Risolvere i problemi di VPN Always On

Questo articolo fornisce istruzioni per la verifica e la risoluzione dei problemi di distribuzione vpn Always On.

Se la configurazione della rete privata virtuale Always On (VPN) non connette i client alla rete interna, è possibile che si sia verificato uno dei problemi seguenti:

• Il certificato VPN non è valido.
• I criteri server dei criteri di rete non sono corretti.
• Problemi relativi a script di distribuzione client o routing e accesso remoto.

Il primo passaggio per la risoluzione dei problemi e il test della connessione VPN consiste nel comprendere quali siano i componenti principali dell'infrastruttura AOVPN (Always On VPN).

È possibile risolvere i problemi di connessione in diversi modi. Per i problemi lato client e la risoluzione dei problemi generali, i log delle applicazioni nei computer client sono preziosi. Per i problemi specifici dell'autenticazione, il log dei criteri di rete che si trova nel server dei criteri di rete consente di determinare l'origine del problema.

Risoluzione generale dei problemi di connessione VPN Always On

I client VPN AlwaysOn eseguono diversi passaggi prima di stabilire una connessione. Di conseguenza, ci sono diverse posizioni in cui le connessioni possono essere bloccate e a volte è difficile capire dove si trova il problema.

Se si verificano problemi, ecco alcuni passaggi generali che è possibile eseguire per capire cosa sta succedendo:

• Eseguire un'analisi whatismyip per assicurarsi che il computer modello non sia connesso esternamente. Se il computer ha un indirizzo IP pubblico che non appartiene all'utente, è necessario modificare l'indirizzo IP in uno privato.
• Passare a Pannello di controllo>Rete e Internet>Connessioni di rete, aprire le proprietà del profilo VPN e verificare che il valore nella scheda Generale possa essere risolto pubblicamente tramite DNS. In caso contrario, il fatto che il server di accesso remoto o il server VPN non siano in grado di risolvere in un indirizzo IP è probabilmente la causa del problema.
• Aprire Internet Control Message Protocol (ICMP) per l'interfaccia esterna ed effettuare il ping del server VPN dal client remoto. Se il ping ha esito positivo, è possibile rimuovere la regola di autorizzazione ICMP. In caso contrario, sarà probabilmente il server VPN inaccessibile a causare il problema.
• Controllare la configurazione delle schede di interfaccia di rete interne ed esterne nel server VPN. In particolare, assicurarsi che si trovino nella stessa subnet e che la scheda di interfaccia di rete esterna si connetta all'interfaccia corretta nel firewall.
• Controllare il firewall del client, il firewall del server e tutti i firewall hardware per assicurarsi che consentano l'attività delle porte UDP 500 e 4500. Inoltre, se si usa la porta UDP 500, assicurarsi che IPSEC non sia disabilitato o bloccato ovunque. In caso contrario, le porte non aperte dal client all'interfaccia esterna del server VPN causano il problema.
• Assicurarsi che il server dei criteri di rete disponga di un certificato di autenticazione server in grado di eseguire richieste IKE. Assicurarsi inoltre che il client NPS abbia l'indirizzo IP del server VPN corretto nelle impostazioni. È consigliabile eseguire l'autenticazione solo con PEAP e le proprietà PEAP devono consentire solo l'autenticazione del certificato. È possibile verificare la presenza di problemi di autenticazione nel log eventi di Server dei criteri di rete. Per altre informazioni, vedere Installare e configurare il server dei criteri di rete.
• Se è possibile connettersi ma non si dispone dell'accesso a Internet o alla rete locale, controllare i pool IP del server DHCP o VPN per verificare la presenza di problemi di configurazione. Assicurarsi anche che i client possano raggiungere tali risorse. È possibile usare il server VPN per instradare le richieste.

Risoluzione generale dei problemi relativi agli script VPN_Profile.ps1

I problemi più comuni quando si esegue manualmente lo script VPN_Profile.ps1 includono:

• Se si usa uno strumento di connessione remota, assicurarsi di non usare Remote Desktop Protocol (RDP) o altri metodi di connessione remota. Le connessioni remote possono interferire con la capacità del servizio di rilevare l'utente quando si esegue l'accesso.
• Se l'utente interessato è un amministratore nel computer locale, assicurarsi di disporre dei privilegi di amministratore durante l'esecuzione dello script.
• Se sono state abilitate altre funzionalità di sicurezza di PowerShell, assicurarsi che i criteri di esecuzione di PowerShell non blocchino lo script. Disabilitare la modalità Linguaggio vincolato prima di eseguire lo script, quindi riattivarlo al termine dell'esecuzione dello script.

