Comment faire pour déployer un serveur VPN basé sur SSTP derrière un équilibreur de charge SSL dans Windows Server 2008

Traductions disponibles Traductions disponibles
Numéro d'article: 947030 - Voir les produits auxquels s'applique cet article
Informations sur la version bêta
Cet article décrit une version bêta d'un produit Microsoft. Les informations contenues dans cet article sont fournies en tant que, sont et sujettes à modification sans préavis.

Aucun support produit officiel n'est disponible auprès de Microsoft pour ce produit bêta. Pour savoir comment faire pour obtenir de l'assistance sur une version bêta, consultez la documentation fournie avec les fichiers du produit bêta ou effectuez une recherche le site Web où vous avez téléchargé la version.
important Cet article contient des informations sur la modification du Registre. Assurez-vous de sauvegarder le Registre avant de le modifier. Vérifiez que vous connaissez comment restaurer le Registre si un problème se produit. Pour plus d'informations sur la façon sauvegarder, restaurer et modifier le Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
322756 Comment faire pour sauvegarder et restaurer le Registre dans Windows XP et Windows Vista
Agrandir tout | Réduire tout

Sommaire

INTRODUCTION

Envisagez le scénario suivant :
  • Vous disposez d'un serveur Secure Socket Tunneling Protocol basée sur SSTP VPN qui exécute Windows Server 2008.
  • Le serveur VPN se trouve derrière un équilibreur de charge SSL.
  • Le serveur reçoit une adresse IP privée.
  • Le serveur possède une adresse IP publique qui est enregistrée sur un serveur DNS.
Cet article explique comment déployer un serveur VPN basé sur SSTP derrière un ordinateur de à charge équilibrée SSL qui exécute Windows Server 2008.

SSTP est un nouveau type de tunnel VPN qui est disponible dans le rôle de routage et de serveur d'accès à distance dans Windows Server 2008. SSTP permet l'encapsulation de paquets de protocole PPP (Point-to-Point Protocol) sur HTTP. Cela vous permet plus facilement établir une connexion VPN par l'intermédiaire d'un pare-feu ou d'un périphérique (Network Address TRANSLATION). Cela vous permet également établir une connexion VPN via un périphérique proxy HTTP.

Dans les grandes organisations, il est courant pour configurer un équilibreur de charge SSL pour fermer une connexion HTTPS et d'ouvrir une connexion HTTP sur un serveur Web ou sur un serveur de routage et accès distant.

Plus d'informations

Vue d'ensemble

Les informations dans cet article s'appliquent au scénario de configuration de réseau suivant :
  • L'équilibrage de charge SSL possède une adresse IP de 1.2.3.4.
  • L'équilibrage de charge SSL porte le nom DNS de server.contoso.com.
  • Il existe deux des serveurs de routage et accès distant qui se situent dans un réseau de périmètre (également appelé DMZ, zone démilitarisée et sous-réseau filtré). Un de ces serveurs a une adresse IP 1.2.3.5 et l'autre serveur possède une adresse IP de 1.2.3.6.

Informations de configuration

Avertissement Des problèmes graves peuvent se produire si modification incorrecte du Registre à l'aide de l'Éditeur du Registre ou en utilisant une autre méthode. Ces problèmes peuvent obliger à réinstaller le système d'exploitation. Microsoft ne peut pas garantir que ces problèmes peuvent être résolus. Modifier le Registre à vos risques et périls.

Pour configurer un serveur VPN basé sur SSTP dans le scénario décrit dans la section « Présentation », procédez comme suit :
  1. Configurer l'équilibrage de charge SSL pour fermer les connexions HTTPS basée sur SSTP qui sont dirigées vers un spécifique URI (uniform resource identifier (URI)) de dans un pool de serveurs de routage et accès distant. (Ces serveurs disposent d'adresses IP de 1.2.3.5 et 1.2.3.6, et ils utilisent le port 80.) Voici un exemple d'une URI :
    https://host_name:443/sra_ {BA195980-CD49-458b-9E23-C84EE0ADCD75})
  2. Installer un certificat d'ordinateur sur l'ordinateur Windows Server 2008 qui sert de l'équilibrage de charge SSL. Le certificat d'ordinateur doit être la EKU tapez set à l'authentification du serveur ou à tout rôle . Ce certificat doit avoir un nom d'objet (CN) qui est identique le nom ordinateur hôte auquel les clients VPN se connectent. Cette configuration est requise pour la négociation SSL réussie.

