Comment faire pour restreindre connexions SSTP vers une adresse IP spécifique dans Windows Server 2008

Traductions disponibles Traductions disponibles
Numéro d'article: 947028 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

INTRODUCTION

Protocole SSTP (sécurisé Socket Tunneling Protocol) est un nouveau type de tunnel de réseau privé virtuel (VPN) qui est disponible dans le rôle de routage et des services d'accès distant dans Windows Server 2008. SSTP est également disponible pour une utilisation dans Windows Vista avec Service Pack 1 (SP1). SSTP utilise le protocole HTTPS sur le port TCP (Transmission Control Protocol) 443 pour transmettre le trafic via les pare-feux et proxys peuvent bloquer PPTP (Point-to-point Tunneling Protocol) et 2 tunnel L2TP (Layer Protocol) Web/le trafic IPsec. SSTP permet des paquets de protocole PPP (Point-to-Point Protocol) pour être encapsulées sur le canal de SSL (Secure Sockets LAYER) du protocole HTTPS. Cela permet une connexion VPN à être plus facilement établies par l'intermédiaire d'un pare-feu ou d'un périphérique (Network Address TRANSLATION). En outre, cela permet une connexion VPN à être établie via un périphérique proxy HTTP. SSTP fournit un mécanisme pour encapsuler le trafic PPP sur le canal SSL du protocole HTTPS.

Par défaut, SSTP est configuré pour écouter sur toutes les interfaces. Par exemple, SSTP est configuré pour écouter sur 0.0.0.0 pour IPv4 ou:: / 0 pour IPv6. Par défaut, routage et des services d'accès distant autorise pour les connexions VPN à voyages sur tous les IPv4 et IPv6 adresses situées disponibles sur l'ordinateur. Routage et des services d'accès distant toujours définit également le certificat d'ordinateur, également appelé le certificat d'ordinateur, à HTTP.sys. HTTP.sys est le composant de port d'écoute HTTPS sur un ordinateur Windows Server 2008 qui exécute Routage et des services d'accès distant avec 0.0.0.0:PortNum et [:]: PortNum.

Cet article explique comment un administrateur peut bloquer les connexions SSTP à partir des adresses IPv4 ou IPv6 IP spécifiques ou d'interfaces spécifiques.

Plus d'informations

Pour bloquer les connexions SSTP à partir des adresses IPv4 ou IPv6 IP spécifiques ou d'interfaces spécifiques, appliquez l'une des méthodes suivantes.

Méthode 1: configurer le filtre de paquet approprié

  1. Démarrez le composant logiciel enfichable MMC accès à distance et de routage. Pour ce faire, cliquez sur Démarrer , pointez sur Outils d'administration , puis cliquez sur Routage et accès distant .
  2. Développez IPv4 , puis cliquez sur général . La liste des interfaces disponibles s'affiche.
  3. Double-cliquez sur l'interface au VPN clients se connectent.
  4. Cliquez sur entrantes filtres .
  5. Cliquez sur Nouveau , puis cliquez sur Activer la case à cocher réseau de destination .
  6. Dans la zone Adresse , tapez l'adresse IP de destination.
  7. Dans la zone masque de sous-réseau , tapez le masque de sous-réseau de destination.
  8. Dans la liste de protocole , cliquez sur TCP .
  9. Dans la zone port source , tapez 443 . Ou tapez le numéro de port SSTP s'il diffère 443.
  10. Dans la zone port de destination , tapez 443 . Ou tapez le numéro de port SSTP s'il diffère 443.

Méthode 2: configurer le certificat pour une adresse IP spécifique : port pour l'écouteur HTTP

note Pour exécuter les commandes suivantes, vous devez ouvrir l'invite de commande en utilisant les autorisations avec des privilèges élevés. Pour ce faire, cliquez sur Démarrer , cliquez avec le bouton droit sur invite , puis cliquez sur Exécuter en tant qu'administrateur .
  1. Supprimer le certificat de http.sys. Pour cela, tapez les commandes suivantes à l'invite de commandes, où 443 est le numéro de port SSTP :
    supprimer sslcert ipport netsh http = 0.0.0.0:443
    netsh http supprimer sslcert ipport = [:]: 443
  2. Ajouter le nouveau certificat à HTTP.sys. Pour ce faire, tapez les commandes suivantes à l'invite de commandes :
    netsh http ajouter sslcert ipport = IPv4 address for the HTTP listener: certhash 443 = identificateur d'application xxx = {ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename = mon
    netsh http ajouter sslcert ipport = IPv6 address for the HTTP listener: certhash 443 = identificateur d'application xxx
    = {ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename = mon

    note Dans ces commandes, xxx est un espace réservé pour le hachage de certificat SHA1 du nouveau certificat.
  3. À l'invite de commandes, tapez la commande suivante et appuyez sur ENTRÉE pour configurer la valeur de sous-clé de Registre Sha256CertificateHash pour le service SSTP :
    reg ajouter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters /v SHA256CertificateHash /t REG_BINARY /d Sha256 hash value for the IIS Web server certificate /f

    note Si vous ne pouvez pas localiser le hachage de certificat SHA256 du certificat d'ordinateur, complète étapes a à e pour configurer une valeur de la sous-clé de Registre Sha256CertificateHash.
    1. Redémarrez le service Routage et accès distant.
    2. Configurer toute valeur binaire 32 octets comme une valeur temporaire pour la clé de Registre Sha256CertificateHash à l'emplacement du Registre qui est mentionné dans étape 3. Cette clé de Registre doit être de type REG_BINARY.
    3. Sur un autre ordinateur, créer une connexion VPN qui est basée sur SSTP où la destination VPN est le nom ordinateur hôte du service Routage et serveur d'accès distant.
    4. Se connecter à la connexion VPN. La connexion échoue. Ouvrez l'Observateur d'événements sur l'ordinateur client et recherchez l'événement suivant :
      Cryptographic binding failed for the client connection. The reason is client and the server have mismatched certificate hashes configured. SHA1 Certificate Hash: HashValue SHA256 Certificate Hash: HashValue
      `
    5. Notez la valeur de hachage de certificat SHA256 dans l'événement sur l'ordinateur client et ensuite utiliser cette valeur pour la clé de Registre Sha256CertificateHash sur le serveur Routage et accès distant.
  4. Redémarrez le serveur Routage et accès distant. HTTP.SYS est présent configuré pour écouter sur une adresse IP spécifique : port. Connexions HTTPS sont perdues à partir d'autre adresse IP : ports.

Propriétés

Numéro d'article: 947028 - Dernière mise à jour: jeudi 29 mai 2008 - Version: 1.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Mots-clés : 
kbmt kbexpertiseadvanced kbhowto kbinfo KB947028 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 947028
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com