次のような構成の Windows Server 2008 R2 マシンがあります。
- ドメインコントローラです
0.0.0.0:80IIS を実行し、HTTP バインディングと[::]:80および HTTPS バインディングと で0.0.0.0:443既定の Web サイトを提供します[::]:443。HTTPS バインディングは、 用に NameCheap の広く信頼されている X.509/SSL 証明書を使用しますmydomain.com。mydomain.comRAS セキュリティ プロパティ シートで証明書を選択してRAS サービスがインストールされています。NAP 役割サービスはインストールされていません。
どの Windows クライアントを使用しても VPN に接続できません。クライアントのイベント ログには、SSTP サーバーから HTTP 503 応答を受信したことが報告されています。SSTP エンドポイントを直接照会して調査したところ、一般的な (HTTP.SYS によって生成された?) 「サービスは利用できません」というエラー メッセージが返されました。ローカルでアクセスすると、同じエラーが発生します。
SSTPエンドポイントURIはhttps://mydomain.com/sra_{BA195980-CD49-458b-9E23-C84EE0ADCD75}/
答え1
この質問を書いているときに、サーバーのイベント ログをもう一度確認してみようと思い、これまで見逃していたイベントがSchannelいくつか見つかりました。RasSstp
1 つのイベントにはイベント ID 36888 がありました: 「次の致命的なアラートが生成されました: 10。内部エラー状態は 1203 です」。
どうやら、コード 1203 は「このイベントは、IIS を実行している Windows 2008 R2 で発生します。ユーザーが HTTP を使用して Web サイトにアクセスしようとしたが、URL で SSL ポートを指定した場合、このイベントがログに記録されます。クライアントが間違ったポートまたは間違ったプロトコルを使用してサイトにアクセスしようとしているため、このイベントが発生することが予想されます」という意味です。
これにより、以前にやったことに気が付きました。IIS (または HTTP.SYS) がポート 443 のみに構成されていたにもかかわらず、HKLM\SYSTEM\CurrentControlSet\Services\SstpSvc\ListenerPortを設定していたのです。5000
ListenerPort値をリセットして0(デフォルト値の 443 を使用するように)、RAS プロパティシートで選択した証明書もリセットしました。RRAS を再起動すると、SSTP VPN に接続できるようになりました。