Windows Server 2008의 특정 IP 주소 SSTP 연결을 제한하는 방법

기술 자료 번역 기술 자료 번역
기술 자료: 947028 - 이 문서가 적용되는 제품 보기.
모두 확대 | 모두 축소

이 페이지에서

소개

보안 소켓 터널링 프로토콜 (SSTP) 새 Windows Server 2008의 라우팅 및 원격 액세스 서비스 역할 사용할 가상 개인 네트워크(VPN) 터널 종류입니다. 또한 SSTP Windows Vista 서비스 팩 1 (SP1) 에서 사용할 수 있습니다. SSTP 트래픽이 방화벽을 통해 전달하고 PPTP (지점간 터널링 프로토콜) 및 계층 2 터널링 프로토콜 (L2TP) 차단할 수 있는 프록시 웹 TCP (전송 제어 프로토콜) 포트 443을 통해 HTTPS 프로토콜을 사용하는/IPsec 트래픽을. SSTP은 HTTPS 프로토콜 SSL (Secure Sockets Layer) 채널을 통해 캡슐화된 PPP (지점간 프로토콜) 패킷을 사용할 수 있습니다. VPN 연결을 통해 네트워크 주소 변환(NAT) 장치 또는 방화벽을 통해 보다 쉽게 설정할 수 있습니다. 또한 VPN 연결을 통해 HTTP 프록시 장치를 설정할 수 있습니다. SSTP은 PPP 트래픽이 HTTPS 프로토콜 SSL 채널을 통해 캡슐화할 수 있는 메커니즘을 제공합니다.

기본적으로, SSTP 모든 인터페이스에서 수신 대기하도록 구성되어 있습니다. 예를 들어, SSTP에 대한 IPv4 0.0.0.0에 대한 수신 대기하도록 구성되어야 또는::/0 IPv6의. 기본적으로 라우팅 및 원격 액세스 서비스 VPN 연결을 통해 컴퓨터에 사용할 수 있는 모든 IPv4 및 IPv6 주소 이동할 수 있습니다. 또한 라우팅 및 원격 액세스 서비스 항상 컴퓨터 인증서 (컴퓨터 인증서를 위해 Http.sys 설정합니다. Http.sys 0.0.0.0:PortNum 및 [::] 함께 라우팅 및 원격 액세스 서비스를 실행하는 Windows Server 2008 기반 컴퓨터에서 HTTPS 수신기 구성 요소인: PortNum.

이 문서에서는 어떻게 관리자가 특정 IPv4 또는 IPv6 IP 주소 또는 특정 인터페이스를 SSTP 연결을 차단할 수 있습니다.

추가 정보

특정 IPv4 또는 IPv6 IP 주소 또는 특정 인터페이스를 SSTP 연결을 차단하려면 다음 방법 중 하나를 사용하십시오.

방법 1: 적절한 패킷 필터 구성

  1. 라우팅 및 원격 액세스 MMC 스냅인을 시작하십시오. 이렇게 하려면 시작, 관리 도구 차례로 누른 다음 라우팅 및 원격 액세스.
  2. IPV4 를 확장한 다음 일반 을 클릭하십시오. 사용 가능한 인터페이스 목록에 나타납니다.
  3. 어떤 VPN 클라이언트가 연결하는 인터페이스를 두 번 클릭하십시오.
  4. 인바운드 필터를 클릭하십시오.
  5. 새로 만들기를 클릭한 다음 대상 네트워크 확인란을 선택하십시오.
  6. IP 주소 상자에 대상 IP 주소를 입력하십시오.
  7. 서브넷 마스크 상자에 대상 서브넷 마스크를 입력하십시오.
  8. TCP프로토콜 목록에서 클릭하십시오.
  9. 원본 포트 상자에 443을 입력하십시오. 또는 443에서 다르면 SSTP 포트 번호를 입력합니다.
  10. 대상 포트 상자에 443을 입력하십시오. 또는 443에서 다르면 SSTP 포트 번호를 입력합니다.

