如何限制到特定的 IP 位址,在 Windows Server 2008 中 SSTP 連線

文章翻譯 文章翻譯
文章編號: 947028 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

簡介

安全通訊端通道通訊協定 (SSTP) 是一新的一種適用於 Windows Server 2008 中的 「 路由及遠端存取服務] 角色的虛擬私人網路 (VPN) 通道。SSTP 也是可在 Windows Vista Service Pack 1 (SP1) 中使用。SSTP 傳輸控制通訊協定 (TCP) 連接埠 443 上使用 HTTPS 通訊協定,以透過防火牆的流量通過和 Web 可能會封鎖點對點通道通訊協定 (PPTP) 和第 2 層通道通訊協定 (L2TP) 的 Proxy / IPsec 傳輸。SSTP 允許透過安全通訊端層 (SSL) 通道的 HTTPS 通訊協定封裝的點對點通訊協定 (PPP) 封包。這可讓 VPN 連線,才能透過防火牆或透過網路位址轉譯 (NAT) 裝置更容易建立的。而且,這樣才能透過 HTTP Proxy 裝置建立 VPN 連線的。SSTP 提供一種機制,來封裝透過 SSL 通道的 HTTPS 通訊協定的 PPP 流量。

預設情況下,SSTP 設定為 [所有介面上接聽。比方說 SSTP 設定成接聽上 0.0.0.0 IPv4 或:: / 0 IPv6。在預設的狀況下,路由及遠端存取服務允許 VPN 連線以通過電腦上可用的所有 IPv4 和 IPv6 位址。而且,路由及遠端存取服務會永遠將電腦憑證也稱為機器憑證設成 Http.sys。 Http.sys 是 HTTPS 接聽項元件,在 Windows Server 2008 架構的電腦正在執行路由及遠端存取服務配合 0.0.0.0:PortNum 和 [:] 上: PortNum。

本文將告訴您,如何系統管理員可以封鎖來自特定的 IPv4 或 IPv6 IP 位址或某特定介面的 SSTP 連線。

其他相關資訊

若要封鎖來自特定的 IPv4 或 IPv6 IP 位址或某特定介面的 SSTP 連線,使用下列方法之一。

方法 1: 設定適當的封包篩選器

  1. 啟動 [路由及遠端存取 MMC 」 嵌入式管理單元。要執行這項操作、 按一下 [開始]、 指向 [系統管理工具],然後按一下 路由及遠端存取
  2. 展開 [IPV4,] 然後按一下 [一般]。 會出現可用的介面清單。
  3. 連按兩下 [用戶端連線到哪一個 VPN 介面。
  4. 按一下 [輸入篩選器]。
  5. 按一下 [新增],然後再按一下以選取 [目的網路] 核取方塊。
  6. 在 [IP 位址] 方塊輸入目的地 IP 位址。
  7. 在 [子網路遮罩] 方塊輸入目的地子網路遮罩。
  8. 在 [通訊協定] 清單中,按一下 [TCP]。
  9. 在 [來源連接埠] 方塊中,輸入 443。或鍵入 SSTP 連接埠號碼,如果它不同於 443。
  10. 在 [目的地連接埠] 方塊中,輸入 443。或鍵入 SSTP 連接埠號碼,如果它不同於 443。

方法 2: 設定特定的 IP 位址: 埠憑證 HTTP 接聽程式

附註請執行下列命令來必須利用提高權限開啟命令提示字元。如果要執行這項操作,按一下 [開始],以滑鼠右鍵按一下 命令提示字元],然後再按一下 [以系統管理員身分執行]
  1. 從 Http.sys 刪除憑證。要執行此動作輸入 [在命令提示 443 其中是 SSTP 連接埠號碼的 [下列的命令]:
    netsh http 刪除 sslcert ipport = 0.0.0.0:443
    netsh http 刪除 sslcert ipport = [::]: 443
  2. 將新的憑證新增到 Http.sys。 要執行此動作輸入 [在命令提示字元中的 [下列的命令]:
    netsh http 新增 sslcert ipport = IPv4 address for the HTTP listener: 443 certhash = xxx AppID = {ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename = 我
    netsh http 新增 sslcert ipport = IPv6 address for the HTTP listener: 443 certhash = xxx AppID = {ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename = 我

    附註在這些命令 xxx 是的新憑證之 SHA1 憑證雜湊的預留位置。
  3. 在命令提示字元下輸入下列命令,然後按下 ENTER 以設定 SSTP 服務 [Sha256CertificateHash 登錄子機碼值:
    reg 新增 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters/v SHA256CertificateHash/t REG_BINARY/d Sha256 hash value for the IIS Web server certificate 值/f

    附註如果找不到的電腦憑證 SHA256 憑證雜湊,完成步驟設定 Sha256CertificateHash 登錄子機碼的值 a 到 e。
    1. 重新啟動路由及遠端存取服務。
    2. 將任何 32 位元組的二進位值設定為暫存 Sha256CertificateHash 登錄機碼,在步驟 3 中提到的登錄位置的值。這個登錄機碼必須是型別 REG_BINARY。
    3. 在不同的電腦上建立是 SSTP 基礎其中 VPN 目的地是路由及遠端存取伺服器的主機名稱的 VPN 連線。
    4. 連線到 VPN 連線。則連線將會失敗。用戶端] 電腦上開啟事件檢視器,並再找出下列事件:
      Cryptographic binding failed for the client connection. The reason is client and the server have mismatched certificate hashes configured. SHA1 Certificate Hash: HashValue SHA256 Certificate Hash: HashValue
      `
    5. 記下的用戶端的電腦上事件中 SHA256 憑證雜湊值,然後使用 Sha256CertificateHash 登錄機碼,在路由及遠端存取伺服器上的 [此值。
  4. 重新啟動路由及遠端存取伺服器。Http.sys 現在已設定為在一個特定 IP 位址: 連接埠上接聽。 HTTPS 連線便會丟棄來自其他 IP 位址: 連接埠。

屬性

文章編號: 947028 - 上次校閱: 2008年5月29日 - 版次: 1.0
這篇文章中的資訊適用於:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
關鍵字:?
kbmt kbexpertiseadvanced kbhowto kbinfo KB947028 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:947028
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com