Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł zawiera rozwiązanie problemu polegającego na tym, że klienci funkcji DirectAccess nie mogą nawiązać połączenia z serwerem przy użyciu protokołu IP-HTTPS.
Oryginalny numer KB: 2980667
Symptomy
Klienci funkcji DirectAccess mogą nie być w stanie nawiązać połączenia z serwerem funkcji DirectAccess przy użyciu protokołu IP-HTTPS. Po uruchomieniu netsh interface http show interface
polecenia dane wyjściowe są następujące:
Adres URL: Błąd:
https://da.contoso.com:443/IPHTTPS
0x800b0109
Stan interfejsu: Nie można nawiązać połączenia z serwerem IPHTTPS. Oczekiwanie na ponowne nawiązanie połączeniaBłąd 0x800b0109 przekłada się na:
CERT_E_UNTRUSTEDROOT
# Łańcuch certyfikatów przetworzony, ale zakończony w katalogu głównym
# certyfikat, który nie jest zaufany przez dostawcę zaufania.
Domyślnie magazyn certyfikatów zaufanych głównych urzędów certyfikacji jest skonfigurowany z zestawem publicznych urzędów certyfikacji, które są zaufane przez klienta systemu Windows. Niektóre organizacje mogą chcieć zarządzać zaufaniem certyfikatów i uniemożliwiać użytkownikom w domenie konfigurowanie własnego zestawu zaufanych certyfikatów głównych. Ponadto niektóre organizacje mogą chcieć wystawiać certyfikaty dla serwera IP-HTTPS z własnego serwera urzędu certyfikacji. Muszą dystrybuować ten konkretny zaufany certyfikat główny, aby umożliwić relacje zaufania. Podczas konfigurowania certyfikatów dla funkcji DirectAccess główny urząd certyfikacji musi być zaufany przez klientów i powinien mieć certyfikat głównego urzędu certyfikacji w magazynie zaufanych głównych urzędów certyfikacji.
Aby uzyskać więcej informacji na temat certyfikatów, zobacz Jak działa odwołanie certyfikatów.
Przyczyna
Urząd wystawiający certyfikat ip-HTTPS nie jest obecny w magazynach zaufanych i pośrednich klientów. Upewnij się, że certyfikat główny został dodany do magazynu głównego i certyfikatów pośrednich do magazynów pośrednich.
Rozwiązanie
Aby rozwiązać ten problem, wykonaj następujące kroki:
- Uzyskaj certyfikat dla urzędu certyfikacji, który wystawił certyfikat IP-HTTPS.
- Zaimportuj ten certyfikat do magazynu komputerów klienta funkcji DirectAccess.
- Aby zastosować tę zmianę do wszystkich klientów, użyj zasad grupy, aby wdrożyć zaimportowany certyfikat.
Metody łączności funkcji DirectAccess
Klienci funkcji DirectAccess używają wielu metod do nawiązywania połączenia z serwerem funkcji DirectAccess, co umożliwia dostęp do zasobów wewnętrznych. Klienci mają możliwość użycia protokołu Teredo, 6to4 lub IP-HTTPS w celu nawiązania połączenia z usługą DirectAccess. Zależy to również od konfiguracji serwera funkcji DirectAccess.
Gdy klient funkcji DirectAccess ma publiczny adres IPv4, spróbuje nawiązać połączenie przy użyciu interfejsu 6to4. Jednak niektórzy dostawcy usług internetowych dają iluzję publicznego adresu IP. To, co udostępniają użytkownikom końcowym, to pseudo publiczny adres IP. Oznacza to, że adres IP odebrany przez klienta funkcji DirectAccess (karta danych lub połączenie SIM) może być adresem IP z przestrzeni adresów publicznych, ale w rzeczywistości znajduje się za jedną lub większą jedną siecią dostępu do sieci.
Gdy klient znajduje się za urządzeniem NAT, spróbuje użyć teredo. Wiele firm, takich jak hotele, lotniska i kawiarnie, nie zezwalają na ruch Teredo przechodząc przez zaporę. W takich scenariuszach klient przejdzie w tryb failover do protokołu IP-HTTPS. Protokół IP-HTTPS jest oparty na protokole SSL (TLS) opartym na protokole TCP 443. Ruch wychodzący SSL najprawdopodobniej będzie dozwolony we wszystkich sieciach.
Mając to na uwadze, protokół IP-HTTPS został skompilowany w celu zapewnienia niezawodnego i zawsze dostępnego połączenia kopii zapasowej. Klient funkcji DirectAccess będzie korzystać z tego, gdy inne metody (takie jak Teredo lub 6to4) kończą się niepowodzeniem.
Więcej informacji na temat technologii przejścia można znaleźć w artykule Technologie przejściowe IPv6.