Como implementar um servidor VPN baseado em SSTP atrás de um balanceador de carga SSL no Windows Server 2008

Traduções de Artigos Traduções de Artigos
Artigo: 947030 - Ver produtos para os quais este artigo se aplica.
Informações sobre o Beta
Este artigo aborda uma versão beta de um produto da Microsoft. As informações contidas neste artigo são fornecidas como está e estão sujeitas a alterações sem aviso prévio.

Não fornece suporte técnico formal está disponível a partir da Microsoft para este produto beta. Para obter informações sobre como obter suporte para uma versão beta, consulte a documentação incluída nos ficheiros do produto beta ou consulte a localização da Web onde o transferiu.
importante Este artigo contém informações sobre como modificar o registo. Certifique-se uma que a cópia de segurança do registo antes de o modificar. Certifique-se que sabe como restaurar o registo se ocorrer um problema. Para obter mais informações sobre como efectuar uma cópia de segurança, restaurar e modificar o registo, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
322756Como efectuar uma cópia de segurança e restaurar o registo no Windows XP e Windows Vista
Expandir tudo | Reduzir tudo

Nesta página

INTRODUÇÃO

Considere o seguinte cenário:
  • Ter um servidor de VPN baseada no Protocolo SSTP (Secure Socket Tunneling Protocol) com o Windows Server 2008.
  • O servidor VPN está localizado atrás de um balanceador de carga de SSL.
  • O servidor é atribuído um endereço IP privado.
  • O servidor tem um endereço IP público que está registado para um servidor de DNS.
Este artigo descreve como implementar um servidor VPN baseado em SSTP um SSL com balanceamento de carga computador com o Windows Server 2008.

O SSTP é um novo tipo de túnel VPN que está disponível na função de encaminhamento e servidor de acesso remoto no Windows Server 2008. O SSTP permite o encapsulamento dos pacotes de protocolo ponto a ponto (PPP, Point-to-Point Protocol) através de HTTP. Isto permite-lhe mais fácil estabelecer uma ligação VPN através de um firewall ou um dispositivo NAT (Network Address TRANSLATION). Isto também lhe permite estabelecer uma ligação VPN através de um dispositivo proxy HTTP.

Em grandes organizações, é comum a configurar um balanceador de carga SSL para fechar uma ligação HTTPS e, em seguida, abrir uma ligação de HTTP num servidor Web ou a um servidor de encaminhamento e acesso remoto.

Mais Informação

Descrição geral

As informações neste artigo aplicam-se para o seguinte cenário de configuração de rede:
  • O balanceador de carga de SSL tem um endereço IP 1.2.3.4.
  • O balanceador de carga de SSL com o nome DNS do server.contoso.com.
  • Existem dois servidores de encaminhamento e acesso remoto que estejam localizados numa rede de perímetro (também conhecida como DMZ, zona desmilitarizada e sub-rede filtrada). Destes servidores tem um endereço IP de 1.2.3.5 e o servidor tem um endereço IP de 1.2.3.6.

Informações de configuração

aviso Podem ocorrer problemas graves se modificar o registo incorrectamente utilizando o Editor de registo ou utilizando outro método. Estes problemas poderão forçar a reinstalação do sistema operativo. Microsoft não garante que estes problemas podem ser resolvidos. Modificar o registo por sua conta e risco.

Para configurar um servidor VPN baseado em SSTP no cenário descrito na secção "Visão geral", siga estes passos:
  1. Configure o balanceador de carga SSL para fechar ligações de HTTPS baseado em SSTP são direccionadas para um determinado uniform resource identifier (URI) num conjunto de servidores de encaminhamento e acesso remoto. (Estes servidores têm endereços IP 1.2.3.5 e 1.2.3.6 e utilizam a porta 80.) Segue-se um exemplo de um URI:
    https://host_name:443/sra_ {BA195980-CD49-458b-9E23-C84EE0ADCD75})
  2. Instale um certificado de computador no computador baseado no Windows Server 2008 que serve o balanceador de carga de SSL. O certificado de computador tem de ter o EKU escrever conjunto para Autenticação de servidor ou para Todos os objectivos . Este certificado tem de ter um nome de requerente (CN) que é igual ao nome de anfitrião à qual ligam os clientes VPN. Esta configuração é necessária para negociação de SSL com êxito.

