Postup nasazení server VPN SSTP za Vyrovnávání zatížení SSL v systému Windows Server 2008

Překlady článku Překlady článku
ID článku: 947030 - Produkty, které se vztahují k tomuto článku.
Informace o beta verzi
Tento článek pojednává o beta verzi produktu společnosti Microsoft. Informace v tomto článku jsou poskytovány tak, jak jsou, a mohou se změnit bez předchozího upozornění.

Společnost Microsoft neposkytuje k této beta verzi produktu žádnou oficiální podporu. Informace o možnostech získání podpory k beta verzi naleznete v dokumentaci, která je součástí souborů beta verze produktu, nebo na webu, ze kterého jste tuto verzi stáhli.
Důležité: Tento článek obsahuje informace o úpravě registru. Před úpravami je nutné registr zazálohovat. Seznamte se také s postupem obnovení registru v případě, že nastane problém. Další informace o zálohování, obnovení a úpravě registru naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
322756Zálohování a obnovení registru v systémech Windows XP a Windows Vista
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Úvod

Předpokládejme následující situaci:
  • Máte Secure Socket Tunneling Protocol SSTP VPN server se systémem Windows Server 2008.
  • VPN server je umístěn za Vyrovnávání zatížení SSL.
  • Server je přiřazen soukromých adres IP.
  • Server má veřejnou adresu IP, který je registrován DNS server.
Tento článek popisuje postup nasazení server VPN SSTP za SSL s vyrovnávaným zatížením počítači se systémem Windows Server 2008.

SSTP je nový druh tunelové propojení VPN, který je k dispozici v roli serveru pro směrování a vzdálený přístup v systému Windows Server 2008. SSTP umožňuje zapouzdření paketů protokolu PPP (Point-to-Point) přes protokol HTTP. To umožňuje další snadno navázat připojení VPN prostřednictvím brány firewall nebo prostřednictvím zařízení pro překládání adres (NAT). To také umožňuje vytvořit připojení VPN prostřednictvím zařízení proxy HTTP.

Ve velkých organizacích je běžná konfigurace vyrovnávání zatížení SSL zavřete připojení HTTPS a potom otevřete připojení HTTP na server nebo server směrování a vzdálený přístup.

Další informace

Přehled

Informace v tomto článku platí následující scénář konfigurace sítě:
  • Služba Vyrovnávání zatížení SSL má adresu IP 1.2.3.4.
  • Služba Vyrovnávání zatížení SSL má název DNS server.contoso.com.
  • Existují dva servery směrování a vzdálený přístup, které jsou umístěny v obvodové síti (označované také jako DMZ, demilitarizovaná zóna a sledovaná podsíť). Jeden z těchto serverů má adresu IP 1.2.3.5 a na server má adresu IP 1.2.3.6.

Informace o konfiguraci

Upozornění Při nesprávných úpravách registru pomocí Editoru registru nebo jiným způsobem může dojít k vážným problémům. Tyto problémy mohou vyžadovat přeinstalaci operačního systému. Společnost Microsoft nezaručuje, že tyto problémy bude možné vyřešit. Úpravy registru provádíte na vlastní nebezpečí.

Konfigurovat server VPN SSTP v situaci popsané v části "Přehled", postupujte takto:
  1. Konfigurace SSL Vyrovnávání zatížení ukončit připojení založené na SSTP HTTPS přesměrováni konkrétní jednotný identifikátor zdroje (URI) ve fondu servery směrování a vzdálený přístup. (Tyto servery mají adres IP 1.2.3.5 a 1.2.3.6 a používání portu 80.) Následuje příklad URI:
    https://host_name:443/sra_ {BA195980-CD49-458b-9E23-C84EE0ADCD75})
  2. Nainstalovat certifikát počítače v počítači se systémem Windows Server 2008, který slouží jako služba Vyrovnávání zatížení SSL. Zadejte nastavení Ověření serveru nebo Vše účel EKU musí mít certifikát počítače. Tento certifikát musí mít předmět název (CN), který je stejný jako název hostitele, ke kterému se klienti VPN připojit. Tato konfigurace je nutné pro úspěšné vyjednávání SSL.

