У меня есть компьютер под управлением Windows Server 2008 R2 со следующей конфигурацией:
- Это контроллер домена.
- Он запускает IIS и обслуживает веб-сайт по умолчанию с привязками HTTP
0.0.0.0:80и[::]:80HTTPS0.0.0.0:443и[::]:443. Привязки HTTPS используют широко известный сертификат X.509 / SSL от NameCheap дляmydomain.com. - На нем установлена служба RAS с
mydomain.comвыбранным сертификатом на странице свойств RAS Security. На нем не установлена служба роли NAP.
Я не могу подключиться к VPN с помощью любого клиента Windows. Журналы событий на клиентах сообщают о получении ответа HTTP 503 от сервера SSTP. Я исследовал, запросив конечную точку SSTP напрямую, и получил общее сообщение об ошибке (сгенерированное HTTP.SYS?) "Сервис недоступен". Я получаю ту же ошибку, когда получаю доступ к нему локально.
URI конечной точки SSTP — этоhttps://mydomain.com/sra_{BA195980-CD49-458b-9E23-C84EE0ADCD75}/
решение1
Пока я писал этот вопрос, я решил еще раз взглянуть на журналы событий на сервере и увидел ряд Schannelсобытий RasSstp, которые я ранее упустил из виду.
Одно событие имело идентификатор 36888: «Сгенерировано следующее фатальное оповещение: 10. Состояние внутренней ошибки — 1203».
По-видимому, код 1203 означает «Это событие наблюдается в Windows 2008 R2 с запущенными IIS. Если пользователь пытается получить доступ к веб-сайту с помощью HTTP, но указывает порт SSL в URL-адресе, то это событие регистрируется. Это событие ожидаемо, поскольку клиент пытается использовать неправильный порт или неправильный протокол для доступа к сайту».
Это заставило меня вспомнить то, что я сделал ранее: я установил HKLM\SYSTEM\CurrentControlSet\Services\SstpSvc\ListenerPortзначение 5000, хотя IIS (или, скорее, HTTP.SYS) был настроен только на порт 443.
Я сбрасываю ListenerPortзначение на 0(так что оно использует значение по умолчанию 443), а также сбрасываю выбранный сертификат в свойствах RAS. После перезапуска RRAS я теперь могу подключиться к своему SSTP VPN.