我有一个 Windows 2012 R2 标准服务器设置,其中的 SSTP VPN 大部分都运行正常。我能够从外部计算机连接到此 VPN,并且一切正常。
当服务器停止监听端口 443 时,就会出现问题,如下所示:
我认为我只需重新启动 RRAS 并让它再次开始监听端口 443 即可:
但它似乎不起作用。一切都正常重新启动,但它没有恢复对端口 443 的监听。以下是Running
与 VPN/远程访问相关的服务的快照。
有点好笑的是,我在写这篇文章的时候正在远程办公,我不得不使用远程桌面来诊断这个问题,如果我最终无法解决问题,我将不得不重新启动服务器让它再次开始在端口 443 上监听。我显然不想这样做,因为它会扰乱办公室的秩序,而且这也是一个坏主意。
我从事件日志中找到了以下条目,它们似乎与此问题相关,但我不确定。这两种情况都有很多。
ID:
36888
严重性:Error
来源:Schannel
日志:System
生成了致命警报并发送到远程端点。这可能会导致连接终止。TLS 协议定义的致命错误代码为 10。Windows SChannel 错误状态为 1203。
和
ID:
8016
严重性:Warning
来源:Microsoft-Windows-DNS Client Events
日志:System
系统无法为具有以下设置的网络适配器注册主机(A 或 AAAA)资源记录 (RR):
Adapter Name : {B34E76CF...} Host Name : <NAME> Primary Domain Suffix : <DOMAIN> DNS server list : ::1, 192.168.0.1 Sent update to server : <?> IP Address(es) : 192.168.0.166
系统无法注册这些 RR 的原因是 DNS 服务器无法处理更新请求。最可能的原因是处理此更新请求所需的权威 DNS 服务器已锁定该区域,可能是因为正在进行区域传输。
ipconfig /registerdns
您可以通过在命令提示符下键入来手动重试网络适配器的 DNS 注册及其设置。如果问题仍然存在,请联系您的 DNS 服务器或网络系统管理员。
我确实为我的 VPN 域购买了 Comodo 证书,当我转到 RRAS 服务器属性时该证书会被绑定:
我还导航到注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters
并看到 SHA 哈希似乎与我的绑定证书匹配:
我想弄清楚:
- 为什么服务器似乎任意停止监听端口 443(所以我可以阻止它)并且......
- 如何让服务器在不重新启动的情况下再次开始监听端口 443?
我希望我已经包含了足够的信息,如果我遗漏了任何内容,请告诉我。请记住,如果服务器正在监听端口 443,我的设置中的所有内容都会正常工作。这就是为什么我对发生的事情感到很困惑。
编辑#1@2017-07-21 10:13 PM UTC
一些额外的调查显示,SstpSvc
当我遇到上述问题时,负责监听端口 443 ( ) 的服务正在运行。重新启动它并不能解决问题。重新启动时,我没有在事件查看器中看到此服务的任何错误。
答案1
您的问题是最全面的,因此我将在这里提供我的意见。
根据我在 Windows Server 2012 R2 中的测试,我可以通过执行以下操作恢复此功能而无需重新启动:
重启 w3svc
重启 sstpsvc
不幸的是,您必须强制重启 sstpsvc,这也需要重启路由和远程访问,从而有效地断开用户连接。重启比完全重启要快得多,但不幸的是仍然会中断。
如果您想使用 powershell 编写脚本,您可以:
Restart-Service -Name w3svc
Restart-Service -Name sstpsvc -Force
我正在对此进行监控,所以也许我可以确定为什么会发生这种情况。我目前的理论是 w3svc 正在管理 SSTP 会话的 TLS,并且在此过程中停止工作。