Log

È anche possibile controllare i log applicazioni e i log dei criteri di rete per gli eventi che possono indicare quando e dove si verifica un problema.

Log applicazioni

I log applicazioni nei computer client registrano i dettagli di livello superiore degli eventi di connessione VPN.

Quando si sta risolvendo la risoluzione dei problemi della VPN Always On, cercare gli eventi etichettati RasClient. Tutti i messaggi di errore restituiscono il codice di errore alla fine del messaggio. Codici di errore elenca alcuni dei codici di errore più comuni correlati alla VPN Always On. Per un elenco completo dei codici di errore, vedere Routing e codici di errore di accesso remoto.

Log del server dei criteri di rete

Il server dei criteri di rete crea e archivia i log di contabilità del server dei criteri di rete. Per impostazione predefinita, i log vengono archiviati in %SYSTEMROOT%\System32\Logfiles\ in un file denominato IN<data di creazione> del log.txt.

Per impostazione predefinita, questi log sono in formato con valori delimitati da virgole, ma non includono una riga di intestazione. Il blocco di codice seguente contiene la riga dell'intestazione:

ComputerName,ServiceName,Record-Date,Record-Time,Packet-Type,User-Name,Fully-Qualified-Distinguished-Name,Called-Station-ID,Calling-Station-ID,Callback-Number,Framed-IP-Address,NAS-Identifier,NAS-IP-Address,NAS-Port,Client-Vendor,Client-IP-Address,Client-Friendly-Name,Event-Timestamp,Port-Limit,NAS-Port-Type,Connect-Info,Framed-Protocol,Service-Type,Authentication-Type,Policy-Name,Reason-Code,Class,Session-Timeout,Idle-Timeout,Termination-Action,EAP-Friendly-Name,Acct-Status-Type,Acct-Delay-Time,Acct-Input-Octets,Acct-Output-Octets,Acct-Session-Id,Acct-Authentic,Acct-Session-Time,Acct-Input-Packets,Acct-Output-Packets,Acct-Terminate-Cause,Acct-Multi-Ssn-ID,Acct-Link-Count,Acct-Interim-Interval,Tunnel-Type,Tunnel-Medium-Type,Tunnel-Client-Endpt,Tunnel-Server-Endpt,Acct-Tunnel-Conn,Tunnel-Pvt-Group-ID,Tunnel-Assignment-ID,Tunnel-Preference,MS-Acct-Auth-Type,MS-Acct-EAP-Type,MS-RAS-Version,MS-RAS-Vendor,MS-CHAP-Error,MS-CHAP-Domain,MS-MPPE-Encryption-Types,MS-MPPE-Encryption-Policy,Proxy-Policy-Name,Provider-Type,Provider-Name,Remote-Server-Address,MS-RAS-Client-Name,MS-RAS-Client-Version

Se si incolla questa riga di intestazione come prima riga del file di log, importare il file in Microsoft Excel, quindi Excel etichetta correttamente le colonne.

I log dei criteri di rete consentono di diagnosticare i problemi correlati ai criteri. Per altre informazioni sui log dei criteri di rete, vedere Interpretare i file di log del formato del database dei criteri di rete.

Codici di errore

Le sezioni seguenti descrivono come risolvere gli errori più comunemente rilevati.

Errore 800: la connessione remota non è riuscita a connettersi

Questo problema si verifica quando il servizio non riesce a stabilire una connessione remota perché i tunnel VPN tentati non sono riusciti, spesso perché il server VPN non è raggiungibile. Se la connessione sta tentando di usare un tunnel L2TP (Layer 2 Tunneling Protocol) o IPsec, questo errore indica che i parametri di sicurezza necessari per la negoziazione IPsec non sono configurati correttamente.

