解决微软 Intune 中的 VPN 配置文件问题

随时随地通过任何设备使用 Microsoft 365 工作

升级到 Microsoft 365 以在任何位置使用最新的功能和更新。

立即升级

简介

本指南可帮助您了解和排除使用 Microsoft Intune 时可能会遇到的 VPN 配置文件问题。

本文分为以下几个部分:

本指南中的示例对这些配置文件使用 SCEP 证书身份验证,并假定受信任的根配置文件和 SCEP 配置文件在设备上正常工作。在示例中,受信任的根和 SCEP 配置文件的命名方式如下。

Android

Ios

Windows

受信任的根配置文件

安卓根

iOSRoot

WindowsRoot2

SCEP 配置文件

安卓斯科普

iOSSCEP

WindowsSCEP2

VPN 配置文件概述

虚拟专用网络 (VPN) 为用户提供了对组织网络的安全远程访问。设备使用 VPN 连接配置文件启动与 VPN 服务器的连接。Microsoft Intune 中的 VPN 配置文件将 VPN 设置分配给组织中的用户和设备,以便他们可以轻松安全地连接到您的组织网络。

例如,您希望将所有 iOS 设备配置为具有连接到组织网络上的文件共享所需的设置。您创建包含这些设置的 VPN 配置文件。然后,将此配置文件分配给拥有 iOS 设备的所有用户。用户在可用网络列表中看到 VPN 连接,并且只需极少的精力即可进行连接。

您可以使用不同的VPN 连接类型创建 VPN 配置文件。 备注在使用分配给设备的 VPN 配置文件之前,必须为该配置文件安装适用的 VPN 应用。

创建 VPN 配置文件

要创建 VPN 配置文件,请按照以下 Microsoft 文档文章的"创建设备配置文件"部分中的步骤操作:

创建 VPN 配置文件以连接到 Intune 中的 VPN 服务器

受支持的平台上的"属性"屏幕类似于以下示例:

安卓VPN

iOS VPN

窗口 VPN

备注在示例中,Android 和 iOS VPN 配置文件的连接类型为Cisco AnyConnect,Windows 10 的连接类型为"自动"。 此外,VPN 配置文件链接到 SCEP 配置文件。

有关如何为 VPN 配置文件创建可扩展身份验证协议 (EAP) 配置 XML 的详细信息,请参阅EAP 配置

分配 VPN 配置文件

创建 VPN 配置文件后,将配置文件分配给选定的组。

请参阅以下"分配"屏幕示例。

分配安卓 VPN

分配 iOS VPN

分配 Windows VPN

成功的 VPN 配置文件在您的设备上是什么样子

下面是诺基亚 6.1 设备的示例。由于受信任的根配置文件和 SCEP 配置文件已安装在设备上,因此不会提示您安装 SCEP 证书。

  1. 您会收到安装公司 VPN 配置文件的通知:

    通知

  2. 在 AnyConnect 应用中,由于当前禁用了"外部控制",请点按"更改设置"按钮以启用"外部控制"。

    任何连接设置

    外部控制

    启用外部控制

  3. 在 AnyConnect 应用中,选择 SCEP 证书。

    选择证书

    备注如果您使用设备管理员管理的 Android 设备,则可能有多个证书。这是因为在更改或删除证书配置文件时,不会吊销或删除证书。在这种情况下,请选择最新的证书。通常,这是证书列表中的最后一个。 这种情况不会发生在Android企业和三星诺克斯设备上。有关详细信息,请参阅使用Intune 管理 Android 工作配置文件设备,并在Microsoft Intune 中删除 SCEP 和 PKCS 证书。

