Direct Access: IP-HTTPS no funciona correctamente (es-ES)
Por muchas circunstancias nos podemos encontrar con este problema cuando estamos fuera de la organización y la conexión de DirectAccess no se establece y se queda Conectando ....
Si solo vemos la parte de cliente, lo primero que debemos hacer es comprobar lo siguiente:
- Conexión a internet: basta con navegar en alguna web y comprobar que no tenemos problema
- Resolución DNS: si tenemos internet lo normal es que la resolución DNS funcione bien, pero igualmente revisemos si encontramos el FQDN que hemos configurado en DirectAccess
- Acceso al puerto 443 (IP-HTTPS): lancemos un telnet hacia el servidor de DirectAccess (FQDN o IP) al puerto 443: telnet directaccess.dominio.com 443
- Comprobración CRL: Si hemos configurado el DirectAccess con certificados privados, debemos verifica que tenemos acceso a la URL en donde tenemos la CRL
Si una vez repasados estos puntos todo está aparentemen te bien, nos vamos directamente al servidor y a la consola de administración de DirectAccess y si es un problema del propio servidor lo veremos enseguida:
http://blog.asirsl.com//SiteAssets/Lists/EntradasDeBlog/EditPost/Error_DirectAccess_Certificado_Caducado_3.png
Por lo que el problema está claro, el certificado que teníamos asignado ha caducado y únicamente tenemos que renovarlo. Si abrimos la consola de certificados locales del servidor, podemos ver el certificado y si ha expirado:http://blog.asirsl.com//SiteAssets/Lists/EntradasDeBlog/EditPost/Error_DirectAccess_Certificado_Caducado_5.png
Lo que tenemos que hacer para solucionar este problema está claro:
- Renovar el certificado e importarlo en el servidor (si tenemos un clúster de NLB (Windows Server 2012: DirectAccess en un clúster con Windows NLB) configurado, debemos importar el certificado en cada servidor):
http://blog.asirsl.com//SiteAssets/Lists/EntradasDeBlog/EditPost/Error_DirectAccess_Certificado_Caducado_6.png
- Asignar nuevamente el certificado al servidor de DirectAccess
http://blog.asirsl.com//SiteAssets/Lists/EntradasDeBlog/EditPost/Error_DirectAccess_Certificado_Caducado_11.png
Una vez que se ha configurado el certificado que hemos importado, debemos esperar unos minutos y todo quedará funcionando:
http://blog.asirsl.com//SiteAssets/Lists/EntradasDeBlog/EditPost/Error_DirectAccess_Certificado_Caducado_1.png
http://blog.asirsl.com//SiteAssets/Lists/EntradasDeBlog/EditPost/Error_DirectAccess_Certificado_Caducado_8.png
Si ahora nos vamos a un equipo cliente, ya vemos que nos ha vuelto a conectar sin problema:
Como vemos todo se centra en el los certificados, bien sea por la CRL que no está accesible para los clientes de DirectAccess o como es en este artículo, el certificado ha caducado. El problema es muy sencillo de detectar y de solucionar, simplemente nos conectamos al servidor vemos el problema, renovamos el certificado, importamos y lo asignamos a la configuración del servidor.