Клиентам DirectAccess может не удается подключиться с помощью 0x80092013 ошибок

  • Статья

В этой статье показано, как решить проблему, из-за которой клиенты DirectAccess не могут подключаться к серверу DirectAccess с помощью подключений по протоколу IP-HTTPS.

Область применения: Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер базы знаний: 2980672

Симптомы

Клиентам DirectAccess может не удается подключиться к серверу DirectAccess с помощью подключений IP-HTTPS, так как проверка отзыва завершается ошибкой.

В выходных данных интерфейса HTTP-интерфейса команды netsh отобразится следующая ошибка:

Ошибка: 0x80092013

Преобразуется в: CRYPT_E_REVOCATION_OFFLINE
# Функции отзыва не удалось проверка отзыва, так как сервер отзыва находился в автономном режиме.

Причина

Эта ошибка может возникнуть по одной из следующих причин:

  1. Расположение списка отзыва сертификатов (CDP) недоступно.
  2. Расположение списка отзыва сертификатов (CDP) не опубликовано.
  3. Срок действия списка отзыва сертификатов истек, и новый не был опубликован.
  4. Список отзыва сертификатов доступен, но клиент выбирает из старого кэша.

Разрешение

Если расположение списка отзыва сертификатов (CDP) недоступно, убедитесь, что список отзыва сертификатов можно скачать из системного контекста, выполнив следующие действия:

  1. Определите, вызвана ли проблема с подключением параметрами прокси-сервера. Чтобы определить это, можно выполнить запрос с помощью следующих значений реестра:

    • запрос reg cmd.exe /c
      HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings /v ProxyEnable
    • запрос reg cmd.exe /c
      HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings /v ProxyServer
    • запрос reg cmd.exe /c
      HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings /v ProxyOverride
    • запрос reg cmd.exe /c
      HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings /v AutoConfigURL
    • запрос reg cmd.exe /c
      HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings /v ProxyEnable
    • запрос reg cmd.exe /c
      HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings /v ProxyServer
    • запрос reg cmd.exe /c
      HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings /v ProxyOverride
    • запрос reg cmd.exe /c
      HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings /v AutoConfigURL
    1. Если значение ProxyEnable равно 1 в любом из этих значений. По умолчанию или S-1-5-18 это означает, что не определять параметры автоматически. Это означает, что подключения создаются только с помощью прокси-сервера, определенного в ProxyServer или AutoConfigURL.
    2. Если значение ProxyEnable равно 0, это означает автоматическое обнаружение параметров. Поэтому нельзя изменить значение в реестре, чтобы обеспечить работу DA, так как куст HKU\<UserSID> является дампом для куста HKCU. Любые изменения, внесенные в HKU, будут перезаписаны каждый раз, когда системная служба активна. Чтобы изменить этот параметр, необходимо запустить интернет-Обозреватель или CMD.exe в системной учетной записи (NT AUTHORITY\System). Для этого в командной строке с повышенными привилегиями выполните следующую команду:
    • psexec.exe -s -i cmd.exe /c reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings /v ProxyEnable /t REG_DWORD /d 0 /f
      • Расположение списка отзыва сертификатов может быть недоступно по одной из следующих причин:
      1. Прокси-сервер контекста системы применяется, но недоступен и требует проверки подлинности пользователя.
      2. Ожидается вход в хот-точку.
      3. Расположение списка отзыва сертификатов недоступно в Интернете.
      4. Расположение списка отзыва сертификатов требует проверки подлинности перед предоставлением доступа.
      5. Расположение списка отзыва сертификатов доступно. Но файлы списка отзыва сертификатов не разрешено обслуживать.
      • В этом случае проверка разрешения файловой системы для файлов CRL и Delta CRL.
      • Убедитесь, что doubleEscaping включен для расположения CDP:
        • Set-WebConfiguration -Filter system.webServer/security/requestFiltering -PSPath 'IIS:\Sites<SiteName> -Value @{allowDoubleEscaping=$true}

  2. Если расположение списка отзыва сертификатов (CDP) не опубликовано, выполните следующие действия.

    1. Нажмите кнопку Пуск, наведите указатель на пункт Администрирование, а затем — Центр сертификации.
    2. В дереве консоли щелкните правой кнопкой мыши corp-DC1-CA и выберите пункт Свойства.
    3. Перейдите на вкладку Расширения и нажмите кнопку Добавить.
    4. В поле Расположение введите http://\<Public-IIS-URL>/crld/ (требуется URL-адрес глобальной сети для доступа к Интернету)
    5. В поле Переменная щелкните <CAName>, а затем нажмите кнопку Вставить.
    6. В поле Переменная щелкните <CRLNameSuffix> и нажмите кнопку Вставить.
    7. В поле Переменная щелкните <DeltaCRLAllowed> и нажмите кнопку Вставка.
    8. В поле Расположение в конце строки Location введите .crl и нажмите кнопку ОК.
    9. Выберите Включить в списки отзыва сертификатов. Клиенты используют его для поиска расположений разностного списка отзыва сертификатов. Выберите Включить в расширение CDP выданных сертификатов и нажмите кнопку ОК. Затем нажмите кнопку Добавить.
    10. В поле Расположение введите \<IIS-ServerName>\crldist$\ (внутреннее расположение, используемое центром сертификации для публикации в службах IIS и для обслуживания клиентов.)
    11. В поле Переменная щелкните <CAName>, а затем нажмите кнопку Вставить.
    12. В поле Переменная щелкните <CRLNameSuffix> и нажмите кнопку Вставить.
    13. В поле Переменная щелкните <DeltaCRLAllowed> и нажмите кнопку Вставка.
    14. В поле Расположение в конце строки введите .crl и нажмите кнопку ОК.
    15. Выберите Опубликовать списки отзыва сертификатов в этом расположении и Опубликовать разностные списки отзыва сертификатов в этом расположении, а затем нажмите кнопку ОК.
    16. Нажмите кнопку Да, чтобы перезапустить службы сертификатов Active Directory.
    17. Закройте консоль центра сертификации.

  3. Если срок отзыва отзыва сертификатов истек, выполните следующие действия.

    • Повторная публикация списка отзыва отзыва сертификатов
      • Certutil -crl

  4. Если список отзыва сертификатов доступен, но клиент выбирает из старого кэша, выполните следующие действия.

    Очистка клиентских кэшей

    1. TVO (объекты, проверенные временем)
      • Certutil -setreg chain\ChainCacheResyncFiletime @now
    2. Кэш URL-адресов
      • Certutil -urlcache * delete

Дополнительная информация

Методы подключения DirectAccess

Клиенты DirectAccess используют несколько методов для подключения к серверу DirectAccess. Это обеспечивает доступ к внутренним ресурсам. Клиенты могут использовать Teredo, 6to4 или IP-HTTPS для подключения к DirectAccess. Это также зависит от того, как настроен сервер DirectAccess.

Если клиент DirectAccess имеет общедоступный IPv4-адрес, он будет пытаться подключиться с помощью интерфейса 6to4. Однако некоторые поставщики интернета дают иллюзию общедоступного IP-адреса. То, что они предоставляют конечным пользователям, — это псевдо-общедоступный IP-адрес. Это означает, что IP-адрес, полученный клиентом DirectAccess (подключение к данным карта или SIM-картам), может быть IP-адресом из общедоступного адресного пространства, но в действительности находится за одним или несколькими nat.

Когда клиент находится за устройством NAT, он будет пытаться использовать Teredo. Многие предприятия, такие как отели, аэропорты и кафе, не разрешают движение Teredo пересекать их брандмауэр. В таких сценариях клиент выполняет отработку отказа на IP-HTTPS. IP-HTTPS создается по протоколу SSL (TLS) TCP 443. Исходящий трафик SSL, скорее всего, будет разрешен во всех сетях.

Учитывая это, IP-HTTPS был создан для обеспечения резервного подключения, которое является надежным и всегда достижимым. Клиент DirectAccess будет использовать его при сбое других методов (например, Teredo или 6to4).

Дополнительные сведения о технологиях перехода см. в статье Технологии перехода IPv6.

Списки отзыва сертификатов

Списки отзыва сертификатов используются для распространения сведений об отозванных сертификатах среди пользователей, компьютеров и приложений, которые пытаются проверить действительность сертификатов. Списки отзыва сертификатов — это полные списки сертификатов с цифровой подписью. Список отзыва сертификатов извлекается клиентами, которые затем могут кэшировать список отзыва сертификатов (на основе настроенного времени существования списка отзыва сертификатов) и использовать его для проверки сертификатов, представленных для использования. По умолчанию список отзыва отзыва сертификатов публикуется в двух расположениях ЦС Microsoft Enterprise:

  • http://CAName/certenroll/CRLName
  • LDAP:///CN=CAName,CN=CAComputerName,CN=CDP,CN=PublicKeyServices,CN=Services,CN=Configuration,DC=ForestRootDomain,DC=TLD

Базовая проверка цепочки сертификатов

Когда CryptoAPI создает и проверяет цепочку сертификатов, происходит три отдельных этапа:

  1. Все возможные цепочки сертификатов создаются с помощью локально кэшированных сертификатов. Если ни одна из цепочек сертификатов не заканчивается самозаверяющий сертификат, CryptoAPI выбирает наилучшую цепочку и пытается получить сертификаты издателя, указанные в расширении доступа к информации центра, для завершения цепочки. Этот процесс повторяется до создания цепочки самозаверяющего сертификата.
  2. Для каждой цепочки, заканчивающейся самозаверяющим сертификатом в доверенном корневом хранилище, выполняется проверка отзыва.
  3. Проверка отзыва выполняется от корневого сертификата ЦС до оцениваемого сертификата.

Дополнительные сведения о точках распространения списка отзыва сертификатов (CRL) см. в разделе Указание точек распространения CRL.

Проверка отзыва сертификатов и точки распространения отзыва сертификатов

Для подключения IP-HTTPS между клиентом DirectAccess и сервером DirectAccess требуется отзыв сертификата проверка. Если отзыв сертификата проверка сбоем, клиенты DirectAccess не могут устанавливать подключения на основе IP-HTTPS к серверу DirectAccess. Таким образом, расположение точки распространения списка отзыва сертификатов в Интернете должно присутствовать в сертификате IP-HTTPS и доступно для клиентов DirectAccess, подключенных к Интернету.

Для подключения на основе IP-HTTPS между клиентом DirectAccess и сервером сетевого расположения требуется отзыв сертификата проверка. Если отзыв сертификата проверка завершается сбоем, клиенты DirectAccess не смогут получить доступ к URL-адресу на основе IP-HTTPS на сервере сетевых расположений. Таким образом, расположение точки распространения CRL на основе интрасети должно присутствовать в сертификате сервера сетевых расположений и быть доступным для клиентов DirectAccess, подключенных к интрасети, даже если в таблице политики разрешения имен (NRPT) есть правила DirectAccess.

Для туннелей IPsec между клиентом DirectAccess и сервером DirectAccess требуется отзыв сертификата проверка.