这里有一个令人沮丧的问题...希望其他人之前已经看到过这个问题,因此情况如下:
问题: 我无法从在 Server 2016 下运行的任何产品打开任何 https:// (SSL) 站点。非 SSL 站点均可正常打开。
尝试过: 正在重新启动。
多种浏览器:Chrome 表现出相同的症状,所以这不是 IE 独有的问题。
使用 SSL 进行通信的软件(例如 Windows 设置 -> 更新)无法工作。运行一段时间后会超时并显示“...无法连接到更新服务...”。
DNS 解析正常(再次强调,非 SSL 站点可以正常打开)。对相同的 SSL 站点执行 Ping 操作可以正常解析/回复。
sfc /scannow 没有返回问题
所有配置文件的 Windows 防火墙均已关闭。
清除 IE 中的 SSL 状态(IE -> 选项 -> 内容 -> [清除 SSL 状态])
重置 IE(IE -> 选项 -> 高级 -> [重置...])
已尝试使用多个用户帐户,管理员和非管理员均是如此。所有用户配置文件均表现出相同的症状。
(2018 年 1 月 16 日添加):此硬件/子网上的所有其他物理系统和虚拟机均按预期访问所有站点。只有这一个虚拟机存在 SSL 问题。因此这不是防火墙/路由器问题(硬件防火墙设备配置为允许所有出站连接)。
设想: 这是用于托管 RemoteApps 服务的生产 Server 2016 VM,因此我的其他用户可以从外部运行 QuickBooks 等程序。它还托管了我们运行 Atlassian Confluence 的公司 Wiki。RemoteApps 托管和 Wiki 托管都运行良好;两者都通过 SSL 运行,这似乎非常适合托管服务。
未配置代理。
SQL Server 2016 已安装(并且运行正常)
有什么想法吗?我已经这样做了 30 多年了...但偶尔我会遇到一个问题,开始质疑我的人生方向,这就是其中一个例子 ;)
-担
答案1
解决!!!
Aaron 在这个问题上对“Network Appliance 防火墙”的评论让我开始思考——我立即将其完全驳回,因为在同一个防火墙后面,其他一切都运行正常。我心里想这是一个根证书、SSL 或一些与 SSL 相关的问题。事实上,根本不是那样。
我们使用的是 Sonicwall 防火墙,这没什么问题,我认为它很棒。但是,每当设置“公共服务器”(定义为一些端口开放的节点,以便可以从外部访问,例如 SMTP 端口 25 或 HTTPS 443)时,它都会创建三个单独的 NAT 规则来管理诸如环回之类的情况(当 LAN 上的机器试图访问 WAN 可访问的服务,例如 apps.mycompany.com 时,环回会将公共 IP 转换为内部 LAN IP)。
问题:我在端口 443 上运行 RemoteApps 托管服务,并在其默认端口 8433 上运行 Atlassian Confluence。但由于我直接在 fqdn(wiki.companyname.com)上运行它,所以我不想在每个浏览器请求中添加 :8433。因此,我通过 NAT 表将 Wiki 公共 IP(我们有 5 个块)上的 443 入站请求端口转换为 8433。因此,在 RemoteApps IP 上,443 external = 433 internal,但在 Wiki 公共 IP 上,443=8433。
原因:Sonicwall 将服务器 LAN(私有)IP 的出站请求从 443 转换为 8433。因此基本上每个 https:// 请求都从 8433 发出。
一个小复选框!
一切都很好。向 Aaron(置顶评论)致敬,不一定是因为他说得对,但整个“网络设备防火墙”的事情一直萦绕在我的脑海里,我开始思考那个 NAT 表……
我通过更改服务器的 LAN IP 地址找到了解决方案。突然它就起作用了(无论如何,出站连接都起作用了,显然它完全中断了所有入站连接,但我只是想做一个简短的测试)。当新的 LAN IP 的行为发生变化时,它立即从等式中消除了 Certs/RootCerts/SSL,让我专注于“损坏”IP 的特殊之处——这让我找到了该死的 NAT 列表。