Problembehandlung bei Always On VPN

Dieser Artikel enthält Anweisungen zur Überprüfung und Problembehandlung bei der Always On VPN-Bereitstellung.

Wenn Ihr Always On Virtual Private Network (VPN)-Setup keine Verbindung zwischen Clients und Ihrem internen Netzwerk herstellt, ist möglicherweise eines der folgenden Probleme aufgetreten:

• Das VPN-Zertifikat ist ungültig.
• Die NpS-Richtlinien (Network Policy Server) sind falsch.
• Probleme mit Clientbereitstellungsskripts oder Routing und Remotezugriff.

Machen Sie sich im Zuge der Problembehandlung und des Testens Ihrer VPN-Verbindung zunächst mit den Kernkomponenten der Always On-VPN-Infrastruktur vertraut.

Sie können Verbindungsprobleme auf verschiedene Arten beheben. Für clientseitige Probleme und allgemeine Problembehandlungen sind die Anwendungsprotokolle auf Clientcomputern von unschätzbarem Wert. Bei authentifizierungsspezifischen Problemen kann das NPS-Protokoll auf dem NPS-Server Ihnen helfen, die Ursache des Problems zu ermitteln.

Allgemeine Problembehandlung für Always On VPN-Verbindungsprobleme

Always On VPN-Clients durchlaufen mehrere Schritte, bevor eine Verbindung hergestellt wird. Daher gibt es mehrere Orte, an denen Verbindungen blockiert werden können, und manchmal ist es schwierig herauszufinden, wo das Problem liegt.

Wenn Probleme auftreten, finden Sie hier einige allgemeine Schritte, die Sie ausführen können, um herauszufinden, was gerade vor sich geht:

• Führen Sie einen whatismyip-Scan aus, um sicherzustellen, dass Ihr Vorlagencomputer nicht extern verbunden ist. Wenn der Computer über eine öffentliche IP-Adresse verfügt, die nicht zu Ihnen gehört, sollten Sie die IP-Adresse in eine private ändern.
• Wechseln Sie zu Systemsteuerung>Netzwerk und Internet>Netzwerkverbindungen, öffnen Sie die Eigenschaften für Ihr VPN-Profil, und überprüfen Sie, ob der Wert auf der Registerkarte Allgemein über DNS öffentlich aufgelöst werden kann. Andernfalls kann der Remotezugriffsserver oder VPN-Server, der nicht zu einer IP-Adresse aufgelöst werden kann, wahrscheinlich die Ursache des Problems sein.
• Öffnen Sie das Internet Control Message Protocol (ICMP) für die externe Schnittstelle und pingen Sie den VPN-Server vom Remoteclient an. Wenn der Ping erfolgreich ist, können Sie die ICMP-Zulassungsregel entfernen. Wenn nicht, verursacht Ihr VPN-Server, auf den nicht zugegriffen werden kann, wahrscheinlich das Problem.
• Überprüfen Sie die Konfiguration für die internen und externen NICs auf Ihrem VPN-Server. Stellen Sie insbesondere sicher, dass sie sich im selben Subnetz befinden und dass die externe NIC eine Verbindung mit der richtigen Schnittstelle in Ihrer Firewall herstellt.
• Überprüfen Sie die Clientfirewall, die Serverfirewall und alle Hardwarefirewalls, um sicherzustellen, dass sie UDP 500- und 4500-Portaktivitäten zulassen. Wenn Sie UDP-Port 500 verwenden, stellen Sie außerdem sicher, dass IPSEC an keiner beliebigen Stelle deaktiviert oder blockiert ist. Andernfalls verursachen die Ports, die nicht vom Client zur externen VPN-Serverschnittstelle geöffnet werden, das Problem.
• Stellen Sie sicher, dass der NPS-Server über ein Serverauthentifizierungszertifikat verfügt, das IKE-Anforderungen verarbeiten kann. Stellen Sie außerdem sicher, dass Ihr NPS-Client in seinen Einstellungen über die richtige VPN-Server-IP verfügt. Sie sollten sich nur bei PEAP authentifizieren, und die PEAP-Eigenschaften sollten nur die Zertifikatauthentifizierung zulassen. Sie können die NPS-Ereignisprotokolle auf Authentifizierungsfehler überprüfen. Weitere Informationen finden Sie unter Installieren und Konfigurieren des NPS-Servers.
• Wenn Sie eine Verbindung herstellen können, aber keinen Internet- oder lokalen Netzwerkzugriff haben, überprüfen Sie Ihre DHCP- oder VPN-Server-IP-Pools auf Konfigurationsprobleme. Stellen Sie außerdem sicher, dass Ihre Kunden diese Ressourcen erreichen können. Sie können den VPN-Server verwenden, um Anforderungen weiterzuleiten.

