Завершено, возвращен код причины 829 vpn windows 10
Обновлено: 21.11.2024
Я выбрал обновление, вызывающее эту проблему: KB3201845, сборка ОС 14393.479 от 9 декабря 2016 года. Я прошел все эти обновления шаг за шагом.
Глядя на манифест файлов изменений, эти файлы были изменены:
Другие темы, которые я создал:
Обновить
Пред-юбилейная версия Windows 10 (версия 10.0.10586) работает нормально
Пост-юбилейная версия Windows 10 (версия 10.0.14393) падает, поэтому проблема связана с юбилейным обновлением.
Обновление 2
Я могу подключиться, используя два хоста Windows до юбилея
Если я подключу 1 юбилейный хост Windows к VPN и искусственно поддержу его работоспособность с помощью проверки связи, я не смогу подключить второй хост к VPN. В роутере "отладка крипто ikev2" происходит так:
У меня есть маршрутизатор Cisco IOS модели 892, на котором я настраиваю IKEv2 с EAP-MSCHAPv2 в качестве удаленной аутентификации (поддерживаемой сервером политики сети Windows 2012 Server) и аутентификации по локальному сертификату. Все работает, могу подключиться к VPN и пинговать петлевой адрес на роутере. Windows 7 и 8.1 работают нормально, Android с Strongswan тоже.
Однако в Windows 10 (10.0.14393 — полное обновление от 16 января 2017 г.) ровно через 60 секунд после последнего обмена данными (например, проверки связи) соединение разрывается. Итак:
- Открыто VPN-подключение T+0
- T+60 VPN-подключение обрывается
- Открыто VPN-подключение T+0
- T+20 1: проверка связи с 172.16.0.5, ответ получен
- T+80 VPN-подключение обрывается
VPN удаляется со следующим сообщением в журнале системных событий:
CoId=: Пользователь LAPTOP-GLENN\Glenn установил соединение с именем ikev2-test, которое было разорвано. Код причины, возвращаемый при прекращении, – 829.
Поэтому я начал копать и включил отладку RAS на клиенте:
Единственный важный материал, который я смог найти, был в C:\Windows\tracing\rasman.log (20:11:51, когда происходит отключение - интересные биты с префиксом "***"):
- Запустил ту же конфигурацию на маршрутизаторе Cisco CSR1000v, и произошло то же самое.
- Создал REG_DWORD с именем "InactivityIdleSeconds" в разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\0012 (мини-порт WAN (IKEv2)) и поигрался с его значением, но это ничего не изменило (см. здесь, почему я попробовал это)< /li>
- Поэкспериментировал с Dead Peer Detection, но это тоже ничего не изменило
Я не могу найти критерии, по которым Windows 10 может считать соединение IKEv2 прерванным, или какие изменения состояния заставляют Windows 10 считать, что VPN необходимо отключить.
При проведении оценочного тестирования Always On VPN с последним выпуском Windows 10 (2004) была обнаружена ошибка, которая может привести к сбою VPN-подключений, но только при определенных условиях. В частности, сбой происходит, когда и туннель устройства, и пользовательский туннель настроены на одном клиенте, а пользовательский туннель настроен исключительно на использование IKEv2.
Ошибка 829
После обновления до Windows 10 2004, когда туннель устройства и пользовательский туннель развернуты, а пользовательский туннель настроен на использование IKEv2, администратор заметит, что если соединение туннеля устройства установлено, пользовательский туннель подключается успешно, но затем внезапно прерывается с кодом ошибки 829.
Примечание. Это может произойти в обратном порядке, если по какой-то причине туннель пользователя установлен раньше туннеля устройства. В этом случае пользовательский туннель будет подключен, но попытки установить туннель устройства приведут к сбою.
Ошибка 619
Если пользовательское туннельное соединение инициировано с помощью rasdial.exe или rasphone.exe, возвращается код ошибки 619.
Временное решение
Обходной путь для этой проблемы — либо использовать один туннель, либо, если требуются и пользовательский туннель, и туннель устройства, настроить пользовательский туннель на использование протокола SSTP VPN вместо IKEv2.
Дополнительная информация
Поделиться:
Вот так:
Опубликовано Ричардом М. Хиксом, 25 июня 2020 г.
39 комментариев
цифровое исправление
Надеемся, что это скоро исправят!