Causa: tipo di tunnel VPN

È possibile riscontrare questo problema quando il tipo di tunnel VPN è impostato su Automatico e il tentativo di connessione non riesce in tutti i tunnel VPN.

Soluzione: controllare la configurazione VPN

Poiché le impostazioni VPN causano questo problema, è consigliabile risolvere i problemi relativi alle impostazioni VPN e alla connessione provando quanto segue:

• Se si conosce il tunnel da usare per la distribuzione, impostare il tipo di VPN su quel particolare tipo di tunnel sul lato client VPN.
• Verificare che le porte IKE (Internet Key Exchange) sulle porte UDP (User Datagram Protocol) 500 e 4500 non siano bloccate.
• Assicurarsi che sia il client che il server dispongano di certificati corretti per IKE.

Errore 809: non è possibile stabilire una connessione tra il computer locale e il server VPN

In questo problema, il server remoto non risponde, impedendo la connessione del computer locale e del server VPN. Ciò potrebbe essere dovuto al fatto che uno o più dispositivi di rete, ad esempio router, firewall o NAT (Network Address Translation) tra il computer e il server remoto non sono configurati per consentire le connessioni VPN. Contattare l'amministratore o il provider di servizi per determinare quale dispositivo potrebbe causare il problema.

Causa dell'errore 809

È possibile riscontrare questo problema quando vengono bloccate le porte UDP 500 o 4500 nel server VPN o nel firewall. Il blocco può verificarsi quando uno dei dispositivi di rete tra il computer e il server remoto, ad esempio il firewall, NAT o i router, non sono configurati correttamente.

Soluzione: controllare le porte nei dispositivi tra il computer locale e il server remoto

Per risolvere questo problema, contattare prima di tutto l'amministratore o il provider di servizi per scoprire quale dispositivo è bloccato. Successivamente, assicurarsi che i firewall per il dispositivo consentano le porte UDP 500 e 4500. Se questo non risolve il problema, controllare i firewall in ogni dispositivo tra il computer locale e il server remoto.

Errore 812: non è possibile connettersi alla VPN Always On

Questo problema si verifica quando il server di accesso remoto (RAS) o il server VPN non riesce a connettersi alla VPN Always On. Il metodo di autenticazione usato per verificare il nome utente e la password non corrispondono al metodo di autenticazione configurato nel profilo di connessione.

Ogni volta che si verifica l'errore 812, è consigliabile contattare immediatamente l'amministratore del server RAS per comunicargli cosa è successo.

Se si usa il Visualizzatore eventi per risolvere il problema, è possibile trovare questo problema contrassegnato come log eventi 20276. Questo evento viene in genere visualizzato quando un'impostazione del protocollo di autenticazione server VPN basata su routing e accesso remoto (RRAS) non corrisponde alle impostazioni nel computer client VPN.

Causa dell'errore 812

Questo errore si verifica in genere quando il server dei criteri di rete ha specificato una condizione di autenticazione che il client non può soddisfare. Ad esempio, se il server dei criteri di rete specifica che è necessario un certificato per proteggere la connessione PEAP (Protected Extensible Authentication Protocol), non può eseguire l'autenticazione se il client sta tentando di usare invece EAP-MSCHAPv2.

Soluzione: controllare le impostazioni di autenticazione del server dei criteri di rete e client

Per risolvere questo problema, verificare che i requisiti di autenticazione per il client e il server dei criteri di rete corrispondano. In caso contrario, modificarli di conseguenza.

Errore 13806: IKE non riesce a trovare un certificato del computer valido

Questo problema si verifica quando IKE non riesce a trovare un certificato del computer valido.

Causa dell'errore 13806

Questo errore si verifica in genere quando il server VPN non dispone del certificato del computer o del computer radice richiesto.

Soluzione: installare un certificato valido nell'archivio certificati pertinente

Per risolvere questo problema, assicurarsi che i certificati necessari siano installati sia nel computer client che nel server VPN. In caso contrario, contattare l'amministratore della sicurezza di rete e chiedergli di installare certificati validi nell'archivio certificati pertinente.

Errore 13801: le credenziali di autenticazione IKE non sono valide

Questo problema si verifica quando il server o il client non possono accettare le credenziali di autenticazione IKE.