Allgemeine Problembehandlung für Probleme mit VPN_Profile.ps1-Skripts

Zu den häufigsten Problemen beim manuellen Ausführen des Skripts VPN_Profile.ps1 gehören:

• Wenn Sie ein Remoteverbindungstool verwenden, stellen Sie sicher, dass Sie kein Remotedesktopprotokoll (RDP) oder andere Remoteverbindungsmethoden verwenden. Remoteverbindungen können die Fähigkeit des Diensts beeinträchtigen, Sie beim Anmelden zu erkennen.
• Wenn der betroffene Benutzer ein Administrator auf dem lokalen Computer ist, stellen Sie sicher, dass er über Administratorrechte verfügt, während das Skript ausgeführt wird.
• Wenn Sie andere PowerShell-Sicherheitsfeatures aktiviert haben, stellen Sie sicher, dass Ihre PowerShell-Ausführungsrichtlinie das Skript nicht blockiert. Deaktivieren Sie den Modus „Eingeschränkte Sprache“, bevor Sie das Skript ausführen, und aktivieren Sie ihn dann erneut, nachdem das Skript ausgeführt wurde.

Protokolle

Sie können auch die Anwendungsprotokolle und NPS-Protokolle auf Ereignisse überprüfen, die angeben können, wann und wo ein Problem auftritt.

Anwendungsprotokolle

Die Anwendungsprotokolle auf Clientcomputern zeichnen die übergeordneten Details von VPN-Verbindungsereignissen auf.

Wenn Sie die Problembehandlung für Always On VPN ausführen, suchen Sie nach Ereignissen mit der Bezeichnung RasClient. Alle Fehlermeldungen geben den Fehlercode am Ende der Nachricht wieder. Fehlercodes listet einige der häufigeren Fehlercodes im Zusammenhang mit Always On VPN auf. Eine vollständige Liste der Fehlercodes finden Sie unter Routing- und RAS-Fehlercodes.

NPS-Protokolle

NPS erstellt und speichert die NPS-Buchhaltungsprotokolle. Standardmäßig werden Protokolle in %SYSTEMROOT%\System32\Logfiles\ in einer Datei mit dem Namen IN<datum der Protokollerstellung> gespeichert.txt.

Standardmäßig haben diese Protokolle ein durch Trennzeichen getrenntes Werteformat, enthalten aber keine Überschriftenzeile. Der folgende Codeblock enthält die Überschriftenzeile:

ComputerName,ServiceName,Record-Date,Record-Time,Packet-Type,User-Name,Fully-Qualified-Distinguished-Name,Called-Station-ID,Calling-Station-ID,Callback-Number,Framed-IP-Address,NAS-Identifier,NAS-IP-Address,NAS-Port,Client-Vendor,Client-IP-Address,Client-Friendly-Name,Event-Timestamp,Port-Limit,NAS-Port-Type,Connect-Info,Framed-Protocol,Service-Type,Authentication-Type,Policy-Name,Reason-Code,Class,Session-Timeout,Idle-Timeout,Termination-Action,EAP-Friendly-Name,Acct-Status-Type,Acct-Delay-Time,Acct-Input-Octets,Acct-Output-Octets,Acct-Session-Id,Acct-Authentic,Acct-Session-Time,Acct-Input-Packets,Acct-Output-Packets,Acct-Terminate-Cause,Acct-Multi-Ssn-ID,Acct-Link-Count,Acct-Interim-Interval,Tunnel-Type,Tunnel-Medium-Type,Tunnel-Client-Endpt,Tunnel-Server-Endpt,Acct-Tunnel-Conn,Tunnel-Pvt-Group-ID,Tunnel-Assignment-ID,Tunnel-Preference,MS-Acct-Auth-Type,MS-Acct-EAP-Type,MS-RAS-Version,MS-RAS-Vendor,MS-CHAP-Error,MS-CHAP-Domain,MS-MPPE-Encryption-Types,MS-MPPE-Encryption-Policy,Proxy-Policy-Name,Provider-Type,Provider-Name,Remote-Server-Address,MS-RAS-Client-Name,MS-RAS-Client-Version

Wenn Sie diese Überschriftenzeile als erste Zeile der Protokolldatei einfügen und die Datei dann in Microsoft Excel importieren, beschriftet Excel die Spalten ordnungsgemäß.

Die NPS-Protokolle können Ihnen helfen, richtlinienbezogene Probleme zu diagnostizieren. Weitere Informationen zu NPS-Protokollen finden Sie unter Interpretieren von Protokolldateien im NPS-Datenbankformat.

Fehlercodes

In den folgenden Abschnitten wird beschrieben, wie sie die am häufigsten auftretenden Fehler beheben.

Fehler 800: Die Remoteverbindung konnte nicht hergestellt werden.

Dieses Problem tritt auf, wenn der Dienst keine Remoteverbindung herstellen kann, da die versuchten VPN-Tunnel fehlgeschlagen sind, häufig weil der VPN-Server nicht erreichbar ist. Wenn Ihre Verbindung versucht, ein Layer 2 Tunneling-Protokoll (L2TP) oder IPsec-Tunnel zu verwenden, bedeutet dieser Fehler, dass die erforderlichen Sicherheitsparameter für die IPsec-Aushandlung nicht ordnungsgemäß konfiguriert sind.

Ursache: VPN-Tunneltyp

Dieses Problem kann auftreten, wenn der VPN-Tunneltyp auf Automatisch festgelegt ist und Ihr Verbindungsversuch in allen VPN-Tunneln nicht erfolgreich ist.

Lösung: Überprüfen der VPN-Konfiguration

Da VPN-Einstellungen dieses Problem verursachen, sollten Sie eine Problembehandlung der VPN-Einstellungen und der Verbindung durchführen, indem Sie Folgendes versuchen:

• Wenn Sie wissen, welcher Tunnel für Ihre Bereitstellung verwendet werden soll, legen Sie den VPN-Typ auf den jeweiligen Tunneltyp auf der VPN-Clientseite fest.
• Stellen Sie sicher, dass die IKE-Ports (Internet Key Exchange) an den UDP-Ports (User Datagram Protocol) 500 und 4500 nicht blockiert sind.
• Stellen Sie sicher, dass sowohl der Client als auch der Server über richtige Zertifikate für IKE verfügen.

Fehler 809: Es kann keine Verbindung zwischen dem lokalen Computer und dem VPN-Server hergestellt werden.

Bei diesem Problem reagiert der Remoteserver nicht, was verhindert, dass Ihr lokaler Computer und der VPN-Server eine Verbindung herstellen. Dies könnte daran liegen, dass ein oder mehrere Netzwerkgeräte wie Router, Firewalls oder die Network Address Translation (NAT) zwischen Ihrem Computer und dem Remote-Server nicht so konfiguriert sind, dass sie VPN-Verbindungen zulassen. Wenden Sie sich an Ihre*n Administrator*in oder Dienstanbieter, um zu ermitteln, durch welches Gerät das Problem verursacht wird.

Ursache für Fehler 809

Dieses Problem kann auftreten, wenn die UDP 500- oder 4500-Ports auf dem VPN-Server oder der Firewall blockiert werden. Das Blockieren kann auftreten, wenn eines der Netzwerkgeräte zwischen Ihrem Computer und dem Remoteserver, z. B. Firewall, NAT oder Router, nicht ordnungsgemäß konfiguriert ist.

Lösung: Überprüfen der Ports auf Geräten zwischen dem lokalen Computer und dem Remoteserver

Um dieses Problem zu beheben, sollten Sie sich zuerst an Ihren Administrator oder Dienstanbieter wenden, um herauszufinden, welches Gerät blockiert ist. Stellen Sie anschließend sicher, dass die Firewalls für dieses Gerät die UDP 500- und 4500-Ports zulassen. Wenn das Problem dadurch nicht behoben wird, überprüfen Sie die Firewalls zwischen Ihrem lokalen Computer und dem Remoteserver auf jedem Gerät.

Fehler 812: Es kann keine Verbindung mit Always On VPN hergestellt werden.

Dieses Problem tritt auf, wenn Ihr RAS- oder VPN-Server keine Verbindung mit Always On VPN herstellen kann. Die Authentifizierungsmethode, die vom Server zur Überprüfung Ihres Benutzernamens und Kennworts verwendet wurde, entsprach nicht der in Ihrem Verbindungsprofil konfigurierten Authentifizierungsmethode.