  4. 已成功创建 VPN 连接。

    成功创建

在设备上安装 VPN 配置文件后,您可以在"管理配置文件"屏幕中看到它。

应用层 VPN 设置

VPN 配置文件

Vpn

VPN 连接显示在"设置 "gt; 常规 > VPN中。

Vpn

Vpn

VPN 连接显示在 AnyConnect 应用中。

Vpn

在设备上安装 VPN 配置文件后,转到"设置">帐户>访问工作或学校,选择您的工作或学校帐户,然后选择"信息"。

信息

你可以看到VPN在微软管理的区域。

托管区域

VPN 配置文件列在"设置">网络和互联网 >VPN下。

Vpn

VPN 连接列在网络连接中。

网络连接

成功 VPN 配置文件部署的公司门户日志中的条目

在 Android 设备上,Omadmlog.log 文件记录在设备上处理 VPN 配置文件时的详细活动。根据公司门户应用的安装时间,您最多可能拥有五个 Omadmlog 日志文件。您可以使用上次同步的时间戳来帮助查找相关条目。

下面的示例使用CMTrace读取日志,并使用"android.vpn.client"作为搜索字符串筛选器。

滤波器

示例日志代码段:

2019-08-02T20:31:36:7120000 INFO com.microsoft.omadm.平台.android.vpn.vpn.intentVpnProfileS.S.S.IntentVpnProfileSp13229 00622通知要预配vpn配置文件"AnyConnect"。 2019-08-02T20:31:36:7620000 INFO com.microsoft.omadm.平台.android.vpn.vpn.intentVpn配置文件状态机13229 00622 VPN配置文件"AnyConnect"状态从"已接收"更改为"已处理"状态 2019-08-02T20:33:49.3810000 VERB com.microsoft.omadm.平台.android.vpn.client.vpnClient 13229 00002创建 VPN 配置意图:anyconnect://create/?host=VPN.contoso.com&name=AnyConnect&usecert=true&钥匙串_用户ID 2019-08-02T20:33:49.4270000 INFO.microsoft.omadm.平台.android.vpn.client.IntentVpnProfileS.P.P.P.P.P.P.IntentVpnProfileSPStateMachine 13229 00002 Vpn配置文件'AnyConnect'预配和完整。 2019-08-02T20:33:49.4290000 INFO com.microsoft.omadm.平台.android.vpn.vpn.vpnOffice13229 00002 VPN 配置文件"AnyConnect"状态从"挂起_USER_INSTALL"更改为"

在 iOS 设备上,公司门户日志不包含有关 VPN 配置文件的任何信息。要查看有关安装 VPN 配置文件的详细信息,请检查控制台和设备日志。为此,请按照以下步骤操作:

  1. 将 iOS 设备连接到 Mac,然后转到应用程序>实用程序以打开控制台应用  安慰

  2. 在"操作"下,选择"包括信息消息"和"包括调试消息"。

    包括消息

  3. 重现问题后,将日志保存到文本文件中。为此,请选择"全部编辑"以选择当前屏幕上的所有消息,然后选择"编辑>复制"以将邮件复制到剪贴板。接下来,打开 TextEdit 应用程序,将复制的日志粘贴到新的文本文件中,然后保存该文件。

您可以搜索具有 VPN 配置文件名称的文件以查看详细信息。

示例日志代码段:

