Windows Server 2008 では、SSL ロード バランサーの背後にある SSTP ベースの VPN サーバーを配置する方法

文書翻訳 文書翻訳
文書番号: 947030
ベータ版情報
この資料では、マイクロソフト製品のベータ版について説明します。この資料の情報として提供されています- あり予告なしに変更されます。

このベータ版製品はマイクロソフトから利用可能な製品の正式なサポートはありません。ベータ リリースに対するサポートを入手する方法の詳細については、ベータ製品ファイルが含まれているマニュアルを参照してくださいまたはリリースをダウンロードした Web の場所を確認します。
重要です レジストリを変更する方法についての情報を掲載しています。これを変更する前にレジストリのバックアップを作成することを確認してください。問題が発生した場合にレジストリを復元する方法を知っていることを確認してください。バックアップ、復元、およびレジストリを変更する方法の詳細については、Knowledge Base の資料を参照するのには、次の資料番号をクリックしてください。
322756 Windows XP と Windows Vista のレジストリを復元する方法
すべて展開する | すべて折りたたむ

目次

はじめに

次のシナリオを検討してください。
  • Windows Server 2008 を実行している、プロトコル SSTP トンネリング ソケットをセキュリティで保護されたベースの VPN サーバーがあります。
  • VPN サーバーは、SSL ロード バランサー機器の背後にあります。
  • サーバーは、プライベート IP アドレスが割り当てられます。
  • サーバーを DNS サーバーに登録されているパブリック IP アドレスです。
この資料では、SSTP ベースの VPN サーバーは、Windows Server 2008 を実行して、SSL 負荷分散コンピューターの背後に配置する方法について説明します。

SSTP は、Windows Server 2008 のルーティングとリモート アクセス サーバーの役割で使用可能な VPN トンネルの新しい種類です。SSTP 経由で HTTP のポイント ツー ポイント プロトコル (PPP) パケット カプセル化ことができます。これによってより簡単に、ファイアウォールまたはネットワーク アドレス変換 (NAT) デバイス経由の VPN 接続を確立することができます。また、HTTP プロキシ デバイスを経由する VPN 接続を確立できます。

大規模な組織では、HTTPS 接続を閉じるには、SSL ロード バランサーを構成するが一般的ですし、Web サーバーをまたはルーティングとリモート アクセス サーバーへの HTTP 接続を開くには。

詳細

概要

この資料の情報を次のネットワーク構成のシナリオに適用します。
  • SSL ロード バランサーは、1.2.3.4 の IP アドレスがあります。
  • SSL ロード バランサーには server.contoso.com の DNS 名があります。
  • これには、境界ネットワーク (DMZ、非武装地帯、およびスクリーンド サブネットとも呼ばれます) に配置されている 2 つのルーティングとリモート アクセス サーバーがあります。これらのサーバーの 1 つの 1.2.3.5、IP アドレスがあるし、他のサーバーに 1.2.3.6 の IP アドレスがあります。

構成情報

警告 重大な問題、レジストリが誤ってをレジストリ エディターを使用して、または別の方法を使用して変更すると発生します。これらの問題は、オペレーティング システムを再インストールする必要があります。マイクロソフトは、これらの問題を解決できることを保証できません。お客様の責任においてレジストリを変更します。

「概要」に記載されているシナリオでは、SSTP ベースの VPN サーバーを構成するには、次手順を実行します。
  1. 統一リソース識別子 (URI) には、ルーティングとリモート アクセス サーバーのプール内に送信された SSTP ベースの HTTPS 接続を閉じるには、SSL ロード バランサーを構成します。(これらのサーバーが 1.2.3.5 の 1.2.3.6、IP アドレスがあるし、ポート 80 を使用)。次の URI の例を示します。
    https://host_name:443/sra_ {BA195980-CD49-458b-9E23-C84EE0ADCD75})
  2. SSL ロード バランサーとして機能する、Windows Server 2008 ベースのコンピューターにコンピューター証明書をインストールします。コンピューター証明書、EKU の種類を設定必要があります。 サーバーの認証 または すべての目的.この証明書は、VPN クライアントが接続するホスト名と同じサブジェクト名 (CN) が必要です。この構成は正常に SSL ネゴシエーションが必要です。

