPv2.

Журнал событий 20276 регистрируется в средстве просмотра событий, если параметр протокола проверки подлинности VPN-сервера на основе RRAS не соответствует компьютеру VPN-клиента.

Возможное решение. Убедитесь, что конфигурация клиента соответствует условиям, указанным на сервере NPS.

Код ошибки: 13806

Описание ошибки. IKE не удалось найти действительный сертификат компьютера. Обратитесь к администратору безопасности сети, чтобы установить действительный сертификат в соответствующем хранилище сертификатов.

Возможная причина. Эта ошибка обычно возникает, когда на VPN-сервере отсутствует сертификат компьютера или сертификат корневого компьютера.

Возможное решение. Убедитесь, что сертификаты, указанные в этом развертывании, установлены как на клиентском компьютере, так и на VPN-сервере.

Код ошибки: 13801

Описание ошибки. Учетные данные проверки подлинности IKE недопустимы.

Возможные причины. Эта ошибка обычно возникает в одном из следующих случаев.

Сертификат компьютера, используемый для проверки IKEv2 на сервере RAS, не имеет проверки подлинности сервера в разделе " Расширенное использование ключа".

Срок действия сертификата компьютера на сервере удаленного доступа истек.

Корневой сертификат для проверки сертификата сервера удаленного доступа отсутствует на клиентском компьютере.

Имя VPN-сервера, используемое на клиентском компьютере, не соответствует SubjectName сертификата сервера.

Возможное решение. Убедитесь, что сертификат сервера включает проверку подлинности сервера в разделе Расширенное использование ключа. Убедитесь, что сертификат сервера все еще действителен. Убедитесь, что используемый центр сертификации указан в списке Доверенные корневые центры сертификации на сервере RRAS. Убедитесь, что VPN-клиент подключается с помощью полного доменного имени VPN-сервера, представленного в сертификате VPN-сервера.

Код ошибки: 0x80070040

Описание ошибки. В сертификате сервера не используется Проверка подлинности сервера в качестве одной из записей использования сертификатов.

Возможная причина. Эта ошибка может возникать, если на сервере удаленного доступа не установлен сертификат проверки подлинности сервера.

Возможное решение. Убедитесь, что сертификат компьютера, используемый сервером RAS для IKEv2 , использует проверку подлинности сервера в качестве одной из записей использования сертификатов.

Код ошибки: 0x800B0109

Как правило, компьютер VPN-клиента присоединяется к домену на основе Active Directory. Если для входа на VPN-сервер используются учетные данные домена, сертификат автоматически устанавливается в хранилище Доверенные корневые центры сертификации. Однако если компьютер не присоединен к домену или используется другая цепочка сертификатов, может возникнуть эта проблема.

Описание ошибки. Цепочка сертификатов обработана, но была прервана в корневом сертификате, которому не доверяет поставщик доверия.

Возможная причина. Эта ошибка может возникать, если соответствующий доверенный корневой сертификат ЦС не установлен в хранилище доверенных корневых центров сертификации на клиентском компьютере.

Возможное решение. Убедитесь, что корневой сертификат установлен на клиентском компьютере в хранилище доверенных корневых центров сертификации.

Журналы

Журналы приложений

Приложение регистрируется на клиентских компьютерах в большинстве сведений о событиях VPN-подключений более высокого уровня.

Журналы NPS

NPS создает и сохраняет журналы учета NPS. По умолчанию они хранятся в файлах% SYSTEMROOT% \ system32 \ \ в файле с именем в XXXX.txt, где XXXX — это Дата создания файла.

По умолчанию эти журналы находятся в формате значений с разделителями-запятыми, но не содержат строки заголовка. Строка заголовка:

если вставить эту строку заголовка в качестве первой строки файла журнала, а затем импортировать файл в Microsoft Excel, столбцы будут помечены правильно.

Журналы NPS могут быть полезны при диагностике проблем, связанных с политиками. Дополнительные сведения о журналах NPS см. в разделе Интерпретация файлов журнала в формате базы данных NPS.

Проблемы в работе скрипта VPN_Profile.ps1

Наиболее распространенные проблемы, возникающие при ручном запуске Profile.ps1 сценария VPN_ включают:

Используется ли средство удаленного подключения? Не следует использовать RDP или другой метод удаленного подключения, так как он перепутать с обнаружением входа пользователя.