调试 15:49:29.601385 -0400 配置文件创建从有效负载类型 com.apple.vpn.atoplayer,名称"ContosoVPN",原子 |     有效负载显示名称 = "VPN 配置文件 - ContosoVPN";*     用户定义名称 = ContosoVPN;*         远程地址 = "Contoso.com";|     有效负载显示名称 = "VPN 配置文件 - ContosoVPN";*     用户定义名称 = ContosoVPN;*         远程地址 = "Contoso.com";|     有效负载显示名称 = "VPN 配置文件 - ContosoVPN";*     用户定义名称 = ContosoVPN;*         远程地址 = "Contoso.com";|     远程地址 = "Contoso.com";| 调试 15:49:29.608322 -0400 配置文件配置插件与有效:已完成,服务器地址Contoso.com,提供程序配置 |     远程地址 = "Contoso.com";|         服务器地址 [ Contoso.com]     有效负载显示名称 = "VPN 配置文件 - ContosoVPN";*     用户定义名称 = ContosoVPN;*         远程地址 = "Contoso.com";|         服务器地址 [ Contoso.com] 调试 15:49:29.611065 -0400 配置文件的 NE 配置 初始使用AppLayerVPN有效:完成,服务器地址Contoso.com]     有效识别码 = "www.windowsintune.com.vpn.ContosoVPN";] 调试 15:49:29.658472 -0400 配置文件分析保存配置:"ContosoVPN"* 默认 15:49:29.659595 -0400 配置文件保存配置 ContosoVPN 与现有签名(null)* 默认值 15:49:29.750272 -0400 分析成功保存配置 ContosoVPN* 默认值 15:49:29.977033 -0400配置文件[93www.windowsintune.com.vpn.ContosoVPN]94 安装。

在 Windows 设备上,有关 VPN 配置文件的详细信息记录在事件查看器中的以下位置:

  • 应用程序和服务日志 > 微软 > Windows > 设备管理-企业-诊断-提供商 > 管理

  • 应用程序和服务日志 > 微软 > Windows > 设备管理-企业-诊断-提供程序 > 调试

备注您必须在事件查看器中选择"显示分析和调试日志"选项才能查看这些日志。

示例日志代码段:

事件 6165   日志名称:微软-Windows-设备管理-企业-诊断-提供程序/调试   来源:微软-Windows-设备管理-企业-诊断-提供商   日期: 2019-08-09T11:56.078   事件 ID: 401   任务:不适用   级别: 信息   操作代码:信息   关键词: 不适用   用户: SID   用户名: NT 授权_系统   计算机: <计算机名称 >   描述: MDM 配置管理器:CSP 节点操作。配置源 ID:(ID)、注册名称:(MDMFullWithAAD)、提供商名称:(VPNv2)、操作:(添加)、CSP URI:(./用户/供应商/MSFT/VPNv2)、子 URI:(Contoso)、结果:(操作成功完成)。

排除常见问题

问题 1:VPN 配置文件未部署到设备

  • 验证 VPN 配置文件是否分配给正确的组。 在 Intune 门户中,转到设备配置> 配置文件,选择"分配", 然后检查所选组。

    分配安卓 VPN

    此外,请查看"疑难解答"窗格中的"工作分配"信息。

    故障排除刀片

  • 通过检查"疑难解答"窗格中的"上次签入时间",验证设备是否可以与 Intune 同步。

  • 如果 VPN 配置文件链接到受信任的根配置文件和 SCEP 配置文件,请验证两个配置文件是否已部署到设备。VPN 配置文件依赖于这些配置文件。

    如果未在设备上安装受信任的根和 SCEP 配置文件,您将在公司门户 Omadmlog 文件中看到以下条目:

    2019-08-08T20:30:37.6400000 INFO.microsoft.omadm.平台.android.vpn.vpn.client.IntentVpnProfileS.P.P.P.P.P.IntentVpnProfileSPStateMachine 14210 00948等待 vpn 配置文件"androidVPN"所需的证书。

    备注存在一种情况,即受信任的根配置文件和 SCEP 配置文件位于设备上并符合,但 VPN 配置文件仍不在设备上。当来自公司门户应用的证书选择器提供程序找不到符合指定条件的证书时,将出现此问题。特定条件可以位于证书模板或 SCEP 配置文件中。如果未找到匹配证书,则将排除设备上的证书,这将导致跳过 VPN 配置文件,因为它没有正确的证书。在这种情况下,您看到公司门户 Omadmlog 文件中的以下条目:

    等待 vpn 配置文件"androidVPN"所需的证书。

    下面是一个示例日志代码段,其中证书被排除,因为任何目的扩展密钥使用  已指定 (EKU) 条件,但分配给设备的证书没有该 EKU:

    2018-11-27T21:10:37.6390000 VERB com.microsoft.omadm.utils.CertUtils 14210 00948排除别名 User<ID1> 和请求 ID <请求 ID1>因为它没有任何目的 EKU. 2018-11-27T21:10:37.6400000 VERB com.microsoft.omadm.utils.CertUtils 14210 00948排除别名 User<ID2> 和请求 ID <请求 ID2>因为它没有任何目的 EKU. 2018-11-27T21:10:37.640000VERB com.microsoft.omadm.utils.CertUtils 14210 00948 0 证书(s) 匹配条件: 2018-11-27T21:10:37.6400000 VERB com.microsoft.omadm.utils.CertUtils 14210 00948 2证书(s)按标准排除: 2018-11-27T21:10:37.6400000 INFO com.microsoft.omadm.平台.android.vpn.vpn.vpnS.vpnS.s.for.gt.

    在此示例中,SCEP 配置文件具有指定的"任何目的EKU"选项,但在证书颁发机构 (CA) 上的证书模板中指定该选项。 要解决此问题,请向证书模板添加"任何目的"选项,或从 SCEP 配置文件中删除"任何目的"选项。

    证书模板

    SCEP 配置文件

  • 验证是否启用了对 AnyConnect的外部控制。 必须启用外部控制,以便创建配置文件。将配置文件推送到设备时,系统会提示用户启用外部控制。

    任何连接设置

    启用外部控制

  • 验证完整证书链中的所有必需证书是否位于设备上。否则,您将在公司门户 Omadmlog 文件中看到以下条目:

    等待 vpn 配置文件"androidVPN"所需的证书。

    有关详细信息,请参阅缺少中间证书颁发机构

  • 验证 VPN 配置文件是否分配给正确的组。 在 Intune 门户中,转到设备配置> 配置文件,选择"分配", 然后检查所选组。

    分配 iOS VPN

    此外,请查看"疑难解答"窗格中的"工作分配"信息。

    作业

  • 通过检查"疑难解答"窗格中的"上次签入时间",验证设备是否可以与 Intune 同步。

    疑难解答窗格

  • 如果 VPN 配置文件链接到受信任的根配置文件和 SCEP 配置文件,请验证两个配置文件是否已部署到设备。VPN 配置文件依赖于这些配置文件。

  • 验证 VPN 配置文件是否分配给正确的组。 在 Intune 门户中,转到设备配置> 配置文件,选择"分配", 然后检查所选组。

    分配 Windows VPN

    此外,请查看"疑难解答"窗格中的"工作分配"信息。

    疑难解答窗格

  • 通过检查"疑难解答"窗格中的"上次签入时间",验证设备是否可以与 Intune 同步。

  • 如果 VPN 配置文件链接到受信任的根配置文件和 SCEP 配置文件,请验证两个配置文件是否已部署到设备。VPN 配置文件依赖于这些配置文件。

  • 从 Windows 10 设备检查 MDM 诊断信息日志 下载 MDM 诊断信息日志,打开文件资源管理器,然后导航到 c:\用户\公共\文档\MDM诊断以查看报告。

    MDM 日志

    MDM 日志

    详细

    VPN 配置文件

 

  1. 点击"菜单",然后选择"诊断"。

    诊断

  2. 选择"证书管理"以查看证书。

    证书

    用户证书

  3. 选择"日志记录和系统信息", 然后点击"调试"选项卡以查看日志以分析 AnyConnect 问题。

    日志记录

    调试

  4. 要发送日志,请点按"菜单>发送日志", 然后选择"向管理员报告"。

    发送日志

    给管理员

  5. 获取调试日志后,检查调试日志\未筛选.txt 文件,以获取配置文件创建和连接信息。

    用于创建 VPN 的示例日志代码段:

    08-02 16:40:22.787 I/AnyConnect(14530):URIHandler活动:收到命令:任何连接://create?主机\VPN.Contoso.com_anyconnect_usecert_true_和keyas_UserID 08-02 16:40:22.815 I/AnyConnect (14530): VpnService: VpnService 正在创建.