Ричард М. Хикс
Конечно! Это не повлияет на всех, поскольку, по моему опыту, большинство использует SSTP для пользовательского туннеля. Однако для тех, кто ищет высочайший уровень безопасности, использование IKEv2 является обязательным требованием. Они определенно будут затронуты.
Саймон
*вздох* еще один гвоздь в гроб IKEv2 🙁
Ричард М. Хикс
Вау!
В Windows 10 2004 так много ошибок, несмотря на расширенное тестирование из-за переноса выпуска.
Думаю, никто особо не тестировал AOVPN во время выпусков программы предварительной оценки Windows, потому что для выявления этой очевидной проблемы не требуется чрезвычайно непонятная конфигурация.
Есть ли в версии 2004 какие-либо улучшения AOVPN по сравнению с более ранними версиями?
Ричард М. Хикс
Это довольно очевидная ошибка, поэтому можно только догадываться, насколько надежен процесс тестирования. 😉 Я слышал, что Always On VPN в Windows 10 2004 теперь поддерживает управление фильтрами трафика, но я пока не видел официальной документации по этому поводу.
Крис Подургил
У нас были похожие симптомы на 1909 году. Мне интересно, виновато ли в этом недавнее обновление, в котором используется тот же код, что и на 2004 году.
Ричард М. Хикс
Все возможно. В моем тестировании это, похоже, затронуло только устройства 2004 года. Надеюсь, Microsoft скоро выпустит какое-то руководство и, в идеале, исправление. 🙂
Жюльен Потье
Я столкнулся с чем-то очень похожим на W10 1803. VPN устройства завершается случайным образом с кодом причины 828 (тайм-аут), который не настроен на стороне VPN устройства. Мы принудительно используем IKEv2, так как SSTP ужасен для трафика в реальном времени. Мне нужно продолжить расследование
Ричард М. Хикс
Мне было бы любопытно узнать, есть ли у вас такая же проблема в 1903/1909. Более ранние версии Windows 10 всегда вызывают подозрение, IMO.
Я вижу нечто подобное в 2004 году, но мой пользовательский туннель настроен на автоматический (с использованием конфигурации XML из вашего блога, спасибо!) и подключается как SSTP, а мой туннель устройства, очевидно, использует IKEV2. Мой пользовательский туннель, похоже, не пострадал, но туннель моего устройства, похоже, случайно отключается. Если я попытаюсь подключиться к устройству через psexec RasDial.exe, я получу ошибку 619, а также ошибку 829 в журнале событий приложений. Я посмотрю, поможет ли жесткое кодирование пользовательского туннеля к SSTP.
Ричард М. Хикс
Похоже, это отдельная тема. Дайте мне знать, что вы найдете!
Виктор Мусатов
Подтверждаю, Windows 10 2004, туннель пользователя sstp, туннель устройства ikev2, после пробуждения автоматически подключится только туннель пользователя, devicetunnel завершается с ошибкой 619/829
вмусатов
Подтверждаю, Windows 10 2004, туннель пользователя sstp, туннель устройства ikev2, после пробуждения автоматически подключится только туннель пользователя, devicetunnel завершается с ошибкой 619/829
Для 2004 года я выполнил 2 задачи и один PS-скрипт, когда пользователь входит в систему, сценарий запускает первую задачу и заканчивается системной учетной записью (rasdial.exe /d) туннелем устройства, после чего запускается вторая задача. с зарегистрированным пользователем с пользовательским туннелем IKEV2 отлично работает в качестве обходного пути. Лучше всего использовать цикл do-while для каждого туннеля, но все еще надеюсь, что MS скоро исправит это для 2004 года, к сожалению, с июльским обновлением они этого не сделали 🙁
Ричард М. Хикс
Рад, что вы нашли обходной путь! 🙂
Энди Чипс
После обновления на месте с 1803 до 2004 я постоянно вижу эту ошибку (619). Единственное отличие состоит в том, что пользовательский туннель настроен на SSTP, а не на IKEv2. Это очень разочаровывает.
Ричард М. Хикс
Интересно. В моем тестировании это происходило только тогда, когда IKEv2 использовался в пользовательском туннеле. Если я переключаюсь на SSTP, он работает. Не ваш опыт?
Энди Чипс
Ричард, оба туннеля работают одновременно, только если я:
<р>1. Отключите автоматическое подключение пользовательского туннеля2. Подключите туннель устройства
3. Включите автоматическое подключение пользовательского туннеля
Пока я видел это только в двух случаях, но один из них — мой ноутбук, и поэтому я сержусь 🙂
Я продолжу смотреть, есть ли закономерность по мере развертывания моей компании. обновление 2004 года. В худшем случае нам просто придется жить без туннеля устройств.
