Wie Sie eine SSTP-basierten VPN-Server hinter einer SSL zum Lastenausgleich in Windows Server 2008 bereitstellen

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 947030 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Beta-Informationen
Dieser Artikel beschreibt eine Betaversion eines Microsoft-Produkts. Die Informationen in diesem Artikel werden ohne Gewähr weitergegeben und können sich ohne vorherige Ankündigung ändern.

Microsoft gewährt keine formelle Produktunterstützung für diese Betaversion. Weitere Informationen, wie Sie Unterstützung für eine Betaversion erhalten finden Sie in der die in den Produktdateien der Betaversion enthaltene Dokumentation oder auf der Website, wobei die Version heruntergeladen haben.
wichtig Dieser Artikel enthält Informationen zum Ändern der Registrierung. Stellen Sie sicher, dass Sie die Registrierung sichern bevor Sie Sie ändern. Stellen Sie sicher, dass Sie die Registrierung wiederherstellen kennen, wenn ein Problem auftritt. Weitere Informationen zum Sichern, Wiederherstellen und Bearbeiten der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756Zum Sichern und Wiederherstellen der Registrierung in Windows XP und Windows Vista
Alles erweitern | Alles schließen

Auf dieser Seite

EINFÜHRUNG

Stellen Sie sich das folgende Szenario vor:
  • Sie haben eine Secure Socket Tunneling-Protokoll SSTP-basierten VPN-Server, auf dem Windows Server 2008 ausgeführt wird.
  • Der VPN-Server befindet sich hinter einer SSL-Lastenausgleich.
  • Dem Server ist eine private IP-Adresse zugewiesen.
  • Der Server hat eine öffentliche IP-Adresse, die an einen DNS-Server registriert ist.
Dieser Artikel beschreibt die Bereitstellung eines SSTP-basierten VPN-Servers hinter einem SSL-Lastenausgleich-Computer, auf dem Windows Server 2008 ausgeführt wird.

SSTP ist eine neue Art von VPN-Tunnel, die in der Routing- und RAS-Serverrolle in Windows Server 2008 verfügbar ist. SSTP ermöglicht die Kapselung der Pakete, PPP (Point-to-Point Protocol) über HTTP. Dadurch können Sie problemlos eine VPN-Verbindung durch einen Firewall oder über ein Gerät (NAT) herzustellen. Außerdem können Sie eine VPN-Verbindung über ein HTTP-Proxy-Gerät herzustellen.

In großen Organisationen häufig wird ein SSL-Lastenausgleich schließen eine HTTPS-Verbindung konfigurieren und dann auf eine HTTP-Verbindung auf einem Server oder einem Routing- und RAS-Server zu öffnen.

Weitere Informationen

(Übersicht)

Die Informationen in diesem Artikel beziehen sich auf das folgende Netzwerk-Konfiguration-Szenario:
  • SSL-Lastenausgleich hat eine IP-Adresse 1.2.3.4.
  • SSL-Lastenausgleich hat den DNS-Namen des server.contoso.com.
  • Es sind zwei RRAS -Server, die sich in einem Umkreisnetzwerk (auch bezeichnet als DMZ, Demilitarized Zone und überwachtes Subnetz) befinden. Eines dieser Server ist eine IP-Adresse des 1.2.3.5, und der anderen Server eine IP-Adresse des 1.2.3.6 hat.

Konfigurationsinformationen

Warnung Schwerwiegende Probleme können auftreten, wenn Sie die Registrierung falsch mithilfe des Registrierungs-Editors oder mithilfe einer anderen Methode ändern. Diese Probleme erfordern möglicherweise eine das Betriebssystem neu installieren. Microsoft kann nicht garantieren, dass diese Probleme gelöst werden können. Ändern Sie die Registrierung auf eigene Gefahr.

Konfigurieren Sie einen SSTP-basierten VPN-Server im Szenario, das im Abschnitt "Übersicht" beschrieben wird, gehen Sie folgendermaßen vor:
  1. Konfigurieren der SSL-Lastenausgleich SSTP-basierten HTTPS-Verbindungen schließen, die an einen bestimmten uniform Resource Identifier (URI) in einem Pool Routing- und RAS-Server weitergeleitet werden. (Diese Server haben IP-Adressen der 1.2.3.5 und 1.2.3.6 und Verwendung von Port 80.) Der folgende Code ist ein Beispiel eines URI:
    https://host_name:443/sra_ {BA195980-CD49-458b-9E23-C84EE0ADCD75})
  2. Installieren Sie ein Computerzertifikat auf dem Windows Server 2008-Computer, die als SSL-Lastenausgleich dient. Das Computerzertifikat muss der Serverauthentifizierung oder Alle Zweck eingeben als sein. Dieses Zertifikat muss einen Betreff-Namen (CN) haben, der der Host identisch ist, zu dem die VPN-Clients eine Verbindung herstellen. Diese Konfiguration ist für die erfolgreiche SSL-Aushandlung erforderlich.

