Résoudre les problèmes liés au VPN Toujours actif (AlwaysOn)

Cet article fournit des instructions pour vérifier et résoudre les problèmes de déploiement vpn Always On.

Si votre configuration de réseau privé virtuel (VPN) Always On ne connecte pas les clients à votre réseau interne, vous avez peut-être rencontré l’un des problèmes suivants :

• Le certificat VPN n’est pas valide.
• Les stratégies NPS (Network Policy Server) sont incorrectes.
• Problèmes liés aux scripts de déploiement du client ou au routage et à l’accès à distance.

La première étape de la résolution des problèmes et du test de votre connexion VPN consiste à comprendre les composants principaux de l’infrastructure Always On VPN.

Vous pouvez résoudre les problèmes de connexion de plusieurs façons. Pour résoudre des problèmes côté client et des problèmes généraux, les journaux d’applications sur les ordinateurs clients sont d’une grande utilité. Pour résoudre les problèmes spécifiques à l’authentification, le journal NPS situé sur le serveur NPS peut vous aider à en déterminer la cause.

Résolution générale des problèmes de connexion Always On VPN

Les clients Always On VPN passent par plusieurs étapes avant d’établir une connexion. En conséquence, il existe plusieurs endroits où les connexions peuvent être bloquées, et il est parfois difficile de déterminer où se trouve le problème.

Si vous rencontrez des problèmes, voici quelques étapes générales que vous pouvez suivre pour déterminer ce qui se passe :

• Exécutez une analyse whatismyip pour vous assurer que votre ordinateur modèle n’est pas connecté en externe. Si l’ordinateur a une adresse IP publique qui ne vous appartient pas, vous devez remplacer l’adresse IP par une adresse IP privée.
• Accédez à Panneau de configuration>Réseau et Connexions>réseau internet, ouvrez les propriétés de votre Profil VPN et vérifiez que la valeur dans l’onglet Général peut être résolue publiquement via DNS. Si ce n’est pas le cas, l’incapacité du serveur d’accès à distance ou l’incapacité du serveur VPN à résoudre une adresse IP est probablement la cause du problème.
• Ouvrez l’ICMP (Internet Control Message Protocol) sur l’interface externe et effectuez un test ping sur le serveur VPN depuis le client distant. Si le test ping réussit, vous pouvez supprimer la règle d’autorisation ICMP. Si ce n’est pas le cas, l’inaccessibilité de votre serveur VPN est probablement à l’origine du problème.
• Vérifiez la configuration des cartes réseau internes et externes sur votre serveur VPN. En particulier, assurez-vous qu’elles soient sur le même sous-réseau et que la carte réseau externe se connecte à l’interface appropriée sur votre pare-feu.
• Vérifiez le pare-feu client, le pare-feu du serveur et tous les pare-feu matériels pour vous assurer qu’ils autorisent l’activité via les ports UDP 500 et 4500. En outre, si vous utilisez le port UDP 500, vérifiez que IPSEC n’est pas désactivé ou bloqué à un endroit quelconque. Si ce n’est pas le cas, les ports n’étant pas ouverts depuis le client vers l’interface externe du serveur VPN causent le problème.
• Assurez-vous que le serveur NPS a un certificat d’authentification de serveur qui peut traiter les requêtes IKE. Vérifiez également que votre client NPS dispose de l’adresse IP du serveur VPN correcte dans ses paramètres. Vous devez uniquement vous authentifier avec PEAP et les propriétés PEAP ne doivent autoriser que l’authentification par certificat. Vous pouvez rechercher les problèmes d’authentification dans le journal des évènements NPS. Pour plus d’informations, consultez Installer et configurer le serveur NPS.
• Si vous pouvez vous connecter, mais que vous n’avez pas accès à Internet ou au réseau local, vérifiez les problèmes de configuration liés à vos pools IP de serveur DHCP ou VPN. Assurez-vous également que vos clients peuvent atteindre ces ressources. Vous pouvez utiliser le serveur VPN pour router les requêtes.

Résolution générale des problèmes de script VPN_Profile.ps1

Les problèmes les plus courants lors de l’exécution manuelle du script VPN_Profile.ps1 sont les suivants :

• Si vous utilisez un outil de connexion à distance, veillez à ne pas utiliser le protocole RDP (Remote Desktop Protocol) ou d’autres méthodes de connexion à distance. Les connexions à distance peuvent interférer avec la capacité du service à vous détecter lorsque vous vous connectez.
• Si l’utilisateur concerné est administrateur sur son ordinateur local, assurez-vous qu’il dispose de privilèges administrateur lors de l’exécution du script.
• Si vous avez activé d’autres fonctionnalités de sécurité PowerShell, vérifiez que votre stratégie d’exécution PowerShell ne bloque pas le script. Désactivez le mode langage contraint avant d’exécuter le script, puis réactivez-le une fois l’exécution terminée.