Causa dell'errore 13801

Questo errore può verificarsi a causa dei motivi seguenti:

• Per il certificato del computer usato per la convalida IKEv2 nel server RAS, l'autenticazione server in Utilizzo chiavi avanzato non è abilitata.
• Il certificato del computer nel server RAS è scaduto.
• Il computer client non dispone del certificato radice per convalidare il certificato server RAS.
• Il nome del server VPN del computer client non corrisponde al valore subjectName nel certificato server.

Soluzione 1: verificare le impostazioni del certificato server

Se il problema è il certificato del computer server RAS, assicurarsi che il certificato includa Autenticazione server in Utilizzo chiavi avanzato.

Soluzione 2: assicurarsi che il certificato del computer sia ancora valido

Se il problema è dovuto al fatto che il certificato del computer RAS è scaduto, assicurarsi che sia ancora valido. In caso contrario, installare un certificato valido.

Soluzione 3: assicurarsi che il computer client disponga di un certificato radice

Se il problema è correlato al fatto che il computer client non ha un certificato radice, controllare prima di tutto le autorità di certificazione radice attendibili nel server RRAS per assicurarsi che l'autorità di certificazione in uso sia presente. In caso contrario, installare un certificato radice valido.

Soluzione 4: rendere il nome del server VPN del computer client corrispondente al certificato del server

Assicurarsi prima di tutto che il client VPN si connetta usando lo stesso nome di dominio completo (FQDN) usato dal certificato del server VPN. In caso contrario, modificare il nome del client in modo che corrisponda al nome del certificato del server.

Errore 0x80070040: il certificato del server non dispone dell'autenticazione server nelle voci di utilizzo

Questo problema si verifica quando il certificato del server non dispone di Autenticazione server come una delle relative voci di utilizzo del certificato.

Causa dell'errore 0x80070040

Questo errore si verifica quando il server RAS non dispone di un certificato di autenticazione server installato.

Soluzione: assicurarsi che il certificato del computer disponga della voce di utilizzo del certificato necessaria

Per risolvere questo problema, assicurarsi che il certificato del computer usato dal server RAS per la convalida IKEv2 includa Autenticazione server nel relativo elenco di voci di utilizzo dei certificati.

Errore 0x800B0109: una catena di certificati è stata elaborata ma è stata terminata in un certificato radice

La descrizione completa dell'errore è "Catena di certificati elaborata ma terminata in un certificato radice che il provider di attendibilità non considera attendibile".

In genere, il computer client VPN viene aggiunto a un dominio basato su Active Directory (AD). Se si usano credenziali di dominio per accedere al server VPN, il servizio installa automaticamente il certificato nell'archivio Autorità di certificazione radice attendibili. Questo problema può verificarsi se il computer non è aggiunto a un dominio di Active Directory o si usa una catena di certificati alternativa.

Causa dell'errore 0x800B0109

Questo errore può verificarsi se nel computer client non è installato un certificato idoneo di un'autorità di certificazione radice attendibile nell'archivio Autorità di certificazione radice attendibili.

Soluzione: installare il certificato radice attendibile

Per risolvere questo problema, verificare che nel computer client sia installato un certificato radice attendibile nell'archivio Autorità di certificazione radice attendibili. In caso contrario, installare un certificato radice appropriato.

Errore: Non si è ancora autorizzati a eseguire questa operazione

Questo messaggio di errore è associato ai problemi di connessione all'accesso condizionale di Microsoft Entra. Quando viene visualizzato questo problema, i criteri di accesso condizionale non sono soddisfatti, bloccando la connessione VPN ma quindi connettendosi dopo che l'utente chiude la finestra di dialogo. Se l'utente seleziona OK, avvia un altro tentativo di autenticazione che non riesce e viene visualizzato un messaggio di errore identico. Il registro eventi operativi di Microsoft Entra del client registra questi eventi.

Errore di accesso condizionale di Microsoft Entra

Esistono alcuni motivi per cui questo problema può verificarsi:

• L'utente ha un certificato di autenticazione client nell'archivio certificati personali valido ma non proviene da Microsoft Entra ID.

