Я просто настроил новый сервер для прямого доступа. Этот домен ранее имел прямой доступ, но был удален, если это имеет какое-либо значение.
В любом случае, в диспетчере серверов все отмечено зеленым. Публичный сертификат установлен, и я проверил извне, что порты 443 и 62000 (на том же сервере размещается NLS) открыты. На клиенте я могу перейти на сайт https://da.externaldomain.com без проблем.
Выводы по клиенту:
PS C: \ Users \ test.testsson> netsh interface httpstunnel показать интерфейсы
Interface IPHTTPSInterface (Group Policy) Parameters
------------------------------------------------------------
Role : client
URL : https://da.externaldomain.com:443/IPHTTPS
Last Error Code : 0x0
Interface Status : IPHTTPS interface active
PS C: \ Users \ test.testsson> Get-DAConnectionStatus
Status : Error
Substatus : CouldNotContactDirectAccessServer
Журнал отладки в устранении неполадок клиента DirectAccess просто говорит это:
[2016-10-24 10:10:34]: User canceled the tests.
[2016-10-24 10:10:34]: In worker thread, going to start the tests.
[2016-10-24 10:10:34]: Running Network Interfaces tests.
[2016-10-24 10:10:34]: Ethernet0 (Intel(R) 82574L Gigabit Network Connection): SNIPPED
[2016-10-24 10:10:34]: Default gateway found for Ethernet0.
[2016-10-24 10:10:34]: iphttpsinterface (iphttpsinterface): SNIPPED
[2016-10-24 10:10:34]: No default gateway found for iphttpsinterface.
[2016-10-24 10:10:34]: Ethernet0 has configured the default gateway 192.168.100.1.
[2016-10-24 10:10:34]: Default gateway 192.168.100.1 for Ethernet0 replies on ICMP Echo requests, RTT is 2 msec.
[2016-10-24 10:10:34]: Received a response from the public DNS server (8.8.8.8), RTT is 3 msec.
[2016-10-24 10:10:34]: The public DNS Server (2001:4860:4860::8888) does not reply on ICMP Echo requests, the request or response is maybe filtered?
[2016-10-24 10:10:34]: Running Inside/Outside location tests.
[2016-10-24 10:10:34]: NLS is https://da.local.domain:62000/.
[2016-10-24 10:10:34]: NLS is not reachable via HTTPS, the client computer is not connected to the corporate network (external) or the NLS is offline.
[2016-10-24 10:10:34]: NRPT contains 2 rules.
[2016-10-24 10:10:34]: Found (unique) DNS server: SNIPPED
[2016-10-24 10:10:34]: Send an ICMP message to check if the server is reachable.
[2016-10-24 10:10:34]: DNS server SNIPPED is online, RTT is 11 msec.
[2016-10-24 10:10:34]: Running IP connectivity tests.
[2016-10-24 10:10:35]: The 6to4 interface service state is default.
[2016-10-24 10:10:35]: Teredo inferface status is offline.
[2016-10-24 10:10:35]: The configured DirectAccess Teredo server is win10.ipv6.microsoft.com..
[2016-10-24 10:10:35]: The IPHTTPS interface is operational.
[2016-10-24 10:10:35]: The IPHTTPS interface status is IPHTTPS interface active.
[2016-10-24 10:10:35]: IPHTTPS is used as IPv6 transition technology.
[2016-10-24 10:10:35]: The configured IPHTTPS URL is https://da.externaldomain.com:443.
[2016-10-24 10:10:35]: IPHTTPS has a single site configuration.
[2016-10-24 10:10:35]: IPHTTPS URL endpoint is: https://da.externaldomain.com:443.
[2016-10-24 10:10:35]: Failed to connect to endpoint https://da.externaldomain.com:443.
[2016-10-24 10:10:35]: No response received from skarpa.local.
[2016-10-24 10:10:35]: Running Windows Firewall tests.
[2016-10-24 10:10:35]: The current profile of the Windows Firewall is Public.
[2016-10-24 10:10:35]: The Windows Firewall is enabled in the current profile Public.
[2016-10-24 10:10:35]: The outbound Windows Firewall rule Kärnnätverket - Teredo (UDP-ut) is enabled.
[2016-10-24 10:10:35]: The outbound Windows Firewall rule Kärnnätverket - IPHTTPS (TCP-ut) is enabled.
[2016-10-24 10:10:35]: Running certificate tests.
[2016-10-24 10:10:35]: No usable machine certificate found.
[2016-10-24 10:10:35]: Found 0 machine certificates on this client computer.
[2016-10-24 10:10:35]: Running IPsec infrastructure tunnel tests.
[2016-10-24 10:10:35]: Failed to connect to domain sysvol share \\local.domain\sysvol\locla.domain\Policies.
[2016-10-24 10:10:35]: Running IPsec intranet tunnel tests.
[2016-10-24 10:10:38]: Failed to connect to :1000::1 with status TimedOut.
[2016-10-24 10:10:47]: Failed to connect to :1000::1 with status TimedOut.
[2016-10-24 10:10:50]: Failed to connect to :1000::2 with status TimedOut.
[2016-10-24 10:10:59]: Failed to connect to :1000::2 with status TimedOut.
[2016-10-24 10:10:59]: Running selected post-checks script.
[2016-10-24 10:10:59]: No post-checks script specified or the file does not exist.
[2016-10-24 10:10:59]: Finished running post-checks script.
[2016-10-24 10:10:59]: Finished running all tests.
Выходы на сервер
C:\Users\admin>netsh interface httpstunnel show interfaces
Interface IPHTTPSInterface Parameters
------------------------------------------------------------
Role : server
URL : https://da.externaldomain.com:443/IPHTTPS
Client authentication mode : none
Last Error Code : 0x0
Interface Status : IPHTTPS interface active
Я здесь в растерянности. У меня никогда не было такой проблемы, обычно это проблема с конфигурацией NLS или DAC после того, как она действительно подключилась. Я пытался переустановить клиент, но проблема не исчезла.
Также пытался удалить конфигурацию с сервера и перенастроил ее. Все по-прежнему отмечены зеленым на консоли удаленного доступа.
Это немного устарело, но я все равно выброшу его, если кто-то еще столкнется с этой проблемой. Я вижу это все время, когда люди сначала настраивают свой DA с автоматически сгенерированным сертификатом, а затем решают использовать свой собственный публичный сертификат. В вашем примере вы указываете «Публичный сертификат установлен». И еще «Режим аутентификации клиента: нет». Ваш DA может подумать, что он использует сертификат, но на серверной стороне это не так. Следовательно, аутентификация не выполняется, и клиенты не могут подключиться. Единственное исправление, которое я когда-либо видел, - это убрать ВСЕ, что связано с DA. От записей GP к записям AD. Вы также должны взорвать сервер, на котором вы его изначально настраивали, и начать с нуля. Если вы пытались совместно использовать сервер, и вам все еще нужны другие службы на этом сервере, вам придется переместить его в другое место.