Behandeln von Problemen mit VPN-Profilen in Microsoft Intune

  • Artikel

Ursprüngliche Produktversion: Microsoft Intune
Ursprüngliche KB-Nummer: 4519426

Einführung

Dieser Leitfaden hilft Ihnen, VPN-Profilprobleme zu verstehen und zu beheben, die auftreten können, wenn Sie Microsoft Intune verwenden.

In den Beispielen in diesem Leitfaden wird die SCEP-Zertifikatauthentifizierung (Simple Certificate Enrollment Protocol) für Profile verwendet. In den Beispielen wird auch davon ausgegangen, dass die vertrauenswürdigen Stamm- und SCEP-Profile auf dem Gerät ordnungsgemäß funktionieren. In den Beispielen werden die Profile "Vertrauenswürdiger Stamm" und "SCEP" wie folgt benannt:

Profiltypen Android iOS Windows
Vertrauenswürdiges Stammprofil AndroidRoot iOSRoot WindowsRoot2
SCEP-Profil AndroidSCEP iOSSCEP WindowsSCEP2

Übersicht über VPN-Profile

Virtuelle private Netzwerke (VPNs) bieten Benutzern sicheren Remotezugriff auf das Netzwerk eines organization. Geräte verwenden ein VPN-Verbindungsprofil, um eine Verbindung mit dem VPN-Server herzustellen. In Intune weisen VPN-Profile Benutzern und Geräten im organization VPN-Einstellungen zu. Anschließend können die Benutzer einfach und sicher eine Verbindung mit dem Organisationsnetzwerk herstellen.

Wenn Sie beispielsweise alle iOS-Geräte mit den erforderlichen Einstellungen konfigurieren möchten, um eine Verbindung mit einer Dateifreigabe im Netzwerk des organization herzustellen, können Sie ein VPN-Profil erstellen, das diese Einstellungen enthält, und dieses Profil allen Benutzern zuweisen, die über iOS-Geräte verfügen. Danach können die Benutzer die VPN-Verbindung in der Liste der verfügbaren Netzwerke sehen und mit minimalem Aufwand eine Verbindung herstellen.

Sie können VPN-Profile erstellen, indem Sie verschiedene VPN-Verbindungstypen verwenden.

Hinweis

Bevor Sie VPN-Profile verwenden können, die einem Gerät zugewiesen sind, müssen Sie die entsprechende VPN-App für das Profil installieren.

Erstellen von VPN-Profilen

Führen Sie zum Erstellen eines VPN-Profils die Schritte unter Erstellen eines Geräteprofils aus.

Beispiele finden Sie in den folgenden Screenshots:

Hinweis

In den Beispielen lautet der Verbindungstyp für Android- und iOS-VPN-Profile Cisco AnyConnect, und der Verbindungstyp für Windows 10 ist Automatisch. Das VPN-Profil ist mit dem SCEP-Profil verknüpft.

Screenshot: Erstellen eines VPN-Profils für Android

Zuweisen von VPN-Profilen

Nachdem Sie ein VPN-Profil erstellt haben, weisen Sie das Profil ausgewählten Gruppen zu.

Hinweis

Die Bereitstellung eines Gruppentyps (Benutzergruppe oder Gerätegruppe) ist wichtig und muss über alle Richtlinien hinweg konsistent sein, die diese Ressourcenrichtlinie betreffen (Vertrauenswürdige Zertifikate, SCEP und VPN). Dies hängt vom Typ des Zertifikats ab, das Sie bereitstellen. Wenn Sie ein Benutzerzertifikat bereitstellen, sollten alle Bereitstellungen für eine Benutzergruppe erfolgen und umgekehrt. Wenn das bereitgestellte Zertifikat ein Gerätetyp 1 ist, verwenden Sie eine Gerätegruppe.

Beispiele finden Sie im folgenden Screenshot:

Screenshot: Zuweisen eines Profils

Wie erfolgreiche VPN-Profile aussehen

In diesem Szenario wird ein Android-Gerät verwendet, das als persönliches Arbeitsprofil registriert ist. Da die vertrauenswürdigen Stamm- und SCEP-Profile bereits auf dem Gerät installiert sind, werden Sie nicht aufgefordert, die SCEP-Zertifikate zu installieren.

