Ошибка сопоставления групповой политики windows 10 vpn

Всем доброго!
  • Remove From My Forums

  • Вопрос

  • Всем доброго!

    Настроил я сервак впн для работы с ikev2. Но не очень понял в чем проблема при подключении: Пока проверяю внутри сети на отдельной машине. Если в свойствах впн подключения на клиенте указано полное доменное имя впн сервера vpnserver.firma.local,
    то я могу подключиться к серверу, если указать просто vpnserver без домена, то клиентское подключение сообщает «неприемлемые учетные данные проверки подлинности ike». И соответственно, сейчас открыли все что нужно на маршрутизаторе,
    чтобы можно было на впн сервак попадать уже из инета, и получается в свойствах клиентского подключения мы меняем адрес пока на внешний ip 2xx.xx.xx.xx. И при попытке подключиться к впн серверу получаем такую же ошибку «неприемлемые
    учетные данные проверки подлинности ike». Это с чем может быть связано? 

    Соответсвенно в логах ВПН сервера регистрируется вот такое событие: 
    «Имя журнала: System 
    Источник: RemoteAccess 
    Дата: 02.06.2017 16:04:24 
    Код события: 20255 
    Категория задачи:Отсутствует 
    Уровень: Ошибка 
    Ключевые слова:Классический 
    Пользователь: Н/Д 
    Компьютер: VPNSRV.Firma.local 
    Описание: 
    CoID={F55B7B1A-90C5-51A1-58E3-887C43DB27A2}: Следующая ошибка возникла в модуле протокола точка-точка (PPP), порт: VPN1-47, пользователь: <Непроверенный пользователь>. Таймаут согласования» 

    Единственное место где я указал vpnserver.firma.local при настройке всего этого хозяйства (RRAS+CA+NAP) — это когда через веб интерфейс на сервере сертификатов СА (http://caserver/srvcert) делал сертификат для ВПН сервера. Там при выборе
    шаблона этого сертификата становятся доступны поля и надо было заполнить поле имя. Процесс делал по видео https://www.techdays.ru/videos/1503.html. 
    Сталкивался кто-то с подобной конфигурацией по настройкам и такой ошибкой?

Источник

I have the newest version of Strongswan vpn on my ubuntu server running.
I followed this tutorial here and got it to work on my android and Iphone.

Now I want to get it to work on my windows 10 laptop but when I try to connect via the vpn settings in windows I only get a «policy match error» and the event view gives me the error code «13868».

After much googling I still cant find any working solution.

What can I do?

asked Apr 30, 2019 at 10:02

sirzento's user avatar

sirzentosirzento

1831 gold badge1 silver badge5 bronze badges

The problem is most likely that the Windows client proposes a weak Diffie-Hellman (DH) group (1024-bit MODP). That group is not used anymore by strongSwan unless the user configures it explicitly.

You have two options:

  1. Configure Windows to use a stronger DH group. This can be done either
    • via Set-VpnConnectionIPsecConfiguration PowerShell cmdlet, which allows enabling stronger DH groups (e.g. group 14/2048-bit MODP or 384-bit ECP) and even other algorithms (e.g. AES-GCM combined-mode encryption/integrity, which is more efficient, but needs to be enabled explicitly on the server too)
    • or via registry by adding the DWORD key HKEY_LOCAL_MACHINESystemCurrentControlSetServicesRasmanParametersNegotiateDH2048_AES256. Set it to 1 to enable (the other algorithms are still proposed), or 2 to enforce the use of 256-bit AES-CBC and 2048-bit MODP DH (only these will be proposed).
  2. Add the proposed, weak DH group (1024-bit MODP) to the IKE proposal on the server (e.g. configure something like ike=aes256-aes128-sha256-sha1-modp3072-modp2048-modp1024, which adds it at the end so other clients may use stronger DH groups).

Option 1 is definitely preferred.

answered Apr 30, 2019 at 13:16

ecdsa's user avatar

ecdsaecdsa

3,87014 silver badges29 bronze badges

3

To find out what is the problem you should, as a first step, turn on logging and see what happens during the connection process. Here is the example config I use on my server.