    Předpokládejme například následující situaci:
    • Pokud klient VPN je nakonfigurován pro připojení k veřejné adresy IP zařízení (1.2.3.4), název subjektu certifikátu musí být také 1.2.3.4.
    • Pokud klient VPN je nakonfigurován pro připojení FQDN (server.contoso.com) lze přistupovat veřejně, název subjektu certifikátu musí být také server.contoso.com.
  3. Pokud chcete zavřít připojení HTTP na servery směrování a vzdálený přístup, postupujte takto:
    1. Nastavte následující klíč registru na hodnotu 0, že server směrování a vzdálený přístup mohou naslouchat na konkrétní připojení HTTP:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sstpsvc\Parameters\UseHTTPS
    2. Ve výchozím servery směrování a vzdálený přístup naslouchat na portu 443 Pokud UseHTTPS možnost je nastavena na 1 nebo na portu 80, pokud je možnost UseHTTPS nastavena na 0. Chcete-li server směrování a vzdálený přístup k naslouchání na portu jiného dokončete kroky 3 c 3 g. Pokud chcete server směrování a vzdálený přístup k naslouchání na jiném portu, přejděte ke kroku 3 h.
    3. Spusťte Editor registru a vyhledejte následující podklíč registru:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters
    4. V podokně podrobností klepněte pravým tlačítkem myši ListenerPort a klepněte na příkaz změnit.
    5. Klepněte na přepínač Desítková, zadejte číslo portu alternativní například 5000 a potom klepněte na tlačítko OK.
    6. Ukončete program Editor registru.
    7. Restartování služby Směrování a vzdálený přístup.
    8. Přestože na Vyrovnávání zatížení SSL jsou uzavřeny připojení HTTPS, potřebuje server směrování a vzdálený přístup hodnotu hash certifikátu počítače je nainstalován na Vyrovnávání zatížení SSL ke zlepšení zabezpečení. Zkontrolujte, zda server směrování a vzdálený přístup má hodnotu hash certifikátu počítače je nainstalován na Vyrovnávání zatížení SSL, konfigurovat následující podklíč REG_BINARY pomocí SHA256 hash certifikátu certifikát počítače je nainstalován na Vyrovnávání zatížení SSL:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sstpsvc\Parameters\Sha256CertificateHash
      Poznámka: Pokud nemůžete najít SHA256 hash certifikátu certifikát počítače je nainstalován na Vyrovnávání zatížení SSL dokončit kB 3i 3 kroky konfigurace dočasná hodnota klíče registru Sha256CertificateHash.
    9. V jiném počítači vytvořit připojení VPN, který je založen SSTP a pro kterou je cíl VPN název hostitele Vyrovnávání zatížení SSL.
    10. Klepněte na tlačítko připojit připojit připojení VPN. Pokus o připojení se nezdaří. Otevřete Prohlížeč událostí v klientském počítači a vyhledejte následující událost:
      Kryptografické vazby se nezdařilo pro připojení klienta. Důvodem je klient a server mít atributy hash neshodující certifikátu nakonfigurována. Hash SHA1 Certifikátu:... Hodnota hash certifikátu SHA256:...
    11. Poznamenejte si hodnotu hash certifikátu SHA256 v události v klientském počítači a tuto hodnotu použijte pro Sha256CertificateHash klíč registru na serveru pro směrování a vzdálený přístup.
    12. Restartujte server směrování a vzdálený přístup.
    13. Obnovení připojení SSTP.
  4. Instalaci role serveru pro směrování a vzdálený přístup pomocí Správce serveru na všechny servery směrování a vzdálený přístup.
  5. Spuštěním prostřednictvím Průvodce směrování a vzdálený přístup konfigurace konfigurovat server směrování a vzdálený přístup.
  6. Pokud na serveru pro směrování a vzdálený přístup je povolena brána Windows Firewall, otevřete ručně číslo odpovídající port (port 80, brána. Filtry příchozí a odchozí směrování a vzdálený přístup serveru jsou povoleny na serveru pro směrování a vzdálený přístup, ručně otevřít příslušný port číslo na příchozí a odchozí filtry směrování a vzdálený přístup serveru.
  7. Nastavit pro připojení VPN založených na protokolu HTTP na číslo konkrétní port naslouchání serveru Směrování a vzdálený přístup.

Odkazy

Další informace naleznete následujícím článku znalostní databáze Microsoft Knowledge Base:
947031Jak řešit selhání připojení založené na Secure Socket Tunneling Protocol SSTP v systému Windows Server 2008

Vlastnosti

ID článku: 947030 - Poslední aktualizace: 7. února 2008 - Revize: 1.2
Informace v tomto článku jsou určeny pro produkt:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard
  • Windows Web Server 2008
Klíčová slova: 
kbmt kbexpertiseinter kbhowto kbinfo KB947030 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:947030

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com