Es posible que los clientes de DirectAccess no puedan conectarse a un servidor de DirectAccess con errores 0x800b0109 al usar IP-HTTPS

En este artículo se proporciona una solución a un problema por el que los clientes de DirectAccess no pueden conectarse a un servidor mediante IP-HTTPS.

Número de KB original: 2980667

Síntomas

Es posible que los clientes de DirectAccess no puedan conectarse a un servidor de DirectAccess mediante IP-HTTPS. Al ejecutar el netsh interface http show interface comando, la salida es la siguiente:

Dirección URL: https://da.contoso.com:443/IPHTTPS Error: 0x800b0109
Estado de la interfaz: no se pudo conectar al servidor IPHTTPS. Esperando a volver a conectarse

El error 0x800b0109 se traduce en:
CERT_E_UNTRUSTEDROOT
# Cadena de certificados procesada, pero terminada en una raíz
# certificado que no es de confianza para el proveedor de confianza.

De forma predeterminada, el almacén de certificados de entidades de certificación raíz de confianza se configura con un conjunto de entidades de certificación públicas de confianza que un cliente de Windows confía. Es posible que algunas organizaciones quieran administrar la confianza de certificados y evitar que los usuarios del dominio configuren su propio conjunto de certificados raíz de confianza. Además, es posible que algunas organizaciones quieran emitir certificados para el servidor IP-HTTPS desde su propio servidor de entidad de certificación. Deben distribuir ese certificado raíz de confianza específico para habilitar las relaciones de confianza. Al configurar certificados para DirectAccess, la entidad de certificación raíz debe ser de confianza para los clientes y debe tener el certificado de entidad de certificación raíz en el almacén de entidades de certificación raíz de confianza.

Para obtener más información sobre los certificados, consulte Funcionamiento de la revocación de certificados.

Causa

La entidad de certificación emisora para el certificado IP-HTTPS no está presente en los almacenes intermedios y de confianza de los clientes. Asegúrese de agregar el certificado raíz al almacén raíz y a los certificados intermedios a los almacenes intermedios.

Solución

Para resolver este problema, siga estos pasos:

1. Obtenga el certificado de la entidad de certificación que emitió el certificado IP-HTTPS.
2. Importe este certificado en el almacén de equipos del cliente de DirectAccess.
3. Para aplicar este cambio a todos los clientes, use la directiva de grupo para implementar el certificado importado.

Métodos de conectividad de DirectAccess

Los clientes de DirectAccess usan varios métodos para conectarse al servidor de DirectAccess, lo que permite el acceso a recursos internos. Los clientes tienen la opción de usar Teredo, 6to4 o IP-HTTPS para conectarse a DirectAccess. Esto también depende de cómo se configure el servidor de DirectAccess.

Cuando el cliente de DirectAccess tiene una dirección IPv4 pública, intentará conectarse mediante la interfaz 6to4. Sin embargo, algunos ISP dan la ilusión de una dirección IP pública. Lo que proporcionan a los usuarios finales es una dirección IP pseudo pública. Esto significa que la dirección IP recibida por el cliente de DirectAccess (una tarjeta de datos o una conexión SIM) podría ser una dirección IP del espacio de direcciones públicas, pero en realidad está detrás de una o varias NAT.

Cuando el cliente está detrás de un dispositivo NAT, intentará usar Teredo. Muchas empresas, como hoteles, aeropuertos y cafeterías, no permiten que el tráfico de Teredo recorra su firewall. En estos escenarios, el cliente conmutará por error a IP-HTTPS. IP-HTTPS se crea a través de una conexión TCP 443 basada en SSL (TLS). Es probable que se permita el tráfico saliente SSL en todas las redes.

Teniendo esto en cuenta, IP-HTTPS se creó para proporcionar una conexión de copia de seguridad confiable y siempre accesible. Un cliente de DirectAccess hará uso de esto cuando se produzcan errores en otros métodos (como Teredo o 6to4).

Puede encontrar más información sobre las tecnologías de transición en Tecnologías de transición IPv6.