Como implantar um servidor VPN baseado em SSTP atrás de um balanceador de carga SSL no Windows Server 2008

Traduções deste artigo Traduções deste artigo
ID do artigo: 947030 - Exibir os produtos aos quais esse artigo se aplica.
Informações de versão beta
Este artigo descreve uma versão beta de um produto da Microsoft. As informações neste artigo são fornecidas como - é e estão sujeitas a alterações sem aviso prévio.

Nenhum suporte formal está disponível da Microsoft para este produto beta. Para obter informações sobre como obter suporte para uma versão beta, consulte a documentação incluída com os arquivos de produto beta ou verifique o local da Web onde você a versão foi baixada.
importante Este artigo contém informações sobre como modificar o registro. Certifique-se de que você faça backup do registro antes de modificá-lo. Certifique-se que você sabe como restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup, restaurar e modificar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
322756Como fazer e restaurar o registro no Windows XP e no Windows Vista
Expandir tudo | Recolher tudo

Neste artigo

INTRODUÇÃO

Considere o seguinte cenário:
  • Você tem um servidor VPN baseada em Secure Socket encapsulamento SSTP protocolo que está executando o Windows Server 2008.
  • O servidor VPN está localizado atrás de um balanceador de carga SSL.
  • O servidor é atribuído um endereço IP particular.
  • O servidor tem um endereço IP público está registrado para um servidor DNS.
Este artigo descreve como implantar um servidor VPN baseado em SSTP atrás de um computador com balanceamento de carga SSL que está executando o Windows Server 2008.

SSTP é um novo tipo de encapsulamento VPN que está disponível na função de roteamento e o servidor de acesso remoto no Windows Server 2008. SSTP permite que o encapsulamento de pacotes de protocolo ponto a ponto (PPP) sobre HTTP. Isso permite que você mais facilmente estabelecer uma conexão VPN através de um firewall ou através de um dispositivo NAT (conversão de endereços de rede). Isso também permite que você estabelecer uma conexão VPN por meio de um dispositivo de proxy HTTP.

Em organizações de grandes porte, é comum para configurar um balanceador de carga SSL para fechar uma conexão HTTPS e abrir uma conexão HTTP para um servidor Web ou para um servidor de roteamento e acesso remoto.

Mais Informações

Visão geral

As informações neste artigo aplicam-se o cenário de configuração de rede a seguir:
  • O balanceador de carga SSL tem um endereço IP de 1.2.3.4.
  • O balanceador de carga SSL tem o nome DNS de server.contoso.com.
  • Há dois servidores de roteamento e acesso remoto que estejam localizados em uma rede de perímetro (também conhecido como DMZ, zona desmilitarizada e sub-rede filtrada). Um desses servidores tem um endereço IP de 1.2.3.5, e o outro servidor tem um endereço IP de 1.2.3.6.

Informações de configuração

Aviso Podem ocorrer sérios problemas se você modificar o registro incorretamente usando o Editor do registro ou usando outro método. Esses problemas podem exigir que você reinstalar o sistema operacional. A Microsoft não garante que esses problemas possam ser solucionados. Modificar o registro por sua própria conta e risco.

Para configurar um servidor VPN baseado em SSTP na situação descrita na seção "Visão geral", execute essas etapas:
  1. Configure o balanceador de carga SSL para fechar conexões HTTPS baseado em SSTP que são direcionadas para um identificador específico de recursos uniforme (URI) em um pool de servidores de roteamento e acesso remoto. (Esses servidores têm endereços IP dos 1.2.3.5 e 1.2.3.6 e usarem a porta 80). Este é um exemplo de um URI:
    https://host_name:443/sra_ {BA195980-CD49-458b-9E23-C84EE0ADCD75})
  2. Instale um certificado de computador no computador com Windows Server 2008 que serve como o balanceador de carga de SSL. O certificado de computador deve ter EKU digite set para Autenticação do servidor ou para Finalidade All . Este certificado deve ter um nome de entidade (CN) que é o mesmo que o nome do host ao qual os clientes VPN se conectar. Essa configuração é necessária para negociação SSL bem-sucedida.

