Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье содержатся инструкции по проверке поддержки HTTPS на узлах Подключенный кэш Microsoft для предприятий и образовательных учреждений, работающих в Windows с WSL (подсистема Windows для Linux).
Проверка загрузки содержимого HTTP и HTTPS
Перед тестированием необходимо определить, как клиенты подключаются к серверу подключенного кэша. Это тот же метод подключения, который вы настроили в альтернативном имени субъекта (SAN) сертификата во время создания CSR.
Важно.
Замените [mcc-connection] и [test-url] во всех приведенных ниже командах
Определение :[mcc-connection]
-
Если вы использовали
-sanIpв CSR: используйте IP-адрес (например,192.168.1.100). -
Если вы использовали
-sanDnsв CSR: используйте имя узла (например,mcc-server.contoso.com).
[test-url]— это полный путь к тестовой Intune приложению Win32:ee344de8-d177-4720-86c1-a076581766f9/070a8fd4-79a7-42c8-b7c8-9883253bb01a/c7b1b825-88b2-4e66-9b15-ff5fe0374bc6.appxbundle.bin
Затем выполните следующие команды curl на хост-компьютере Windows (сервер подключенного кэша), чтобы проверить получение содержимого HTTP и HTTPS:
Тест HTTPS
curl.exe -v -o NUL "https://[mcc-connection]/[test-url]" --include -H "host:swda01-mscdn.manage.microsoft.com"Ожидаемые успешные выходные данные:
* Connected to [your-server] ([ip-address]) port 443 (#0) * TLS 1.2 connection using TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 * Server certificate: [your-certificate-subject] < HTTP/1.1 200 OK < Content-Length: [file-size]Http-тест
curl.exe -v -o NUL "http://[mcc-connection]/[test-url]" --include -H "host:swda01-mscdn.manage.microsoft.com"Ожидаемые успешные выходные данные:
* Connected to [your-server] ([ip-address]) port 80 (#0) < HTTP/1.1 200 OK < Content-Length: [file-size]
Проверка на стороне службы
Выполните следующие тесты на хост-компьютере Windows:
Проверьте подключение с помощью PowerShell.
Invoke-WebRequest -Uri "https://[mcc-connection]/[test-url]" -Headers @{"host"="swda01-mscdn.manage.microsoft.com"} -Method HeadОжидаемый результат:
StatusCode: 200указывает на успешное подключение ПО HTTPS.Проверьте журналы оптимизации доставки для действий HTTPS:
# Search for HTTPS connections in recent logs Select-String -Path "C:\Windows\Logs\DeliveryOptimization\*.log" -Pattern "https://" | Select-Object -First 5 # Search for your specific Connected Cache server connections Select-String -Path "C:\Windows\Logs\DeliveryOptimization\*.log" -Pattern "[mcc-connection]" | Select-Object -First 5Ожидаемый результат: Записи журнала с URL-адресами HTTPS и адресом сервера подключенного кэша указывают на то, что клиенты успешно используют ПРОТОКОЛ HTTPS.
Проверка на стороне клиента
Выполните следующие команды на клиентском устройстве (а не на хост-компьютере Windows).
Условием: Убедитесь, что главный компьютер предназначен с помощью политики. Обновите IP-адрес подключенного кэша (значение для политики DOCacheHost) до того, что относится к среде:
$parentKeyPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\DeliveryOptimization"
if (!(Test-Path $parentKeyPath))
{
New-Item -Path $parentKeyPath -ItemType RegistryKey -Force -ErrorAction Stop | Out-Null
}
Set-ItemProperty -Path $parentKeyPath -Name "DOCacheHost" -Value "[mcc-connection]" -ErrorAction Stop
Запросите скачивание приложения Teams из подключенного кэша по протоколу HTTPS:
Add-AppxPackage "https://statics.teams.cdn.office.net/production-windows-x64/enterprise/webview2/lkg/MSTeams-x64.msix"ИЛИ
Add-AppxPackage "https://installer.teams.static.microsoft/production-windows-x64/25177.2002.3761.5185/MSTeams-x64.msix"Ожидаемый результат: Скачивание завершается без ошибок и должно выполняться быстрее, чем обычные загрузки через Интернет.
Убедитесь, что содержимое на самом деле кэшируется (а не только возвращается к CDN):
Get-DeliveryOptimizationStatus | Select-Object DownloadMode, TotalBytesDownloaded, BytesFromCacheServerОжидаемый результат:
BytesFromCacheServerзначение должно быть больше 0, что указывает на успешное кэширование.
Поиск и устранение неисправностей
Если во время проверки возникает какая-либо из следующих распространенных ошибок, используйте следующие подходы к устранению неполадок:
Важно.
Замените [mcc-connection] и [test-url] во всех приведенных ниже командах
Определение :[mcc-connection]
-
Если вы использовали
-sanIpв CSR: используйте IP-адрес (например,192.168.1.100). -
Если вы использовали
-sanDnsв CSR: используйте имя узла (например,mcc-server.contoso.com).
[test-url]— это полный путь к тестовой Intune приложению Win32:ee344de8-d177-4720-86c1-a076581766f9/070a8fd4-79a7-42c8-b7c8-9883253bb01a/c7b1b825-88b2-4e66-9b15-ff5fe0374bc6.appxbundle.bin
Ошибки проверки сертификатов
Симптомы:SSL certificate problemcertificate subject name does not match
Быстрый тест.
curl.exe -v -k -o NUL "https://[mcc-connection]/[test-url]"
Если тест успешно выполнен, выполните следующие действия. У сертификата возникли проблемы с проверкой. Убедитесь, что:
- Конфигурация SAN соответствует вашему методу подключения
- Корневой сертификат ЦС устанавливается в доверенном хранилище клиента
Если тест завершается сбоем: См. сведения об ошибках подключения ниже.
Ошибки отзыва сертификатов
Симптомы: Медленные ответы HTTPS или тайм-ауты
Быстрый тест.
curl.exe -v --ssl-no-revoke -o NUL "https://[mcc-connection]/[test-url]"
Если тест успешно выполнен, выполните следующие действия. Точка распространения списка отзыва сертификатов ЦС (CRL) недоступна. Убедитесь, что корпоративный брандмауэр разрешает доступ к URL-адресам списка отзыва сертификатов.
Если тест завершается сбоем: См. сведения об ошибках подключения ниже.
Ошибки подключения
Симптомы:Connection refusedCould not resolve host
Для ошибок подключения HTTPS:
Проверка правильной настройки правил брандмауэра и переадресации портов
Убедитесь, что ни один из других служб не использует порт 443:
netstat -an | findstr :443
Для ошибок http-подключения: Убедитесь, что служба подключенного кэша запущена и доступен порт 80.
netstat -an | findstr :80
Для устранения проблем с DNS: Проверка разрешения имен узлов и сетевого подключения
nslookup [mcc-connection]
Вмешательство корпоративного прокси-сервера
Симптомы: Проверка сертификата завершается ошибкой, несмотря на правильную конфигурацию.
Решение: Убедитесь, что корпоративный прокси-сервер не перехватывает трафик HTTPS на сервер подключенного кэша. Рассмотрите возможность отключения проверки TLS для внутреннего трафика подключенного кэша.