Питер Альмер Фредериксен
Сегодня я сообщил об этом в Центре обратной связи Windows как об ошибке с высоким приоритетом. Пожалуйста, проголосуйте! 🙂
"Вручную VPN запрашивает пароль, а Always-On VPN не работает в 2004 году"
"Эти две ошибки наблюдаются на всех компьютерах в нашем домене (сотнях) — как на тех, которые были обновлены с 1909 до 2004, так и на тех, у которых установлена новая версия 2004. До 2004 года все было в порядке.
1) Собственная ручная VPN для Windows, для которой включен параметр «Автоматически использовать мое имя и пароль для входа в Windows (и домен, если есть)», не работает. При использовании «Подключиться» в VPN он отвечает «Неверное имя пользователя или пароль», вместо того, чтобы просто подключиться к VPN. Он запрашивает пароль, и при вводе правильного пароля VPN подключается.
2) Встроенная пользовательская VPN Always-On Windows не может автоматически подключиться. Вместо этого он запрашивает пароль, как и ошибка выше. Таким образом, функция Always-On не работает.
Какой обходной путь существует?»
Ричард М. Хикс
Можете поделиться ссылкой? С удовольствием проголосую за вас! 🙂 Я предполагаю, что вы используете аутентификацию MS-CHAP v2, верно? Это не то, что я тестировал в 2004 году, поскольку я обычно использую аутентификацию PEAP и клиентского сертификата. С удовольствием протестирую и посмотрю, смогу ли я воспроизвести.
Питер Алмер Фредериксен
Для ручного VPN, который мы используем:
Тип VPN = Автоматический
Аутентификация = Разрешить следующие протоколы: MS-CHAP v2 / Автоматически использовать мой вход в Windows
Причина «Автоматически» заключается в том, что у нас есть сотрудники и консультанты, работающие на нас со всего мира, некоторые очень далеко (RTT 300+ мс), а некоторые в странах с высокой цензурой Интернета. IKEv2 выбран в качестве основного протокола, так как он обеспечивает в несколько раз более высокую пропускную способность для TCP-трафика, чем SSTP, когда RTT очень высок. В таком случае SSTP является резервным протоколом, используемым там, где заблокирован IKEv2, поскольку он работает везде.
Аутентификация для ручного VPN не основана на клиентских сертификатах, поскольку мы считаем, что было бы слишком сложно распространять и обрабатывать множество внешних консультантов, которые работают в других компаниях и работают на нас в течение ограниченного времени. Вместо этого мы ограничиваем их доступ в AD, поэтому их доступ блокируется по истечении срока действия контракта.
Когда в начале 2019 года я создал профиль пользователя Always-On, я намеревался сделать его на основе сертификата, поскольку он подходит только для сотрудников, а не для внешних консультантов. Однако, когда я просматриваю свой код сейчас, кажется, что я пропустил это, когда запускал сценарий Makeprofile. Я попробую и изменю его на сертификат, возможно, это будет обходной путь для проблемы Always-On VPN.
Пост-юбилейная версия Windows 10 (версия 10.0.14393) падает, поэтому проблема связана с юбилейным обновлением.
Обновление 2
Я могу подключиться, используя два хоста Windows до юбилея
Если я подключу 1 юбилейный хост Windows к VPN и искусственно поддержу его работоспособность с помощью проверки связи, я не смогу подключить второй хост к VPN. В роутере "отладка крипто ikev2" происходит так:
У меня есть маршрутизатор Cisco IOS модели 892, на котором я настраиваю IKEv2 с EAP-MSCHAPv2 в качестве удаленной аутентификации (поддерживаемой сервером политики сети Windows 2012 Server) и аутентификации по локальному сертификату. Все работает, могу подключиться к VPN и пинговать петлевой адрес на роутере. Windows 7 и 8.1 работают нормально, Android с Strongswan тоже.
Однако в Windows 10 (10.0.14393 — полное обновление от 16 января 2017 г.) ровно через 60 секунд после последнего обмена данными (например, проверки связи) соединение разрывается. Итак:
Соединение T+0 VPN открыто
T+60 VPN-подключение обрывается
Соединение T+0 VPN открыто
T+20 1 Пинг на 172.16.0.5, ответ получен
T+80 VPN-подключение обрывается
VPN удаляется со следующим сообщением в журнале системных событий:
CoId=: Пользователь LAPTOP-GLENN\Glenn установил соединение с именем ikev2-test, которое было разорвано. Код причины, возвращаемый при прекращении, – 829.