    Por exemplo, considere o seguinte cenário:
    • Se um cliente VPN estiver configurado para se conectar ao endereço IP público do dispositivo NAT (1.2.3.4), o nome da entidade do certificado também deve ser 1.2.3.4.
    • Se um cliente VPN estiver configurado para se conectar ao FQDN (server.contoso.com) que pode ser acessado publicamente, o nome da entidade do certificado também deve ser server.contoso.com.
  3. Se você quiser fechar a conexão HTTP nos servidores de roteamento e acesso remoto, execute estas etapas:
    1. Defina a seguinte chave do Registro para um valor de 0 para que o servidor de roteamento e acesso remoto pode ouvir uma conexão HTTP específica:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sstpsvc\Parameters\UseHTTPS
    2. Por padrão, servidores de roteamento e acesso remoto escutam na porta 443 se a opção UseHTTPS está definida para 1 ou na porta 80 se a opção UseHTTPS é definida como 0. Conclua as etapas de 3 c-3 g se desejar que o servidor de roteamento e acesso remoto para ouvir em outra porta. Se você não quiser que o servidor de roteamento e acesso remoto para ouvir em outra porta, vá para a etapa 3 h.
    3. Inicie o Editor do Registro e localize a seguinte subchave do Registro:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters
    4. No painel de detalhes, clique com o botão direito do mouse ListenerPort e, em seguida, clique em Modificar .
    5. Clique em decimal , digite um número de porta alternativo como 5000 e, em seguida, clique em OK .
    6. Feche o Editor do Registro.
    7. Reinicie o serviço Roteamento e acesso remoto.
    8. Mesmo que conexões HTTPS são fechadas no balanceador de carga SSL, o servidor de roteamento e acesso remoto precisa o valor de hash do certificado de computador que está instalado o balanceador de carga SSL para aumentar a segurança. Para certificar-se que o servidor Roteamento e acesso remoto tem o valor de hash do certificado de computador que está instalado no balanceador de carga SSL, configure a seguinte subchave REG_BINARY usando o hash de certificado SHA256 do certificado de computador que está instalado no balanceador de carga SSL:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sstpsvc\Parameters\Sha256CertificateHash
      Observação Se você não conseguir localizar o hash de certificado SHA256 do certificado de computador que está instalado no balanceador de carga SSL, conclua as etapas 3-3i k para configurar um valor para a chave de registro Sha256CertificateHash temporário.
    9. Em um computador diferente, crie uma conexão VPN que é baseado em SSTP e para que o destino de VPN é o nome do balanceador de carga SSL host.
    10. Clique em conectar para se conectar a conexão VPN. A tentativa de conexão falhará. Abra Visualizar eventos no computador cliente e em seguida, localize o seguinte evento:
      Falha de ligação criptográfica para a conexão cliente. O motivo é o cliente e o servidor tem hashes do certificado incompatível configurados. SHA1 Hash de certificado:... Hash de certificado SHA256:...
    11. Observe o valor de hash de certificado SHA256 no evento no computador cliente e, em seguida, usar esse valor para a chave do Registro Sha256CertificateHash no servidor de roteamento e acesso remoto.
    12. Reinicie o servidor de roteamento e acesso remoto.
    13. Restabelecer a conexão SSTP.
  4. Instale a função de servidor de roteamento e acesso remoto usando o Gerenciador de servidores em todos os servidores de roteamento e acesso remoto.
  5. Configure o servidor Roteamento e acesso remoto executando através do roteamento e o Assistente de configuração de acesso remoto.
  6. Se ele estiver habilitado no servidor de roteamento e acesso remoto, abra manualmente o número de porta apropriado, como a porta 80, no Firewall do Windows. Se o roteamento e acesso remoto de entrada e saída filtros de servidor estiverem habilitados no servidor de roteamento e acesso remoto, abra manualmente o número de porta apropriada em filtros de entrada e saída do servidor de roteamento e acesso remoto.
  7. Defina o servidor Roteamento e acesso remoto para escutar as conexões VPN com base em HTTP em um número de porta específica.

Referências

Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
947031Como solucionar falhas de conexão baseada em Secure Socket Tunneling protocolo SSTP no Windows Server 2008

Propriedades

ID do artigo: 947030 - Última revisão: quinta-feira, 7 de fevereiro de 2008 - Revisão: 1.2
A informação contida neste artigo aplica-se a:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard
  • Windows Web Server 2008
Palavras-chave: 
kbmt kbexpertiseinter kbhowto kbinfo KB947030 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 947030

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com