none
DirectAccess : Erreur: la connectivité d'entreprise ne fonctionne pas. Windows ne parvient pas à contacter le serveur DirectAccess. RRS feed

  • Question

  • Bonjour, 

    Nous avons une machine client de test hors du réseau d'entreprise que je souhaite connecté par DirectAccess à mon Serveur qui est sur le réseau de Azure. La jointure au domaine hors ligne à fonctionné. Cependant DirectAcess essai de se connecté. 

    Je pense que des ports ou le pare-feu doivent à présent bloquer la connexion ou encore un enregistrement DNS peut-être. Avez-vous une idée ?

    Voici l'image des logs:

     

    mercredi 10 juin 2020 12:10

Réponses

Toutes les réponses

  • Après avoir lancé des lignes de commande jais reçu un code d’erreur qui correspond à ça : code 0x800b0109 which translates to CERT_E_UNTRUSTEDROOT. Cependant une idée comment importer le certificat sur la machine client ? Afin que DirectAccess se connecte? Lorsque DirectAccess est déployé à l'aide de l'assistant de démarrage (GSW), également appelé "déploiement simplifié", un certificat auto-signé est utilisé pour IP-HTTPS. Par défaut, ce certificat expire 5 ans après sa création. L'expiration d'un certificat auto-signé présente un défi unique. Bien que le certificat auto-signé ne puisse pas être renouvelé, il peut être recréé ou cloné en utilisant la commande PowerShell New-SelfSignedCertificate. Cependant, les clients DirectAccess ne feront pas confiance à ce nouveau certificat tant qu'ils n'auront pas reçu les paramètres client mis à jour via la politique de groupe. Les clients DirectAccess en dehors du réseau ne pourront pas établir de connexions IP-HTTPS tant qu'ils n'auront pas reçu ces nouvelles politiques. Lorsqu'ils tentent de se connecter au serveur DirectAccess sans avoir préalablement mis à jour la politique de groupe, le statut IP-HTTPS indiquera un code d'erreur 0x800b0109 qui se traduit par CERT_E_UNTRUSTEDROOT. Si le certificat auto-signé expiré est remplacé par un autre certificat auto-signé (non recommandé), les clients DirectAccess devront revenir sur le réseau interne ou se connecter à distance via un VPN basé sur le client pour mettre à jour la politique de groupe et recevoir les nouveaux paramètres du client DirectAccess. Une meilleure solution consiste à remplacer le certificat auto-signé expiré par un certificat SSL public qui correspond au nom d'hôte public existant. Cela permettra aux clients distants de rétablir la connectivité DirectAccess sans avoir besoin de mettre à jour la politique de groupe au préalable. Résumé L'expiration des certificats doit être surveillée de près pour garantir le plus haut niveau de disponibilité de la solution d'accès à distance DirectAccess. L'inscription automatique des certificats peut être mise à profit pour garantir que les certificats IPsec sont automatiquement renouvelés avant leur expiration. Toutefois, le certificat IP-HTTPS doit être renouvelé manuellement et nécessite une configuration supplémentaire après sa mise à jour. Traduit avec www.DeepL.com/Translator (version gratuite)
    mercredi 10 juin 2020 18:21
  • Pour ceux que cela intéresse vous devez prendre le certificat ayant le nom FQDN de votre serveur DA avec la mention authentification. et ça fonctionne  
    mercredi 10 juin 2020 20:20
  • Bonjour Guillaume,

    Merci pour ton retour.

    Bonne journée


    "Marquer comme réponse" les réponses qui ont résolu votre problème

    jeudi 11 juin 2020 03:34