  1. Sie erhalten eine Benachrichtigung zum Installieren des Unternehmens-VPN-Profils:

    Screenshot: Benachrichtigung zum Installieren des VPN-Profils

    Wenn Sie die Benachrichtigung nicht erhalten, tippen Sie auf die Schaltfläche Einstellungen ändern , um die Option Externe Steuerung in der AnyConnect-App zu aktivieren. Anschließend erhalten Sie die Benachrichtigung.

    Screenshot: Schaltfläche

    Screenshot: Option

    Screenshot, der zeigt, dass die Option

  2. Wählen Sie das SCEP-Zertifikat in der AnyConnect-App aus:

    Screenshot: Seite zum Auswählen von Zertifikaten

    Hinweis

    Bei Verwendung eines vom Geräteadministrator verwalteten Android-Geräts gibt es möglicherweise mehrere Zertifikate, da die Zertifikate nicht widerrufen oder entfernt werden, wenn ein Zertifikatprofil geändert oder entfernt wird. Wählen Sie in diesem Szenario das neueste Zertifikat aus. Dies ist in der Regel das letzte Zertifikat, das in der Liste angezeigt wird.

    Diese Situation tritt auf Android Enterprise- und Samsung Knox-Geräten nicht auf. Weitere Informationen finden Sie unter Verwalten von Android-Arbeitsprofilgeräten mit Intune und Entfernen von SCEP- und PKCS-Zertifikaten in Microsoft Intune.

  3. Die VPN-Verbindung wurde erfolgreich hergestellt.

    Screenshot, der zeigt, dass eine VPN-Verbindung erfolgreich erstellt wurde.

Unternehmensportal von Protokollen einer erfolgreichen VPN-Profilbereitstellung

Auf einem Android-Gerät protokolliert die Omadmlog.log-Datei detaillierte Aktivitäten des VPN-Profils, wenn es auf dem Gerät verarbeitet wird. Je nachdem, wie lange die Unternehmensportal-App installiert wurde, verfügen Sie möglicherweise über bis zu fünf Omadmlog.log Dateien, und der Zeitstempel der letzten Synchronisierung kann Ihnen helfen, die zugehörigen Einträge zu finden.

Im folgenden Beispiel wird CMTrace verwendet, um die Protokolle zu lesen und nach zu suchen android.vpn.client.

Screenshot: Beispiel, in dem CMTrace verwendet wird, um Protokolle zu lesen und nach android.vpn.client zu suchen.

Beispielprotokoll:

<Date Time>    INFO    com.microsoft.omadm.platforms.android.vpn.client.IntentVpnProfileProvisionStateMachine    13229    00622    Notifying to provision vpn profile 'AnyConnect'.
<Date Time>    INFO    com.microsoft.omadm.platforms.android.vpn.client.IntentVpnProfileProvisionStateMachine    13229    00622    VPN Profile "AnyConnect" state changed from RECEIVED to PENDING_USER_INSTALL
<Date Time>    VERB    com.microsoft.omadm.platforms.android.vpn.client.VpnClient    13229    00002    Creating VPN Provision Intent: anyconnect://create/?host=VPN.contoso.com&name=AnyConnect&usecert=true&keychainalias=UserID
<Date Time>    INFO    com.microsoft.omadm.platforms.android.vpn.client.IntentVpnProfileProvisionStateMachine    13229    00002    Vpn profile 'AnyConnect' provisioned and complete.
<Date Time>    INFO    com.microsoft.omadm.platforms.android.vpn.client.IntentVpnProfileProvisionStateMachine    13229    00002    VPN Profile "AnyConnect" state changed from PENDING_USER_INSTALL to PROVISIONED

Behandlung häufig auftretender Probleme

Problem 1: Das VPN-Profil wird nicht auf dem Gerät bereitgestellt.