Поэтому я начал копать и включил отладку RAS на клиенте:
Единственный важный материал, который я смог найти, был в C:\Windows\tracing\rasman.log (20:11:51, когда происходит отключение - интересные биты с префиксом "***"):
Запустил ту же конфигурацию на маршрутизаторе Cisco CSR1000v, и произошло то же самое.
Создал REG_DWORD с именем «InactivityIdleSeconds» в разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\0012 (мини-порт WAN (IKEv2)) и поигрался с его значением, но это ничего не изменило (см. здесь, почему я попробовал это)< /p>
Поигрался с Dead Peer Detection, но это тоже ничего не изменило
Я не могу найти критерии, по которым Windows 10 может считать соединение IKEv2 прерванным, или какие изменения состояния заставляют Windows 10 считать, что VPN необходимо отключить.
Недавно мне пришлось обновить свой SSL-сертификат IIS7. Вроде бы все в порядке, но потом я заметил, что мой VPN продолжает загружаться с ошибкой 829. Я попытался перезагрузить компьютер и заново создать соединение, но проблема остается той же.
Наконец, я вручную настроил VPN для подключения через PPTP и заметил, что при PPTP подключение выполняется без проблем. У меня возникла проблема только в автоматическом режиме.
Я уверен, что это связано с обновлением SSL IIS7. Но не знаю, как решить эту проблему?
Intel vPro®: что нового в 2022 году
2022-03-24 16:00:00 UTC Video Meetup Видеовстреча: Intel - Intel vPro®: что нового в 2022 г. Сведения о событии Просмотреть все события
3 ответа
Единственная разница, которую я могу выделить между двумя сертификатами SSL, заключается в том, что старый сертификат использует SHA1, а новый сертификат использует SHA2. Согласно GoDaddy все новые сертификаты. выдается с SHA2.
Маленький зеленый человечек
Вы пробовали эти шаги?
Маленький зеленый человечек
Вот конкретная ошибка:
Ошибка 826 (ERROR_EAPTLS_CACHE_CREDENTIALS_INVALID)
Сообщение: проверка EAPTLS кэшированных учетных данных не удалась. Удалите кешированные учетные данные.
Протокол аутентификации, согласованный между клиентом и сервером, — EAP-TLS, который представляет собой протокол аутентификации на основе сертификатов. EAP-TLS требует наличия действительных сертификатов на клиенте и сервере для аутентификации. Эта ошибка указывает на то, что EAP-TLS использует кэшированные на клиентском компьютере учетные данные, которые недействительны, просрочены или повреждены.
Эта тема заблокирована администратором и больше не открыта для комментариев.
Чтобы продолжить это обсуждение, задайте новый вопрос.
Искра! Серия Pro – 22 марта 2022 г.
День в истории: 22 марта 1765 г. — принят Закон о гербовом сборе; Первый прямой британский налог на американских колонистов, организованный премьер-министром Джорджем Гренвиллем 1782 г. — Папа Пий VI прибывает в Вену для встречи с императором Священной Римской империи.
Щелкни! Взлом Okta, взлом Microsoft, дефекты принтеров HP, экзопланеты, изобретательность
Ваша ежедневная доза технических новостей. Вы должны это услышать. Компания по аутентификации Okta расследует сообщение об утечке данных Поставщик аутентификации Okta, похоже, подвергся серьезной утечке данных после того, как в сети появились скриншоты конфиденциальных данных.
Как вы измеряете успех?
Если в вашей команде появился новый инженер, и вы его обучили. Как вы измеряете успех инженера с точки зрения обучения, которое вы предоставили? Как вы оцениваете, что они должны уметь делать, или как узнать, было ли ваше обучение успешным.
Настойчивая тактика MSP
За последние несколько месяцев моя компания связалась с некоторыми ИТ-поставщиками в этом районе, чтобы узнать, подходят ли они нам для какой-либо консультационной работы и разовых проектов. долгосрочное обязательство или "услуга pl.
Стремление к карьерному росту
Здравствуйте! Кажется, это правильное место, чтобы задать мой вопрос. Я ищу эффективный способ получить должность, связанную с сетями (администрирование, проектирование, проектирование и т. д.). Я работаю в сфере ИТ около пяти лет. Я иду изначально фр.
Читайте также: