Cómo implementar un servidor VPN basado en SSTP detrás de un equilibrador de carga SSL en Windows Server 2008

Seleccione idioma Seleccione idioma
Id. de artículo: 947030 - Ver los productos a los que se aplica este artículo
Información de la versión beta
En este artículo se describe una versión Beta de un producto de Microsoft. La información contenida en este artículo se proporciona tal cual y está sujeta a cambios sin previo aviso.

No hay disponible soporte técnico formal del producto por parte de Microsoft para esta versión Beta. Para obtener información acerca de cómo obtener soporte técnico para una versión beta, consulte la documentación que se incluye con los archivos de producto beta o busque en el sitio Web donde descargó la versión.
importante Este artículo contiene información acerca de cómo modificar el registro. Asegúrese de que copia el registro antes de modificarlo. Compruebe que sabe restaurar el Registro en caso de que se produzca algún problema. Para obtener más información acerca de cómo realizar una copia de seguridad, restaurar y modificar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756Cómo realizar una copia de seguridad y restaurar el registro en Windows XP y Windows Vista
Expandir todo | Contraer todo

En esta página

INTRODUCCIÓN

Tenga en cuenta la situación siguiente:
  • Dispone de un servidor VPN basado en Protocolo de sockets seguros túnel SSTP que está ejecutando Windows Server 2008.
  • El servidor VPN se encuentra detrás de un equilibrador de carga SSL.
  • Se asigna una dirección IP privada al servidor.
  • El servidor tiene una dirección IP pública que está registrada en un servidor DNS.
En este artículo describe cómo implementar un servidor VPN basado en SSTP detrás de un equipo con equilibrio de carga SSL que se está ejecutando Windows Server 2008.

SSTP es un nuevo tipo de túnel VPN que está disponible en la función de enrutamiento y el servidor de acceso remoto en Windows Server 2008. SSTP permite la encapsulación de paquetes de protocolo punto a punto (PPP) a través de HTTP. Esto permite más fácilmente establecer una conexión VPN a través de un firewall o a través de un dispositivo de traducción de direcciones de red (NAT). Esto también le permite establecer una conexión VPN a través de un dispositivo de proxy HTTP.

En organizaciones grandes, es común para configurar un equilibrador de carga SSL para cerrar una conexión HTTPS y luego abrir una conexión HTTP a un servidor Web o a un servidor de enrutamiento y acceso remoto.

Más información

Información general

La información en este artículo se aplica a la situación de configuración de red siguiente:
  • El equilibrador de carga SSL tiene una dirección IP de 1.2.3.4.
  • El equilibrador de carga SSL tiene el nombre DNS de server.contoso.com.
  • Hay dos servidores de enrutamiento y acceso remoto que se encuentran en una red perimetral (también conocida como DMZ, zona desmilitarizada y subred filtrada). Uno de estos servidores tiene una dirección IP de 1.2.3.5 y el otro servidor tiene una dirección IP de 1.2.3.6.

Información de configuración

Advertencia Pueden producirse problemas graves si modifica incorrectamente el registro mediante el Editor del registro o utilizando otro método. Estos problemas pueden requerir que reinstale el sistema operativo. Microsoft no puede garantizar la solución de esos problemas. Modifique el Registro bajo su responsabilidad.

Para configurar un servidor VPN basado en SSTP en el escenario que se describe en la sección "Información general", siga estos pasos:
  1. Configure el equilibrador de carga SSL para cerrar las conexiones HTTPS basado en SSTP dirigidos a un identificador específico de recursos uniforme (URI) en un grupo de servidores de enrutamiento y acceso remoto. (Estos servidores tienen direcciones IP de 1.2.3.5 y 1.2.3.6 y usar el puerto 80). El siguiente es un ejemplo de un URI:
    https://host_name:443/sra_ {BA195980-CD49-458b-9E23-C84EE0ADCD75})
  2. Instalar un certificado de equipo en el equipo basado en Windows Server 2008 que actúa como el equilibrador de carga SSL. El certificado de equipo debe tener el EKU escriba set para La autenticación de servidor o para Todo propósito . Este certificado debe tener un nombre de asunto (CN) es el mismo que el nombre de host al que conectan los clientes VPN. Esta configuración es necesaria para la negociación SSL con éxito.