  1. Vergewissern Sie sich, dass das VPN-Profil der richtigen Gruppe zugewiesen ist.

    Wählen Sie im Intune-Portal Gerätekonfigurationsprofile> aus, wählen Sie dann das Profil und dannZuweisungen aus, um die ausgewählten Gruppen zu überprüfen.

    Screenshot, der das zugewiesene VPN-Profil einer Gruppe für Android zeigt.

  2. Vergewissern Sie sich, dass das Gerät mit Intune synchronisiert werden kann, indem Sie im Bereich Problembehandlung den Zeitpunkt der LETZTEN ANMELDUNG überprüfen.

    Screenshot: Zeitpunkt der LETZTEN EINCHECKUNG im Bereich

  3. Wenn das VPN-Profil mit den Profilen Vertrauenswürdiger Stamm und SCEP verknüpft ist, überprüfen Sie, ob beide Profile auf dem Gerät bereitgestellt wurden. Das VPN-Profil ist von diesen Profilen abhängig.

    Wenn die Profile "Trusted Root" und "SCEP" nicht auf dem Gerät installiert sind, wird der folgende Eintrag in der Unternehmensportal Protokolldatei (Omadmlog.log) angezeigt:

    <Date Time> INFO com.microsoft.omadm.platforms.android.vpn.client.IntentVpnProfileProvisionStateMachine 14210 00948 Waiting for required certificates for vpn profile 'androidVPN'.

    Hinweis

    Es ist möglich, dass sich das VPN-Profil immer noch nicht auf dem Gerät befindet, obwohl sich die vertrauenswürdigen Stamm- und SCEP-Profile auf dem Gerät befinden. Dieses Problem tritt auf, wenn der CertificateSelector Anbieter aus der Unternehmensportal App kein Zertifikat findet, das den angegebenen Kriterien entspricht. Die spezifischen Kriterien können sich in der Zertifikatvorlage oder im SCEP-Profil befinden. Wenn das übereinstimmende Zertifikat nicht gefunden wird, werden die Zertifikate auf dem Gerät ausgeschlossen. Daher wird das VPN-Profil übersprungen, da es nicht über das richtige Zertifikat verfügt. In diesem Szenario wird der folgende Eintrag in der Unternehmensportal-Protokolldatei (Omadmlog.log) angezeigt:

    Waiting for required certificates for vpn profile 'androidVPN'.

    Das folgende Beispielprotokoll zeigt, dass Zertifikate ausgeschlossen werden, weil das EKU-Kriterium ( Any Purpose Extended Key Usage) angegeben wurde. Die Zertifikate, die dem Gerät zugewiesen sind, verfügen jedoch nicht über diese EKU:

    <Date Time>    VERB     com.microsoft.omadm.utils.CertUtils      14210    00948    Excluding cert with alias User<ID1> and requestId <requestID1> as it does not have any purpose EKU.
<Date Time>    VERB     com.microsoft.omadm.utils.CertUtils      14210    00948    Excluding cert with alias User<ID2> and requestId <requestID2> as it does not have any purpose EKU.
<Date Time>    VERB     com.microsoft.omadm.utils.CertUtils      14210    00948    0 cert(s) matched criteria:
<Date Time>    VERB     com.microsoft.omadm.utils.CertUtils      14210    00948    2 cert(s) excluded by criteria:
<Date Time>    INFO     com.microsoft.omadm.platforms.android.vpn.client.IntentVpnProfileProvisionStateMachine       14210     00948    Waiting for required certificates for vpn profile '<profile name>'.

    Das folgende Beispiel zeigt, dass für das SCEP-Profil die Option Any Purpose EKU angegeben ist. Es ist jedoch nicht in der Zertifikatvorlage für die Zertifizierungsstelle (ZS) angegeben. Um das Problem zu beheben, fügen Sie der Zertifikatvorlage die Option Beliebiger Zweck hinzu, oder entfernen Sie die Option Beliebiger Zweck aus dem SCEP-Profil.