Journaux

Vous pouvez également consulter les journaux des applications et les journaux NPS pour chercher des évènements qui peuvent indiquer quand et où un problème se produit.

Journaux d’application

Les journaux d’application sur les ordinateurs clients enregistrent des détails de niveau supérieur sur les évènements de connexion VPN.

Lorsque vous résolvez les problèmes d’Always On VPN, recherchez les événements étiquetés RasClient. Tous les messages d’erreur retournent le code d’erreur à la fin du message. Codes d’erreur répertorie certains des codes d’erreur les plus courants liés à Always On VPN. Pour obtenir la liste complète des codes d’erreur, consultez Codes d’erreur de routage et d’accès à distance.

Journaux NPS

NPS crée et stocke les journaux de gestion des comptes NPS. Par défaut, les journaux sont stockés dans %SYSTEMROOT%\System32\Logfiles\ dans un fichier nommé IN<date de création> du journal.txt.

Par défaut, ces journaux sont au format de valeurs séparées par des virgules, mais ils n’incluent pas de ligne d’en-tête. Le bloc de code suivant contient la ligne d’en-tête :

ComputerName,ServiceName,Record-Date,Record-Time,Packet-Type,User-Name,Fully-Qualified-Distinguished-Name,Called-Station-ID,Calling-Station-ID,Callback-Number,Framed-IP-Address,NAS-Identifier,NAS-IP-Address,NAS-Port,Client-Vendor,Client-IP-Address,Client-Friendly-Name,Event-Timestamp,Port-Limit,NAS-Port-Type,Connect-Info,Framed-Protocol,Service-Type,Authentication-Type,Policy-Name,Reason-Code,Class,Session-Timeout,Idle-Timeout,Termination-Action,EAP-Friendly-Name,Acct-Status-Type,Acct-Delay-Time,Acct-Input-Octets,Acct-Output-Octets,Acct-Session-Id,Acct-Authentic,Acct-Session-Time,Acct-Input-Packets,Acct-Output-Packets,Acct-Terminate-Cause,Acct-Multi-Ssn-ID,Acct-Link-Count,Acct-Interim-Interval,Tunnel-Type,Tunnel-Medium-Type,Tunnel-Client-Endpt,Tunnel-Server-Endpt,Acct-Tunnel-Conn,Tunnel-Pvt-Group-ID,Tunnel-Assignment-ID,Tunnel-Preference,MS-Acct-Auth-Type,MS-Acct-EAP-Type,MS-RAS-Version,MS-RAS-Vendor,MS-CHAP-Error,MS-CHAP-Domain,MS-MPPE-Encryption-Types,MS-MPPE-Encryption-Policy,Proxy-Policy-Name,Provider-Type,Provider-Name,Remote-Server-Address,MS-RAS-Client-Name,MS-RAS-Client-Version

Si vous collez cette ligne d’en-tête en première ligne du fichier journal, puis que vous importez le fichier dans Microsoft Excel, alors Excel étiquette correctement les colonnes.

Les journaux NPS peuvent vous aider à diagnostiquer les problèmes liés à la stratégie. Pour plus d’informations sur les journaux NPS, consultez Interpréter les fichiers journaux au format de base de données NPS.

Codes d'erreur

Les sections suivantes décrivent comment résoudre les erreurs les plus fréquemment rencontrées.

Erreur 800 : la connexion à distance n’a pas pu se connecter

Ce problème se produit lorsque le service ne peut pas établir de connexion à distance, car les tunnels VPN tentés ont échoué, souvent parce que le serveur VPN n’était pas accessible. Si votre connexion tente d’utiliser un protocole de tunneling de couche 2 (L2TP) ou un tunnel IPsec, cette erreur signifie que les paramètres de sécurité requis pour la négociation IPsec ne sont pas configurés correctement.

Cause : type de tunnel VPN

Vous pouvez rencontrer ce problème lorsque le type de tunnel VPN est défini sur Automatique et que votre tentative de connexion échoue dans tous les tunnels VPN.

Solution : vérifiez votre configuration VPN

Étant donné que ce sont les paramètres VPN qui provoquent ce problème, vous devez résoudre les problèmes liés à vos paramètres VPN et à votre connexion en essayant de faire comme suit :

• Si vous savez quel tunnel utiliser pour votre déploiement, définissez le type de VPN sur ce type de tunnel particulier côté client du VPN.
• Vérifiez que les ports Internet Key Exchange (IKE) sur les ports UDP (User Datagram Protocol) 500 et 4500 ne sont pas bloqués.
• Vérifiez que le client et le serveur disposent de certificats corrects pour IKE.

Erreur 809 : impossible d’établir une connexion entre l’ordinateur local et le serveur VPN

Dans ce problème, le serveur distant ne répond pas, ce qui empêche votre ordinateur local et le serveur VPN de se connecter. Cela peut être dû au fait qu’un ou plusieurs périphériques réseau, tels que des routeurs, des pare-feu ou la traduction d’adresses réseau (Network Address Translation/NAT) entre votre ordinateur et le serveur distant ne sont pas configurés pour autoriser les connexions VPN. Veuillez contacter votre administrateur ou votre fournisseur de services afin d’identifier quel appareil peut être à l’origine du problème.

Cause de l’erreur 809

Vous pouvez rencontrer ce problème lorsque les ports UDP 500 ou 4500 sur le serveur VPN ou le pare-feu sont bloqués. Le blocage peut se produire lorsque l’un des périphériques réseau entre votre ordinateur et le serveur distant, tel que le pare-feu, NAT ou les routeurs, ne sont pas configurés correctement.

Solution : vérifiez les ports sur les périphériques entre votre ordinateur local et votre serveur distant

Pour résoudre ce problème, contactez d’abord votre administrateur ou fournisseur de services pour savoir quel périphérique est bloqué. Ensuite, assurez-vous que les pare-feu de ce périphérique autorisent le passage par les ports UDP 500 et 4500. Si cela ne résout pas le problème, vérifiez les pare-feu sur chaque périphérique entre votre ordinateur local et le serveur distant.

Erreur 812 : connexion impossible à Always On VPN

Ce problème se produit lorsque votre serveur d’accès à distance (Remote Access Server/RAS) ou votre serveur VPN ne peut pas se connecter à VPN Always On. La méthode d’authentification utilisée par le serveur pour vérifier votre nom d’utilisateur et votre mot de passe ne correspondait pas à la méthode d’authentification configurée dans votre profil de connexion.

Chaque fois que vous rencontrez l’erreur 812, nous vous recommandons de contacter immédiatement votre administrateur de serveur RAS pour lui indiquer ce qui s’est passé.

Si vous utilisez l’Observateur d’évènements pour résoudre les problèmes, vous pouvez trouver ce problème marqué comme Journal des évènements 20276. Cet événement s’affiche généralement lorsqu’un paramètre de protocole d’authentification de serveur VPN basé sur le routage et l’accès à distance (RRAS/Routing and Remote Access) ne correspond pas aux paramètres du VPN de l’ordinateur client.

Cause de l’erreur 812

Vous rencontrez généralement cette erreur lorsque le serveur NPS a spécifié une condition d’authentification que le client ne peut pas respecter. Par exemple, si le serveur NPS spécifie qu’il a besoin d’un certificat pour sécuriser la connexion Protected Extensible Authentication Protocol (PEAP), il ne peut pas s’authentifier si le client tente d’utiliser EAP-MSCHAPv2 à la place.

Solution : vérifiez les paramètres d’authentification de votre client et de votre serveur NPS

Pour résoudre ce problème, vérifiez que les exigences d’authentification pour votre client et le serveur NPS correspondent. Si ce n’est pas le cas, modifiez-les en conséquence.

Erreur 13806 : IKE ne trouve pas de certificat d’ordinateur valide

Ce problème se produit lorsque IKE ne trouve pas de certificat d’ordinateur valide.

Cause de l’erreur 13806

Vous rencontrez généralement cette erreur lorsque le serveur VPN n’a pas le certificat d’ordinateur ou d’ordinateur racine requis.

Solution : installez un certificat valide dans le magasin de certificats approprié

Pour résoudre ce problème, vérifiez que les certificats requis sont installés sur l’ordinateur client et le serveur VPN. Si ce n’est pas le cas, contactez votre administrateur de sécurité réseau et demandez-lui d’installer des certificats valides dans le magasin de certificats approprié.

Erreur 13801 : les informations d’identification de l’authentification IKE ne sont pas valides

Vous rencontrez ce problème lorsque le serveur ou le client ne peut pas accepter les informations d’identification de l’authentification IKE.

