Come distribuire un server VPN basato su SSTP dietro un bilanciamento del carico SSL in Windows Server 2008

Traduzione articoli Traduzione articoli
Identificativo articolo: 947030 - Visualizza i prodotti a cui si riferisce l?articolo.
Informazioni Beta
Nel presente articolo viene illustrata una versione beta di un prodotto Microsoft. Le informazioni contenute in questo articolo vengono fornite "nello stato in cui si trovano" e sono soggette a modifiche senza preavviso.

Per questo prodotto beta Microsoft non fornisce alcun tipo di supporto formale. Per informazioni su come ottenere supporto per una versione beta, consultare la documentazione fornita con i file del prodotto beta oppure visitare il sito Web dal quale Ŕ stata scaricata la versione del prodotto.
importante Vengono fornite informazioni su come modificare il Registro di sistema. Assicurarsi di backup del Registro di sistema prima di modificarlo. Verificare che come ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup, ripristinare e modificare il Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
322756Come eseguire il backup e il ripristino Registro di sistema in Windows XP e Windows Vista
Espandi tutto | Chiudi tutto

In questa pagina

INTRODUZIONE

Si consideri lo scenario seguente:
  • Si dispone di un server VPN basato su SSTP Secure Socket Tunneling Protocol che esegue Windows Server 2008.
  • Il server VPN si trova dietro un bilanciamento del carico SSL.
  • Il server viene assegnato un indirizzo IP privato.
  • Il server dispone di un indirizzo IP pubblico registrato per un server DNS.
In questo articolo viene descritto come distribuire un server VPN basato su SSTP dietro un computer con bilanciamento del carico SSL Ŕ in esecuzione Windows Server 2008.

SSTP Ŕ un nuovo tipo di tunnel VPN disponibile nel ruolo del server di accesso remoto di routing e in Windows Server 2008. SSTP consente l'incapsulamento di pacchetti PPP (Point-to-Point Protocol) su HTTP. Questo modo Ŕ pi¨ facilmente stabilire una connessione di VPN attraverso un firewall o una periferica Network Address Translation (NAT). SarÓ inoltre possibile stabilire una connessione VPN attraverso una periferica di proxy HTTP.

Nelle organizzazioni di grandi dimensioni, Ŕ pratica comune configurare un bilanciamento del carico SSL per chiudere una connessione HTTPS e quindi aprire una connessione HTTP a un server Web o a un server di routing e accesso remoto.

Informazioni

Cenni preliminari

Le informazioni contenute in questo articolo si riferiscono allo scenario di configurazione di rete seguenti:
  • Sistema di bilanciamento del carico SSL Ŕ associato un indirizzo IP 1.2.3.4.
  • Sistema di bilanciamento del carico SSL con il nome DNS di server.contoso.com.
  • Esistono due server di routing e accesso remoto che si trovano in una rete perimetrale (nota anche come DMZ, zona demilitarizzata e subnet schermata). Uno di questi server Ŕ associato un indirizzo IP 1.2.3.5 e l'altro server ha un indirizzo IP di 1.2.3.6.

Informazioni di configurazione

avviso Pu˛ causare seri problemi se si modifica il Registro di sistema in modo errato mediante l'editor del Registro di sistema o utilizzando un altro metodo. Questi problemi potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non garantisce che sia possono risolvere questi problemi. La modifica del Registro di sistema Ŕ a rischio e pericolo dell'utente.

Per configurare un server VPN basato su SSTP nello scenario Ŕ descritto nella sezione "Panoramica", attenersi alla seguente procedura:
  1. Configurare il sistema di SSL bilanciamento del carico per chiudere le connessioni HTTPS basato su SSTP vengono indirizzate a un Specifica URL Uniform resource identifier () in un pool di server di routing e accesso remoto. (Questi server non sono gli indirizzi IP di 1.2.3.5 e 1.2.3.6, e utilizzano la porta 80). Di seguito Ŕ un esempio di un URI:
    https://host_name:443/sra_ {BA195980-CD49-458b-9E23-C84EE0ADCD75})
  2. Installare un certificato di computer nel computer basato su Windows Server 2008 che funge da sistema di bilanciamento del carico SSL. ╚ necessario l'EKU digitare set per L'autenticazione Server o per Scopo tutto il certificato del computer. Questo certificato deve avere nomi soggetto (CN) che corrisponde al nome host a cui connettono i client VPN. Questa configurazione Ŕ necessaria per la negoziazione SSL.