Является ли пользователь администратором этого локального компьютера? Убедитесь, что при выполнении сценария VPN_Profile.ps1, у которого у пользователя есть права администратора.

Включены ли дополнительные функции безопасности PowerShell? Убедитесь, что политика выполнения PowerShell не блокирует скрипт. Перед выполнением скрипта можно отключить ограниченный языковой режим, если он включен. Вы можете активировать ограниченный языковой режим после успешного завершения сценария.

Проблемы с подключением клиента Always On VPN

Небольшая неудачная настройка может привести к сбою клиентского подключения, что может быть трудно обнаружить причину. Перед установкой соединения Always On VPN-клиент проходит несколько шагов. При устранении неполадок с подключением клиентов пройдите процесс исключения следующим образом:

Подключен ли шаблон к внешнему компьютеру? При сканировании вхатисмип должен отображаться общедоступный IP-адрес, который не принадлежит вам.

Можно ли разрешить имя сервера удаленного доступа или VPN-адреса в адрес? В окне "Сетевые подключения" панели управления > > откройте свойства профиля VPN. Значение на вкладке Общие должно быть открыто разрешимым с помощью DNS.

Можно ли получить доступ к VPN-серверу из внешней сети? Попробуйте открыть внешний интерфейс с помощью протокола ICMP и проверить связь с именем удаленного клиента. После успешной проверки связи можно удалить правило Allow ICMP.

Правильно ли настроены внутренние и внешние сетевые адаптеры на VPN-сервере? Они находятся в разных подсетях? Подключение внешнего сетевого адаптера к правильному интерфейсу в брандмауэре?

Открыты ли порты UDP 500 и 4500 от клиента к внешнему интерфейсу VPN-сервера? Проверьте брандмауэр клиента, брандмауэр сервера и все аппаратные брандмауэры. IPSEC использует UDP-порт 500, поэтому убедитесь, что ИПЕК отключены или не заблокированы в любом месте.

Происходит сбой проверки сертификата? Убедитесь, что NPS-сервер имеет сертификат проверки подлинности сервера, который может обслуживать запросы IKE. Убедитесь, что в качестве клиента NPS указан правильный IP-адрес VPN-сервера. Убедитесь, что проверяется подлинность с помощью протокола PEAP, а защищенные свойства EAP должны разрешать проверку подлинности только с помощью сертификата. Журналы событий NPS можно проверить на наличие ошибок проверки подлинности. Дополнительные сведения см. в разделе Установка и настройка сервера NPS .

Вы подключаетесь, но у вас нет доступа к Интернету или локальной сети? Проверьте пулы IP-адресов серверов DHCP и VPN на наличие проблем с конфигурацией.

Вы подключаетесь и имеете действительный внутренний IP-адрес, но не имеете доступа к локальным ресурсам? Убедитесь, что клиенты узнают, как получить эти ресурсы. Для маршрутизации запросов можно использовать VPN-сервер.

Проблемы подключения при использовании условного доступа Azure AD

Ой! вы еще не можете получить доступ к этому

Возможная причина

У пользователя есть допустимый сертификат проверки подлинности клиента в хранилище личных сертификатов, который не был выдан Azure AD.

Раздел профиля VPN <TLSExtensions> отсутствует или не содержит <EKUName> условия условного доступа AAD </EKUName> <EKUOID> 1.3.6.1.4.1.311.87</екуоид > <EKUName> AAD</екунаме > <EKUOID> 1.3.6.1.4.1.311.87</екуоид > . <EKUName>Записи и <EKUOID> указывают VPN-клиенту, какой сертификат следует получить из хранилища сертификатов пользователя при передаче сертификата на VPN-сервер. Без этого VPN-клиент использует любой допустимый сертификат проверки подлинности клиента, находящегося в хранилище сертификатов пользователя, и проверка подлинности будет выполнена.

Сервер RADIUS (NPS) не настроен на прием только сертификатов клиентов, содержащих OID условного доступа AAD .

Возможное решение. Для экранирования этого цикла выполните следующие действия.

в Windows PowerShell выполните командлет Get-WmiObject , чтобы создать дамп конфигурации профиля VPN.