    たとえば、次のシナリオを検討してください。
    • VPN クライアントが NAT デバイス (1.2.3.4) のパブリック IP アドレスに接続する構成されている場合は、証明書のサブジェクト名も 1.2.3.4 。 します。
    • パブリックにアクセスできる、FQDN (server.contoso.com) を接続する VPN クライアントが構成されている場合は、証明書のサブジェクト名 server.contoso.com もする必要があります。
  3. ルーティングとリモート アクセス サーバー上の HTTP 接続を閉じる場合は、次の手順を実行します。
    1. 特定の HTTP 接続上でルーティングとリモート アクセス サーバーがリッスンできるように、次のレジストリ キーの値を 0 に設定します。
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sstpsvc\Parameters\UseHTTPS
    2. 1 またはポート 80 で UseHTTPS オプションが 0 に設定されている場合、UseHTTPS オプションが設定されている場合既定では、ルーティングとリモート アクセス サーバー ポート 443 でリッスンします。別のポートでリッスンするように、ルーティングとリモート アクセス サーバーが必要な場合は、手順 3 の c と 3 g を完了します。別のポートでリッスンするように、ルーティングとリモート アクセス サーバーに実行しない場合は、h の 3 つのステップを実行するに移動します。
    3. レジストリ エディターを起動し、次のレジストリ サブキーを見つけます。
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters
    4. 詳細ペインで右クリックします。 ListenerPort、し 変更.
    5. クリックしてください。 10 進数は、別のポート番号を入力 5000、し [OK].
    6. レジストリ エディターを終了します。
    7. ルーティングとリモート アクセス サービスを再起動します。
    8. SSL ロード バランサーを HTTPS 接続が閉じている場合でも、ルーティングとリモート アクセス サーバーのセキュリティを向上させるために、SSL ロード バランサーにインストールされているコンピューター証明書のハッシュ値が必要です。ルーティングとリモート アクセス サーバーは、SSL ロード バランサーにインストールされているコンピューター証明書のハッシュ値を持っているかどうかを確認するには、SSL ロード バランサーにインストールされているコンピューター証明書の SHA256 の証明書のハッシュを使用して、次の REG_BINARY サブキーを構成します。
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sstpsvc\Parameters\Sha256CertificateHash
      メモ SHA256 の証明書ハッシュ値、SSL ロード バランサーにインストールされているコンピューター証明書が見つからない場合は、一時的な値は、Sha256CertificateHash のレジストリ キーを構成するのには、手順 3i-3 k を完了します。
    9. 別のコンピューター上でが SSTP ベースの VPN リンク先、SSL 負荷分散装置のホスト名が VPN 接続を作成します。
    10. クリックしてください。 接続 VPN 接続を接続します。接続の試行は失敗します。クライアント コンピューターでイベント ビューアーを開くし、次のイベントを探します。
      クライアント接続で暗号化バインドに失敗しました。クライアントとサーバーは一致しない証明書ハッシュのように構成があります。SHA1 証明書ハッシュ:.SHA256 証明書ハッシュ:.
    11. SHA256 の証明書のハッシュ値をクライアント コンピューターで、イベントの値を確認し、Sha256CertificateHash のレジストリ キーで、ルーティングとリモート アクセス サーバーは、この値を使用します。
    12. ルーティングとリモート アクセス サーバーを再起動します。
    13. SSTP 接続を再確立します。
  4. すべてのルーティングとリモート アクセス サーバーでサーバー マネージャーを使用して、ルーティングとリモート アクセス サーバーの役割をインストールします。
  5. ルーティングとリモート アクセスの構成ウィザードを実行することにより、ルーティングとリモート アクセス サーバーを構成します。
  6. Windows ファイアウォールは、ルーティングとリモート アクセス サーバーで有効にする場合は、Windows ファイアウォールでポート 80 をなど、適切なポート番号を手動で開きます。ルーティングとリモート アクセス サーバーの着信および発信フィルターは、ルーティングとリモート アクセス サーバーで有効になっている場合は、適切なポート番号は、ルーティングとリモート アクセス サーバーの着信および発信フィルターを手動で開きます。
  7. 特定のポート番号に HTTP ベースの VPN 接続をリッスンするように、ルーティングとリモート アクセス サーバーを設定します。

関連情報

詳細については、Knowledge Base の資料を参照するのには、次の資料番号をクリックしてください。
947031Windows Server 2008 でプロトコル SSTP トンネリング ソケットをセキュリティで保護されたベースの接続の失敗をトラブルシューティングする方法

プロパティ

文書番号: 947030 - 最終更新日: 2011年8月10日 - リビジョン: 3.0
キーワード:?
kbhowto kbinfo kbexpertiseinter kbmt KB947030 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:947030
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com