• La sezione del profilo VPN <TLSExtensions> è mancante o non contiene le voci <EKUName>AAD Conditional Access</EKUName><EKUOID>1.3.6.1.4.1.311.87</EKUOID><EKUName>AAD Conditional Access</EKUName><EKUOID>1.3.6.1.4.1.311.87</EKUOID>. Le voci <EKUName> e <EKUOID> indicano al client VPN quale certificato recuperare dall'archivio certificati dell'utente quando si passa il certificato al server VPN. Senza le voci <EKUName> e <EKUOID>, il client VPN usa qualsiasi certificato di autenticazione client valido nell'archivio certificati dell'utente e l'autenticazione ha esito positivo.

• Il server RADIUS (NPS) non è stato configurato per accettare solo i certificati client che contengono l'identificatore di oggetto (OID) Accesso condizionale AAD.

Soluzione: usare PowerShell per determinare lo stato del certificato

Per evitare questo ciclo:

1. In Windows PowerShell eseguire il cmdlet Get-WmiObject per eseguire il dump della configurazione del profilo VPN.

2. Verificare che le variabili <TLSExtensions>, <EKUName> e <EKUOID> esistano e che il relativo output mostri il nome e l'OID corretti.

   Il codice seguente è un output di esempio del Get-WmiObject cmdlet .

   PS C:\> Get-WmiObject -Class MDM_VPNv2_01 -Namespace root\cimv2\mdm\dmmap
   
   __GENUS                 : 2
   __CLASS                 : MDM_VPNv2_01
   __SUPERCLASS            :
   __DYNASTY               : MDM_VPNv2_01
   __RELPATH               : MDM_VPNv2_01.InstanceID="AlwaysOnVPN",ParentID="./Vendor/MSFT/VPNv2"
   __PROPERTY_COUNT        : 10
   __DERIVATION            : {}
   __SERVER                : DERS2
   __NAMESPACE             : root\cimv2\mdm\dmmap
   __PATH                  : \\DERS2\root\cimv2\mdm\dmmap:MDM_VPNv2_01.InstanceID="AlwaysOnVPN",ParentID="./Vendor/MSFT/VP
                               Nv2"
   AlwaysOn                :
   ByPassForLocal          :
   DnsSuffix               :
   EdpModeId               :
   InstanceID              : AlwaysOnVPN
   LockDown                :
   ParentID                : ./Vendor/MSFT/VPNv2
   ProfileXML              : <VPNProfile><RememberCredentials>false</RememberCredentials><DeviceCompliance><Enabled>true</
                               Enabled><Sso><Enabled>true</Enabled></Sso></DeviceCompliance><NativeProfile><Servers>derras2.corp.deverett.info;derras2.corp.deverett.info</Servers><RoutingPolicyType>ForceTunnel</RoutingPolicyType><NativeProtocolType>Ikev2</NativeProtocolType><Authentication><UserMethod>Eap</UserMethod><MachineMethod>Eap</MachineMethod><Eap><Configuration><EapHostConfigxmlns="https://www.microsoft.com/provisioning/EapHostConfig"><EapMethod><Typexmlns="https://www.microsoft.com/provisioning/EapCommon">25</Type><VendorIdxmlns="https://www.microsoft.com/provisioning/EapCommon">0</VendorId><VendorTypexmlns="https://www.microsoft.com/provisioning/EapCommon">0</VendorType><AuthorIdxmlns="https://www.microsoft.com/provisioning/EapCommon">0</AuthorId></EapMethod><Configxmlns="https://www.microsoft.com/provisioning/EapHostConfig"><Eap xmlns="https://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>25</Type><EapType xmlns="https://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV1"><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames></ServerNames></ServerValidation><FastReconnect>true</FastReconnect><InnerEapOptional>false</InnerEapOptional><Eap xmlns="https://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>13</Type>
                               <EapType xmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1"><CredentialsSource><CertificateStore><SimpleCertSelection>true</SimpleCertSelection></CertificateStore></CredentialsSource><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames></ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><DifferentUsername>false</DifferentUsername><PerformServerValidation xmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName><TLSExtensionsxmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2"><FilteringInfo xml ns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3"><EKUMapping><EKUMap><EKUName>AAD Conditional Access</EKUName><EKUOID>1.3.6.1.4.1.311.87</EKUOID></EKUMap></EKUMapping><ClientAuthEKUListEnabled="true"><EKUMapInList><EKUName>AAD Conditional Access</EKUName></EKUMapInList></ClientAuthEKUList></FilteringInfo></TLSExtensions></EapType></Eap><EnableQuarantineChecks>false</EnableQuarantineChecks><RequireCryptoBinding>false</RequireCryptoBinding><PeapExtensions><PerformServerValidation xmlns="https://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">false</PerformServerValidation><AcceptServerName xmlns="https://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">false</AcceptServerName></PeapExtensions></EapType></Eap></Config></EapHostConfig></Configuration></Eap></Authentication></NativeProfile></VPNProfile>
   RememberCredentials     : False
   TrustedNetworkDetection :
   PSComputerName          : DERS2
   