    Screenshot: Hinzufügen der Option

    Screenshot, der zeigt, dass die Option

  4. Vergewissern Sie sich, dass die Option Externe Steuerung von AnyConnect aktiviert ist.

    Die Option Externe Steuerung muss aktiviert werden, bevor das Profil erstellt wird. Wenn das Profil per Push auf das Gerät übertragen wird, wird der Benutzer aufgefordert, die Option "Externe Steuerung" zu aktivieren.

    Screenshot: Aktivieren der Option

    Screenshot, der zeigt, dass die Option

  5. Stellen Sie sicher, dass sich alle erforderlichen Zertifikate in der vollständigen Zertifikatkette auf dem Gerät befinden. Andernfalls wird der folgende Eintrag in der Unternehmensportal-Protokolldatei (Omadmlog.log) angezeigt:

    Waiting for required certificates for vpn profile 'androidVPN'.

    Weitere Informationen finden Sie unter Fehlende Zwischenzertifizierungsstelle.

Problem 2: Das VPN-Profil wird auf dem Gerät bereitgestellt, aber das Gerät kann keine Verbindung mit dem Netzwerk herstellen.

In der Regel handelt es sich bei diesem Konnektivitätsproblem nicht um ein Intune Problem, und es kann viele Ursachen geben. Die folgenden Punkte können Ihnen helfen, das Problem zu verstehen und zu beheben:

  • Können Sie manuell eine Verbindung mit dem Netzwerk herstellen, indem Sie ein Zertifikat verwenden, das die gleichen Kriterien im VPN-Profil aufweist?

    Wenn möglich, überprüfen Sie die Eigenschaften des Zertifikats, das Sie in der manuellen Verbindung verwendet haben, und nehmen Sie Änderungen am Intune VPN-Profil vor.

  • Haben die Anwendungsprotokolle des VPN-Clients für Android- und iOS-Geräte gezeigt, dass das Gerät versucht hat, eine Verbindung mit dem VPN-Profil herzustellen?

    In der Regel werden Verbindungsfehler in VPN-Clientanwendungsprotokollen protokolliert.

  • Haben die Radius-Serverprotokolle für Windows-Geräte gezeigt, dass das Gerät versucht hat, eine Verbindung mit dem VPN-Profil herzustellen?

    In der Regel werden Konnektivitätsfehler in Radius-Serverprotokollen protokolliert.

Anzeigen von Protokollen in der AnyConnect-App

Informationen zum Anzeigen von Protokollen finden Sie in den folgenden beiden Beispielen für Android- und iOS-Geräte.

Beispiel 1: Anzeigen von Protokollen auf Android-Geräten

  1. Wählen Sie Menüdiagnose> aus.

    Screenshot: Diagnosefunktion

  2. Um Zertifikate anzuzeigen, wählen Sie Zertifikatverwaltung aus.

    Screenshot: Zertifikatverwaltungsfunktion

    Screenshot: Zertifikatinformationen

  3. Um Protokolle zum Analysieren von AnyConnect-Problemen anzuzeigen, wählen Sie Protokollierung und Systeminformation>Debuggen aus.

    Screenshot: Funktion

    Screenshot: Debuginformationen

  4. Um Protokolle zu senden, wählen Sie Menü>Protokollbericht>an Administrator senden aus.

    Screenshot: Funktion

    Screenshot: Funktion

  5. Nachdem Sie die Debugprotokolle erhalten haben, überprüfen Sie die debug_logs_unfiltered.txt-Datei auf Profilerstellungs- und Verbindungsinformationen.

Beispielprotokoll für die VPN-Erstellung:

<Date Time> I/AnyConnect(14530): URIHandlerActivity: Received command: anyconnect://create?host=VPN.Contoso.com&name=AnyConnect&usecert=true&keychainalias=UserID
<Date Time> I/AnyConnect(14530): VpnService: VpnService is being created.

