如何限制 SSTP 连接到 Windows Server 2008 中的特定 IP 地址

文章翻译 文章翻译
文章编号: 947028 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

简介

安全套接字隧道协议 (SSTP) 是一种全新的是 Windows Server 2008 中的路由和远程访问服务角色中可用的虚拟专用网络 (VPN) 隧道。SSTP 也是可在 Windows Vista Service Pack 1 (SP1) 中使用的。SSTP 传递通信通过防火墙和 Web 代理可能会阻止点对点隧道协议 (PPTP) 和第 2 层隧道协议 (L2TP) 的传输控制协议 (TCP) 端口 443 上使用 HTTPS 协议 / IPsec 通讯。SSTP 允许为要通过安全套接字层 (SSL) 通道 HTTPS 协议的封装的点对点协议 (PPP) 数据包。这允许通过防火墙或通过网络地址转换 (NAT) 设备更轻松地建立 VPN 连接。此外,这样可以通过一个 HTTP 代理设备建立 VPN 连接。SSTP 提供了一种机制,来封装通过 SSL 信道的 HTTPS 协议的 PPP 通信。

默认状态下,SSTP 配置为侦听所有接口。例如对于 SSTP 被配置为 0.0.0.0 上侦听的 IPv4 或:: / 0 的 IPv6。默认状态下,路由和远程访问服务允许通过在计算机上可用的所有 IPv4 和 IPv6 地址的 VPN 连接。此外,路由和远程访问服务始终可以将计算机证书的也称为机器证书设置为 Http.sys。 Http.sys 是在基于 Windows Server 2008 的连同 0.0.0.0:PortNum 和 [:] 运行路由和远程访问服务的计算机上的 HTTPS 侦听器组件: PortNum。

本文介绍管理员如何阻止 SSTP 连接来自特定的 IPv4 或 IPv6 IP 地址或特定的接口。

更多信息

若要阻止来自特定的 IPv4 或 IPv6 IP 地址或特定的接口的 SSTP 连接,使用下列方法之一。

方法 1: 配置适当的数据包筛选器

  1. 启动路由和远程访问 MMC 管理单元。若要执行此操作、 单击 开始,指向 管理工具,然后单击 路由和远程访问
  2. 展开 IPV4,然后单击 常规。 将显示可用的接口的列表。
  3. 双击客户端连接的 VPN 接口。
  4. 单击 入站筛选器
  5. 单击 新建,然后单击以选中 目标网络 复选框。
  6. IP 地址 框中键入目标 IP 地址。
  7. 子网掩码 框中键入 $ 目标子网掩码。
  8. 协议 列表中单击 TCP
  9. 源端口 框中键入 443。或者如果它不同于 443 键入 SSTP 端口号。
  10. 目标端口 框中键入 443。或者如果它不同于 443 键入 SSTP 端口号。

方法 2: 为 HTTP 侦听程序配置为一个特定 IP 地址: 端口证书

注意若要进行以下命令,您必须打开命令提示符下使用提升的权限。若要执行此操作单击 开始,右键单击 命令提示符,然后单击 以管理员身份运行
  1. 从 Http.sys 删除证书。若要执行此操作请在其中 443 是 SSTP 端口号命令提示符下键入以下命令:
    netsh http 删除 sslcert ipport = 0.0.0.0:443
    netsh http 删除 sslcert ipport = [:]: 443
  2. 将新的证书添加到 Http.sys。 若要执行此操作命令提示符下键入以下命令:
    netsh http 添加 sslcert ipport = IPv4 address for the HTTP listener: 443 certhash = xxx appid = {ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename = MY
    netsh http 添加 sslcert ipport = IPv6 address for the HTTP listener: 443 certhash = xxx appid = {ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename = MY

    注意在以下的命令 xxx 是证书的新的 SHA1 证书哈希的占位符。
  3. 命令提示符键入下面的命令,然后按 ENTER 以配置 SSTP 服务 Sha256CertificateHash 注册表子项值:
    reg 添加 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters/v SHA256CertificateHash/t REG_BINARY/d Sha256 hash value for the IIS Web server certificate 值/f

    注意如果找 SHA256 证书哈希的计算机证书完成步骤 a 至 e 配置 Sha256CertificateHash 注册表子项的值。
    1. 重新启动路由和远程访问服务。
    2. 作为临时 Sha256CertificateHash 注册表项,在第 3 步中提到的注册表位置的值配置任何 32 字节的二进制值。此注册表项必须是类型 REG_BINARY。
    3. 在另一台计算机上创建 VPN 连接的是基于 SSTP VPN 目标位置是路由和远程访问服务器的主机名。
    4. 连接到 VPN 连接。该连接将失败。打开事件查看器在客户端上,然后查找以下事件:
      Cryptographic binding failed for the client connection. The reason is client and the server have mismatched certificate hashes configured. SHA1 Certificate Hash: HashValue SHA256 Certificate Hash: HashValue
      `
    5. 请注意 SHA256 证书哈希在事件中在客户端上的值,然后使用 Sha256CertificateHash 注册表项在路由和远程访问服务器上的此值。
  4. 重新启动路由和远程访问服务器。Http.sys 现在设置为在特定 IP 地址: 端口上侦听。 从其他 IP 地址: 端口中略去 HTTPS 连接。

属性

文章编号: 947028 - 最后修改: 2008年5月29日 - 修订: 1.0
这篇文章中的信息适用于:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
关键字:?
kbmt kbexpertiseadvanced kbhowto kbinfo KB947028 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 947028
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com