Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article fournit une résolution de l’erreur 0x2AFC ou 0x274D qui se produit lorsque les clients DirectAccess essaient de se connecter via IP-HTTPS.
Numéro de base de connaissances d’origine : 3056560
Symptômes
Les clients DirectAccess peuvent ne pas pouvoir se connecter à un serveur DirectAccess par le biais d’un protocole Internet via une connexion IP-HTTPS (Secure Hypertext Transfer Protocol). Ou bien, ces clients peuvent ne pas pouvoir résoudre le nom d’hôte public DirectAccess.
Lorsque vous exécutez la netsh interface http show interface commande dans ce cas, l’une des erreurs suivantes est retournée :
Erreur : 0x2AFC
Rôle : client
URL :https://da.contoso.com/iphttps
Dernier code d’erreur : 0x2AFC
État de l’interface : échec de la connexion au serveur IPHTTPs ; En attente de reconnexion.
0x2AFC se traduit par :
WSANO_DATA
# Le nom demandé est valide, mais aucune donnée du type demandé n’a été trouvée.
WSANO_DATA
# A retourné une valeur NULL.
Erreur : 0x274D
Rôle : client
URL :https://da.contoso.com/iphttps
Dernier code d’erreur : 0x274D
État de l’interface : échec de la connexion au serveur IPHTTPs ; En attente de reconnexion.
0x274D se traduit par :
WSAECONNREFUSED
# Aucune connexion n’a pu être établie, car l’ordinateur cible l’a activement refusé.
Ces erreurs signifient que le nom demandé est valide, mais aucune donnée du type demandé n’a été trouvée. Ou, aucune connexion n’a pu être établie, car l’ordinateur cible l’a refusé activement. Si vous supprimez l’objet de stratégie de groupe DirectAccess, le client peut résoudre le nom d’hôte public DirectAccess.
Si vous exécutez la commande netsh namespace show policy sur un client, cela affiche une stratégie pour l’espace de noms .contoso.com. Dans cette stratégie, l’entrée DirectAccess (serveurs DNS) est définie sur l’interface IPv6 interne du serveur DirectAccess. Cette entrée se termine généralement par 3333 ::1.
Cause
Erreur 0x2AFC
Cette erreur peut se produire si l’une des conditions suivantes est remplie :
- Un serveur proxy bloque la connexion.
- Le nom du serveur IP-HTTPS (serveur DirectAccess) mentionné dans l’URL de l’interface IP-HTTPS ne peut pas être résolu.
- Le pare-feu côté client ou côté serveur bloque la connexion au serveur IP-HTTPS (serveur DirectAccess).
- L’appareil NAT est configuré de manière incorrecte (si un scénario behind-edge est utilisé). L’appareil NAT est configuré de manière incorrecte (si un scénario behind-edge est utilisé).
- Toute la connectivité est correcte, mais le serveur n’a pas le préfixe IPv6 publié, ou le protocole IP-HTTPS côté serveur est défini sur désactivé.
Erreur 0x274D
Cette erreur peut se produire si l’une des conditions suivantes est remplie :
- Le nom du serveur IP-HTTPS (serveur DirectAccess) mentionné dans l’URL de l’interface IP-HTTPS ne peut pas être résolu.
- Une table de stratégie de résolution de noms (NRPT) est configurée de manière incorrecte.
- Le pare-feu côté client bloque la connexion IP-HTTPS.
- Le domaine interne et l’entrée DNS externe utilisés par DirectAccess se trouvent tous les deux dans le même espace de noms (par exemple, *.contoso.com).
Résolution
Pour résoudre ce problème, vous devez ajouter une entrée au NRPT qui demande au client d’utiliser son DNS Internet pour résoudre le nom d’hôte public du serveur DirectAccess. Pour ce faire, procédez comme suit :
Sur le serveur DirectAccess, ouvrez la console de gestion de l’accès à distance.
Sous Configuration, sélectionnez DirectAccess et VPN.
Recherchez la section « Serveurs d’infrastructure » (à l’étape 3 de cette interface utilisateur), puis cliquez sur Modifier.
Dans la fenêtre Installation du serveur d’infrastructure, sélectionnez DNS sur le côté gauche pour afficher les paramètres NRPT du déploiement DirectAccess. La dernière ligne affiche un astérisque (*) sur le côté gauche. Cliquez avec le bouton droit sur cette ligne, puis cliquez sur Nouveau.
Dans la fenêtre Adresses du serveur DNS, entrez le nom d’hôte public du serveur DirectAccess comme suffixe DNS (par exemple).
DA.contoso.comN’essayez pas de détecter ou de valider le suffixe. Au lieu de cela, laissez le reste des informations vides, puis cliquez sur Appliquer.Cela crée une entrée qui a un suffixe de nom et aucune adresse de serveur DNS. Cela indique aux clients d’utiliser leur propre DNS Internet pour résoudre ce nom.
Terminez le processus d’installation de l’infrastructure, puis mettez à jour l’objet de stratégie de groupe en cliquant sur Terminer dans la fenêtre Installation de l’accès à distance. Appliquez le nouvel objet de stratégie de groupe aux clients, puis essayez de résoudre le nom d’hôte du serveur DirectAccess.
Plus d’informations
Les clients DirectAccess utilisent plusieurs méthodes pour se connecter au serveur DirectAccess, ce qui permet d’accéder aux ressources internes. Les clients ont la possibilité d’utiliser Teredo, 6to4 ou IP-HTTPS pour se connecter à DirectAccess. Ces options disponibles dépendent de la configuration du serveur DirectAccess.
Lorsque le client DirectAccess a une adresse IPv4 publique, il tente de se connecter à l’aide de l’interface 6to4. Bien que certains fournisseurs d’accès web donnent l’illusion d’une adresse IP publique, ce qu’ils fournissent réellement aux utilisateurs finaux est une adresse IP pseudo-publique. Cela signifie que l’adresse IP reçue par le client DirectAccess (une carte de données ou une connexion SIM) peut être une adresse IP de l’espace d’adressage public, mais en réalité elle se trouve derrière un ou plusieurs naTs.
Lorsque le client se trouve derrière un appareil NAT, il tente d’utiliser Teredo. De nombreuses entreprises telles que les hôtels, les aéroports et les cafés ne permettent pas au trafic Teredo de traverser leurs pare-feu. Dans de tels scénarios, le client bascule vers IP-HTTPS. IP-HTTPS est créé sur une connexion TCP 443 TCP 443. Le trafic sortant SSL sera probablement autorisé sur tous les réseaux.
Ceci étant à l’esprit, IP-HTTPS a été conçu pour fournir une connexion de sauvegarde fiable et toujours accessible. Un client DirectAccess utilise le basculement IP-HTTPS lorsque d’autres méthodes (telles que Teredo ou 6to4) échouent.
Pour plus d’informations sur les technologies de transition, consultez les technologies de transition IPv6.