У меня есть стандартный сервер Windows 2012 R2 с SSTP VPN, который работает по большей части. Мне удалось подключиться к этой VPN с внешнего компьютера и все использовать правильно.
Проблема возникает, когда сервер перестает прослушивать порт 443, как показано ниже:
Я подумал, что смогу просто перезапустить RRAS и заставить его снова прослушивать порт 443:
Но похоже, что это не работает. Все перезапускается правильно, но прослушивание порта 443 не возобновляется. Вот Running
снимок служб, относящихся к VPN / удаленному доступу.
Несколько забавный аспект этого заключается в том, что я сейчас удален, когда пишу это, и мне пришлось прибегнуть к использованию удаленного рабочего стола для диагностики этой проблемы, и если я в конечном итоге не смогу понять это, я буду перезапустить сервер, чтобы он снова начал прослушивать порт 443. Я, очевидно, не хочу этого делать, поскольку это нарушает работу офиса, а также является плохой идеей.
Я нашел следующие записи в журнале событий, которые кажутся имеющими отношение к этой проблеме, но я не уверен. Их довольно много.
МНЕ БЫ:
36888
Строгость:Error
Источник:Schannel
Журнал:System
Сгенерировано фатальное предупреждение и отправлено на удаленную конечную точку. Это может привести к разрыву соединения. Код фатальной ошибки, определенный протоколом TLS, - 10. Состояние ошибки Windows SChannel - 1203.
и
МНЕ БЫ:
8016
Строгость:Warning
Источник:Microsoft-Windows-DNS Client Events
Журнал:System
Системе не удалось зарегистрировать записи ресурсов (RR) хоста (A или AAAA) для сетевого адаптера с параметрами:
Adapter Name : {B34E76CF...} Host Name : <NAME> Primary Domain Suffix : <DOMAIN> DNS server list : ::1, 192.168.0.1 Sent update to server : <?> IP Address(es) : 192.168.0.166
Причина, по которой система не смогла зарегистрировать эти записи, заключалась в том, что DNS-сервер не смог выполнить запрос на обновление. Наиболее вероятная причина этого заключается в том, что полномочный DNS-сервер, необходимый для обработки этого запроса на обновление, заблокировал зону, вероятно, из-за того, что выполняется передача зоны.
Вы можете вручную повторить DNS-регистрацию сетевого адаптера и его настроек, набрав
ipconfig /registerdns
в командной строке. Если проблема не исчезнет, обратитесь к своему DNS-серверу или системному администратору сети.
Я купил сертификат Comodo для своего VPN-домена, который привязывается, когда я перехожу к свойствам сервера RRAS:
Я также перешел в раздел реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters
и видно, что хэши SHA соответствуют моему привязанному сертификату:
Я пытаюсь понять:
Надеюсь, я включил достаточно информации, если я что-то упустил, дайте мне знать. Имейте в виду, что все в моей настройке работает, если сервер прослушивает порт 443. Вот почему я не совсем понимаю, что происходит.
Редактировать # 1 @ 2017-07-21 10:13 PM UTC
Некоторое дополнительное исследование показало мне, что служба, отвечающая за прослушивание порта 443 (SstpSvc
) работает, когда я сталкиваюсь с описанными выше проблемами. Его перезапуск не решает проблем. Я не вижу ошибок в средстве просмотра событий для этой службы при перезапуске.
Ваш вопрос является наиболее полным, поэтому я внесу здесь свой вклад.
По результатам тестирования в Windows Server 2012 R2 я могу восстановить эту функциональность без перезагрузки, выполнив следующие действия:
Перезагрузите w3svc
Перезапустите sstpsvc
К сожалению, вам нужно принудительно перезапустить sstpsvc, который также требует перезапуска маршрутизации и удаленного доступа, эффективно отключая ваших пользователей. Гораздо быстрее перезапускается, чем полная, но, к сожалению, все еще прерывается.
Если вы хотите написать сценарий с помощью PowerShell, вы можете:
Restart-Service -Name w3svc
Restart-Service -Name sstpsvc -Force
У меня есть мониторинг, так что, возможно, я смогу определить, почему это происходит. Моя текущая теория заключается в том, что w3svc управляет TLS для сеансов SSTP, и он перестает работать в процессе.
Можете ли вы настроить параметры восстановления для службы, чтобы она просто перезагружалась при завершении работы?
Есть вероятность, что он отключится из-за бездействия. (Я просто беру службу телефонии, чтобы показать настройки) Установите дни на 0 и минуты на 1, чтобы произошел перезапуск.