Windows 故障診斷 - AWS Client VPN

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Windows 故障診斷

以下各節針對您在使用 Windows 用戶端連線到 Client VPN 端點時可能會遇到的問題提供了相關資訊。

AWS 提供的客戶

AWS 提供的客戶

AWS 提供的用戶端會建立事件記錄檔,並將它們儲存在您電腦上的下列位置。

C:\Users\User\AppData\Roaming\AWSVPNClient\logs

以下是可用的日誌類型:

  • 應用程式日誌:包含應用程式的相關資訊。這些日誌的字首會加上 'aws_vpn_client_'。

  • OpenVPN 日誌:包含 OpenVPN 程序的相關資訊。這些日誌的字首會加上 'ovpn_aws_vpn_client_'。

AWS 提供的用戶端會使用 Windows 服務來執行根作業。Windows 服務日誌儲存在電腦的下列位置。

C:\Program Files\Amazon\AWS VPN Client\WinServiceLogs\username

用戶端無法連線

問題

AWS 提供的用戶端無法連線到 Client VPN 端點。

原因

導致此問題的原因可能為下列其中一項:

  • 另一個 OpenVPN 處理程序已在您的電腦上執行,這會阻止用戶端進行連接。

  • 您的組態 (.ovpn) 檔案無效。

解決方案

檢查看看您的電腦上有沒有其他 OpenVPN 應用程式正在執行。如果有,請停止或結束這些程序,然後再次嘗試連線到 Client VPN 端點。檢查 OpenVPN 日誌中的錯誤項目,並要求您的 Client VPN 管理員驗證下列資訊:

用戶端無法在出現「沒有 TAP-Windows 介面卡」日誌訊息的情況下連線

問題

AWS 提供的用戶端無法連線到 Client VPN 端點應用程式記錄檔中會出現下列錯誤訊息:「此系統上沒有 TAP Windows 介面卡。您可前往「開始 -> 所有程式 -> TAP-Windows -> 公用程式 -> 新增 TAP-Windows 虛擬乙太網路介面卡」,這樣應該就能建立 TAP-Windows 介面卡。

解決方案

您可以採取下列其中一個或多個動作來解決此問題:

  • 重新啟動 TAP-Windows 介面卡。

  • 重新安裝 TAP-Windows 驅動程式。

  • 建立新的 TAP-Windows 介面卡。

用戶端卡在重新連接狀態

問題

AWS 提供的用戶端嘗試連線到 Client VPN 端點,但卡在重新連線狀態。

原因

導致此問題的原因可能為下列其中一項:

  • 您的電腦未連線到網際網路。

  • DNS 主機名稱不會解析為 IP 地址。

  • OpenVPN 處理程序正在無限期地嘗試連接到端點。

解決方案

確定您的電腦已連線至網際網路。請您的 Client VPN 管理員驗證組態檔案中的 remote 指令可以解析為有效的 IP 地址。您也可以在 VPN 用戶端視窗中選擇「中斷連線」來中斷 AWS VPN 工作階段的連線,然後再試一次連線。

VPN 連接程序意外結束

問題

連線到 Client VPN 端點時,用戶端意外結束。

原因

TAP-Windows 未安裝在您的電腦上。需要此軟體才能執行用戶端。

解決方案

重新執行 AWS 提供的用戶端安裝程式,以安裝所有必要的相依性。

應用程式無法啟動

問題

在 Windows 7 上,當您嘗試開啟 AWS 提供的用戶端時,不會啟動該用戶端。

原因

您的電腦上未安裝 .NET Framework 4.7.2 或更高版本。這是執行用戶端的必要項目。

解決方案

重新執行 AWS 提供的用戶端安裝程式,以安裝所有必要的相依性。

用戶端無法建立設定檔

問題

當您使用 AWS 提供的用戶端嘗試建立描述檔時,發生下列錯誤。

The config should have either cert and key or auth-user-pass specified.
原因

如果 Client VPN 端點使用交互身分驗證,則組態 (.ovpn) 檔案便不會包含用戶端憑證和金鑰。

解決方案

請確定您的 Client VPN 管理員將用戶端憑證和金鑰新增至組態檔案。如需詳細資訊,請參閱《AWS Client VPN 管理員指南》中的匯出用戶端組態

在使用 Windows 10 或 11 的 Dell PC 上發生用戶端當機

問題

在執行 Windows 10 或 11 的某些 Dell PC (桌上型和筆記型) 上,當您瀏覽檔案系統來匯入 VPN 組態檔案時,可能會發生當機的情況。如果發生這個問題,您會在 AWS 提供的用戶端的記錄檔中看到類似下列的訊息:

System.AccessViolationException: Attempted to read or write protected memory. This is often an indication that other memory is corrupt. at System.Data.SQLite.UnsafeNativeMethods.sqlite3_open_interop(Byte[] utf8Filename, Int32 flags, IntPtr& db) at System.Data.SQLite.SQLite3.Open(String strFilename, SQLiteConnectionFlags connectionFlags, SQLiteOpenFlagsEnum openFlags, Int32 maxPoolSize, Boolean usePool) at System.Data.SQLite.SQLiteConnection.Open() at STCommonShellIntegration.DataShellManagement.CreateNewConnection(SQLiteConnection& newConnection) at STCommonShellIntegration.DataShellManagement.InitConfiguration(Dictionary`2 targetSettings) at DBROverlayIcon.DBRBackupOverlayIcon.initComponent()
原因