    Por ejemplo, considere la situación siguiente:
    • Si un cliente VPN está configurado para conectar a la dirección IP pública del dispositivo NAT (1.2.3.4), el nombre de sujeto del certificado debe ser también 1.2.3.4.
    • Si un cliente VPN está configurado para conectar con el FQDN (server.contoso.com) que se puede tener acceso públicamente, el nombre de sujeto del certificado debe ser también server.contoso.com.
  3. Si desea cerrar la conexión HTTP en los servidores de enrutamiento y acceso remoto, siga estos pasos:
    1. Establezca la siguiente clave de registro a un valor de 0 para que el servidor de enrutamiento y acceso remoto puede escuchar en una conexión específica de HTTP:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sstpsvc\Parameters\UseHTTPS
    2. De manera predeterminada, los servidores de enrutamiento y acceso remoto escuchan en el puerto 443 si la opción UseHTTPS está establecida en 1 o en el puerto 80 si la opción UseHTTPS está establecida a 0. Completar los pasos 3 g de c-3 si desea que el servidor de enrutamiento y acceso remoto para que escuche en otro puerto. Si no desea que el servidor de enrutamiento y acceso remoto para que escuche en otro puerto, vaya al paso 3 h.
    3. Inicie el Editor del registro y, a continuación, busque la siguiente subclave del registro:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters
    4. En el panel de detalles, haga clic con el botón secundario del mouse en ListenerPort y a continuación, haga clic en Modificar .
    5. Haga clic en decimal , escriba un número de puerto alternativo como 5000 y, a continuación, haga clic en Aceptar .
    6. Editor de registro de salida.
    7. Reinicie el servicio Enrutamiento y acceso remoto.
    8. Aunque las conexiones HTTPS se cierran en el equilibrador de carga SSL, el servidor de enrutamiento y acceso remoto tiene el valor hash del certificado de equipo que está instalado en el equilibrador de carga SSL para mejorar la seguridad. Para asegurarse de que el servidor de enrutamiento y acceso remoto tiene el valor hash del certificado de equipo que está instalado en el equilibrador de carga SSL, configure la siguiente subclave REG_BINARY utilizando el hash de certificado SHA256 del certificado de equipo que está instalado en el equilibrador de carga SSL:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sstpsvc\Parameters\Sha256CertificateHash
      Nota Si no puede encontrar el hash de certificado SHA256 del certificado de equipo que está instalado en el equilibrador de carga SSL, complete k de 3i 3 pasos para configurar un valor temporal de la clave de registro Sha256CertificateHash.
    9. En un equipo diferente, crear una conexión VPN que está basado en SSTP y el destino de VPN para el que es el nombre de host del equilibrador de carga SSL.
    10. Haga clic en Conectar para conectar la conexión VPN. El intento de conexión falla. Abra Visor de sucesos en el equipo cliente y, a continuación, busque el suceso siguiente:
      Error del enlace criptográfico para la conexión de cliente. El motivo es el cliente y el servidor tiene configurados valores hash de certificado no coinciden. Certificado hash de SHA1:... SHA256 Certificado hash:...
    11. Anote el valor de hash de certificado SHA256 en el evento en el equipo cliente y, a continuación, utilice este valor para la clave de registro Sha256CertificateHash en el servidor de enrutamiento y acceso remoto.
    12. Reinicie el servidor de enrutamiento y acceso remoto.
    13. Restablecer la conexión de SSTP.
  4. Instalar la función de servidor de enrutamiento y acceso remoto mediante Administrador de servidores en todos los servidores de enrutamiento y acceso remoto.
  5. Configurar el servidor de enrutamiento y acceso remoto mediante la ejecución a través del enrutamiento y el Asistente para configuración de acceso remoto.
  6. Si Firewall de Windows está habilitado en el servidor de enrutamiento y acceso remoto, abra manualmente el número de puerto apropiado, como el puerto 80, Firewall de Windows. Si entrantes y salientes filtros del servidor de enrutamiento y acceso remoto están habilitados en el servidor de enrutamiento y acceso remoto, abra manualmente el número de puerto apropiado en el servidor enrutamiento y acceso remoto entrante y saliente filtros.
  7. Configurar el servidor de enrutamiento y acceso remoto para escuchar las conexiones VPN basadas en HTTP en un número de puerto específico.

Referencias

Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
947031Cómo solucionar problemas de conexión de protocolo de sockets seguros túnel SSTP en Windows Server 2008

Propiedades

Id. de artículo: 947030 - Última revisión: jueves, 07 de febrero de 2008 - Versión: 1.2
La información de este artículo se refiere a:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard
  • Windows Web Server 2008
Palabras clave: 
kbmt kbexpertiseinter kbhowto kbinfo KB947030 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 947030

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com