Beispielprotokoll für VPN-Verbindungsfehler:

<Date Time> I/vpnapi  (14530): Message type information sent to the user: Contacting VPN.Contoso.com.
<Date Time> I/vpnapi  (14530): Initiating VPN connection to the secure gateway https://VPN.Contoso.com
<Date Time> I/acvpnagent(14592): Using default preferences. Some settings (e.g. certificate matching) may not function as expected if a local profile is expected to be used. Verify that the selected host is in the server list section of the profile and that the profile is configured on the secure gateway.
<Date Time> I/acvpnagent(14592): Function: processConnectNotification File: MainThread.cpp Line: 14616 Received connect notification (host VPN.Contoso.com, profile N/A)
<Date Time> W/acvpnagent(14592): Function: getHostIPAddrByName File: SocketSupport.cpp Line: 344 Invoked Function: ::getaddrinfo Return Code: 11 (0x0000000B) Description: unknown 
<Date Time> W/acvpnagent(14592): Function: resolveHostName File: HostLocator.cpp Line: 710 Invoked Function: CSocketSupport::getHostIPAddrByName Return Code: -31129588 (0xFE25000C) Description: SOCKETSUPPORT_ERROR_GETADDRINFO 
<Date Time> W/acvpnagent(14592): Function: ResolveHostname File: HostLocator.cpp Line: 804 Invoked Function: CHostLocator::resolveHostName Return Code: -31129588 (0xFE25000C) Description: SOCKETSUPPORT_ERROR_GETADDRINFO failed to resolve host name VPN.Contoso.com to IPv4 address
<Date Time> I/vpnapi  (14530): Message type warning sent to the user: Connection attempt has failed.
<Date Time> E/vpnapi  (14530): Function: processIfcData File: ConnectMgr.cpp Line: 3399 Content type (unknown) received. Response type (DNS resolution failed) from VPN.Contoso.com: DNS resolution failed
<Date Time> I/vpnapi  (14530): Message type warning sent to the user: Unable to contact VPN.Contoso.com.
<Date Time> E/vpnapi  (14530): Function: processIfcData File: ConnectMgr.cpp Line: 3535 Unable to contact VPN.Contoso.com DNS resolution failed
<Date Time> I/vpnapi  (14530): Message type error sent to the user: The VPN connection failed due to unsuccessful domain name resolution.

Beispiel 2: Anzeigen von Protokollen auf iOS-Geräten

  1. Wählen SieDiagnosezertifikate> aus, um das Benutzerzertifikat anzuzeigen.

    Screenshot: Importierte Zertifikate

  2. Um Protokollmeldungen anzuzeigen, wählen Sie Diagnose aus, aktivieren Sie die Option VPN-Debugprotokolle , um die Protokollierung zu aktivieren, und wählen Sie dann Protokolle aus.

    • Um die Debugprotokollmeldungen des Diensts anzuzeigen, wählen Sie Dienst aus.
    • Wählen Sie App aus, um die Debugprotokollmeldungen der Anwendung anzuzeigen.

    Screenshot: Option

  3. Wählen Sie zum Senden von Protokollen im Diagnosefenster die Option Protokolle freigeben aus, geben Sie die Informationen zum Problem ein, und wählen Sie dann Senden aus.

    Screenshot: Funktion

  4. Nachdem Sie die Debugprotokolle erhalten haben, überprüfen Sie die Dateien auf Profilerstellungs- und Verbindungsinformationen.

    Screenshot: Ordner mit den Debugprotokolldateien

Beispielprotokoll der AnyConnect_App_Debug_Logs.txt-Datei mit dem VPN-Profil:

[<Date Time>] Info: Function: SaveSettings File: AppleVpnConfig.mm Line: 198 SaveSettings {type = mutable dict, count = 3, entries => 0 : {contents = "RemoteAddress"} = {contents = "Contoso.com"} 1 : {contents = "AuthenticationMethod"} = {contents = "Certificate"} 2 : {contents = "LocalCertificate"} = <69646e74 00000000 000002d3> }
[<Date Time>] Info: Function: GetSettings File: AppleVpnConfig.mm Line: 175 GetSettings { AuthenticationMethod = Certificate; LocalCertificate = <69646e74 00000000 000002d3>; RemoteAddress = "Contoso.com"; }
[<Date Time>] Info: Function: -[AppleVpnConfigBatch startBatchSaveToSystem] File: AppleVpnConfigBatch.mm Line: 43 Invoking save to system with 0x28202fd60
[<Date Time>] Info: Function: saveToSystem_block_invoke File: AxtVpnConfig.mm Line: 222 Successfully saved profile for Contoso.com
[<Date Time>] Info: Function: -[AppleVpnConfigBatch startBatchSaveToSystem] File: AppleVpnConfigBatch.mm Line: 36 completed!.