/etc/strongswan.d/charon-logging.conf

charon {
    # Section to define file loggers, see LOGGER CONFIGURATION in
    # strongswan.conf(5).
    filelog {
        # <filename> is the full path to the log file.
        /var/log/strongswan.log {

            # Loglevel for a specific subsystem.
            # <subsystem> = <default>

            # If this option is enabled log entries are appended to the existing
            # file.
            append = yes

            # Default loglevel.
            default = 2

            # Enabling this option disables block buffering and enables line
            # buffering.
            # flush_line = no

            # Prefix each log entry with the connection name and a unique
            # numerical identifier for each IKE_SA.
            ike_name = yes

            # Adds the milliseconds within the current second after the
            # timestamp (separated by a dot, so time_format should end with %S
            # or %T).
            # time_add_ms = no

            # Prefix each log entry with a timestamp. The option accepts a
            # format string as passed to strftime(3).
            # time_format =
        }
    }
}

U can use it and analyze the log file to discover the issue. If you will not able to figure it out, post a connection log here I will try to help you.

answered Apr 30, 2019 at 10:31

Ivan Vartanyan's user avatar

3

Источник

Перед настройкой VPN-подключения, в дереве пользователей откройте карточку нужного пользователя и установите флаг Разрешить удаленный доступ через VPN. Для этого перейдите в раздел Пользователи -> Учетные записи.

Перед настройкой подключения по протоколу IKEv2 установите корневой сертификат UTM на устройство пользователя. Скачать сертификат можно одним из способов:

  • В личном кабинете, введя логин/пароль пользователя:

  • В разделе Сервисы -> Сертификаты:

Не рекомендуем использовать для VPN-подключений кириллические логины.

Создание VPN-подключения в Windows 10

1. Кликните на иконке сетевого подключения в системном трее, и в появившемся окне выберите Параметры сети и Интернет:

2. Перейдите в раздел VPN и нажмите Добавить VPN-подключение:

3. Заполните соответствующие поля и нажмите Сохранить:

  • Имя подключения — название создаваемого подключения;

  • Имя или адрес сервера — адрес VPN-сервера;

  • Тип данных для входа — Имя пользователя и пароль;

  • Имя пользователя — имя пользователя, которому разрешено подключение по VPN;

  • Пароль — пароль пользователя.

При настройке подключения по VPN из сети Интернет, в свойствах VPN-подключения нужно указать следующие параметры:

  • Перейдите в Настройки параметров адаптера;

  • Нажмите на созданное подключение правой кнопкой мыши и выберите Свойства;

  • Перейдите во вкладку Безопасность и установите:

    • Шифрование данных — обязательное (отключиться, если нет шифрования)

    • Протокол расширенной проверки подлинности (EAP) — Microsoft защищенный пароль (EAP MSCHAPV2)

Для L2TP/IPSec с общим ключом

Важно: L2TP IPsec клиенты, находящиеся за одним NAT’ом, могут испытывать проблемы подключения если их более одного. Решить проблему может помочь

инструкция

. Рекомендуем вместо L2TP IPsec использовать IKEv2 IPSec.

Имя подключения — название создаваемого подключения;

  • Имя или адрес сервера — адрес VPN-сервера;

  • Тип VPN — Протокол L2TP/IPSec с общим ключом;

  • Общий ключ — значение строки PSK в разделе Пользователи -> VPN-подключение -> Основное -> Подключение по L2TP/IPSec;

  • Тип данных для входа — Имя пользователя и пароль;

  • Имя пользователя — имя пользователя, которому разрешено подключение по VPN;

  • Пароль — пароль пользователя.

При настройке подключения по VPN из сети Интернет, в свойствах VPN-подключения нужно указать следующие параметры:

  • Перейдите в Настройки параметров адаптера;

  • Нажмите на созданное подключение правой кнопкой мыши и выберите Свойства;

  • Перейдите во вкладку Безопасность и установите:

    • Шифрование данных — обязательное (отключиться, если нет шифрования)

    • Протокол расширенной проверки подлинности (EAP) — Microsoft защищенный пароль (EAP MSCHAPV2)

Если вы создаете VPN-подключение к UTM через проброс портов, рекомендуем выполнить следующие действия:

  1. 1.

    Откройте Редактор реестра;

  2. 2.

    Перейдите в HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesPolicyAgent и создайте DWORD-параметр с именем AssumeUDPEncapsulationContextOnSendRule и значением 2;

  1. 1.

    Неправильно указан логин или пароль пользователя. Часто при повторном соединении предлагается указать домен. Старайтесь создавать цифро-буквенные пароли, желательно на латинице для ваших учетных записей. Если есть сомнения в этом пункте, то временно установите логин и пароль пользователю «user» и «123456».

  2. 2.