    Si consideri ad esempio, nello scenario riportato di seguito:
    • Se un client VPN Ŕ configurato per connettersi all'indirizzo IP pubblico del dispositivo NAT (1.2.3.4), il nome del soggetto del certificato deve essere 1.2.3.4.
    • Se un client VPN Ŕ configurato per connettersi al nome FQDN (server.contoso.com) al quale Ŕ possibile accedere pubblicamente, il nome del soggetto del certificato deve essere server.contoso.com.
  3. Se si desidera chiudere la connessione HTTP sui server di routing e accesso remoto, attenersi alla seguente procedura:
    1. Consente di impostare la seguente chiave di registro di sistema su un valore pari a 0 in modo che il server di routing e accesso remoto pu˛ eseguire l'ascolto una specifica connessione HTTP:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sstpsvc\Parameters\UseHTTPS
    2. Per impostazione predefinita, server di routing e accesso remoto in attesa sulla porta 443 se Ŕ impostata l'opzione UseHTTPS sulla porta 80 o a 1 se il l'opzione UseHTTPS Ŕ impostato su 0. Se si desidera il server di routing e accesso remoto per l'ascolto su un'altra porta, completare i passaggi da 3 c-3 g. Se non si desidera che il server di routing e accesso remoto per l'ascolto su un'altra porta, andare al passaggio 3 h.
    3. Avviare l'editor del Registro di sistema e individuare la seguente sottochiave del Registro di sistema:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters
    4. Nel riquadro dei dettagli fare clic con il pulsante destro del mouse su ListenerPort e quindi fare clic su Modifica .
    5. Fare clic su decimale , digitare un numero di porta alternativa ad esempio 5000 e quindi fare clic su OK .
    6. Uscire dall'editor del Registro di sistema.
    7. Riavviare il servizio Routing e accesso remoto.
    8. Anche se nel sistema di bilanciamento del carico SSL vengono chiuse le connessioni HTTPS, il server di routing e accesso remoto deve il valore hash del certificato del computer Ŕ installato nel sistema di SSL bilanciamento del carico per migliorare la protezione. Per assicurarsi che il server di routing e accesso remoto ha il valore hash del certificato del computer Ŕ installato nel sistema di bilanciamento del carico SSL, configurare la seguente sottochiave REG_BINARY con l'hash certificato SHA256 il certificato di computer Ŕ installato nel sistema di bilanciamento del carico SSL:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sstpsvc\Parameters\Sha256CertificateHash
      Nota Se non Ŕ possibile individuare l'hash certificato SHA256 il certificato di computer Ŕ installato nel sistema di bilanciamento del carico SSL, Ŕ necessario completare k di 3i-3 passaggi per configurare un valore temporaneo per la chiave del Registro di sistema di Sha256CertificateHash.
    9. In un computer diverso, Ŕ possibile creare una connessione di VPN che Ŕ basato su SSTP e per il quale la destinazione VPN Ŕ il nome di host del sistema di bilanciamento del carico SSL.
    10. Fare clic su Connetti per connettere la connessione VPN. Il tentativo di connessione ha esito negativo. Aprire il Visualizzatore eventi sul computer client e individuare il seguente evento:
      Associazione di crittografia non riuscita per la connessione client. Il motivo Ŕ il client e il server ha configurati gli hash di certificato non corrispondenti. Hash certificato SHA1: In corso... Hash certificato SHA256: In corso...
    11. Prendere nota del valore di hash del certificato SHA256 nell'evento sul computer client e utilizzare quindi questo valore per la chiave di registro Sha256CertificateHash sul server.
    12. Riavviare il server di routing e accesso remoto.
    13. Ristabilire la connessione di SSTP.
  4. Per installare il ruolo di server di routing e accesso remoto, utilizzare Server Manager su tutti i server Routing e accesso remoto.
  5. Configurare il server di routing e accesso remoto mediante l'esecuzione tramite il routing e l'impostazione guidata accesso remoto.
  6. Se Windows Firewall Ŕ attivato sul server, aprire manualmente il numero di porta appropriata, ad esempio la porta 80, in Windows Firewall. Se in ingresso e in uscita filtri del server Routing e accesso remoto sono attivati sul server, aprire manualmente il numero di porta appropriato su filtri in ingresso e in uscita del server Routing e accesso remoto.
  7. Impostare il server Routing e accesso remoto per attendere le connessioni VPN basate su HTTP un numero di porta.

Riferimenti

Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
947031Come risolvere i problemi di connessione basata su SSTP Secure Socket Tunneling Protocol in Windows Server 2008

ProprietÓ

Identificativo articolo: 947030 - Ultima modifica: giovedý 7 febbraio 2008 - Revisione: 1.2
Le informazioni in questo articolo si applicano a:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard
  • Windows Web Server 2008
Chiavi:á
kbmt kbexpertiseinter kbhowto kbinfo KB947030 KbMtit
Traduzione automatica articoli
Il presente articolo Ŕ stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non Ŕ sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pi¨ o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non Ŕ la sua. Microsoft non Ŕ responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 947030
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com