Beispielprotokoll der AnyConnect_Messages.txt-Datei , in der ein VPN-Verbindungsfehler angezeigt wird:

[<Date Time>] [VPN] - Contacting Contoso.com.
[<Date Time>] [VPN] - Connection attempt has failed.
[<Date Time>] [VPN] - Unable to contact CoolBreeze.com.
[<Date Time>] [VPN] - Connection attempt has timed out. Please verify Internet connectivity.

Beispielprotokoll der AnyConnect_Plugin_Debug_Logs.txt-Datei , in der ein VPN-Verbindungsfehler angezeigt wird:

[<Date Time>] Info: Message type information sent to the user: Contacting Contoso.com.
[<Date Time>] Info: Initiating VPN connection to the secure gateway https://Contoso.com
[<Date Time>] Info: Function: NoticeCB File: AnyConnectAuthenticator.cpp Line: 2116 Sending notice Contacting Contoso.com. to App
[<Date Time>] Error: Function: SendRequest File: CTransportCurlStatic.cpp Line: 2046 Invoked Function: curl_easy_perform Return Code: -29949904 (0xFE370030) Description: CTRANSPORT_ERROR_TIMEOUT 28 : Error
[<Date Time>] Error: Function: TranslateStatusCode File: ConnectIfc.cpp Line: 3169 Invoked Function: TranslateStatusCode Return Code: -29949904 (0xFE370030) Description: CTRANSPORT_ERROR_TIMEOUT Connection attempt has timed out. Please verify Internet connectivity.
[<Date Time>] Error: Function: doConnectIfcConnect File: ConnectMgr.cpp Line: 2442 Invoked Function: ConnectIfc::connect Return Code: -29949904 (0xFE370030) Description: CTRANSPORT_ERROR_TIMEOUT 
[<Date Time>] Info: Message type warning sent to the user: Connection attempt has failed.
[<Date Time>] Error: Function: processIfcData File: ConnectMgr.cpp Line: 3407 Content type (unknown) received. Response type (host unreachable) from Contoso.com: 
[<Date Time>] Info: Message type warning sent to the user: Unable to contact Contoso.com.
[<Date Time>] Info: Function: NoticeCB File: AnyConnectAuthenticator.cpp Line: 2116 Sending notice Connection attempt has failed. to App
[<Date Time>] Error: Function: processIfcData File: ConnectMgr.cpp Line: 3543 Unable to contact Contoso.com 
[<Date Time>] Info: Function: NoticeCB File: AnyConnectAuthenticator.cpp Line: 2116 Sending notice Unable to contact Contoso.com. to App
[<Date Time>] Info: Message type error sent to the user: Connection attempt has timed out. Please verify Internet connectivity.

Weitere Informationen

Wenn Sie noch nach einer Lösung für ein verwandtes Problem suchen oder weitere Informationen zu Microsoft Intune benötigen, stellen Sie eine Frage im Microsoft Intune-Forum. Viele Supporttechniker, MVPs und Mitglieder des Entwicklungsteams besuchen die Foren. Es besteht also eine gute Chance, dass Sie jemanden mit den informationen finden, die Sie benötigen.

Wenn Sie eine Supportanfrage an das Microsoft Intune Produktsupportteam senden möchten, finden Sie weitere Informationen unter Anfordern von Support für Microsoft Intune.

Weitere Informationen zu VPN-Profilen in Intune finden Sie in den folgenden Artikeln:

Alle aktuellen Nachrichten, Informationen und technischen Tipps finden Sie in den offiziellen Blogs: