特定の IP アドレスでは、Windows Server 2008 の SSTP 接続を制限する方法

文書翻訳 文書翻訳
文書番号: 947028
すべて展開する | すべて折りたたむ

目次

はじめに

セキュリティで保護されたソケット トンネリング プロトコル (SSTP) は、Windows Server 2008 のルーティングとリモートの Access Services ロールで使用可能な仮想プライベート ネットワーク (VPN) トンネルの新種です。SSTP は Windows Vista Service Pack 1 (SP1) で使用可能です。SSTP は、HTTPS プロトコル伝送制御プロトコル (TCP) ポート 443 を介してファイアウォールを通過するトラフィックを渡すし、Web プロキシ ポイント ツー ポイント トンネリング プロトコル (PPTP) および、レイヤー 2 トンネリング プロトコル (L2TP) をブロックする可能性がありますに使用または IPsec トラフィック。SSTP は、ポイント ツー ポイント プロトコル (PPP) パケットが、HTTPS プロトコルをセキュリティで保護されたソケット レイヤー (SSL) チャネル経由でカプセル化することができます。これは VPN 接続をするには、ファイアウォールまたはネットワーク アドレス変換 (NAT) デバイス経由より簡単に確立することができます。また、この VPN 接続の確立は、HTTP プロキシ デバイスを経由することができます。SSTP は、HTTPS プロトコルを SSL チャネルを介して PPP トラフィックをカプセル化するための機構が用意されています。

既定では、SSTP はすべてのインターフェイス上でリッスンするように構成されています。たとえば、SSTP IPv4 用の 0.0.0.0 をリッスンするように構成されているか::/0 IPv6 の。既定では、ルーティングとリモート Access Services のコンピューター上で使用可能なすべての IPv4 および IPv6 のアドレスを経由して VPN 接続また、ルーティングとリモートの Access Services は常に設定コンピューター証明書はコンピューター証明書とも呼ばれる、Http.sys にします。Http.sys は、HTTPS リスナー コンポーネントにルーティングし、リモートの Access Services 0.0.0.0:PortNum と [::] と共に実行している Windows Server 2008 ベースのコンピューター: PortNum。

この資料では、管理者特定の IPv4 または IPv6 IP アドレスからまたは特定のインターフェイスの SSTP 接続をブロックする方法について説明します。

詳細

特定の IPv4 または IPv6 IP アドレスまたは特定のインターフェイスの SSTP 接続をブロックするには、次の方法のいずれかを使用します。

方法 1: 適切なパケット フィルターを構成します。

  1. ルーティングとリモート アクセス MMC スナップインを起動します。これを行うをクリックしてください。 開始、ポイント 管理ツール、し ルーティングとリモート アクセス.
  2. 展開 IPV4、し 全般.使用可能なインターフェイスの一覧が表示されます。
  3. VPN にはクライアント接続のインターフェイスをダブルクリックします。
  4. クリックしてください。 入力フィルター.
  5. クリックしてください。 新しいを選択する] をクリックし、 宛先ネットワーク チェック ボックスします。
  6. で、 IP アドレス ボックスで、宛先の IP アドレスを入力します。
  7. で、 サブネット マスク ボックスに、宛先サブネット マスクを入力します。
  8. で、 プロトコル ボックスの一覧でクリックしてください TCP.
  9. で、 [発信元ポート ボックスの種類 443.または、443 からが異なる場合、SSTP ポート番号を入力します。
  10. で、 宛先ポート ボックスの種類 443.または、443 からが異なる場合、SSTP ポート番号を入力します。

方法 2: 証明書を特定の IP アドレス: ポートは HTTP リスナーを構成します。

メモ 次のコマンドを実行するには、管理者特権を使用して、コマンド プロンプトを開く必要があります。これを行うをクリックしてください。 開始を右クリックして コマンド プロンプト、し 管理者として実行します。.
  1. Http.sys から証明書を削除します。これを行うには、SSTP ポート番号が 443 では、コマンド プロンプトで次のコマンドを入力します。
    netsh http delete sslcert ipport 0.0.0.0:443 =
    netsh http delete sslcert ipport = [::]: 443
  2. Http.sys には、新しい証明書を追加します。これを行うには、コマンド プロンプトで次のコマンドを入力します。
    netsh の http の追加 sslcert ipport =IPv4 アドレスは、HTTP リスナー: 443 certhash = xxx appid {ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename = MY =
    netsh の http の追加 sslcert ipport =IPv6 アドレスは、HTTP リスナー: 443 certhash = xxx appid {ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename = MY =

    メモ これらのコマンドで、 xxx 新しい証明書の SHA1 証明書ハッシュのプレース ホルダーです。
  3. コマンド プロンプトで、次のコマンドを入力し、Sha256CertificateHash レジストリ サブキーの値の SSTP サービスを構成するのには、ENTER キーを押します。
    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters/v SHA256CertificateHash/t REG_BINARY/d IIS Web サーバー証明書の Sha256 ハッシュ値 /f

    メモ SHA256 証明書ハッシュのコンピューター証明書が見つからない場合は、完全な Sha256CertificateHash のレジストリ サブキーの値を構成するのには a 〜 e を手順します。
    1. ルーティングとリモート アクセス サービスを再起動します。
    2. Sha256CertificateHash のレジストリ キーは、手順 3 に記載されているレジストリの場所での一時的な値としては、32 バイトのバイナリ値を構成します。このレジストリ キーは REG_BINARY 型でする必要があります。
    3. 別のコンピューターで、ある SSTP ベースの VPN リンク先が、ルーティングとリモート アクセス サーバーのホスト名が、VPN 接続を作成します。
    4. VPN 接続に接続します。接続に失敗します。クライアント コンピューターでは、イベント ビューアーを開くし、次のイベントを探します。
      Cryptographic binding failed for the client connection. The reason is client and the server have mismatched certificate hashes configured. SHA1 Certificate Hash: HashValue SHA256 Certificate Hash: HashValue
      `
    5. SHA256 の証明書のハッシュ値をクライアント コンピューターで、イベントの値を確認し、Sha256CertificateHash のレジストリ キーで、ルーティングとリモート アクセス サーバーは、この値を使用します。
  4. ルーティングとリモート アクセス サーバーを再起動します。Http.sys は、ここで特定の IP アドレス: ポート上でリッスンするように設定されています。HTTPS 接続の場合は他の IP アドレス: ポートから削除されます。

プロパティ

文書番号: 947028 - 最終更新日: 2011年8月10日 - リビジョン: 3.0
キーワード:?
kbhowto kbinfo kbexpertiseadvanced kbmt KB947028 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:947028
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com