방법 2: 특정 IP 주소: 포트 인증서에 대한 HTTP 수신기 구성

참고 다음 명령을 실행하려면 명령 프롬프트 상승된 권한을 사용하여 열어야 합니다. 이렇게 하려면 시작명령 프롬프트 를 마우스 오른쪽 단추로 클릭하고 관리자 권한으로 실행 을 누릅니다.
  1. Http.sys에서 인증서를 삭제하십시오. 이렇게 하려면 명령 위치를 SSTP 포트 번호를 443입니다 프롬프트에서 다음 명령을 입력하십시오.
    netsh http 삭제 sslcert ipport 0.0.0.0:443 =
    netsh http 삭제 sslcert ipport = [::]: 443
  2. 새 인증서를 위해 Http.sys 추가하십시오. 이렇게 하려면 명령 프롬프트에서 다음 명령을 입력하십시오.
    sslcert ipport netsh http 추가 IPv4 address for the HTTP listener =: 443 certhash xxx appid는 = {ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename = MY =
    netsh http sslcert ipport 추가 IPv6 address for the HTTP listener =: 443 certhash xxx appid는 = {ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename = MY =

    참고 이러한 명령은 xxx 새 인증서의 SHA1 인증서 해시 자리 표시자입니다.
  3. 명령 프롬프트에서 다음 명령을 입력한 다음 SSTP 서비스의 Sha256CertificateHash 레지스트리 하위 키 값을 구성하려면 Enter 키를 누릅니다.
    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters/v SHA256CertificateHash/t REG_BINARY/d Sha256 hash value for the IIS Web server certificate/f

    참고 컴퓨터 인증서 SHA256 인증서 해시 찾을 수 없으면 Sha256CertificateHash 레지스트리 하위 키에 대한 값을 구성하려면-e 전체 단계를.
    1. 라우팅 및 원격 액세스 서비스를 다시 시작하십시오.
    2. 3단계에서 언급한 레지스트리 위치에 Sha256CertificateHash 레지스트리 키에 대한 임시 값으로 32바이트 이진 값을 구성하십시오. 이 레지스트리 키를 REG_BINARY 형식이어야 합니다.
    3. 다른 컴퓨터에서 VPN 대상 라우팅 및 원격 액세스 서버가 호스트 이름을 SSTP 기반 이며 여기서 VPN 연결을 만듭니다.
    4. VPN 연결을 연결하십시오. 연결이 실패합니다. 클라이언트 컴퓨터에서 이벤트 뷰어를 열고 다음 이벤트를 찾습니다.
      Cryptographic binding failed for the client connection. The reason is client and the server have mismatched certificate hashes configured. SHA1 Certificate Hash: HashValue SHA256 Certificate Hash: HashValue
      `
    5. 클라이언트 컴퓨터에서 이벤트 SHA256 인증서 해시 값 및 라우팅 및 원격 액세스 서버의 Sha256CertificateHash 레지스트리 키에 대해 이 값을 사용하십시오.
  4. 라우팅 및 원격 액세스 서버를 다시 시작하십시오. 이제 Http.sys는 특정 IP 주소: 포트에서 수신하도록 설정됩니다. HTTPS 연결은 다른 IP 주소: 포트가 삭제됩니다.

속성

기술 자료: 947028 - 마지막 검토: 2008년 5월 29일 목요일 - 수정: 1.0
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
키워드:?
kbmt kbexpertiseadvanced kbhowto kbinfo KB947028 KbMtko
기계 번역된 문서
중요: 본 문서는 전문 번역가가 번역한 것이 아니라 Microsoft 기계 번역 소프트웨어로 번역한 것입니다. Microsoft는 번역가가 번역한 문서 및 기계 번역된 문서를 모두 제공하므로 Microsoft 기술 자료에 있는 모든 문서를 한글로 접할 수 있습니다. 그러나 기계 번역 문서가 항상 완벽한 것은 아닙니다. 따라서 기계 번역 문서에는 마치 외국인이 한국어로 말할 때 실수를 하는 것처럼 어휘, 구문 또는 문법에 오류가 있을 수 있습니다. Microsoft는 내용상의 오역 또는 Microsoft 고객이 이러한 오역을 사용함으로써 발생하는 부 정확성, 오류 또는 손해에 대해 책임을 지지 않습니다. Microsoft는 이러한 문제를 해결하기 위해 기계 번역 소프트웨어를 자주 업데이트하고 있습니다.

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com