    Par exemple, envisagez le scénario suivant :
    • Si un client VPN est configuré pour se connecter à l'adresse IP publique du périphérique NAT (1.2.3.4), le nom de sujet du certificat doit également être 1.2.3.4.
    • Si un client VPN est configuré pour se connecter au FQDN (server.contoso.com) qui sont accessibles au public, le nom de sujet du certificat doit également être server.contoso.com.
  3. Si vous souhaitez fermer la connexion HTTP sur les serveurs de routage et accès distant, procédez comme suit :
    1. Définissez la clé du Registre suivante à la valeur 0 afin que le serveur de routage et d'accès à distance peut écouter sur une connexion HTTP spécifique :
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sstpsvc\Parameters\UseHTTPS
    2. Par défaut, serveurs de routage et accès distant écoute sur le port 443 si l'option UseHTTPS est définie sur 1 ou sur le port 80 si l'option UseHTTPS est définie sur 0. Effectuer les étapes 3 c-3 g si vous voulez le serveur de routage et accès distant pour écouter sur un autre port. Si vous ne voulez pas le serveur de routage et accès distant pour écouter sur un autre port, passez à étape 3 h.
    3. Démarrez l'Éditeur du Registre et recherchez la sous-clé de Registre suivante :
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters
    4. Dans le volet de détails, cliquez avec le bouton droit sur ListenerPort , puis cliquez sur Modifier .
    5. Cliquez sur décimale , tapez un numéro autre port comme 5 000 et puis cliquez sur OK .
    6. Quittez l'Éditeur du Registre.
    7. Redémarrez le service Routage et accès distant.
    8. Même si les connexions HTTPS sont fermées de l'équilibrage de charge SSL, le serveur Routage et accès distant doit la valeur de hachage du certificat d'ordinateur qui est installé sur l'équilibrage de charge SSL pour améliorer la sécurité. Pour vous assurer que le serveur Routage et accès distant dispose la valeur de hachage du certificat d'ordinateur qui est installé sur l'équilibrage de charge SSL, configurez la sous-clé REG_BINARY suivante à l'aide le hachage de certificat SHA256 du certificat d'ordinateur qui est installé sur l'équilibrage de charge SSL :
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sstpsvc\Parameters\Sha256CertificateHash
      note Si vous ne pouvez pas localiser le hachage de certificat SHA256 du certificat d'ordinateur qui est installé sur l'équilibrage de charge SSL, effectuer les étapes 3-3i k pour configurer une valeur de la clé de Registre Sha256CertificateHash temporaire.
    9. Sur un autre ordinateur, créer une connexion VPN qui est basée sur SSTP et pour lequel la destination VPN est le nom ordinateur hôte de l'équilibrage de charge SSL.
    10. Cliquez sur connexion pour vous connecter à la connexion VPN. La tentative de connexion échoue. Ouvrir l'Observateur d'événements sur l'ordinateur client et recherchez l'événement suivant :
      Liaison de chiffrement a échoué pour la connexion client. La raison est le client et le serveur a configuré des hachages de certificat ne correspondent pas. Hachage SHA1 du certificat:... Hachage du certificat SHA256:...
    11. Notez la valeur de hachage de certificat SHA256 dans l'événement sur l'ordinateur client et ensuite utiliser cette valeur pour la clé de Registre Sha256CertificateHash sur le serveur Routage et accès distant.
    12. Redémarrez le serveur Routage et accès distant.
    13. Rétablir la connexion SSTP.
  4. Installer le rôle serveur de routage et accès distant à l'aide de Gestionnaire de serveur de tous les serveurs de routage et accès distant.
  5. Configurer le serveur Routage et accès distant en exécutant via les routage et l'Assistant Configuration accès à distance.
  6. Si le pare-feu Windows est activé sur le serveur Routage et accès distant, ouvrez manuellement le numéro de port approprié, tel que le port 80, dans le Pare-feu Windows. Si les filtres entrants et sortants le serveur Routage et accès distant sont activés sur le serveur Routage et accès distant, ouvrez manuellement le numéro de port approprié sur les filtres entrants et sortants le serveur Routage et accès distant.
  7. Définir le serveur de routage et accès distant pour écouter les connexions VPN basé sur HTTP sur un numéro de port spécifique.

Références

Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
947031 La résolution des échecs de connexion Secure Socket Tunneling Protocol basée sur SSTP dans Windows Server 2008

Propriétés

Numéro d'article: 947030 - Dernière mise à jour: jeudi 7 février 2008 - Version: 1.2
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard
  • Windows Web Server 2008
Mots-clés : 
kbmt kbexpertiseinter kbhowto kbinfo KB947030 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 947030
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com