Zum Beschränken der SSTP-Verbindungen zu einer bestimmten IP-Adresse in Windows Server 2008

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 947028 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

EINFÜHRUNG

Sichere Socket Tunneling-Protokoll (SSTP) ist eine neue Art der Tunnel virtuelles privates Netzwerk (VPN), die in die Funktion Routing und RAS-Dienst in Windows Server 2008 verfügbar ist. SSTP ist auch für die Verwendung in Windows Vista Service Pack 1 (SP1) verfügbar. SSTP verwendet das HTTPS-Protokoll über TCP (Transmission Control Protocol) Port 443, übergeben Datenverkehr über Firewalls und Webproxys, der Point-to-Point-Tunneling-Protokoll (PPTP) und Layer 2 Tunneling Protocol (L2TP) blockiert möglicherweise / IPSec-Datenverkehr. SSTP ermöglicht PPP (Point-to-Point Protocol)-Pakete über den Kanal (Secure Sockets LAYER) des HTTPS-Protokoll gekapselt werden. Dies ermöglicht eine VPN-Verbindung leichter durch eine Firewall oder über ein Gerät (Network Address Translation) hergestellt werden. Außerdem kann dadurch für VPN-Verbindungen über eine HTTP-Proxy-Gerät hergestellt werden. SSTP bietet einen Mechanismus zum Kapseln von PPP-Datenverkehr über den SSL-Kanal des HTTPS-Protokolls.

Standardmäßig ist SSTP konfiguriert, alle Schnittstellen abhören. SSTP ist beispielsweise für Abhören von 0.0.0.0 von IPv4-konfiguriert oder:: / 0 für IPv6. Standardmäßig können Routing und RAS-Dienste für VPN-Verbindungen über alle IPv4 und IPv6-Adressen zu übertragen, die auf dem Computer verfügbar sind. Legt außerdem fest Routing- und RAS-Dienst immer das Computerzertifikat, auch bekannt als das Computerzertifikat an HTTP.sys. HTTP.sys ist die HTTPS-Listener-Komponente auf einem Windows Server 2008-basierten Computer, auf dem Routing und RAS-Dienst ausgeführt wird, zusammen mit 0.0.0.0:PortNum und [:]: PortNum.

Dieser Artikel beschreibt wie ein Administrator SSTP-Verbindungen von bestimmten IPv4 oder IPv6-Adressen oder bestimmte Schnittstellen blockieren kann.

Weitere Informationen

Verwenden Sie eine der folgenden Methoden an, um zu SSTP-Verbindungen von bestimmten IPv4 oder IPv6-Adressen oder bestimmte Schnittstellen zu blockieren.

Methode 1: Konfigurieren des entsprechenden Paketfilters

  1. Starten Sie das Routing und Remote Access-MMC-Snap-in. Dazu klicken Sie auf Start , zeigen Sie auf Verwaltung und klicken Sie dann auf Routing und RAS .
  2. Erweitern Sie IPv4 , und klicken Sie dann auf Allgemein . Wird die Liste der verfügbaren Schnittstellen angezeigt.
  3. Doppelklicken Sie auf die Schnittstelle mit dem VPN-Clients verbinden.
  4. Klicken Sie auf Eingehende Filter .
  5. Klicken Sie auf neu , und aktivieren Sie dann das Kontrollkästchen Zielnetzwerk .
  6. Geben Sie im IP-Adresse die Ziel-IP-Adresse.
  7. Geben Sie im Feld Subnetzmaske die Zielsubnetzmaske ein.
  8. Klicken Sie in der Liste Protokoll auf TCP .
  9. Geben Sie im Feld Quellport 443 . Oder geben Sie die SSTP-Anschlussnummer, wenn es vom 443 unterscheidet.
  10. Geben Sie im Feld Zielport 443 . Oder geben Sie die SSTP-Anschlussnummer, wenn es vom 443 unterscheidet.

Methode 2: Konfigurieren des Zertifikats für einen bestimmten IP-Adresse: Port für HTTP-listener

Hinweis: Zum Ausführen der folgenden Befehle müssen Sie die Eingabeaufforderung mit erhöhte Berechtigungen öffnen. Dazu klicken Sie auf Start , klicken Sie mit der rechten Maustaste auf Eingabeaufforderung und klicken Sie dann auf als Administrator ausführen .
  1. Löschen Sie das Zertifikat von HTTP.sys. Geben Sie hierzu die folgenden Befehle an der Eingabeaufforderung, wobei 443 die SSTP-Anschlussnummer ist:
    Netsh http Delete Sslcert Ipport 0.0.0.0:443 =
    Netsh http Delete Sslcert Ipport = [:]: 443
  2. Fügen Sie das neue Zertifikat in HTTP.sys hinzu. Geben Sie hierzu die folgenden Befehle an der Eingabeaufforderung ein:
    Netsh http Sslcert Ipport hinzufügen = IPv4 address for the HTTP listener: 443 Certhash = xxx Anwendungskennung = {ba195980-cd49-458b-9e23-c84ee0adcd75} Certstorename = eigene
    Netsh http hinzufügen Sslcert Ipport = IPv6 address for the HTTP listener: 443 Certhash = xxx Anwendungskennung = {ba195980-cd49-458b-9e23-c84ee0adcd75} Certstorename = Meine

    Hinweis: In diesen Befehlen steht xxx für den SHA1-Zertifikat-Hash des neuen Zertifikats.
  3. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE, um Unterschlüssel Registrierungswert Sha256CertificateHash für SSTP-Dienst konfigurieren:
    Reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters/v SHA256CertificateHash/t REG_BINARY/d Sha256 hash value for the IIS Web server certificate Zertifikat/f

    Hinweis: Wenn Sie den Hash SHA256 Zertifikat das Zertifikat nicht finden, die Schritte abgeschlossen a bis e, einen Wert für den Registrierungsunterschlüssel Sha256CertificateHash zu konfigurieren.
    1. Starten Sie den Routing- und RAS-Dienst neu.
    2. Konfigurieren Sie alle 32-Byte-Binärwert als temporären Wert für den Sha256CertificateHash-Registrierungsschlüssel unter den Registrierungsschlüssel, der im Schritt 3 genannt wird. Dieser Registrierungsschlüssel muss vom Typ REG_BINARY.
    3. Erstellen Sie eine VPN-Verbindung, die SSTP-basierten ist, wobei das VPN-Ziel der Host-Name des Routing- und RAS-Server ist, auf einem anderen Computer.
    4. Verbinden Sie mit VPN-Verbindung. Die Verbindung schlägt fehl. Öffnen Sie die Ereignisanzeige auf dem Clientcomputer, und suchen Sie das folgende Ereignis:
      Cryptographic binding failed for the client connection. The reason is client and the server have mismatched certificate hashes configured. SHA1 Certificate Hash: HashValue SHA256 Certificate Hash: HashValue
      `
    5. Notieren Sie den Wert des SHA256 Zertifikatshash im Ereignis auf dem Clientcomputer, und verwenden Sie diesen Wert für den Sha256CertificateHash-Registrierungsschlüssel auf dem Routing und RAS-Server.
  4. Starten Sie den Routing- und RAS-Server neu. HTTP.sys ist jetzt für eine bestimmte IP-Adresse: Port Abhören festgelegt. HTTPS-Verbindungen werden aus anderen IP-Adresse: Ports gelöscht.

Eigenschaften

Artikel-ID: 947028 - Geändert am: Donnerstag, 29. Mai 2008 - Version: 1.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Keywords: 
kbmt kbexpertiseadvanced kbhowto kbinfo KB947028 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 947028
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com