Windows 10 和 11 中的戴爾 Backup 和恢復系統可能會導致與 AWS 提供的客戶端發生衝突,尤其是下列三個 DLL:

  • DBR .dll ShellExtension

  • DBR .dll OverlayIconBackuped

  • DBR .dll OverlayIconNotBackuped

解決方案

若要避免此問題,請先確定您的用戶端是最新版本的 AWS 所提供用戶端。前往 AWS Client VPN 下載,若可取得較新的版本,請升級至最新版。

此外,請執行下列作業:
  • 如果您使用的是 Dell Backup and Recovery 應用程式,請務必使用最新版。一篇 Dell 論壇文章聲明此問題已在較新版的應用程式中解決。

  • 如果您沒有使用 Dell Backup and Recovery 應用程式,如果您遇到此問題,仍需採取一些動作。如果您不希望升級應用程式,則可以刪除或重新命名 DLL 檔案。但是,請注意,這會使得 Dell Backup and Recovery 應用程式難以順暢運作。

刪除或重新命名 DLL 檔案
  1. 前往 Windows 檔案總管並瀏覽到 Dell Backup and Recovery 的安裝位置。此應用程式通常會安裝在下列位置,但您可能需要搜尋才能找出來。

    C:\Program Files (x86)\Dell Backup and Recovery\Components\Shell
  2. 從安裝目錄手動刪除下列 DLL 檔案,或重新命名這些檔案。任何一項動作皆會使這些檔案無法載入。

    • DBR .dll ShellExtension

    • DBR .dll OverlayIconBackuped

    • DBR .dll OverlayIconNotBackuped

    您可以通過在文件名的末尾添加「.bak」來重命名文件,例如 DB OverlayIconBackuped R .dll.bak。

VPN 斷開與彈出消息的連接

問題

VPN 與彈出消息斷開連接,顯示:「VPN 連接正在終止,因為您的設備連接到的本地網絡的地址空間已更改。請建立新的 VPN 連線。」

原因

點選視窗介面卡不包含必要的描述。

解決方案

如果下面的Description欄位不相符,請先移除 TAP-Windows 介面卡,然後重新執行 AWS 提供的用戶端安裝程式,以安裝所有必要的相依性。

C:\Users\jdoe> ipconfig /all Ethernet adapter Ethernet 2: Media State . . . . . . . . . . . : Media disconnected Connection-specific DNS Suffix . : Description . . . . . . . . . . . : AWS VPN Client TAP-Windows Adapter V9 Physical Address. . . . . . . . . : 00-FF-50-ED-5A-DE DHCP Enabled. . . . . . . . . . . : Yes Autoconfiguration Enabled . . . . : Yes

OpenVPN GUI

下列故障診斷資訊已在 Windows 10 家用版 (64 位元) 和 Windows Server 2016 (64 位元) 的 OpenVPN GUI 軟體 11.10.0.0 和 11.11.0.0 版上經過測試。

組態檔案儲存在電腦的下列位置。

C:\Users\User\OpenVPN\config

連線日誌儲存在電腦的下列位置。

C:\Users\User\OpenVPN\log

OpenVPN Connect Client

下列故障診斷資訊已在 Windows 10 家用版 (64 位元) 和 Windows Server 2016 (64 位元) 的 OpenVPN Connect Client 軟體 2.6.0.100 和 2.7.1.101 版上經過測試。

組態檔案儲存在電腦的下列位置。

C:\Users\User\AppData\Roaming\OpenVPN Connect\profile

連線日誌儲存在電腦的下列位置。

C:\Users\User\AppData\Roaming\OpenVPN Connect\logs

無法解析 DNS

問題

連線失敗,並出現下列錯誤。

Transport Error: DNS resolve error on 'cvpn-endpoint-xyz123.prod.clientvpn.us-east-1.amazonaws.com (http://cvpn-endpoint-xyz123.prod.clientvpn.us-east-1.amazonaws.com/)' for UDP session: No such host is known.
原因

無法解析 DNS 名稱。用戶端必須在 DNS 名稱前面加上隨機字串,以防止 DNS 快取;不過,某些用戶端不會這樣做。

解決方案

請參閱《AWS Client VPN 管理員指南》中無法解析 Client VPN 端點 DNS 名稱的解決方案。

遺失 PKI 別名

問題

與不使用交互身分驗證 Client VPN 端點的連線失敗,並顯示下列錯誤。

FATAL:CLIENT_EXCEPTION: connect error: Missing External PKI alias
原因

OpenVPN Connect Client 軟體有一個已知的問題,它會嘗試使用交互身分驗證進行驗證。如果組態檔案不包含用戶端金鑰和憑證,身分驗證會失敗。

解決方案

在 Client VPN 組態檔案中指定隨機用戶端金鑰和憑證,然後將新組態匯入 OpenVPN Connect Client 軟體。您也可以使用不同的用戶端,例如 OpenVPN GUI 用戶端 (v11.12.0.0) 或 Viscosity 用戶端 (v.1.7.14)。