Immer wenn Fehler 812 auftritt, empfehlen wir, dass Sie sich sofort an den RAS-Serveradministrator wenden, um sie darüber zu informieren, was passiert ist.

Wenn Sie die Ereignisanzeige zur Problembehandlung verwenden, finden Sie dieses Problem, das als Ereignisprotokoll 20276 gekennzeichnet ist. Dieses Ereignis wird in der Regel angezeigt, wenn eine RRAS-basierte VPN-Serverauthentifizierungsprotokolleinstellung nicht mit den Einstellungen auf dem VPN-Clientcomputer übereinstimmt.

Ursache für Fehler 812

Dieser Fehler tritt typischerweise auf, wenn der NPS eine Authentifizierungsbedingung angegeben hat, die der Client nicht erfüllen kann. Wenn der NPS beispielsweise angibt, dass er ein Zertifikat benötigt, um die PEAP-Verbindung (Protected Extensible Authentication Protocol) zu sichern, kann er sich nicht authentifizieren, wenn der Client stattdessen EAP-MSCHAPv2 verwendet.

Lösung: Überprüfen der Client- und NPS-Serverauthentifizierungseinstellungen

Um dieses Problem zu beheben, stellen Sie sicher, dass die Authentifizierungsanforderungen für Ihren Client und den NPS-Server übereinstimmen. Wenn nicht, ändern Sie sie entsprechend.

Fehler 13806: IKE konnte kein gültiges Computerzertifikat finden.

Dieses Problem tritt auf, wenn IKE kein gültiges Computerzertifikat finden konnte.

Ursache für Fehler 13806

Dieser Fehler tritt in der Regel auf, wenn der VPN-Server nicht über das erforderliche Computer- oder Stammcomputerzertifikat verfügt.

Lösung: Installieren eines gültigen Zertifikats im relevanten Zertifikatspeicher.

Um dieses Problem zu beheben, stellen Sie sicher, dass die erforderlichen Zertifikate sowohl auf dem Clientcomputer als auch auf dem VPN-Server installiert sind. Wenden Sie sich andernfalls an Ihren Netzwerksicherheitsadministrator, und bitten Sie ihn, gültige Zertifikate im entsprechenden Zertifikatspeicher zu installieren.

Fehler 13801: Anmeldeinformationen für die IKE-Authentifizierung sind ungültig.

Dieses Problem tritt auf, wenn entweder der Server oder der Client die IKE-Authentifizierungsanmeldeinformationen nicht akzeptieren kann.

Ursache für Fehler 13801

Dieser Fehler kann folgende Ursachen haben:

• Das Computerzertifikat, das für die IKEv2-Validierung auf dem RAS-Server verwendet wird, hat die Serverauthentifizierung unter Erweiterte Schlüsselverwendung nicht aktiviert.
• Das Computerzertifikat auf dem RAS-Server ist abgelaufen.
• Der Clientcomputer verfügt nicht über das Stammzertifikat zum Überprüfen des RAS-Serverzertifikats.
• Der VPN-Servername des Clientcomputers stimmt nicht mit dem Wert subjectName auf dem Serverzertifikat überein.

Lösung 1: Überprüfen der Serverzertifikateinstellungen

Wenn das Problem das RAS-Servercomputerzertifikat ist, stellen Sie sicher, dass das Zertifikat Serverauthentifizierung unter Erweiterte Schlüsselverwendung enthält.

Lösung 2: Sicherstellen, dass das Computerzertifikat noch gültig ist

Wenn das Problem darin besteht, dass das RAS-Computerzertifikat abgelaufen ist, stellen Sie sicher, dass es noch gültig ist. Falls nicht, installieren Sie ein gültiges Zertifikat.

Lösung 3: Sicherstellen, dass der Clientcomputer über ein Stammzertifikat verfügt

Wenn das Problem mit dem Clientcomputer verbunden ist, auf dem kein Stammzertifikat vorhanden ist, überprüfen Sie zuerst die vertrauenswürdigen Stammzertifizierungsstellen auf dem RRAS-Server, um sicherzustellen, dass die von Ihnen verwendete Zertifizierungsstelle vorhanden ist. Wenn sie nicht vorhanden ist, installieren Sie ein gültiges Stammzertifikat.

