Eu tenho uma máquina Windows Server 2008 R2 que possui a seguinte configuração:
- É um controlador de domínio
- Ele executa o IIS e atende o site padrão com ligações HTTP
0.0.0.0:80e[::]:80com ligações HTTPS0.0.0.0:443e[::]:443. As ligações HTTPS usam um certificado X.509/SSL amplamente confiável da NameCheap paramydomain.com. - Ele possui o serviço RAS instalado com
mydomain.como certificado selecionado na folha de propriedades de Segurança RAS. Ele não possui o serviço de função NAP instalado.
Não consigo me conectar à VPN usando nenhum cliente Windows. Os logs de eventos nos clientes relatam o recebimento de uma resposta HTTP 503 do servidor SSTP. Investiguei consultando diretamente o endpoint SSTP e recebi a mensagem de erro genérica (HTTP.SYS gerado?) "O serviço não está disponível". Recebo o mesmo erro quando acesso localmente.
O URI do terminal SSTP éhttps://meudominio.com/sra_{BA195980-CD49-458b-9E23-C84EE0ADCD75}/
Responder1
Enquanto escrevia esta pergunta, pensei em dar uma outra olhada nos logs de eventos no servidor e vi vários Schanneleventos RasSstpque havia esquecido anteriormente.
Um evento tinha ID de evento 36888: "O seguinte alerta fatal foi gerado: 10. O estado de erro interno é 1203".
Aparentemente, o código 1203 significa "Este evento é visto no Windows 2008 R2 executando o IIS. Se um usuário tentar acessar um site usando HTTP, mas especificar uma porta SSL na URL, esse evento será registrado. Este evento é esperado enquanto o cliente está tentando usar a porta errada ou o protocolo errado para acessar o site".
Isso me fez perceber algo que havia feito anteriormente: configurei HKLM\SYSTEM\CurrentControlSet\Services\SstpSvc\ListenerPortcomo 5000embora o IIS (ou melhor, HTTP.SYS) estivesse configurado apenas para a porta 443.
Eu redefino o ListenerPortvalor para 0(para que ele use o valor padrão de 443) e também redefino o certificado selecionado na folha de propriedades RAS. Depois de reiniciar o RRAS, agora consigo me conectar à minha VPN SSTP.