Убедитесь, что <TLSExtensions> <EKUName> разделы, и содержат <EKUOID> правильное имя и идентификатор объекта.

Чтобы определить наличие допустимых сертификатов в хранилище сертификатов пользователя, выполните команду certutil :

Если в личном хранилище пользователя существует допустимый сертификат проверки подлинности клиента, соединение не будет выполнено (как должно) после выбора пользователем X и <TLSExtensions> <EKUName> <EKUOID> существования разделов, и и содержащих правильные данные.

Не удалось удалить сертификат из колонки VPN-подключения

Описание ошибки. Не удается удалить сертификаты в колонке VPN-подключения.

Возможная причина. Для сертификата задан первичный сертификат.

Ошибка VPN 812 , в отличие от многих других проблем , не является очень распространенным кодом ошибки VPN. Очень немногие пользователи действительно сталкиваются с этим, поскольку это в основном влияет на соединения с сервером. Однако это не обязательно означает, что это не может быть решено. Эта ошибка может возникать после апрельского обновления Windows или в результате проблемы между клиентами и Net Promoter Score ( NPS).

Почему возникает ошибка VPN 812?

Ошибка VPN 812, кажется, появляется по нескольким причинам:

Вот пример для второй ситуации:

• Новая сетевая политика имеет следующие условия: «Дневные и временные ограничения», «Операционная система», «Группа Windows» и «Тип туннеля».
• Тип туннеля оценивается только как «PPTP», и когда пользователи пытаются подключиться к своему VPN-клиенту, появляется ошибка 812.

Решение 1. Как быстро обойти ошибку 812

• Как только вы столкнулись с ошибкой, убедитесь, что сначала измените Основной DNS на Контроллер домена.
• После первого шага настройте внешний DNS, получив доступ к дополнительному DNS.
• Теперь выберите диапазон первичного DNS как 8.8.8.8, проверьте и примените настройки и перезапустите VPN. Это должно работать правильно.

— ЧИТАЙТЕ ТАКЖЕ: VPN стоит денег?

Решение 2. Проверьте настройки типа туннеля

Если проблема не устранена или приведенное выше решение не соответствует вашей системе, выполните следующие действия:

• Выберите дополнительное значение для условия «Тип туннеля», например «L2TP», чтобы получить значение «L2TP ИЛИ PPTP»;
• Применить и закрыть Политику сети;
• Подключите VPN-клиент. Он должен работать.
• Верните сетевую политику в правильное значение для условия «Тип туннеля», здесь это только «PPTP»;
• Применить и закрыть Политику сети;
• Подключите VPN-клиент, он работает, и ваша сетевая политика теперь правильно настроена.

Решение 3. Обратитесь к администратору сети

Ошибка 812 также может возникнуть из-за недостаточных прав доступа. В этом случае самый безопасный подход — просто связаться с вашим сетевым администратором, чтобы обновить ваши разрешения и убедиться в правильности всех разрешений протокола и сетевой аутентификации.

Решение 4. Создайте другой протокол аутентификации

Некоторые пользователи предположили, что ошибка 812 возникает при использовании протокола аутентификации, установленного через NPS (сетевая политика и службы доступа). Предлагаемое решение включает в себя настройку другого протокола аутентификации (более безопасного), такого как MS-CHAPv2 или EAP, для соответствия настройкам на стороне клиента.

Решение 5. Обратитесь к вашему провайдеру VPN

Если ошибка 812 по-прежнему появляется, обратитесь к поставщику услуг VPN. У каждого разработчика VPN есть список наиболее распространенных проблем, влияющих на их продукты, а также соответствующие решения.

Решение 6. Измените VPN-клиент

Использование другого VPN может решить эту проблему, но вы должны быть уверены, что выбрали правильный. CyberGhost VPN является одним из лучших инструментов, которые имеют отличную поддержку, и он надежно защищен от ошибок этого типа между SNP и CPP или другими, которые могут привести к ошибке 812. Мы рекомендуем вам установить и подключиться через CyberGhost.

Если вы столкнулись с другими обходными путями для решения проблемы VPN 812, сообщите нам об этом в комментариях ниже.

