IP-HTTPS を使用する場合、DirectAccess クライアントがエラー コード 0x103、0x2AFC、または0x2AF9を使用して DirectAccess サーバーに接続できない場合があります

この記事では、IP-HTTPS を使用して DirectAccess クライアントを DirectAccess サーバーに接続するときに発生するエラー 0x103、0x2AFC、または0x2AF9を修正するためのヘルプを提供します。

適用対象: Windows 10 - すべてのエディション、Windows Server 2012 R2
元の KB 番号: 2980635

現象

DirectAccess クライアントは、セキュリティで保護されたハイパーテキスト転送プロトコル (IP-HTTPS) 接続経由でインターネット プロトコルを使用して DirectAccess サーバーに接続できない場合があります。

netsh インターフェイス http show interface コマンドを実行すると、出力は次のようになります。

エラー: 0x103または0x2AFCまたは0x2AF9

変換元:

IP-HTTPS インターフェイスへの接続に失敗しました。

原因

Error: 0x103  
Role: Client  
URL: `https://da.contoso.com/IPHTTPS`  
Last Error Code: 0x103  
Interface Status: No usable certificate found  
0x103 translates to:  
ERROR_NO_MORE_ITEMS  
# No more data is available.  
(This means no matching certificates were found)

このエラーは、次のシナリオで発生します。

• IP-HTTPS URL が、指定された証明書と一致しません。
• IP-HTTPS 証明書には、[サブジェクト] フィールドに不要な情報が追加されています。
• IP-HTTPS 証明書のサブジェクト フィールドの名前は正しくありませんが、サブジェクトの別名 (SAN) の値が正しくありません。

Error: 0x2AFC  
Role: Client  
URL: `https://da.contoso.com/IPHTTPS`  
Last Error Code: 0x2AFC  
Interface Status: Failed to connect to IPHTTPs server; Waiting to reconnect.  
0x2AFC translates to:  
WSANO_DATA  
# The requested name is valid, but no data of the requested type was found.  
WSANO_DATA  
# Successfully returned a NULL value.  

このエラーが発生する理由はいくつかあります。

• プロキシ サーバーが接続をブロックしています。
• IP-HTTPS インターフェイス URL に記載されている IP-HTTPS サーバー (DirectAccess サーバー) の名前を解決できない。
• クライアント側またはサーバー側のファイアウォールによって、IP-HTTPS サーバー (DirectAccess サーバー) への接続がブロックされている可能性があります。
• NAT デバイスが正しく構成されていません (エッジの背後のシナリオが使用されている場合)。
• すべての接続は問題ありませんが、サーバーに IPv6 プレフィックスが発行されていないか、サーバー側の IP-HTTPS が無効に設定されています。

Error: 0x2AF9  
Role: Client  
URL: `https://da.contoso.com/IPHTTPS`  
Last Error Code: 0x2AF9  
Interface Status: Failed to connect to the IPHTTPS server; waiting to reconnect  
0x2AF9 translates to:  
WSAHOST_NOT_FOUND  
# No such host is known.  
WSAHOST_NOT_FOUND  
# Non-NULL value successfully returned.  

このエラーが発生する理由はいくつかあります。

• プロキシが接続をブロックしています。
• IP-HTTPS サーバー (DirectAccess サーバー) の名前を解決できない。
• クライアント側またはサーバー側のファイアウォールが接続をブロックしている可能性があります。
• DirectAccess サーバーの前にある NAT デバイスが正しく構成されていません (エッジの背後のシナリオが使用されている場合)。
• すべての接続は問題ありませんが、サーバーに IPv6 プレフィックスが発行されていないか、サーバー側の IP-HTTPS が無効に設定されています。

解決方法

ポート 443 の DirectAccess サーバーの外部 IP アドレスまたは名前を使用して、telnet を使用してサーバーに接続してみてください。 接続に失敗した場合は、パケットがネットワーク上のどこかにドロップされているか、DirectAccess が構成されている外部 NAT デバイスで NAT 規則が正しく作成されていない可能性があります。

詳細については、Microsoft Technet: DirectAccess インフラストラクチャの計画に関するページの「ファイアウォール要件の計画」セクションを参照してください。
外部名はクライアントから解決できる必要があります。 IP-HTTPS サイト名 (DirectAccess サーバーのパブリック名) の名前に ping を実行し、名前解決が成功しているかどうかをチェックします。 名前が解決しない場合は、名前解決を修正します。

telnet 接続が成功した場合は、ネットワーク トレースを確認します。 SSL ハンドシェイクが成功する必要があります。

ローカル システム プロキシ設定をリセットします。 これらの設定を操作するには、インターネット エクスプローラーでプロキシ設定を表示します。 通常のアカウントを使用するのではなく、ローカル システム コンテキストでインターネット エクスプローラーを開く必要があります。

DirectAccess クライアントは、プロキシ サーバーを介して HTTPS サイトに到達するように構成できます (接続がブロックされている可能性があります)。 最新のプロキシ アドレスがレジストリにキャッシュされます。 表示するには、DirectAccess クライアントで Registry エディター (regedit) を開き、次のレジストリ サブキーに移動します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\iphlpsvc\Parameters\ProxyMgr

ProxyMgr レジストリ サブキーをエクスポートします。 プロキシ サーバーを使用しなくなった場合は、このレジストリ サブキーのすべてのレジストリ キーを削除し、DirectAccess クライアントを再起動します。

詳細

DirectAccess 接続方法

DirectAccess クライアントは、複数のメソッドを使用して DirectAccess サーバーに接続します。これにより、内部リソースへのアクセスが可能になります。 クライアントには、Teredo、6to4、または IP-HTTPS を使用して DirectAccess に接続するオプションがあります。 これは、DirectAccess サーバーの構成方法にも依存します。

DirectAccess クライアントにパブリック IPv4 アドレスがある場合、6to4 インターフェイスを使用して接続しようとします。 ただし、一部の ISP はパブリック IP アドレスの錯覚を与えます。 エンド ユーザーに提供されるのは、擬似パブリック IP アドレスです。 つまり、DirectAccess クライアント (データ カードまたは SIM 接続) によって受信された IP アドレスがパブリック アドレス空間からの IP である可能性がありますが、実際には 1 つ以上の NAT の背後にあります。

クライアントが NAT デバイスの背後にある場合は、Teredoを使用しようとします。 ホテル、空港、コーヒーショップなどの多くの企業では、Teredoトラフィックがファイアウォールを通過することを許可していません。 このようなシナリオでは、クライアントは IP-HTTPS にフェールオーバーします。 IP-HTTPS は、SSL (TLS) TCP 443 ベースの接続経由で構築されます。 SSL 送信トラフィックは、ほとんどの場合、すべてのネットワークで許可されます。

これを念頭に置いて、IP-HTTPS は、信頼性が高く、常に到達可能なバックアップ接続を提供するために構築されました。 DirectAccess クライアントは、他のメソッド (Teredoや 6to4 など) が失敗した場合にこれを利用します。

移行テクノロジの詳細については、 IPv6 遷移テクノロジに関するページを参照してください。