    Por exemplo, considere o seguinte cenário:
    • Se um cliente VPN estiver configurado para estabelecer ligação com o endereço IP público do dispositivo NAT, Network Address TRANSLATION (1.2.3.4), o nome do requerente do certificado deverá também ser 1.2.3.4.
    • Se um cliente VPN estiver configurado para ligar o FQDN (server.contoso.com) que pode ser acedido publicamente, o nome do requerente do certificado deverá também ser server.contoso.com.
  3. Se pretender fechar a ligação de HTTP nos servidores de encaminhamento e acesso remoto, siga estes passos:
    1. Defina a seguinte chave de registo para um valor de 0 para que o servidor de encaminhamento e acesso remoto pode receber uma ligação de HTTP específica:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sstpsvc\Parameters\UseHTTPS
    2. Por predefinição, servidores de encaminhamento e acesso remoto escutar na porta 443 se a opção UseHTTPS estiver definida para 1 ou na porta 80 se a opção UseHTTPS estiver definida como 0. Concluir os passos 3 c-3 g se pretender que o servidor de encaminhamento e acesso remoto para escutar a outra porta. Se não pretender que o servidor de encaminhamento e acesso remoto para escutar a outra porta, avance para o passo 3 h.
    3. Inicie o Editor de registo e, em seguida, localize a seguinte subchave do registo:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters
    4. No painel de detalhes, clique com o botão direito do rato ListenerPort e, em seguida, clique em Modificar .
    5. Clique em decimal , escreva um número de porta alternativo como 5000 e, em seguida, clique em OK .
    6. Saia do Editor de registo.
    7. Reinicie o serviço Encaminhamento e acesso remoto.
    8. Apesar de ligações de HTTPS são fechadas no balanceador de carga SSL, o servidor de encaminhamento e acesso remoto necessita do valor hash do certificado de computador que está instalado o balanceador de carga SSL para melhorar a segurança. Para se certificar de que o servidor de encaminhamento e acesso remoto tem o valor hash do certificado de computador que está instalado o balanceador de carga de SSL, configure a seguinte subchave REG_BINARY, utilizando o hash de certificado SHA256 do certificado de computador que está instalado o balanceador de carga de SSL:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sstpsvc\Parameters\Sha256CertificateHash
      Nota Se não conseguir localizar o hash de certificado SHA256 do certificado de computador que está instalado o balanceador de carga de SSL, conclua k de 3i 3 passos para configurar um valor para a chave de registo Sha256CertificateHash temporário.
    9. Num computador diferente, crie uma ligação VPN que é baseado em SSTP e para o qual o destino de VPN é o nome de anfitrião do balanceador de carga de SSL.
    10. Clique em ligar para ligar a ligação VPN. A tentativa de ligação falhar. Abrir o Visualizador de eventos no computador cliente e, em seguida, localize o seguinte evento:
      Falhou o enlace criptográfico para a ligação de cliente. O motivo é o cliente e o servidor ter hashes de certificado não correspondentes configurados. SHA1 Hash do certificado:... Hash do certificado SHA256:...
    11. Anote o valor de hash do certificado SHA256 no evento no computador cliente e, em seguida, utilizar este valor para a chave de registo Sha256CertificateHash no servidor de encaminhamento e acesso remoto.
    12. Reinicie o servidor de encaminhamento e acesso remoto.
    13. Restabelecer a ligação SSTP.
  4. Instale a função de servidor de encaminhamento e acesso remoto utilizando o Gestor de servidores em todos os servidores de encaminhamento e acesso remoto.
  5. Configure o servidor de encaminhamento e acesso remoto através da execução através do encaminhamento e o Assistente de configuração de acesso remoto.
  6. Se a Firewall do Windows estiver activado no servidor de encaminhamento e acesso remoto, abra manualmente o número de porta adequada, tal como a porta 80, no Firewall do Windows. Se o entrada e saída filtros de servidor de encaminhamento e acesso remoto estiverem activados no servidor de encaminhamento e acesso remoto, abra manualmente o número de porta adequada no entrada e saída filtros de servidor de encaminhamento e acesso remoto.
  7. Definir o servidor de encaminhamento e acesso remoto para aguardar as ligações VPN baseado em HTTP num número de porta específica.

Referências

Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
947031Como resolver problemas de falhas de ligação baseada no Protocolo SSTP (Secure Socket Tunneling Protocol) no Windows Server 2008

Propriedades

Artigo: 947030 - Última revisão: 7 de fevereiro de 2008 - Revisão: 1.2
A informação contida neste artigo aplica-se a:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard
  • Windows Web Server 2008
Palavras-chave: 
kbmt kbexpertiseinter kbhowto kbinfo KB947030 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 947030

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com