Nasıl yapılır: Windows Server 2008'de, belirli bir IP adresi SSTP bağlantıları sınırlama

Makale çevirileri Makale çevirileri
Makale numarası: 947028 - Bu makalenin geçerli olduğu ürünleri görün.
Hepsini aç | Hepsini kapa

Bu Sayfada

Giriş

Güvenli Yuva tünel iletişim kuralı'nı (SSTP), Yönlendirme ve Uzaktan Erişim Hizmetleri'nin role Windows Server 2008'de kullanılabilir sanal özel ağ (VPN) tünel yeni bir türüdür. SSTP Windows Vista Service Pack 1 (SP1) için de kullanılabilir. Güvenlik Duvarı aracılığıyla trafiğin geçmesi ve Noktadan Noktaya Tünel Protokolü (PPTP) ve Katman 2 tünel iletişim kuralı (L2TP) engelleyebilir proxy'ler Web SSTP HTTPS iletişim kuralını iletim Denetimi Protokolü (TCP) bağlantı noktası 443 üzerinden kullanır / ıpsec trafiği. Noktadan Noktaya (PPP) paketlerin'HTTPS iletişim kuralını Güvenli Yuva Katmanı (SSL) kanalı üzerinden kapsüllenmiş SSTP sağlar. Bu bir güvenlik duvarı üzerinden veya bir ağ adresi çevirisi (NAT) aygıtı ile daha kolay kurulabilmesi bir VPN bağlantısı sağlar. Ayrıca, bu bir HTTP proxy aygıtı üzerinden kurulabilmesi bir VPN bağlantısı sağlar. SSTP HTTPS iletişim kuralını SSL kanalı üzerinden PPP trafiği kapsülleyen bir düzenek sağlar.

Varsayılan olarak, SSTP tüm arabirimleri dinleyecek şekilde yapılandırılır. Örneğin, SSTP ıpv4 için 0.0.0.0 üzerinde dinlemek üzere yapılandırılır veya:: / 0 için ıpv6. Varsayılan olarak, Yönlendirme ve Uzaktan Erişim Hizmetleri veren bilgisayarda kullanılabilir olan tüm ıpv4 ve ıpv6 adresleri üzerinden geçtiği, VPN bağlantıları için. Ayrıca, Yönlendirme ve Uzaktan Erişim Hizmetleri her zaman ayarlar bilgisayar sertifikası (makine sertifikası olarak da bilinen HTTP.sys için. HTTP.sys, Yönlendirme ve Uzaktan Erişim Hizmetleri 0.0.0.0:PortNum ve [:] ile birlikte çalışan Windows Server 2008 tabanlı bir bilgisayarda HTTPS Dinleyici bileşen ise: PortNum.

Bu makalede bir yönetici belirli bir ıpv4 veya ıpv6 IP adreslerini veya belirli arabirimleri SSTP bağlantıları nasıl engelleyebilirsiniz.

Daha fazla bilgi

Belirli bir ıpv4 veya ıpv6 IP adreslerini veya belirli arabirimleri SSTP bağlantıları engellemek için <a0></a0>, aşağıdaki yöntemlerden birini kullanın.

Yöntem 1: uygun bir paket süzgeç yapılandırma

  1. Yönlendirme ve Uzaktan erişim MMC ek bileşenini başlatın. Bunu yapmak için <a0></a0>, Başlat ' ı tıklatın, Yönetimsel Araçlar ' ın üzerine gelin ve sonra da Yönlendirme ve Uzaktan erişim'i tıklatın.
  2. Ipv4 ' nı genişletin ve sonra da Genel ' i tıklatın. Kullanılabilir arabirimler listesi görüntülenir.
  3. Hangi VPN istemcilerinin bağlantı arabirimi</a1> çift tıklatın.
  4. Gelen süzgeçler'ı tıklatın.
  5. Yeni ' yi tıklatın ve sonra hedef ağ</a1> onay kutusunu seçmek için tıklatın.
  6. IP adresi</a0> kutusunda, hedef IP adresini yazın.
  7. Alt ağ maskesi</a0> kutusunda, hedef alt ağ maskesini yazın.
  8. Iletişim kuralı listesinde, TCP ' yi tıklatın.
  9. Kaynak bağlantı noktası</a0> kutusunda, 443 yazın. Veya, 443 ' farklıysa, SSTP bağlantı noktası numarasını yazın.
  10. Hedef bağlantı noktası</a0> kutusunda, 443 yazın. Veya, 443 ' farklıysa, SSTP bağlantı noktası numarasını yazın.

Yöntem 2: HTTP dinleyicisi için sertifika için belirli bir IP adresi: bağlantı yapılandırma

Not Aşağıdaki komutları çalıştırmak için <a0></a0>, komut istemini yükseltilmiş izinlere kullanarak açmalısınız. Bunu yapmak için <a0></a0>, Başlat ' ı tıklatın, sonra da komut istemi ' ni sağ tıklatın ve sonra da <a2>yönetici olarak çalıştır</a2>'ı tıklatın.
  1. Sertifika, HTTP.sys silin. Bunu yapmak için SSTP bağlantı noktası 443'olduğu komut istemine aşağıdaki komutları yazın:
    netsh http silme sslcert ipport 0.0.0.0:443 =
    Netsh http silme sslcert ipport [:] =: 443
  2. Yeni sertifika için HTTP.sys ekleyin. Bunu yapmak için, komut istemine aşağıdaki komutları yazın:
    netsh http ekleme sslcert ipport = IPv4 address for the HTTP listener: 443 certhash xxx uygulama kimliği = {ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename = MY =
    Netsh http sslcert ipport eklemek IPv6 address for the HTTP listener =: 443 certhash xxx uygulama kimliği = {ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename = MY =

    Not Bu komutlarda, xxx yeni bir sertifika Sertifikanın SHA1 sağlaması için bir yer tutucudur.
  3. Komut isteminde aşağıdaki komutu yazın ve SSTP hizmetin Sha256CertificateHash kayıt defteri alt anahtarı değerini yapılandırmak için ENTER tuşuna basın:
    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters /v SHA256CertificateHash /t REG_BINARY /d Sha256 hash value for the IIS Web server certificate /f

    Not Bilgisayar sertifikası SHA256 sertifika karmasını bulamazsanız, tam Sha256CertificateHash kayıt defteri alt anahtarının değeri yapılandırmak için a ile e adımları.
    1. Yönlendirme ve Uzaktan Erişim hizmetini yeniden başlatın.
    2. Herhangi bir 32 bayt ikili değer, 3. adımda anlatılan kayıt defteri konumunda Sha256CertificateHash kayıt defteri anahtarının değer geçici olarak yapılandırın. Bu kayıt defteri anahtarının REG_BINARY türünde olması gerekir.
    3. Farklı bir bilgisayarda, VPN hedef ana bilgisayar adı Yönlendirme ve Uzaktan erişim sunucusu olduğu SSTP tabanlı bir VPN bağlantısı oluşturun.
    4. VPN bağlantısı. Bağlantı başarısız olur. Istemci bilgisayarda Olay Görüntüleyicisi'ni açın ve aşağıdaki olay bulun:
      Cryptographic binding failed for the client connection. The reason is client and the server have mismatched certificate hashes configured. SHA1 Certificate Hash: HashValue SHA256 Certificate Hash: HashValue
      `
    5. Istemci bilgisayarda olay SHA256 sertifika karma değerini not alın ve sonra da Yönlendirme ve Uzaktan erişim sunucusunda Sha256CertificateHash kayıt defteri anahtarının bu değeri kullanın.
  4. Yönlendirme ve Uzaktan erişim sunucusunu yeniden başlatın. HTTP.sys, artık bir belirli IP adresi: bağlantı noktasında dinleme için ayarlanır. HTTPS bağlantılarını, diğer IP adresi: bağlantı noktalarından bırakılır.

Özellikler

Makale numarası: 947028 - Last Review: 29 Mayıs 2008 Perşembe - Gözden geçirme: 1.0
Bu makaledeki bilginin uygulandığı durum:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Anahtar Kelimeler: 
kbmt kbexpertiseadvanced kbhowto kbinfo KB947028 KbMttr
Machine-translated Article
ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.
Makalenin İngilizcesi aşağıdaki gibidir:947028

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com