    Gehen wir beispielsweise von folgendem Szenario aus:
    • Wenn für ein VPN-Client konfiguriert ist, die öffentliche IP-Adresse des NAT-Gerät (1.2.3.4) Verbindung muss der Antragsstellername des Zertifikats auch 1.2.3.4 sein.
    • Wenn ein VPN-Client konfiguriert ist, zu den FQDN (server.contoso.com) herstellen, auf dem öffentlich zugegriffen werden kann, muss der Betreff Name des Zertifikats auch server.contoso.com sein.
  3. Wenn Sie die HTTP-Verbindung auf den Routing- und RAS-Servern schließen möchten, gehen Sie folgendermaßen vor:
    1. Legen Sie den folgenden Registrierungsschlüssel den Wert 0 fest, sodass der Routing- und RAS Server eine bestimmte HTTP-Verbindung überwachen kann:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sstpsvc\Parameters\UseHTTPS
    2. Standardmäßig überwachen Routing- und RAS-Server auf Port 443, wenn die Option UseHTTPS ist auf 1 oder auf Port 80 festgelegt, wenn die UseHTTPS-Option auf 0 festgelegt ist. Führen Sie Schritte 3 c-3 g, wenn der Routing- und RAS-Server einen anderen Port abhören soll. Wenn Sie nicht der Routing- und RAS-Server einen anderen Port Abhören möchten, gehen Sie zu Schritt 3 h.
    3. Starten Sie den Registrierungseditor, und suchen Sie den folgenden Registrierungsunterschlüssel:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters
    4. Klicken Sie in der Detailansicht mit der rechten Maustaste auf ListenerPort und klicken Sie dann auf Ändern .
    5. Klicken Sie auf Dezimal , geben Sie eine alternative Portnummer z. B. 5000 , und klicken Sie dann auf OK .
    6. Beenden Sie den Registrierungs-Editor.
    7. Starten Sie den Routing- und RAS-Dienst neu.
    8. Obwohl HTTPS-Verbindungen auf SSL-Lastenausgleich geschlossen sind, benötigt der Routing- und RAS-Server den Hashwert des Computerzertifikats, die auf die SSL-Lastenausgleich zum Erhöhen der Sicherheit installiert ist. Mithilfe den Hash SHA256 Zertifikat das Computerzertifikat, das auf die SSL-Lastenausgleich installiert ist konfigurieren Sie den folgenden Unterschlüssel in der REG_BINARY, zu gewährleisten, dass der Routing- und RAS-Server den Hashwert des Computerzertifikats hat, auf dem SSL-Lastenausgleich installiert ist:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sstpsvc\Parameters\Sha256CertificateHash
      Hinweis: Wenn Sie den Hash SHA256 Zertifikat das Zertifikat nicht finden können, die auf die SSL-Lastenausgleich installiert ist, führen Sie Schritte 3 3i k, um einen temporären Wert für den Sha256CertificateHash-Registrierungsschlüssel zu konfigurieren.
    9. Erstellen Sie eine VPN-Verbindung SSTP-basierten und für die VPN-Ziel der Host-Name des SSL-Lastenausgleich, auf einem anderen Computer.
    10. Klicken Sie auf Verbinden , die VPN-Verbindung eine Verbindung herzustellen. Der Verbindungsversuch schlägt fehl. Öffnen Sie die Ereignisanzeige auf dem Clientcomputer, und suchen Sie das folgende Ereignis:
      Kryptografische Bindung für die Clientverbindung ist fehlgeschlagen. Der Grund ist der Client und dem Server nicht übereinstimmendes Zertifikat Hashes konfiguriert sein. SHA1 Zertifikat Hash:... SHA256 Zertifikat Hash:...
    11. Notieren Sie den Wert des SHA256 Zertifikatshash im Ereignis auf dem Clientcomputer, und verwenden Sie diesen Wert für den Sha256CertificateHash-Registrierungsschlüssel auf dem Routing und RAS-Server.
    12. Starten Sie den Routing- und RAS-Server neu.
    13. Stellen Sie die SSTP-Verbindung wieder her.
  4. Installieren Sie die Routing- und RAS-Serverfunktion mithilfe von Server Manager auf allen RAS -Servern.
  5. Konfigurieren Sie die Routing- und RAS-Server, indem Sie über die Routing- und RAS-Konfigurations-Assistenten ausführen.
  6. Wenn Windows-Firewall auf dem Routing und RAS-Server aktiviert ist, öffnen Sie die entsprechende Portnummer, wie z. B. Port 80, in der Windows-Firewall manuell. Wenn der Routing- und RAS Server eingehenden und ausgehenden Filter auf dem Routing und RAS-Server aktiviert sind, öffnen Sie die entsprechende Portnummer der Routing- und RAS Server eingehenden und ausgehenden Filter manuell.
  7. Festlegen Sie der Routing- und RAS-Server zur Überwachung von HTTP-basierte VPN-Verbindungen eine bestimmte Portnummer.

Informationsquellen

Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
947031Behandlung von Secure Socket Tunneling-Protokoll SSTP-basierten Verbindungsfehlern in Windows Server 2008

Eigenschaften

Artikel-ID: 947030 - Geändert am: Donnerstag, 7. Februar 2008 - Version: 1.2
Die Informationen in diesem Artikel beziehen sich auf:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard
  • Windows Web Server 2008
Keywords: 
kbmt kbexpertiseinter kbhowto kbinfo KB947030 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 947030
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com