Клиенты DirectAccess могут не иметь возможности подключиться к серверу DirectAccess с 0x800b0109 ошибок при использовании IP-HTTPS

  • Статья

В этой статье описывается решение проблемы, из-за которой клиентам DirectAccess не удается подключиться к серверу по протоколу IP-HTTPS.

Область применения: Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер базы знаний: 2980667

Симптомы

Клиенты DirectAccess могут не иметь возможности подключиться к серверу DirectAccess с помощью IP-HTTPS. При выполнении netsh interface http show interface команды выходные данные выводятся следующим образом:

URL-адрес: https://da.contoso.com:443/IPHTTPS ошибка: 0x800b0109
Состояние интерфейса: не удалось подключиться к IP-серверуHTTPS. Ожидание повторного подключения

Ошибка 0x800b0109 приводит к следующим:
CERT_E_UNTRUSTEDROOT
# Цепочка сертификатов обработана, но завершена в корневом каталоге
# сертификат, который не является доверенным поставщиком доверия.

По умолчанию хранилище сертификатов доверенных корневых центров сертификации настраивается с помощью набора общедоступных центров сертификации, которым доверяет клиент Windows. Некоторые организации могут захотеть управлять доверием к сертификатам и запретить пользователям в домене настраивать собственный набор доверенных корневых сертификатов. Кроме того, некоторые организации могут захотеть выдать сертификаты для СЕРВЕРА IP-HTTPS с собственного сервера центра сертификации. Они должны распространить этот конкретный доверенный корневой сертификат, чтобы включить отношения доверия. При настройке сертификатов для DirectAccess корневой центр сертификации должен быть доверенным для клиентов и иметь сертификат корневого ЦС в хранилище доверенных корневых центров сертификации.

Дополнительные сведения о сертификатах см. в разделе Принцип отзыва сертификатов.

Причина

Центр сертификации, выдающий сертификат для сертификата IP-HTTPS, отсутствует в хранилищах доверенных и промежуточных клиентов. Убедитесь, что корневой сертификат добавляется в корневое хранилище, а промежуточный сертификат — в промежуточные хранилища.

Разрешение

Чтобы устранить эту проблему, выполните следующие действия.

  1. Получите сертификат для центра сертификации, выдающего сертификат IP-HTTPS.
  2. Импортируйте этот сертификат в хранилище компьютера клиента DirectAccess.
  3. Чтобы применить это изменение ко всем клиентам, используйте групповая политика для развертывания импортированного сертификата.

Методы подключения DirectAccess

Клиенты DirectAccess используют несколько методов для подключения к серверу DirectAccess, что обеспечивает доступ к внутренним ресурсам. Клиенты могут использовать Teredo, 6to4 или IP-HTTPS для подключения к DirectAccess. Это также зависит от того, как настроен сервер DirectAccess.

Если клиент DirectAccess имеет общедоступный IPv4-адрес, он будет пытаться подключиться с помощью интерфейса 6to4. Однако некоторые поставщики интернета дают иллюзию общедоступного IP-адреса. То, что они предоставляют конечным пользователям, — это псевдо-общедоступный IP-адрес. Это означает, что IP-адрес, полученный клиентом DirectAccess (подключение к данным карта или SIM-картам), может быть IP-адресом из общедоступного адресного пространства, но в действительности находится за одним или несколькими nat.

Когда клиент находится за устройством NAT, он будет пытаться использовать Teredo. Многие предприятия, такие как отели, аэропорты и кафе, не разрешают движение Teredo пересекать их брандмауэр. В таких сценариях клиент выполняет отработку отказа на IP-HTTPS. IP-HTTPS создается по протоколу SSL (TLS) TCP 443. Исходящий трафик SSL, скорее всего, будет разрешен во всех сетях.

Учитывая это, IP-HTTPS был создан для обеспечения резервного подключения, которое является надежным и всегда достижимым. Клиент DirectAccess будет использовать его при сбое других методов (таких как Teredo или 6to4).

Дополнительные сведения о технологиях перехода см. в статье Технологии перехода IPv6.