    Для того, чтобы пакеты пошли через VPN-туннель, надо убедиться, что в настройках этого подключения стоит чекбокс Использовать основной шлюз в удалённой сети в разделе Настройка параметров адаптера -> Правой кнопкой мыши по подключению -> Свойства -> Сеть -> Свойства опции «Протокол Интернета версии 4 (TCP/IPv4)» ->Дополнительно. Если же маршрутизировать все пакеты в этот интерфейс не обязательно, то маршрут надо писать вручную.

  3. 3.

    Подключение происходит через DNAT, т.е. внешний интерфейс Ideco UTM не имеет «белого» IP-адреса, а необходимые для работы порты (500 и 4500) «проброшены» на внешний интерфейс устройства, расположенного перед Ideco UTM и имеющего «белый» IP-адрес. В данном случае VPN-подключение либо вообще не будет устанавливаться, либо будут периодические обрывы. Решение — исключить устройство перед Ideco UTM и указать на внешнем интерфейсе Ideco UTM «белый» IP-адрес, к которому в итоге и будут осуществляться L2TP/IPsec-подключения. Либо используйте протокол SSTP, потому что его проще опубликовать с помощью проброса портов.

  4. 4.

    Если в OC Windows 10 повторно подключиться по L2TP, но при этом использовать невалидный ключ PSK (введя его в дополнительных параметрах (скриншот ниже)), подключение все равно будет установлено успешно. Это связано с особенностями работы ОС.

Убедитесь, что локальная сеть (или адрес на сетевой карте) на удалённой машине не пересекается с локальной сетью организации. Если пересекается, то доступа к сети организации не будет (трафик по таблице маршрутизации пойдёт в физический интерфейс, а не в VPN). Адресацию необходимо менять.

  • Имя подключения — название создаваемого подключения;

  • Имя или адрес сервера — адрес VPN-сервера в формате адрес_VPN_сервера:порт;

  • Тип данных для входа — Имя пользователя и пароль;

  • Имя пользователя — имя пользователя, которому разрешено подключение по VPN;

  • Пароль — пароль пользователя.

  • Имя подключения — название создаваемого подключения;

  • Имя или адрес сервера — адрес VPN-сервера;

  • Тип VPN — Протокол IKEv2;

  • Тип данных для входа — Имя пользователя и пароль;

  • Имя пользователя — имя пользователя, которому разрешено подключение по VPN;

  • Пароль — пароль пользователя.

При настройке подключения по VPN из сети Интернет, в свойствах VPN-подключения нужно указать следующие параметры:

  • Перейдите в Настройки параметров адаптера;

  • Нажмите на созданное подключение правой кнопкой мыши и выберите Свойства;

  • Перейдите во вкладку Безопасность и установите:

    • Шифрование данных — обязательное (отключиться, если нет шифрования);

    • Протокол расширенной проверки подлинности (EAP) — Microsoft защищенный пароль (EAP MSCHAPV2).

4. Активируйте подключение, нажав правой кнопкой мыши по созданному подключению и выбрав Подключиться:

5. Для разрыва подключения нажмите Отключиться. Если нужно внести изменение в созданное подключение, нажмите Дополнительные параметры -> Изменить

Ошибки работы VPN-подключений

Если VPN-подключение по протоколам IPSeс в Windows автоматически разрывается через 7 часов 45 минут и при подключении по IKEv2 возникает ошибка «Ошибка сопоставления групповой политики» или ошибка с кодом «13868»

Для восстановления связи подойдут следующие действия:

1. Переподключите соединение. В данном случае соединение восстановится, но через 7 часов 45 минут вновь будет автоматически разорвано. Если вы хотите, чтобы подключение не разрывалось автоматически, то выполните действия из следующего пункта.

2. Внесите изменения в реестр:

  • Откройте Редактор реестра;

  • Перейдите по пути HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasManParameters;

  • Нажмите правой кнопкой мыши по параметру именем NegotiateDH2048_AES256 и нажмите Изменить;

  • В строке Значение укажите значение 1:

  • Если параметра именем NegotiateDH2048_AES256 нет, то создайте его. Для этого:

  • Нажмите правой кнопкой мыши по свободному месту реестра в Parameters и выберите Создать -> DWORD:

  • Задайте имя NegotiateDH2048_AES256;

  • Нажмите правой кнопкой мыши по созданному файлу и выберите Изменить:

  • В строке Значение укажите значение 1:

3. Перезагрузите Windows.

Если вы не хотите, чтобы после подключения по VPN интернет-трафик до внешних ресурсов ходил через Ideco UTM, то в свойствах VPN-подключения Сеть/Протокол интернета TCP/IP версии 4/Дополнительно уберите галочку Использовать основной шлюз в удаленной сети. Далее, чтобы получить доступ к компьютерам за Ideco UTM, вручную пропишите маршруты.

Источник

Hi All,

I’ve configured a vpn network using the always on vpn tutorial. I am able to connect to the VPN just fine, and connected manually.  From there I built the VPN profile powershell script from microsoft’s guide (I can’t post the link because my account
still hasn’t been verified). uninstalled the manual vpn, reran the script, and the vpn now automatically connects (cool!).

However, I ran into a weird hiccup when trying to apply a new group policy.  I set up a group policy to map a shared folder (\server_nameshared_folder) to a network drive. If I’m connected to the corporate network, I can run gpupdate /force from the
command line and it completes successfully. The network drive shows up, the correct folders are available, works great! However, if I then connect to an outside network and to my VPN, I lose my connection to the drive. If I delete the drive, and try to add
it back, again via gpupdate /force, I get the following error:

«The processing of Group Policy failed. Windows attempted to read the file \data.company.comSysVoldata.company.comPolicies{5C63434B-E0EB-44A7-B386-57843E0DA65C}gpt.ini from a domain controller and was not successful. Group Policy settings may
not be applied until this event is resolved. This issue may be transient and could be caused by one or more of the following:
a) Name Resolution/Network Connectivity to the current domain controller.
b) File Replication Service Latency (a file created on another domain controller has not replicated to the current domain controller).
c) The Distributed File System (DFS) client has been disabled.

To diagnose the failure, review the event log or run GPRESULT /H GPReport.html from the command line to access information about Group Policy results.»

If I connect to my corporate network and manually connect to the vpn (click «connect) I get the same error. But, when I connect back to the corporate network without any VPN connection, function is restored, and I can add the drive by executing gpupdate
/force. 

Going into the event viewer, I can see that the gpupdate has failed with an event ID of 1058 (and curiously, an error code of 0 and an error description of «the operation completed successfully»). I tried seeing if I’ve got some issue where I can’t
reach my domain controller, but an nslookup of my domain controller by name returns the correct IP, nltest /dsgetdc:data.company.com shows I’m connected to the correct DC and gives the proper IP.

So I’m stumped… almost across the finish line on setting up my vpn, just need to figure out why I can’t get this network drive to work.  Any advice is greatly appreciated!

Источник

Hi All,

I’ve configured a vpn network using the always on vpn tutorial. I am able to connect to the VPN just fine, and connected manually.  From there I built the VPN profile powershell script from microsoft’s guide (I can’t post the link because my account
still hasn’t been verified). uninstalled the manual vpn, reran the script, and the vpn now automatically connects (cool!).

However, I ran into a weird hiccup when trying to apply a new group policy.  I set up a group policy to map a shared folder (\server_nameshared_folder) to a network drive. If I’m connected to the corporate network, I can run gpupdate /force from the
command line and it completes successfully. The network drive shows up, the correct folders are available, works great! However, if I then connect to an outside network and to my VPN, I lose my connection to the drive. If I delete the drive, and try to add
it back, again via gpupdate /force, I get the following error:

«The processing of Group Policy failed. Windows attempted to read the file \data.company.comSysVoldata.company.comPolicies{5C63434B-E0EB-44A7-B386-57843E0DA65C}gpt.ini from a domain controller and was not successful. Group Policy settings may
not be applied until this event is resolved. This issue may be transient and could be caused by one or more of the following:
a) Name Resolution/Network Connectivity to the current domain controller.
b) File Replication Service Latency (a file created on another domain controller has not replicated to the current domain controller).
c) The Distributed File System (DFS) client has been disabled.

To diagnose the failure, review the event log or run GPRESULT /H GPReport.html from the command line to access information about Group Policy results.»

If I connect to my corporate network and manually connect to the vpn (click «connect) I get the same error. But, when I connect back to the corporate network without any VPN connection, function is restored, and I can add the drive by executing gpupdate
/force. 

Going into the event viewer, I can see that the gpupdate has failed with an event ID of 1058 (and curiously, an error code of 0 and an error description of «the operation completed successfully»). I tried seeing if I’ve got some issue where I can’t
reach my domain controller, but an nslookup of my domain controller by name returns the correct IP, nltest /dsgetdc:data.company.com shows I’m connected to the correct DC and gives the proper IP.

So I’m stumped… almost across the finish line on setting up my vpn, just need to figure out why I can’t get this network drive to work.  Any advice is greatly appreciated!

Источник
  • Печать

Страницы: [1]   Вниз

Тема: бьюсь с VPN IPsec IKEv2 strongSwan на Ubuntu-server  (Прочитано 2266 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн
zaka4kin

Доброго времени…

на виртуальной обкатке имею:

Ubuntu-server 20.04 + strongSwan 5.8.2

и

Win10 20H2 x64.

обе лежат в одной сети.

ipsec.conf срисовал отсюда. оттуда же и ipsec.secrets.

подключаюсь… выползла ошибка 13868, пофиксил.
прописал пока «ike=aes256-aes128-sha256-sha1-modp3072-modp2048-modp1024″…

НО винда не унимается… выдаёт «ошибку обработки полезных данных ke» за номером 13833.

может кто сталкивался?

второй вопрос — реально ли замутить VPN IPsec IKEv2 без центра сертификации, генерации сертификата и прочего?
(прошу прощения за возможно неправильные термины/понятия. только начал щупать данную тему).
вопрос возник потому, что у них то инфа про это есть
https://www.strongswan.org/testing/testresults/ikev2/rw-psk-ipv4/.
яж не ошибся, там чисто по ключу подключение, без сертификатов всяких?

Спасибо!

Оффлайн
AlexDem

яж не ошибся, там чисто по ключу подключение, без сертификатов всяких?

А в чем проблема сделать самому сертификат Х.509 сервера, клиента, ключей и пр., и пользоваться этим всем хозяйством?
Принцип безопасного соединения заключается в том, что поскольку те открытые ключи, которыми обмениваются клиент и сервер передаются изначально по незащищенному каналу и могут быть перехвачены, расшифрованы и подменены, поэтому достоверность ключей по которым клиент и сервер «узнают» друг-друга подтверждаются сертификатами, которые хранятся локально на клиенте и сервере и никуда не передаются во время сеанса связи, а следовательно не могут быть взломаны (ну, если их не похитили отдельно).
Поэтому VPN без сертификата это просто шифрование закрытым симметричным ключом.

Оффлайн
zaka4kin

Доброго времени всем…

собрал стенд на virtualbox:

Win-клиент — NAT (10.0.10.0/24) — Ubuntu-Server 20.04 + VPN IKEv2-сервер (10.0.10.10)

адрес хоста 10.89.7.2. UDP 500, 4500 пробросил с 10.89.7.2 на 10.0.10.10 в Файл -> Настройки -> Сеть.

отключил брандмауэр на Windows и UFW на Ubuntu-server (подстраховался)…

подготовка сертификатов:

ipsec.conf:

пробовал и

left=%defaultroute
leftfirewall=yes
ipsec.secrets

не хочет подключаться и всё, «ошибка сопоставления групповой политики».

если и сервер и клиент в одной подсети, то подключение проходит,

без

[code]left=%defaultroute
leftfirewall=yes
естественно.

Что я упускаю из виду?

  • Печать

Страницы: [1]   Вверх

Источник

Обновлено: 11.02.2023

Пролог:
Прочел все мануалы по IPsec на DFL.
Затем прочел все мануалы по IPsec на других устройствах, которые смог найти.
Попробовал различные комбинации.

Вводная: имеется DFL-260 со статическим белым адресом с одноранговой локалью за ним. Хочу подключаться к этой локалке через IPsec туннель с мобильной связи, из любой точки. Т. е. подключаться придется зачастую с динамического серого (NAT) адреса.

Пробовал подключаться:
1. штатными средствами Win7 (L2TP IPsec VPN, IKEv2) (NAT);
2. штатными средствами Android (L2TP/IPSec PSK, IPSec Xauth PSK) (мобильный интернет — NAT);
3. штатными средствами Ios (IKEv2, IPSec, L2TP) (мобильный интернет — NAT).

1. При попытке подключения с Win7 по L2TP IPsec VPN, выдается ошибка 788: Попытка L2TP-подключения не удалась, поскольку на уровне безопасности не удалось согласовать параметры с удаленным компьютером.
В логах на DFL следующее:

Я так понимаю, первая фаза(ike) проходит нормально, а вторая(ipsec) прерывается из-за несоответствия внешнего ip и «id» инициатора туннеля. Если я прав, то что с этим делать?

При попытке подключения по IKEv2, Win7 выдает ошибку 13868: Ошибка сопоставления групповой политики.
В логах DFL следующее:

2. При попытке подключения с Android по L2TP/IPSec PSK, соединение висит в состоянии «подключение», затем, спустя секунд 30 — «сбой».
В логах DFL следующее:

Тут, я так понимаю, не угадал с набором алгоритмов первой фазы. Как их следует изменить?

При попытке подключения с Android по IPSec Xauth PSK, соединение висит в состоянии «подключение», затем, спустя секунд 30 — «сбой».
В логах DFL то же самое. (хотя, при каких-то других параметрах, в логе было что-то похожее на несоответствие IP и ID)

3. При попытках подключения Ios по IKEv2 и IPSec содержимое лога идентичное ситуации, когда неверно подобраны алгоритмы 1 фазы.
При попытке подключения по L2TP — несоответствие IP и ID.

Как быть, куда копать? Вообще, возможно ли поднятие туннеля в таких условиях?

коррумпированная локальная групповая политика

Поврежденная локальная групповая политика может вызвать много проблем, и, говоря о проблемах, вот некоторые распространенные проблемы, о которых сообщают пользователи:

  • Registry.pol не обновляется, не создается — файл Registry.pol отвечает за параметры вашей групповой политики, и вы можете решить большинство проблем с групповой политикой, просто воссоздав этот файл.
  • Папка групповой политики отсутствует в system32. Иногда папка групповой политики может отсутствовать, но эту проблему можно устранить, выполнив сканирование SFC и DISM.
  1. Удалить или переместить файл registry.pol
  2. Переместить или удалить файл secedit.sdb
  3. Использовать командную строку
  4. Выполните сканирование DISM и SFC
  5. Отключить клиент служб сертификации — политика регистрации сертификатов
  6. Удалить содержимое папки «История»
  7. Выполните восстановление системы
  8. Выполните обновление на месте или перезагрузите Windows 10

Решение 1 — Удалить или переместить файл registry.pol

Все параметры вашей групповой политики хранятся в файле registry.pol, и вы можете решить эту проблему, просто удалив или переместив этот файл. Это относительно просто сделать, и вы можете сделать это, выполнив следующие действия:

Registry.pol не обновляется

  1. Откройте проводник .
  2. В проводнике вставьте C: Windows System32 GroupPolicy Machine в адресную строку и нажмите Enter . Переход вручную в этот каталог может не работать, поскольку папка «Компьютер» скрыта, но при желании вы можете открыть скрытые файлы и вручную перейти в этот каталог.
  3. Теперь найдите файл registry.pol и переместите или удалите его. Более безопасный вариант — перенести его на рабочий стол, поскольку вы можете восстановить этот файл, если возникнут какие-либо новые проблемы.

После перемещения или удаления этого файла вам нужно будет выполнить одну команду в командной строке, чтобы воссоздать этот файл и восстановить исходные значения групповой политики. Для этого просто выполните следующие действия:

Как только ваш компьютер перезагрузится, файл registry.pol будет воссоздан, и проблема должна быть полностью решена. Многие пользователи сообщили, что это решение исправило их проблему с поврежденной локальной групповой политикой, поэтому обязательно попробуйте ее.

Решение 2. Переместите или удалите файл secedit.sdb.

Другой причиной для поврежденной локальной групповой политики может быть файл secedit.sdb . Удалив этот файл, вы сбросите настройки групповой политики по умолчанию. Чтобы удалить или переместить этот файл, вам просто нужно сделать следующее:

После этого перезагрузите компьютер, и проблема должна быть решена.

Решение 3 — Использование командной строки

Если у вас есть проблемы с поврежденной локальной групповой политикой, вы можете решить эту проблему, просто используя командную строку. Чтобы решить эту проблему, вам просто нужно запустить командную строку и запустить несколько команд. Для этого выполните следующие действия:

  1. Запустите командную строку от имени администратора.
  2. При запуске командной строки выполните следующие команды:
  • RD / S / Q «% WinDir% System32 GroupPolicyUsers»
  • RD / S / Q «% WinDir% System32 GroupPolicy»
  • gpupdate / force

После выполнения этих трех команд перезагрузите компьютер и проверьте, устранена ли проблема. Это не самое надежное решение, но несколько пользователей сообщили, что оно работает, поэтому не стесняйтесь попробовать его.

Решение 4 — Выполните сканирование DISM и SFC

По словам пользователей, иногда поврежденная локальная групповая политика может быть вызвана поврежденной установкой Windows. Однако вы можете восстановить вашу установку, выполнив сканирование SFC и DISM. Для этого просто выполните следующие действия:

Registry.pol не обновляется

  1. Сначала запустите командную строку от имени администратора.
  2. После запуска командной строки введите команду sfc / scannow и нажмите Enter, чтобы запустить ее.
  3. Начнется сканирование SFC. Этот процесс может занять около 15 минут, поэтому оставьте свой компьютер, пока сканирование SFC делает свое дело.

После завершения сканирования проверьте, сохраняется ли проблема. Если это так, вам нужно запустить сканирование DISM . Вы можете выполнить это сканирование, выполнив следующие действия:

После завершения сканирования DISM проверьте, сохраняется ли проблема.

Решение 5 — Отключить клиент служб сертификации — Политика регистрации сертификатов

Если у вас есть проблемы с поврежденной локальной групповой политикой, проблема может заключаться в клиенте служб сертификации — политика регистрации сертификатов . По словам пользователей, эта политика приведет к повреждению вашей локальной групповой политики, поэтому для устранения проблемы необходимо отключить эту политику.

Для этого перейдите в раздел «Политики открытых ключей» в разделе «Объект групповой политики по умолчанию» и отключите клиент служб сертификации — Политика регистрации сертификатов . Для этого выполните следующие действия:

После этого эта политика будет отключена, и проблема должна быть решена. Возможно, вам придется запустить gpupdate / force после отключения этой политики, чтобы применить изменения.

Решение 6. Удалите содержимое папки «История»

Это относительно просто сделать, и вы можете сделать это, выполнив следующие действия:

  1. Откройте проводник и вставьте C: ProgramData Microsoft Group Policy History в адресную строку. Папка истории скрыта, и, вставив адрес непосредственно в нее, вы сможете мгновенно получить к ней доступ.
  2. Теперь удалите все файлы из каталога истории .
  3. После этого откройте командную строку и введите команду GPUpdate / force .

Это не универсальное решение, и если на вашем компьютере нет папки «История», вы можете просто пропустить это решение.

Решение 7 — Выполнить восстановление системы

Если у вас продолжают возникать проблемы с поврежденной групповой политикой, вы можете решить проблему, просто выполнив Восстановление системы . Восстановление системы — это функция Windows, которая позволяет восстановить прежнее состояние системы и устранить многие проблемы. Чтобы выполнить восстановление системы, вам необходимо сделать следующее:

Как только ваш компьютер будет восстановлен, проблема должна быть решена, и все снова начнет работать.

Решение 8. Выполните обновление или сброс Windows 10 на месте

Если все другие решения не сработали, последний вариант — выполнить обновление на месте. Этот процесс переустановит Windows 10, сохранит все ваши файлы и приложения и восстановит все поврежденные файлы. Если у вас возникают проблемы с поврежденной локальной групповой политикой, обновление на месте может быть лучшим способом их устранения.

Чтобы выполнить обновление на месте, вам необходимо сделать следующее:

  1. Скачайте и запустите Media Creation Tool .
  2. Выберите Обновить этот компьютер сейчас .
  3. Выберите Загрузить и установить обновления (рекомендуется) и нажмите Далее . Этот шаг не является обязательным, поэтому, если вы спешите, вы можете не устанавливать обновления.
  4. Следуйте инструкциям на экране. Когда вы попадете на экран « Готов к установке» , выберите « Изменить то, что сохранить» .
  5. Выберите Сохранить личные файлы и приложения и нажмите Далее .
  6. Следуйте инструкциям на экране, чтобы завершить процесс.

После обновления на месте у вас будет новая установка Windows 10, и все ваши проблемы должны быть решены. Если проблема все еще существует, мы рекомендуем вам перезагрузить Windows 10 .

Поврежденная групповая политика может вызвать много проблем, но мы надеемся, что вам удалось решить их с помощью одного из наших решений.

Виртуальная частная сеть (VPN) в основном используется для защиты конфиденциальности пользователей в онлайн-мире и определения их физического местоположения. Хотя в большинстве случаев они работают хорошо, в некоторых случаях пользователь может столкнуться с ошибками, сбоями или другими проблемами с подключением в своей программе VPN. Если ваша VPN не работает, не подключается или заблокирована, вы можете попробовать несколько быстрых решений. Хотя существует множество возможных ошибок, с которыми пользователь может столкнуться при использовании VPN, некоторые из них получают большее признание, чем другие; один из таких кодов ошибки Ошибка VPN 13801.

Ошибка 13801

Ошибка VPN 13801 в Windows 10

Эти ошибки Internet Key Exchange версии 2 (IKEv2) связаны с проблемами с сертификатом проверки подлинности сервера. По сути, сертификат компьютера, необходимый для аутентификации, либо недействителен, либо отсутствует на вашем клиентском компьютере, на сервере или на обоих.

Учетные данные для аутентификации IKE недопустимы

Вот краткое описание возможных причин ошибки 13801:

  • Срок действия сертификата компьютера на сервере удаленного доступа истек.
  • Доверенный корневой сертификат для проверки сертификата сервера удаленного доступа отсутствует на клиенте.
  • Имя VPN-сервера, указанное на клиенте, не соответствует имени субъекта сертификата сервера.
  • Сертификат компьютера, используемый для проверки IKEv2 на сервере удаленного доступа, не имеет «проверки подлинности сервера» в качестве EKU (расширенного использования ключа).

Ошибка VPN 13801 явно ссылается на протоколы, используемые службой VPN, поэтому вам не нужно тратить время на выяснение того, что такое IKEv2 для ошибки 1380 VPN. Найдите правильный сертификат IKEv2 в документации, предоставленной администратором VPN. Есть несколько способов подтвердить эту проблему:

  1. Сертификату не присвоены требуемые значения расширенного использования ключа (EKU).
  2. Срок действия сертификата компьютера на сервере удаленного доступа истек.
  3. Доверенный корень сертификата отсутствует на клиенте.
  4. Имя субъекта сертификата не соответствует удаленному компьютеру

Давайте рассмотрим эти варианты подробнее:

Сертификату не присвоены требуемые значения расширенного использования ключа (EKU).

Вы можете проверить это, выполнив следующие действия:

2]Разверните сертификаты-личные-сертификаты, дважды щелкните установленный сертификат

Срок действия сертификата компьютера на сервере удаленного доступа истек.

Если проблема вызвана этой причиной, подключите Администратор ЦС и зарегистрируйте новый сертификат, срок действия которого не истекает.

Доверенный корень сертификата отсутствует на клиенте.

Имя субъекта сертификата не соответствует удаленному компьютеру

Вы можете подтвердить, используя следующие шаги:

Примечание: Имя субъекта сертификата сервера обычно настраивается как полное доменное имя VPN-сервера.

Когда звонить администратору VPN-сервера

Необходимость иметь дело с ошибками VPN может быть чрезвычайно неприятным, а когда вы не можете устранить их самостоятельно, разочарование еще больше. Это именно тот случай с ошибкой VPN 13801, поэтому не теряйте времени и обратитесь к администратору VPN, чтобы убедиться, что на вашем ПК настроен правильный сертификат, который подтвержден удаленным сервером.

Выберите Параметры сети и Интернет в Windows 10

В разделе Подписки посмотрите IP адреса IKEv2 VPN серверов, Логин и Пароль VPN.

Список IKEv2 VPN серверов

  1. Поставщик услуг VPN Windows (встроенный)
  2. Любое название подключения
  3. Адрес IKEv2 VPN сервера
  4. Тип VPN
  5. Тип данных для входа Имя пользователя и пароль
  6. Логин VPN
  7. Пароль VPN
  8. Отметьте Запомнить мои данные для входа

Настройка IKEv2 VPN в Windows 10

Откройте настройки параметров адаптера.

Параметры адаптера IKEv2 VPN в Windows 10

Откройте свойства IKEv2 VPN-подключения.

Свойства подключения IKEv2 VPN в Windows 10

Откройте свойства протокола TCP/IPv4.

Свойства протокола TCP/IPv4 в Windows 10

Перейдите на вкладку дополнительных параметров и установите галку «Использовать основной шлюз в удаленной сети».

Свойства протокола TCP/IPv4 в Windows 10

Настройка шлюза по умолчанию для удаленной сети в Windows 10

Сохраните параметры и подключитесь к IKEv2 VPN.

Подключение к IKEv2 VPN в Windows 10

Подключение установлено успешно.

Успешное подключение к IKEv2 VPN в Windows 10

VPN и прокси сервис защищает своих клиентов с 2006 года, используя надежные технологии в области анонимности передачи данных в Интернете.

Читайте также:

      

  • Linux постоянно отваливается wifi

    •   

  • Действие не может быть выполнено так как этот файл открыт в хост процесс windows rundll32

    •   

  • Как запустить rome total war на windows 8

    •   

  • Как установить windows 95 на dosbox

    •   

  • Вывести содержимое корневого каталога linux

Источник

Понравилась статья? Поделить с друзьями:
  • Ошибка сопоставления групповой политики ikev2 windows 10
  • Ошибка создания подписи объект не поддерживает свойство или метод includes 0x800a0186
  • Ошибка сопоставления групповой политики ikev2 vpn
  • Ошибка создания подписи не установлена или недействительна лицензия скзи криптопро
  • Ошибка сообщение не было отправлено куфар