Come limitare le connessioni SSTP uno specifico indirizzo IP in Windows Server 2008

Traduzione articoli Traduzione articoli
Identificativo articolo: 947028 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

INTRODUZIONE

SSTP (protetto Socket Tunneling Protocol) è un nuovo tipo di tunnel di rete privata virtuale (VPN) disponibile nel ruolo di routing e servizi di accesso remoto in Windows Server 2008. SSTP disponibile anche per l'utilizzo in Windows Vista Service Pack 1 (SP1). SSTP utilizza il protocollo HTTPS tramite la porta TCP (Transmission Control Protocol) 443 per consentire il traffico attraverso firewall e Web proxy che potrebbe bloccare PPTP (Point-to-Point Tunneling Protocol) e Layer 2 Tunneling Protocol (L2TP) o il traffico IPsec. SSTP consente pacchetti PPP (Point-to-Point Protocol) da incapsulare attraverso il canale SSL (Secure Sockets Layer) del protocollo HTTPS. In questo modo, una connessione VPN per stabilire più facilmente attraverso un firewall o una periferica Network Address Translation (NAT). Inoltre, questo consente una connessione VPN a essere stabilita tramite una periferica di proxy HTTP. SSTP fornisce un meccanismo per incapsulare il traffico PPP attraverso il canale SSL del protocollo HTTPS.

Per impostazione predefinita, SSTP è configurato per l'ascolto su tutte le interfacce. Ad esempio, SSTP è configurato per l'ascolto su 0.0.0.0 per IPv4 o:: / 0 per IPv6. Per impostazione predefinita, routing e servizi di accesso remoto si consente per connessioni VPN di viaggiare su indirizzi tutti IPv4 e IPv6 disponibili nel computer. Inoltre, routing e servizi di accesso remoto imposta sempre il certificato del computer, noto anche come il certificato del computer, HTTP.sys. HTTP.sys è il componente di listener HTTPS su un computer basato su Windows Server 2008 che esegue Routing e servizi di accesso remoto con 0.0.0.0:PortNum e [:]: PortNum.

In questo articolo viene descritto come un amministratore può bloccare le connessioni di SSTP da specifici indirizzi IPv4 o IPv6 IP o da interfacce specifiche.

Informazioni

Per bloccare le connessioni di SSTP da specifici indirizzi IPv4 o IPv6 IP o da interfacce specifiche, utilizzare uno dei metodi descritti di seguito.

Metodo 1: Configurare il filtro di pacchetto appropriato

  1. Avvio dello snap-in MMC di Access remoto e routing. Per effettuare questa operazione, fare clic su Start , scegliere Strumenti di amministrazione , quindi Routing e accesso remoto .
  2. Espandere IPv4 e quindi fare clic su Generale . Verrà visualizzato l'elenco di interfacce disponibili.
  3. Fare doppio clic l'interfaccia a VPN che connettono i client.
  4. Fare clic su in filtri in ingresso .
  5. Fare clic su Nuovo e quindi per selezionare la casella di controllo rete di destinazione .
  6. Nella casella indirizzo IP , digitare l'indirizzo IP di destinazione.
  7. Nella casella subnet mask digitare la subnet mask di destinazione.
  8. Nell'elenco Protocol , fare clic su TCP .
  9. Nella casella porta di origine , digitare 443 . Oppure digitare il numero di porta SSTP se è diverso da 443.
  10. Nella casella porta di destinazione , digitare 443 . Oppure digitare il numero di porta SSTP se è diverso da 443.

Metodo 2: Configurare il certificato per una specifica porta indirizzo IP per il listener HTTP

Nota Per eseguire i seguenti comandi, è necessario aprire il prompt dei comandi utilizzando autorizzazioni elevate. Per effettuare questa operazione, fare clic su Start , fare clic con il pulsante destro del mouse sul prompt dei comandi e scegliere Esegui come amministratore .
  1. Eliminare il certificato da HTTP.sys. A tal fine, digitare i comandi seguenti al prompt dei comandi, dove 443 è il numero di porta SSTP:
    netsh http delete sslcert ipport = 0.0.0.0:443
    netsh http delete sslcert ipport = [:]: 443
  2. Aggiungere il nuovo certificato per HTTP.sys. Per effettuare questa operazione, digitare i comandi seguenti al prompt dei comandi:
    netsh http aggiungere sslcert ipport = IPv4 address for the HTTP listener: 443 certhash = xxx appid = {ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename = MY
    netsh http aggiungere sslcert ipport = IPv6 address for the HTTP listener: 443 certhash = xxx appid = {ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename = MY

    Nota In questi comandi, xxx è un segnaposto per l'hash del certificato di SHA1 del nuovo certificato.
  3. Al prompt dei comandi, digitare il comando seguente e premere INVIO per configurare il valore sottochiave del Registro di sistema Sha256CertificateHash per il servizio SSTP:
    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters /v SHA256CertificateHash /t REG_BINARY /d Sha256 hash value for the IIS Web server certificate /f

    Nota Se non si riesce a individuare l'hash certificato SHA256 il certificato di computer, completo passaggi a e per configurare un valore per la sottochiave del Registro di sistema Sha256CertificateHash.
    1. Riavviare il servizio Routing e accesso remoto.
    2. Configurare qualsiasi valore binario a 32 byte come valore temporaneo per la chiave del Registro di sistema di Sha256CertificateHash nella posizione del Registro di sistema menzionato nel passaggio 3. Questa chiave del Registro di sistema deve essere di tipo REG_BINARY.
    3. In un computer diverso, è possibile creare una connessione VPN che è basato su SSTP dove la destinazione VPN è il nome di host di routing e RAS.
    4. Connettersi alla connessione VPN. La connessione avrà esito negativo. Aprire il Visualizzatore eventi sul computer client e individuare il seguente evento:
      Cryptographic binding failed for the client connection. The reason is client and the server have mismatched certificate hashes configured. SHA1 Certificate Hash: HashValue SHA256 Certificate Hash: HashValue
      `
    5. Prendere nota del valore di hash del certificato SHA256 nell'evento sul computer client e utilizzare quindi questo valore per la chiave di registro Sha256CertificateHash sul server.
  4. Riavviare il server di routing e accesso remoto. HTTP.sys è ora impostata per l'ascolto su una particolare indirizzo IP: porta. Le connessioni HTTPS vengono eliminate dal altre porte: indirizzo IP.

Proprietà

Identificativo articolo: 947028 - Ultima modifica: giovedì 29 maggio 2008 - Revisione: 1.0
Le informazioni in questo articolo si applicano a:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Chiavi: 
kbmt kbexpertiseadvanced kbhowto kbinfo KB947028 KbMtit
Traduzione automatica articoli
Il presente articolo è stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non è sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, più o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non è la sua. Microsoft non è responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 947028
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com