Cause de l’erreur 13801

Cette erreur peut se produire pour l'une des raisons suivantes :

• Le certificat d’ordinateur utilisé pour la validation IKEv2 sur le serveur RAS n’a pas d’entrée Authentification de serveur activée sous Utilisation améliorée de la clé.
• Le certificat d’ordinateur sur le serveur RAS a expiré.
• L’ordinateur client n’a pas le certificat racine pour valider le certificat du serveur RAS.
• Le nom du serveur VPN de l’ordinateur client ne correspond pas à la valeur subjectName du certificat de serveur.

Solution 1 : vérifiez les paramètres du certificat de serveur

Si le problème est le certificat de l’ordinateur serveur RAS, vérifiez que le certificat inclut Authentification du serveur sous Utilisation améliorée de la clé.

Solution 2 : vérifiez que le certificat de l’ordinateur est toujours valide

Si le problème est que le certificat d’ordinateur RAS a expiré, vérifiez qu’il est toujours valide. Si ce n’est pas le cas, installez un certificat valide.

Solution 3 : vérifiez que l’ordinateur client a un certificat racine

Si le problème est lié à l’absence de certificat racine de l’ordinateur client, vérifiez d’abord les Autorités de certification de racines de confiance approuvées sur le serveur RRAS pour vous assurer que l’autorité de certification que vous utilisez s’y trouve. Si ce n’est pas le cas, installez un certificat racine valide.

Solution 4 : faites correspondre le nom du serveur VPN de l’ordinateur client au certificat de serveur

Tout d’abord, assurez-vous que le client VPN se connecte à l’aide du même nom de domaine complet (Fully Qualified Domain Name/FQDN) que celui utilisé par le certificat de serveur VPN. Si ce n’est pas le cas, modifiez le nom du client pour qu’il corresponde au nom du certificat de serveur.

Erreur 0x80070040 : le certificat de serveur n’a pas Authentification de serveur dans ses entrées d’utilisation

Ce problème survient lorsque le certificat de serveur n’inclut pas l’entrée Authentification de serveur dans ses entrées d’utilisation des certificats.

Cause de l’erreur 0x80070040

Cette erreur se produit lorsque le serveur RAS n’a pas de certificat d’authentification de serveur installé.

Solution : vérifiez que le certificat de l’ordinateur dispose de l’entrée d’utilisation des certificats requise

Pour résoudre ce problème, assurez-vous que le certificat d’ordinateur utilisé par le serveur RAS pour la validation IKEv2 inclut Authentification de serveur dans sa liste d’entrées d’utilisation des certificats.

Erreur 0x800B0109 : une chaîne de certificats a été traitée mais s’est terminée dans un certificat racine

La description complète de l’erreur est « Une chaîne de certificats a été traitée mais s’est terminée dans un certificat racine que le fournisseur d’approbation n’approuve pas. »

En règle générale, l’ordinateur client VPN est joint à un domaine basé sur Active Directory (AD). Si vous utilisez des informations d’identification de domaine pour vous connecter au serveur VPN, le service installe automatiquement le certificat dans le magasin Autorités de certification de racines de confiance. Vous pouvez rencontrer ce problème si l’ordinateur n’est pas joint à un domaine AD ou si vous utilisez une autre chaîne de certificats.

Cause de l’erreur 0x800B0109

Vous pouvez rencontrer cette erreur si l’ordinateur client n’a pas de certificat d’AC de racines de confiance approprié installé dans son magasin Autorités de certification de racines de confiance approuvées.

Solution : installer le certificat racine approuvé

Pour résoudre ce problème, vérifiez que l’ordinateur client dispose d’un certificat racine approuvé installé dans son magasin Autorités de certification de racines de confiance approuvées. Si ce n’est pas le cas, installez un certificat racine approprié.

Erreur : Désolé, vous ne pouvez pas encore y accéder

Ce message d’erreur est associé aux problèmes de connexion à l’accès conditionnel Microsoft Entra. Lorsque ce problème survient, la stratégie d’accès conditionnel n’est pas satisfaite, bloquant la connexion VPN mais la connectant ensuite, une fois que l’utilisateur ferme la fenêtre de dialogue. Si l’utilisateur sélectionne OK, ceci démarre une autre tentative d’authentification qui ne réussit pas non plus et affiche un message d’erreur identique. Le journal des événements opérationnels Microsoft Entra du client enregistre ces événements.