При попытке установить VPN-соединение с компьютером, соединение не устанавливается и отображается следующая ошибка:

Ошибка 812: соединение было предотвращено из-за конфигурации политики на вашем сервере RAS / VPN. В частности, метод проверки подлинности, используемый сервером для проверки вашего имени пользователя и пароля, может не совпадать с методом проверки подлинности, настроенным в вашем профиле подключения. Пожалуйста, свяжитесь с администратором сервера RAS и сообщите им об этой ошибке.

В общем, ошибка 812 может возникать, если VPN-клиент не может соответствовать директивам NPS, или если учетной записи пользователя не разрешено подключаться, или если метод аутентификации, используемый на клиенте, не соответствует методу, настроенному на сервере.

Почему ошибка 812 отображается в Windows 10?

Ошибка 812 - техническая проблема, вызванная сервером. Давайте посмотрим на возможные причины этой ошибки:

• Когда выбран протокол проверки подлинности NPS (Network Policy & Access Services).
• VPN-сервер на основе RRAS настроен иначе, чем клиентская система VPN.
• Или может появиться код ошибки, если добавленное значение не было обновлено до состояния туннеля в сетевой политике. В этом случае, когда пользователь пытается подключиться к своему VPN-клиенту, тип туннеля имеет только значение «PPTP», поэтому отображается ошибка 812.
• В большинстве случаев причина в том, что MS-CHAP больше не доступен в Windows Vista и более поздних версиях операционной системы. Таким образом, ошибка 812 возникает, когда для протокола проверки подлинности сервера VPN установлено значение «MS-CHAP» и вы используете Windows Vista и более поздние версии для доступа к клиенту.

Если вы хотите узнать, как обойти Ошибка VPN 812, обязательно попробуйте наши следующие методы.

Проверка настроек типа туннеля

Если первое решение не работает для вас, вы можете попробовать эти шаги:

1. Получите значение «L2TP ИЛИ PPTP», выбрав «Условие типа туннеля» в качестве дополнительного значения.
2. Нажмите Применить, затем закройте сетевую политику.
3. Попробуйте подключить VPN-клиент.
4. Восстановите сетевую политику до идеального значения для состояния туннеля.
5. Выберите Применить, затем закройте сетевую политику.
6. Подключите свой VPN-клиент. Шаги должны были определить вашу сетевую политику, чтобы гарантировать, что клиент VPN работает должным образом.

Ноябрьское обновление 2021:

Теперь вы можете предотвратить проблемы с ПК с помощью этого инструмента, например, защитить вас от потери файлов и вредоносных программ. Кроме того, это отличный способ оптимизировать ваш компьютер для достижения максимальной производительности. Программа с легкостью исправляет типичные ошибки, которые могут возникнуть в системах Windows - нет необходимости часами искать и устранять неполадки, если у вас под рукой есть идеальное решение:

Конфигурация внешнего DNS

Чтобы настроить внешний DNS, выполните следующие действия:

1] В поле поиска Windows введите «ncpa.cpl» и нажмите «Ввод».

2] Вы получаете доступ к «Сетевым подключениям». 3] Щелкните правой кнопкой мыши по VPN-соединению, которое вы используете в данный момент, и выберите «Свойства» в параметре «Свойства».

4] Измените «Основной DNS» на «Контроллер домена». 5] Теперь настройте внешний DNS, получив доступ к вторичному DNS.

6] Измените диапазон первичного DNS на «8.8.8.8».

7] Проверьте и примите настройки и перезапустите VPN.

Теперь проверьте, исправлена ​​ли ошибка VPN.

Свяжитесь с вашим провайдером VPN

Если предыдущее решение по-прежнему не решает проблему, попробуйте связаться с вашим провайдером VPN. Вы, наверное, понимаете проблему и имеете практическое решение.

Обратитесь к администратору сети.

Ошибка 812 может отображаться, потому что у вас нет достаточных прав доступа. В этом случае безопасным решением будет связаться с вашим сетевым администратором и попросить его обновить ваши привилегии. Вы должны убедиться, что все привилегии протокола и сетевой аутентификации верны.

CCNA, веб-разработчик, ПК для устранения неполадок

Я компьютерный энтузиаст и практикующий ИТ-специалист. У меня за плечами многолетний опыт работы в области компьютерного программирования, устранения неисправностей и ремонта оборудования. Я специализируюсь на веб-разработке и дизайне баз данных. У меня также есть сертификат CCNA для проектирования сетей и устранения неполадок.

Список часто встречающихся ошибок и способ их устранения.

1. В удаленном подключении отказано, так как не удалось распознать указанную комбинацию имени пользователя и пароля или выбранный протокол проверки подлинности не разрешен на сервере удаленного доступа. (Неверный логин или пароль).

Возможные причины появления ошибки и способы её устранения:
1) Неправильно введен логин или пароль.
• Проверьте, правильно ли вы написали логин/пароль. Обратите внимание, что все написанные в пароле знаки необходимо вводить. Также соблюдайте верхний и нижний регистр при написании пароля.
• Проверьте, верно ли введен адрес VPN сервера в настройках
Требуется пересоздать vpn-подключение, если перенабор логина\пароля не помог.

2) Логин уже авторизован на сервере.
Пробуйте подключиться через 5-10 минут. Если подключиться не получилось, обращайтесь в отдел поддержки пользователей.
! Ни в коем случае, не сообщайте никому свои реквизиты для подключения.

2. Удаленное подключение не установлено, так как не удалось разрешить имя сервера удаленного доступа. (Нет линка).

Возможные причины появления ошибки и способы её устранения:
1) Проверьте, включена ли сетевая карта на Вашем ПК.
Если состояния подключения по локальной сети отключено – включите двойным кликом левой кнопки мыши.

2) Подключение по локальной сети (Еthernet) зачеркнуто красным крестом и снизу подписано «Сетевой кабель не подключен».
Проверьте, подключен ли сетевой кабель к компьютеру, если нет, то его требуется переподключить. Если подключиться не получилось, обращайтесь в отдел поддержки пользователей.

3. Не удалось установить связь по сети между компьютером и VPN-сервером, так как удаленный сервер не отвечает. Возможная причина: одно из сетевых устройств между компьютером и удаленным сервером не настроено для разрешения VPN-подключений. Чтобы определить, какое устройство вызывает эту проблему, обратитесь к администратору или поставщику услуг. (Неверный адрес сервера).

Возможные причины появления ошибки и способы её устранения:
Проверьте настройки VPN.
Запустите значок с рабочего стола "K-Telecom" и в открывшемся окне нажмите правой кнопкой мышки по подключению. Выберете "Просмотр свойств подключения". Перейдите во вкладку "Общие", имя сервера должно быть 172.16.0.1 или L2.

4. Сетевая папка недоступна. За информацией о разрешении проблем в сети обратитесь к справочной системе Windows. (Не получен ip по dhcp).

Возможные причины появления ошибки и способы её устранения:
1) Проверьте, получает ли сетевая карта адрес сети.
Откройте: Панель управления – Сеть и интернет – Центр управления сетями и общим доступом – Изменение параметров адаптера. Нажмите правой кнопкой мыши по значку "Ethernet " и выберете «Состояние». Если ip адрес начинается на 169.254.xxx.xxx, то обращайтесь в отдел поддержки пользователей.

2) Блокирование антивирусной программой.
Убедитесь, что фаервол или антивирус со встроенным фаерволом не блокируют соединение.

5. Удаленное подключение не установлено, так как не удалось разрешить имя сервера удаленного доступа. (Нет связи до DNS серверов, DNS прописан вручную, отсутствует ip адрес по dhcp).

Возможные причины появления ошибки и способы её устранения:
1) Неправильные настройки локальной сети.
Проверьте настройки подключения по локальной сети. Инструкция по настройке локальной сети здесь.

2) Проверьте получает ли сетевая карта адрес сети.
Откройте: Панель управления – Сеть и интернет – Центр управления сетями и общим доступом – Изменение параметров адаптера. Нажмите правой кнопкой мыши по значку "Еthernet) " и выберете «Состояние». Если ip адрес начинается на 169.254.xxx.xxx, то обращайтесь в отдел поддержки пользователей.

3) Блокирование антивирусной программой.
Убедитесь, что фаервол или антивирус со встроенным фаерволом не блокируют соединение.

Читайте также:

  
• Gta 5 не работают сохранения на windows 10
  
• Innocent witches не запускается на windows 7
  
• Как установить астра линукс на vmware
  
• Значение защищено политикой безопасной загрузки и не может быть изменено или удалено в windows 10
  
• Vietcong не запускается на windows 7