IP-HTTPS を使用する場合、DirectAccess クライアントがエラー 0x800b0109で DirectAccess サーバーに接続できない場合があります
この記事では、DirectAccess クライアントが IP-HTTPS を使用してサーバーに接続できない問題の解決策について説明します。
適用対象: Windows 10 - すべてのエディション、Windows Server 2012 R2
元の KB 番号: 2980667
現象
DirectAccess クライアントは、IP-HTTPS を使用して DirectAccess サーバーに接続できない場合があります。 コマンドを netsh interface http show interface 実行すると、出力は次のようになります。
URL:
https://da.contoso.com:443/IPHTTPSエラー: 0x800b0109
インターフェイスの状態: IPHTTPS サーバーへの接続に失敗しました。 再接続の待機中エラー 0x800b0109は次のようになります。
CERT_E_UNTRUSTEDROOT
# 証明書チェーンは処理されましたが、ルートで終了しました
信頼プロバイダーによって信頼されていない # 証明書。
既定では、信頼されたルート証明機関の証明書ストアは、Windows クライアントによって信頼されている一連のパブリック証明機関で構成されます。 一部の組織では、証明書の信頼を管理し、ドメイン内のユーザーが独自の信頼されたルート証明書のセットを構成できないようにすることができます。 さらに、組織によっては、独自の証明機関サーバーから IP-HTTPS サーバーの証明書を発行したい場合があります。 信頼関係を有効にするには、その特定の信頼されたルート証明書を配布する必要があります。 DirectAccess の証明書を構成する場合、ルート証明機関はクライアントによって信頼されている必要があり、信頼されたルート証明機関ストアにルート CA 証明書が必要です。
証明書の詳細については、「証明書 失効のしくみ」を参照してください。
原因
IP-HTTPS 証明書の発行元証明機関が、クライアントの信頼されたストアと中間ストアに存在しません。 ルート証明書をルート ストアに追加し、中間証明書を中間ストアに追加してください。
解決方法
この問題を解決するには、次の手順に従います。
- IP-HTTPS 証明書を発行した証明機関の証明書を取得します。
- この証明書を DirectAccess クライアントのコンピューター ストアにインポートします。
- この変更をすべてのクライアントに適用するには、グループ ポリシーを使用してインポートされた証明書をデプロイします。
DirectAccess 接続方法
DirectAccess クライアントは、複数のメソッドを使用して DirectAccess サーバーに接続します。これにより、内部リソースへのアクセスが可能になります。 クライアントには、Teredo、6to4、または IP-HTTPS を使用して DirectAccess に接続するオプションがあります。 これは、DirectAccess サーバーの構成方法にも依存します。
DirectAccess クライアントにパブリック IPv4 アドレスがある場合、6to4 インターフェイスを使用して接続しようとします。 ただし、一部の ISP はパブリック IP アドレスの錯覚を与えます。 エンド ユーザーに提供されるのは、擬似パブリック IP アドレスです。 つまり、DirectAccess クライアント (データ カードまたは SIM 接続) によって受信された IP アドレスがパブリック アドレス空間からの IP である可能性がありますが、実際には 1 つ以上の NAT の背後にあります。
クライアントが NAT デバイスの背後にある場合は、Teredoを使用しようとします。 ホテル、空港、コーヒーショップなどの多くの企業では、Teredoトラフィックがファイアウォールを通過することを許可していません。 このようなシナリオでは、クライアントは IP-HTTPS にフェールオーバーします。 IP-HTTPS は、SSL (TLS) TCP 443 ベースの接続経由で構築されます。 SSL 送信トラフィックは、ほとんどの場合、すべてのネットワークで許可されます。
これを念頭に置いて、IP-HTTPS は、信頼性が高く、常に到達可能なバックアップ接続を提供するために構築されました。 DirectAccess クライアントは、他のメソッド (Teredoや 6to4 など) が失敗した場合にこれを利用します。
移行テクノロジの詳細については、 IPv6 遷移テクノロジに関するページを参照してください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示