Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält eine Lösung für ein Problem, bei dem DirectAccess-Clients keine Verbindung mit einem Server mithilfe von IP-HTTPS herstellen können.
Ursprüngliche KB-Nummer: 2980667
Symptome
DirectAccess-Clients können möglicherweise nicht mithilfe von IP-HTTPS eine Verbindung mit einem DirectAccess-Server herstellen. Wenn Sie den netsh interface http show interface Befehl ausführen, lautet die Ausgabe wie folgt:
URL: Fehler:
https://da.contoso.com:443/IPHTTPS0x800b0109
Schnittstellenstatus: Fehler beim Herstellen einer Verbindung mit dem IPHTTPS-Server. Warten auf erneute VerbindungDer Fehler 0x800b0109 übersetzt:
CERT_E_UNTRUSTEDROOT
# Eine verarbeitete Zertifikatkette, aber in einem Stamm beendet
# Zertifikat, das vom Vertrauensanbieter nicht vertrauenswürdig ist.
Standardmäßig ist der Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen mit einer Reihe von öffentlichen Zertifizierungsstellen konfiguriert, die von einem Windows-Client als vertrauenswürdig eingestuft werden. Einige Organisationen möchten möglicherweise die Zertifikatvertrauensstellung verwalten und verhindern, dass Benutzer in der Domäne ihre eigene Gruppe von vertrauenswürdigen Stammzertifikaten konfigurieren. Darüber hinaus möchten einige Organisationen möglicherweise Zertifikate für den IP-HTTPS-Server von ihrem eigenen Zertifizierungsstellenserver ausstellen. Sie müssen dieses bestimmte vertrauenswürdige Stammzertifikat verteilen, um die Vertrauensstellungen zu aktivieren. Beim Konfigurieren von Zertifikaten für DirectAccess muss die Stammzertifizierungsstelle von den Clients als vertrauenswürdig eingestuft werden, und sie sollte über das Stammzertifizierungsstellenzertifikat im Speicher für vertrauenswürdige Stammzertifizierungsstellen verfügen.
Weitere Informationen zu Zertifikaten finden Sie unter Funktionsweise der Zertifikatsperrung.
Ursache
Die ausstellende Zertifizierungsstelle für das IP-HTTPS-Zertifikat ist in den vertrauenswürdigen und Zwischenspeichern der Clients nicht vorhanden. Stellen Sie sicher, dass Sie das Stammzertifikat dem Stammspeicher und den Zwischenzertifikaten zu den Zwischenspeichern hinzufügen.
Lösung
Führen Sie die folgenden Schritte aus, um dieses Problem zu beheben:
- Rufen Sie das Zertifikat für die Zertifizierungsstelle ab, die das IP-HTTPS-Zertifikat ausgestellt hat.
- Importieren Sie dieses Zertifikat in den Computerspeicher des DirectAccess-Clients.
- Um diese Änderung auf alle Clients anzuwenden, verwenden Sie Gruppenrichtlinien, um das importierte Zertifikat bereitzustellen.
DirectAccess-Konnektivitätsmethoden
DirectAccess-Clients verwenden mehrere Methoden, um eine Verbindung mit dem DirectAccess-Server herzustellen, wodurch der Zugriff auf interne Ressourcen ermöglicht wird. Clients haben die Möglichkeit, entweder Teredo, 6to4 oder IP-HTTPS zum Herstellen einer Verbindung mit DirectAccess zu verwenden. Dies hängt auch davon ab, wie der DirectAccess-Server konfiguriert ist.
Wenn der DirectAccess-Client über eine öffentliche IPv4-Adresse verfügt, versucht er, mithilfe der 6to4-Schnittstelle eine Verbindung herzustellen. Einige ISPs geben jedoch die Illusion einer öffentlichen IP-Adresse. Was sie Endbenutzern bereitstellen, ist eine pseudo-öffentliche IP-Adresse. Dies bedeutet, dass die ip-Adresse, die vom DirectAccess-Client (eine Datenkarte oder SIM-Verbindung) empfangen wird, eine IP aus dem öffentlichen Adressraum sein kann, aber in Wirklichkeit hinter mindestens einem NATs liegt.
Wenn sich der Client hinter einem NAT-Gerät befindet, versucht er, Teredo zu verwenden. Viele Unternehmen wie Hotels, Flughäfen und Cafés erlauben teredo-Verkehr nicht, ihre Firewall zu durchlaufen. In solchen Szenarien schlägt der Client auf IP-HTTPS fehl. IP-HTTPS basiert auf einer SSL(TLS) TCP 443-basierten Verbindung. SSL-ausgehender Datenverkehr wird höchstwahrscheinlich in allen Netzwerken zulässig sein.
Unter Berücksichtigung dieses Aspekts wurde IP-HTTPS erstellt, um eine Sicherungsverbindung bereitzustellen, die zuverlässig und immer erreichbar ist. Ein DirectAccess-Client verwendet dies, wenn andere Methoden (z. B. Teredo oder 6to4) fehlschlagen.
Weitere Informationen zu Übergangstechnologien finden Sie unter IPv6-Übergangstechnologien.