Erreur d’accès conditionnel Microsoft Entra

Il existe plusieurs raisons pour lesquelles ce problème peut se produire :

• L’utilisateur dispose d’un certificat d’authentification client dans son magasin de certificats personnels qui est valide mais qui n’est pas issu de l’ID Microsoft Entra.

• La section <TLSExtensions> du profil VPN est manquante ou ne contient pas les entrées <EKUName>AAD Conditional Access</EKUName><EKUOID>1.3.6.1.4.1.311.87</EKUOID><EKUName>AAD Conditional Access</EKUName><EKUOID>1.3.6.1.4.1.311.87</EKUOID>. Les entrées <EKUName> et <EKUOID> indiquent au client VPN quel certificat récupérer à partir du magasin de certificats de l’utilisateur au moment du passage du certificat au serveur VPN. Sans les entrées <EKUName> et <EKUOID>, le client VPN utilise n’importe quel certificat d’authentification client valide qui se trouve dans le magasin de certificats de l’utilisateur, et l’authentification réussit.

• Le serveur RADIUS (NPS) n’a pas été configuré afin d’accepter uniquement les certificats clients qui contiennent l’identificateur d’objet (OID) Accès conditionnel AAD.

Solution : utiliser PowerShell pour déterminer l’état du certificat

Pour placer cette boucle dans une séquence d’échappement :

1. Dans Windows PowerShell, exécutez l’applet de commande Get-WmiObject pour vider la configuration du profil VPN.

2. Vérifiez que les variables <TLSExtensions>, <EKUName> et <EKUOID> existent et que leur sortie affiche le nom et l’OID corrects.

   Le code suivant est un exemple de sortie de l’applet Get-WmiObject de commande.

   PS C:\> Get-WmiObject -Class MDM_VPNv2_01 -Namespace root\cimv2\mdm\dmmap
   
   __GENUS                 : 2
   __CLASS                 : MDM_VPNv2_01
   __SUPERCLASS            :
   __DYNASTY               : MDM_VPNv2_01
   __RELPATH               : MDM_VPNv2_01.InstanceID="AlwaysOnVPN",ParentID="./Vendor/MSFT/VPNv2"
   __PROPERTY_COUNT        : 10
   __DERIVATION            : {}
   __SERVER                : DERS2
   __NAMESPACE             : root\cimv2\mdm\dmmap
   __PATH                  : \\DERS2\root\cimv2\mdm\dmmap:MDM_VPNv2_01.InstanceID="AlwaysOnVPN",ParentID="./Vendor/MSFT/VP
                               Nv2"
   AlwaysOn                :
   ByPassForLocal          :
   DnsSuffix               :
   EdpModeId               :
   InstanceID              : AlwaysOnVPN
   LockDown                :
   ParentID                : ./Vendor/MSFT/VPNv2
   ProfileXML              : <VPNProfile><RememberCredentials>false</RememberCredentials><DeviceCompliance><Enabled>true</
                               Enabled><Sso><Enabled>true</Enabled></Sso></DeviceCompliance><NativeProfile><Servers>derras2.corp.deverett.info;derras2.corp.deverett.info</Servers><RoutingPolicyType>ForceTunnel</RoutingPolicyType><NativeProtocolType>Ikev2</NativeProtocolType><Authentication><UserMethod>Eap</UserMethod><MachineMethod>Eap</MachineMethod><Eap><Configuration><EapHostConfigxmlns="https://www.microsoft.com/provisioning/EapHostConfig"><EapMethod><Typexmlns="https://www.microsoft.com/provisioning/EapCommon">25</Type><VendorIdxmlns="https://www.microsoft.com/provisioning/EapCommon">0</VendorId><VendorTypexmlns="https://www.microsoft.com/provisioning/EapCommon">0</VendorType><AuthorIdxmlns="https://www.microsoft.com/provisioning/EapCommon">0</AuthorId></EapMethod><Configxmlns="https://www.microsoft.com/provisioning/EapHostConfig"><Eap xmlns="https://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>25</Type><EapType xmlns="https://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV1"><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames></ServerNames></ServerValidation><FastReconnect>true</FastReconnect><InnerEapOptional>false</InnerEapOptional><Eap xmlns="https://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>13</Type>
                               <EapType xmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1"><CredentialsSource><CertificateStore><SimpleCertSelection>true</SimpleCertSelection></CertificateStore></CredentialsSource><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames></ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><DifferentUsername>false</DifferentUsername><PerformServerValidation xmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName><TLSExtensionsxmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2"><FilteringInfo xml ns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3"><EKUMapping><EKUMap><EKUName>AAD Conditional Access</EKUName><EKUOID>1.3.6.1.4.1.311.87</EKUOID></EKUMap></EKUMapping><ClientAuthEKUListEnabled="true"><EKUMapInList><EKUName>AAD Conditional Access</EKUName></EKUMapInList></ClientAuthEKUList></FilteringInfo></TLSExtensions></EapType></Eap><EnableQuarantineChecks>false</EnableQuarantineChecks><RequireCryptoBinding>false</RequireCryptoBinding><PeapExtensions><PerformServerValidation xmlns="https://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">false</PerformServerValidation><AcceptServerName xmlns="https://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">false</AcceptServerName></PeapExtensions></EapType></Eap></Config></EapHostConfig></Configuration></Eap></Authentication></NativeProfile></VPNProfile>
   RememberCredentials     : False
   TrustedNetworkDetection :
   PSComputerName          : DERS2
   

3. Ensuite, exécutez la commande Certutil pour déterminer s’il y a des certificats valides dans le magasin de certificats de l’utilisateur :

   C:\>certutil -store -user My
   
   My "Personal"
   ================ Certificate 0 ================
   Serial Number: 32000000265259d0069fa6f205000000000026
   Issuer: CN=corp-DEDC0-CA, DC=corp, DC=deverett, DC=info
     NotBefore: 12/8/2017 8:07 PM
     NotAfter: 12/8/2018 8:07 PM
   Subject: E=winfed@deverett.info, CN=WinFed, OU=Users, OU=Corp, DC=corp, DC=deverett, DC=info
   Certificate Template Name (Certificate Type): User
   Non-root Certificate
   Template: User
   Cert Hash(sha1): a50337ab015d5612b7dc4c1e759d201e74cc2a93
     Key Container = a890fd7fbbfc072f8fe045e680c501cf_5834bfa9-1c4a-44a8-a128-c2267f712336
     Simple container name: te-User-c7bcc4bd-0498-4411-af44-da2257f54387
     Provider = Microsoft Enhanced Cryptographic Provider v1.0
   Encryption test passed
   
   ================ Certificate 1 ================
   Serial Number: 367fbdd7e6e4103dec9b91f93959ac56
   Issuer: CN=Microsoft VPN root CA gen 1
     NotBefore: 12/8/2017 6:24 PM
     NotAfter: 12/8/2017 7:29 PM
   Subject: CN=WinFed@deverett.info
   Non-root Certificate
   Cert Hash(sha1): 37378a1b06dcef1b4d4753f7d21e4f20b18fbfec
     Key Container = 31685cae-af6f-48fb-ac37-845c69b4c097
     Unique container name: bf4097e20d4480b8d6ebc139c9360f02_5834bfa9-1c4a-44a8-a128-c2267f712336
     Provider = Microsoft Software Key Storage Provider
   Private key is NOT exportable
   Encryption test passed
   

   Remarque

   Si un certificat de l’émetteur CN=Microsoft VPN root CA gen1 est présent dans le magasin personnel de l’utilisateur, mais que l’utilisateur a obtenu l’accès en sélectionnant X pour fermer le message Désolé, collectez les journaux d’événements CAPI2 afin de vérifier que le certificat utilisé pour l’authentification était un certificat d’authentification client valide qui n’a pas été émis par l’autorité de certification racine Microsoft VPN.

4. Si un certificat d’authentification client valide existe dans le magasin personnel de l’utilisateur et que les TLSExtensionsEKUNameEKUOID valeurs sont configurées correctement, la connexion ne doit pas réussir une fois que l’utilisateur ferme la boîte de dialogue.

Un message d’erreur doit apparaître, indiquant « Impossible de trouver un certificat pouvant être utilisé avec le protocole d’authentification extensible. »

Impossible de supprimer le certificat dans l’onglet Connectivité VPN

Ce problème se produit lorsque vous ne pouvez pas supprimer de certificats sur l’onglet Connectivité VPN.

Cause

Ce problème se produit lorsque le certificat est défini sur Principal.

Solution : modifier les paramètres de certificat

Pour supprimer des certificats :

1. Dans l’onglet Connectivité VPN, sélectionnez le certificat.
2. Sous Principal, sélectionnez Non, puis sélectionnez Enregistrer.
3. Dans l’onglet Connectivité VPN, sélectionnez le certificat une nouvelle fois.
4. Sélectionnez Supprimer.