3. Eseguire quindi il comando Certutil per determinare se sono presenti certificati validi nell'archivio certificati dell'utente:

   C:\>certutil -store -user My
   
   My "Personal"
   ================ Certificate 0 ================
   Serial Number: 32000000265259d0069fa6f205000000000026
   Issuer: CN=corp-DEDC0-CA, DC=corp, DC=deverett, DC=info
     NotBefore: 12/8/2017 8:07 PM
     NotAfter: 12/8/2018 8:07 PM
   Subject: E=winfed@deverett.info, CN=WinFed, OU=Users, OU=Corp, DC=corp, DC=deverett, DC=info
   Certificate Template Name (Certificate Type): User
   Non-root Certificate
   Template: User
   Cert Hash(sha1): a50337ab015d5612b7dc4c1e759d201e74cc2a93
     Key Container = a890fd7fbbfc072f8fe045e680c501cf_5834bfa9-1c4a-44a8-a128-c2267f712336
     Simple container name: te-User-c7bcc4bd-0498-4411-af44-da2257f54387
     Provider = Microsoft Enhanced Cryptographic Provider v1.0
   Encryption test passed
   
   ================ Certificate 1 ================
   Serial Number: 367fbdd7e6e4103dec9b91f93959ac56
   Issuer: CN=Microsoft VPN root CA gen 1
     NotBefore: 12/8/2017 6:24 PM
     NotAfter: 12/8/2017 7:29 PM
   Subject: CN=WinFed@deverett.info
   Non-root Certificate
   Cert Hash(sha1): 37378a1b06dcef1b4d4753f7d21e4f20b18fbfec
     Key Container = 31685cae-af6f-48fb-ac37-845c69b4c097
     Unique container name: bf4097e20d4480b8d6ebc139c9360f02_5834bfa9-1c4a-44a8-a128-c2267f712336
     Provider = Microsoft Software Key Storage Provider
   Private key is NOT exportable
   Encryption test passed
   

   Nota

   Se un certificato dell'autorità di certificazione CN=Microsoft VPN root CA gen 1 è presente nell'archivio personale dell'utente, ma l'utente ha ottenuto l'accesso selezionando X per chiudere il messaggio di mancata autorizzazione, raccogliere i log eventi CAPI2 per verificare che il certificato usato per l'autenticazione fosse un certificato di autenticazione client valido non rilasciato dall'autorità di certificazione radice VPN Microsoft.

4. Se esiste un certificato di autenticazione client valido nell'archivio personale dell'utente e i TLSExtensionsvalori , EKUNamee EKUOID sono configurati correttamente, la connessione non dovrebbe avere esito positivo dopo che l'utente chiude la finestra di dialogo.

Verrà visualizzato il messaggio di errore "Non è stato possibile trovare alcun certificato utilizzabile con Extensible Authenticate Protocol".

Non è possibile eliminare il certificato dalla scheda Connettività VPN

Questo problema si verifica quando non è possibile eliminare i certificati nella scheda Connettività VPN.

Causa

Questo problema si verifica quando il certificato è impostato su Primario.

Soluzione: modificare le impostazioni del certificato

Per eliminare i certificati:

1. Nella scheda Connettività VPN selezionare il certificato.
2. In Primario selezionare No e quindi selezionare Salva.
3. Nella scheda Connettività VPN selezionare di nuovo il certificato.
4. Selezionare Elimina.