У меня есть компьютер с Windows Server 2008 R2 со следующей конфигурацией:
0.0.0.0:80 и [::]:80 и с привязками HTTPS 0.0.0.0:443 и [::]:443. Привязки HTTPS используют широко известный сертификат X.509 / SSL от NameCheap для mydomain.com.mydomain.com выбрал сертификат на странице свойств безопасности RAS. На нем не установлена служба роли NAP.Я не могу подключиться к VPN с помощью любого клиента Windows. Журналы событий на клиентах сообщают о получении ответа HTTP 503 от сервера SSTP. Я исследовал, запросив конечную точку SSTP напрямую, и получил общее (сгенерировано HTTP.SYS?) Сообщение об ошибке «Служба недоступна». Я получаю ту же ошибку, когда обращаюсь к нему локально.
URI конечной точки SSTP: https://mydomain.com/sra_{BA195980-CD49-458b-9E23-C84EE0ADCD75}/
Когда я писал этот вопрос, я подумал, что еще раз взгляну на журналы событий на сервере, и увидел несколько Schannel и RasSstp события, которые я раньше не заметил.
Одно событие имело идентификатор события 36888: «Было создано следующее критическое предупреждение: 10. Состояние внутренней ошибки - 1203».
По-видимому, код 1203 означает: «Это событие наблюдается в Windows 2008 R2, на котором запущен IIS. Если пользователь пытается получить доступ к веб-сайту с помощью HTTP, но указывает порт SSL в URL-адресе, это событие регистрируется. Это событие ожидается, поскольку клиент пытается использовать неправильный порт или неправильный протокол для доступа к сайту ".
Это заставило меня понять, что я сделал раньше: я установил HKLM\SYSTEM\CurrentControlSet\Services\SstpSvc\ListenerPort к 5000 хотя IIS (а точнее, HTTP.SYS) был настроен только для порта 443.
Я сбросил ListenerPort ценность для 0 (поэтому он использует значение по умолчанию 443), а также повторно устанавливает выбранный сертификат в таблице свойств RAS. После перезапуска RRAS я теперь могу подключиться к своей SSTP VPN.