    VPN 连接失败的示例日志代码段:

    08-02 16:44:50.316 I/vpnapi (14530): 发送给用户的消息类型信息:联系 VPN。Contoso.com. 08-02 16:44:50.319 I/vpnapi (14530): 启动 VPN 连接到安全网关https://VPN.Contoso.com 08-02 16:44:50.322 I/acvpnagent(14592):使用默认首选项。如果预期使用本地配置文件,则某些设置(例如证书匹配)可能无法按预期运行。验证所选主机是否位于配置文件的服务器列表部分,以及配置文件是否配置在安全网关上。 08-02 16:44:50.325 I/acvpnagent(14592):功能:进程连接通知文件:MainThread.cpp 热线:14616 收到连接通知(主机 VPN)。Contoso.com,配置文件 N/A) 08-02 16:44:50.388 W/acvpnagent(14592): 功能: getHostIPAddrByName 文件: SocketSupport.cpp 行: 344 调用功能: ::getaddrinfo 返回代码: 11 (0x0000000B) 描述: 未知 08-02 16:44:50.392 W/acvpnagent(14592):功能:解析主机名文件:HostLocator.cpp 行:710 调用功能:CSocket 支持::getHostIPAddrName返回代码:-31129588 (0xFE25000C) 描述: SOCKETSUPPORT_ERROR_ERROR_GETADDININFO 08-02 16:44:50.392 W/acvpnagent(14592):功能:解析主机名文件:HostLocator.cpp 行:804 调用功能:CHostLocator:::解析主机名返回代码:-31129588 (0xFE25000C) 描述: SOCKETSUPPORT_ERROR_ERROR_GETADDRINFO 未能解析主机名 VPN。Contoso.com到 IPv4 地址 08-02 16:44:50.553 I/vpnapi (14530): 发送给用户的消息类型警告:连接尝试失败。 08-02 16:44:50.553 E/vpnapi (14530): 功能: 进程IfcData 文件: ConnectMgr.cpp 行: 3399 内容类型 (未知) 收到.来自 VPN 的响应类型(DNS 解析失败)。Contoso.com:DNS 解析失败 08-02 16:44:50.553 I/vpnapi (14530): 发送给用户的消息类型警告: 无法联系 VPN。Contoso.com。 08-02 16:44:50.554 E/vpnapi (14530): 功能: 进程IfcData 文件: ConnectMgr.cpp 线路: 3535 无法联系 VPN。Contoso.com DNS 解析失败 08-02 16:44:50.554 I/vpnapi (14530): 发送给用户的消息类型错误: VPN连接失败,由于域名解析失败.

 

  1. 要查看用户证书,请点按"诊断 > 证书"。

    用户证书

  2. 要查看日志消息,请点按"诊断",打开VPN 调试日志以启用日志记录,然后点按"日志"。

    查看日志

    选择"服务"以显示服务调试日志消息,然后选择"应用"以显示应用程序调试日志消息。

  3. 要发送日志,请点击"诊断"窗口中的"共享日志",输入有关问题的信息,然后点按"发送"。

    共享日志

  4. 获取调试日志后,请检查文件以了解配置文件创建和连接信息。

    日志文件

    显示 VPN 配置文件已保存的 AnyConnect_App_Debug_Logs.txt 的示例日志片段:

    [08-07-19 11:52:49:405]信息: 函数:保存设置文件: AppleVpnConfig.mm行: 198 保存设置 [类型 = 可变听写, 计数 = 3, 条目 > 0 : [内容 ] " 远程地址" • • 内容• "Contoso.com"# 1 : [内容 ] "身份验证方法" = [ 内容 = "证书" 2 : [内容 = "本地证书"* = <69646e74 0000000 000002d3> | [08-07-19 11:52:49:405]信息: 功能: 获取设置文件: AppleVpnConfig.mm行: 175 获取设置 + 身份验证方法 + 证书;本地证书 = <69646e74 0000000 000002d3>远程地址 = "Contoso.com";} [08-07-19 11:52:49:437]信息: 功能: -[AppleVpnConfigBatch 启动Batchsavesystem] 文件: AppleVpnConfigBatch.mm 行: 43调用保存到系统0x28202fd60 [08-07-19 11:52:49:462]信息: 功能: 保存到系统_块_调用文件: AxtVpnConfig.mm 行: 222成功保存配置文件Contoso.com [08-07-19 11:52:49:463]信息: 功能: -[AppleVpnConfigBatch 启动Batchsavesystem_ 文件: AppleVpnConfigBatch.mm行: 36完成!.

    显示 VPN 连接失败的示例 AnyConnect_Messages.txt 的示例日志片段:

    [08-07-19 11:53:01:655][VPN] - 联系Contoso.com。 [08-07-19 11:54:01:792][VPN] -连接尝试失败。 [08-07-19 11:54:01:795][VPN] - 无法联系CoolBreeze.com。 [08-07-19 11:54:01:822][VPN] -连接尝试已超时。请验证互联网连接。

    显示 VPN 连接失败的示例 AnyConnect_Plugin_Debug_Logs.txt 的示例日志片段:

    [08-07-19 11:53:01:649]信息:发送给用户的消息类型信息:联系Contoso.com。 [08-07-19 11:53:01:650]信息:启动与安全网关的 VPN 连接https://Contoso.com [08-07-19 11:53:01:652]信息: 功能: 通知CB文件: 任何连接身份验证器.cpp 行: 2116 发送通知联系Contoso.com。到应用程序 [08-07-19 11:54:01:788]错误: 函数: 发送请求文件: CTransportCurlstatic.cpp 行: 2046 调用函数: curl_easy_执行返回代码: -29949904 (0xFE370030)描述: CTRANSPORT_ERROR_TIMEOUT 28 : 错误 [08-07-19 11:54:01:789]错误: 函数: 翻译状态代码文件: ConnectIfc.cpp 行: 3169 调用函数: 转换状态代码返回代码: -29949904 (0xFE370030)描述: CTRANSPORT_ERROR_TIMEOUT 连接尝试已超时。 请验证互联网连接。 [08-07-19 11:54:01:789]错误: 函数: doConnectIfc 连接文件: ConnectMgr.cpp 行: 2442 调用函数: ConnectIfc::连接返回代码: -29949904 (0xFE370030) 描述: CTRANSPORT_ERROR_TIMEOUT [08-07-19 11:54:01:790]信息:发送给用户的消息类型警告:连接尝试失败。 [08-07-19 11:54:01:790]错误: 功能: 进程IfcData文件: ConnectMgr.cpp 行: 3407 内容类型 (未知) 收到.响应类型(主机无法访问)从Contoso.com: [08-07-19 11:54:01:790]信息:发送给用户的消息类型警告:无法联系Contoso.com。 [08-07-19 11:54:01:791]信息: 功能: 通知CB文件: 任何连接身份验证器.cpp 行: 2116 发送通知连接尝试失败.到应用程序 [08-07-19 11:54:01:792]错误: 功能: 进程IfcData文件: ConnectMgr.cpp 线路: 3543 无法联系Contoso.com [08-07-19 11:54:01:793]信息: 功能: 通知CB文件: 任何连接身份验证器.cpp 行: 2116 发送通知无法联系Contoso.com。到应用程序 [08-07-19 11:54:01:793]信息:发送给用户的消息类型错误:连接尝试超时。 请验证互联网连接。

需要更多帮助?

扩展你的技能
了解培训
抢先获得新功能
加入 Microsoft 内部人员

此信息是否有帮助?

谢谢您的反馈意见!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×