Lösung 4: Sicherstellen, dass der VPN-Servername des Clientcomputers mit dem Serverzertifikat übereinstimmt

Überprüfen Sie zunächst, ob der VPN-Client eine Verbindung mit demselben vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) herstellt, den das VPN-Serverzertifikat verwendet. Wenn nicht, ändern Sie den Clientnamen so, dass er mit dem Serverzertifikatnamen übereinstimmt.

Fehler 0x80070040: Serverzertifikat hat keine Serverauthentifizierung in den Verwendungseinträgen

Dieses Problem tritt auf, wenn das Serverzertifikat nicht über Serverauthentifizierung als einen der Zertifikatverwendungseinträge verfügt.

Ursache für Fehler 0x80070040

Dieser Fehler tritt auf, wenn auf dem RAS-Server kein Serverauthentifizierungszertifikat installiert ist.

Lösung: Sicherstellen, dass das Computerzertifikat über den erforderlichen Zertifikatverwendungseintrag verfügt

Um dieses Problem zu beheben, stellen Sie sicher, dass das Computerzertifikat, das der RAS-Server für die IKEv2-Überprüfung verwendet, Serverauthentifizierung in der Liste der Zertifikatverwendungseinträge enthält.

Fehler 0x800B0109: Eine Zertifikatkette wurde verarbeitet, aber in einem Stammzertifikat beendet.

Die vollständige Fehlerbeschreibung lautet: „Eine Zertifikatkette wurde verarbeitet, aber in einem Stammzertifikat beendet, dem der Vertrauensanbieter nicht vertraut.“

Im Allgemeinen ist der VPN-Clientcomputer mit der Active Directory-basierten Domäne verbunden. Wenn Sie Domänenanmeldeinformationen verwenden, um sich beim VPN-Server anzumelden, installiert der Dienst das Zertifikat automatisch im Speicher für vertrauenswürdige Stammzertifizierungsstellen. Dieses Problem kann auftreten, wenn der Computer nicht mit einer AD-Domäne verbunden ist oder Sie eine alternative Zertifikatkette verwenden.

Ursache für Fehler 0x800B0109

Dieser Fehler kann auftreten, wenn auf dem Clientcomputer kein entsprechendes vertrauenswürdiges Stammzertifizierungsstellenzertifikat im Speicher für vertrauenswürdige Stammzertifizierungsstellen installiert ist.

Lösung: Installieren des vertrauenswürdigen Stammzertifikats

Um dieses Problem zu beheben, stellen Sie sicher, dass auf dem Clientcomputer ein vertrauenswürdiges Stammzertifikat im Speicher der vertrauenswürdigen Stammzertifizierungsstellen installiert ist. Falls nicht, installieren Sie ein entsprechendes Stammzertifikat.

Fehler: Hoppla! Eine Weiterleitung ist noch nicht möglich.

Diese Fehlermeldung ist mit Verbindungsprobleme mit dem bedingten Zugriff von Microsoft Entra verknüpft. Wenn dieses Problem angezeigt wird, ist die Richtlinie für den bedingten Zugriff nicht erfüllt, blockiert die VPN-Verbindung, stellt dann jedoch eine Verbindung her, nachdem der Benutzer das Dialogfeld geschlossen hat. Wenn der Benutzer OK auswählt, wird ein weiterer Authentifizierungsversuch gestartet, der ebenfalls nicht erfolgreich ist, und es wird eine identische Fehlermeldung angezeigt. Das Microsoft Entra Operational Event-Protokoll des Clients zeichnet diese Ereignisse auf.

Fehlerursache für bedingten Microsoft Entra-Zugriff

Es gibt einige Gründe, warum dieses Problem auftreten kann:

• Der Benutzer verfügt über ein Clientauthentifizierungszertifikat im persönlichen Zertifikatspeicher, der gültig ist, aber nicht aus der Microsoft Entra-ID stammt.

• Der Abschnitt „VPN-Profil <TLSExtensions>“ fehlt oder enthält die Einträge <EKUName>AAD Conditional Access</EKUName><EKUOID>1.3.6.1.4.1.311.87</EKUOID><EKUName>AAD Conditional Access</EKUName><EKUOID>1.3.6.1.4.1.311.87</EKUOID> nicht. Die Einträge <EKUName> und <EKUOID> teilen dem VPN-Client mit, welches Zertifikat aus dem Zertifikatspeicher des Benutzers abgerufen werden soll, wenn das Zertifikat an den VPN-Server übergeben wird. Ohne die Einträge <EKUName> und <EKUOID> verwendet der VPN-Client jedes gültige Clientauthentifizierungszertifikat, das sich im Zertifikatspeicher des Benutzers befindet, und die Authentifizierung ist erfolgreich.

• Der RADIUS-Server (NPS) wurde nicht so konfiguriert, dass er nur Clientzertifikate akzeptiert, die die AAD-OID für bedingten Zugriff enthalten.

Lösung: Verwenden von PowerShell zum Ermitteln des Zertifikatstatus

So umgehen Sie diese Schleife:

1. Führen Sie in Windows PowerShell das cmdlet Get-WmiObject aus, um die Konfiguration des VPN-Profils abzuspeichern.

2. Stellen Sie sicher, dass die Variablen <TLSExtensions>, <EKUName> und <EKUOID> vorhanden sind und deren Ausgabe den richtigen Namen und OID anzeigt.

   Der folgende Code ist eine Beispielausgabe des Get-WmiObject Cmdlets.

   PS C:\> Get-WmiObject -Class MDM_VPNv2_01 -Namespace root\cimv2\mdm\dmmap
   
   __GENUS                 : 2
   __CLASS                 : MDM_VPNv2_01
   __SUPERCLASS            :
   __DYNASTY               : MDM_VPNv2_01
   __RELPATH               : MDM_VPNv2_01.InstanceID="AlwaysOnVPN",ParentID="./Vendor/MSFT/VPNv2"
   __PROPERTY_COUNT        : 10
   __DERIVATION            : {}
   __SERVER                : DERS2
   __NAMESPACE             : root\cimv2\mdm\dmmap
   __PATH                  : \\DERS2\root\cimv2\mdm\dmmap:MDM_VPNv2_01.InstanceID="AlwaysOnVPN",ParentID="./Vendor/MSFT/VP
                               Nv2"
   AlwaysOn                :
   ByPassForLocal          :
   DnsSuffix               :
   EdpModeId               :
   InstanceID              : AlwaysOnVPN
   LockDown                :
   ParentID                : ./Vendor/MSFT/VPNv2
   ProfileXML              : <VPNProfile><RememberCredentials>false</RememberCredentials><DeviceCompliance><Enabled>true</
                               Enabled><Sso><Enabled>true</Enabled></Sso></DeviceCompliance><NativeProfile><Servers>derras2.corp.deverett.info;derras2.corp.deverett.info</Servers><RoutingPolicyType>ForceTunnel</RoutingPolicyType><NativeProtocolType>Ikev2</NativeProtocolType><Authentication><UserMethod>Eap</UserMethod><MachineMethod>Eap</MachineMethod><Eap><Configuration><EapHostConfigxmlns="https://www.microsoft.com/provisioning/EapHostConfig"><EapMethod><Typexmlns="https://www.microsoft.com/provisioning/EapCommon">25</Type><VendorIdxmlns="https://www.microsoft.com/provisioning/EapCommon">0</VendorId><VendorTypexmlns="https://www.microsoft.com/provisioning/EapCommon">0</VendorType><AuthorIdxmlns="https://www.microsoft.com/provisioning/EapCommon">0</AuthorId></EapMethod><Configxmlns="https://www.microsoft.com/provisioning/EapHostConfig"><Eap xmlns="https://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>25</Type><EapType xmlns="https://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV1"><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames></ServerNames></ServerValidation><FastReconnect>true</FastReconnect><InnerEapOptional>false</InnerEapOptional><Eap xmlns="https://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>13</Type>
                               <EapType xmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1"><CredentialsSource><CertificateStore><SimpleCertSelection>true</SimpleCertSelection></CertificateStore></CredentialsSource><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames></ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><DifferentUsername>false</DifferentUsername><PerformServerValidation xmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName><TLSExtensionsxmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2"><FilteringInfo xml ns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3"><EKUMapping><EKUMap><EKUName>AAD Conditional Access</EKUName><EKUOID>1.3.6.1.4.1.311.87</EKUOID></EKUMap></EKUMapping><ClientAuthEKUListEnabled="true"><EKUMapInList><EKUName>AAD Conditional Access</EKUName></EKUMapInList></ClientAuthEKUList></FilteringInfo></TLSExtensions></EapType></Eap><EnableQuarantineChecks>false</EnableQuarantineChecks><RequireCryptoBinding>false</RequireCryptoBinding><PeapExtensions><PerformServerValidation xmlns="https://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">false</PerformServerValidation><AcceptServerName xmlns="https://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">false</AcceptServerName></PeapExtensions></EapType></Eap></Config></EapHostConfig></Configuration></Eap></Authentication></NativeProfile></VPNProfile>
   RememberCredentials     : False
   TrustedNetworkDetection :
   PSComputerName          : DERS2
   

3. Führen Sie als nächstes den Befehl Certutil aus, um zu ermitteln, ob gültige Zertifikate im Zertifikatspeicher des Benutzers vorhanden sind:

   C:\>certutil -store -user My
   
   My "Personal"
   ================ Certificate 0 ================
   Serial Number: 32000000265259d0069fa6f205000000000026
   Issuer: CN=corp-DEDC0-CA, DC=corp, DC=deverett, DC=info
     NotBefore: 12/8/2017 8:07 PM
     NotAfter: 12/8/2018 8:07 PM
   Subject: E=winfed@deverett.info, CN=WinFed, OU=Users, OU=Corp, DC=corp, DC=deverett, DC=info
   Certificate Template Name (Certificate Type): User
   Non-root Certificate
   Template: User
   Cert Hash(sha1): a50337ab015d5612b7dc4c1e759d201e74cc2a93
     Key Container = a890fd7fbbfc072f8fe045e680c501cf_5834bfa9-1c4a-44a8-a128-c2267f712336
     Simple container name: te-User-c7bcc4bd-0498-4411-af44-da2257f54387
     Provider = Microsoft Enhanced Cryptographic Provider v1.0
   Encryption test passed
   
   ================ Certificate 1 ================
   Serial Number: 367fbdd7e6e4103dec9b91f93959ac56
   Issuer: CN=Microsoft VPN root CA gen 1
     NotBefore: 12/8/2017 6:24 PM
     NotAfter: 12/8/2017 7:29 PM
   Subject: CN=WinFed@deverett.info
   Non-root Certificate
   Cert Hash(sha1): 37378a1b06dcef1b4d4753f7d21e4f20b18fbfec
     Key Container = 31685cae-af6f-48fb-ac37-845c69b4c097
     Unique container name: bf4097e20d4480b8d6ebc139c9360f02_5834bfa9-1c4a-44a8-a128-c2267f712336
     Provider = Microsoft Software Key Storage Provider
   Private key is NOT exportable
   Encryption test passed
   

   Hinweis

   Wenn ein Zertifikat vom Aussteller CN=Microsoft VPN root CA gen 1 im persönlichen Speicher des Benutzers bzw. der Benutzerin vorhanden ist, der Benutzer bzw. die Benutzerin jedoch Zugriff erhalten hat, indem er bzw. sie X ausgewählt hat, um die Fehlermeldung zu schließen, erfassen Sie CAPI2-Ereignisprotokolle, um zu überprüfen, ob das für die Authentifizierung verwendete Zertifikat ein gültiges Clientauthentifizierungszertifikat war, das nicht von der Microsoft-VPN-Stammzertifizierungsstelle ausgestellt wurde.

4. Wenn ein gültiges Clientauthentifizierungszertifikat im persönlichen Speicher des Benutzers vorhanden ist und die TLSExtensionsWerte EKUNameund Werte EKUOID ordnungsgemäß konfiguriert sind, sollte die Verbindung nach dem Schließen des Dialogfelds nicht erfolgreich sein.

Es sollte eine Fehlermeldung angezeigt werden, die besagt, dass ein Zertifikat nicht gefunden wurde, das mit dem Extensible Authenticate-Protokoll verwendet werden kann.

Das Zertifikat kann nicht von der Registerkarte „VPN-Konnektivität“ gelöscht werden

Dieses Problem tritt auf, wenn Sie Zertifikate auf der Registerkarte „VPN-Konnektivität“ nicht löschen können.

Ursache

Dieses Problem tritt auf, wenn das Zertifikat auf Primär festgelegt ist.

Lösung: Ändern der Zertifikateinstellungen

So löschen Sie Zertifikate:

1. Wählen Sie auf der Registerkarte VPN-Konnektivität das Zertifikat aus.
2. Wählen Sie unter Primär Nein und dann Speichern aus.
3. Wählen Sie auf der Registerkarte VPN-Konnektivität das Zertifikat erneut aus.
4. Klicken Sie auf Löschen.