Как развернуть на базе SSTP VPN-сервер за выравнивателя загрузки SSL в Windows Server 2008

Переводы статьи Переводы статьи
Код статьи: 947030 - Vizualiza?i produsele pentru care se aplic? acest articol.
Сведения О бета-версии
В этой статье обсуждается бета-версия продукта корпорации Майкрософт. Информация в данной статье предоставляется как-это и может быть изменена без предварительного уведомления.

Не обслуживается по каналам технической поддержки корпорации Майкрософт для этой бета-версии продукта. Сведения о получении поддержки для бета-версии обратитесь к документации, поставляемой с файлами бета-версии продукта или веб-узле, где вы загрузили эту версию.
Важные Эта статья содержит сведения об изменении реестра. Убедитесь, что резервную копию реестра перед внесением изменений. Убедитесь, что знаете, как восстановить реестр в случае возникновения проблем. Для получения дополнительных сведений о том, как резервное копирование, восстановлении и изменении реестра щелкните следующий номер статьи базы знаний Майкрософт:
322756 Резервное копирование и восстановление реестра в Windows XP и Windows Vista
Развернуть все | Свернуть все

В этой статье

ВВЕДЕНИЕ

Рассмотрим следующий сценарий:
  • У вас на основе Secure Socket туннелирования протокола SSTP VPN-сервера, работающего под управлением Windows Server 2008.
  • VPN-сервер расположен за балансировщик нагрузки SSL.
  • Назначено частный IP-адрес сервера.
  • Сервер использует общий IP-адрес, который зарегистрирован на DNS-сервер.
В данной статье описывается, как для развертывания на базе SSTP VPN-сервер за SSL с балансировкой нагрузки компьютера под управлением Windows Server 2008.

SSTP-это новый тип VPN-туннеля в роли сервера маршрутизации и удаленного доступа в Windows Server 2008. SSTP обеспечивает инкапсуляцию пакетов Point-to-Point Protocol (PPP) через HTTP. Это позволяет легко устанавливать VPN-подключения через брандмауэр или устройство преобразования сетевых адресов (NAT). Это также позволяет устанавливать VPN-подключения через HTTP прокси-устройством.

В больших организациях, типичных для настройки балансировки SSL для закрытия соединения HTTPS и затем открыть подключение HTTP к веб-сервер или сервер маршрутизации и удаленного доступа.

Дополнительная информация

Общие сведения

Информация в данной статье относится к следующий сценарий конфигурации сети:
  • Выравниватель нагрузки SSL имеет IP-адрес 1.2.3.4.
  • Выравниватель нагрузки SSL имеет DNS-имя server.contoso.com.
  • Существуют два сервера маршрутизации и удаленного доступа, расположенные в отдельной внутренней сети (также известный как DMZ, демилитаризованная зона и экранированная подсеть). Один из этих серверов имеет IP-адрес 1.2.3.5, а другой сервер IP-адрес 1.2.3.6.

Сведения о конфигурации

Предупреждение При неправильном изменении реестра с помощью редактора реестра или иным способом могут возникнуть серьезные проблемы. Эти проблемы могут потребовать переустановки операционной системы. Корпорация Майкрософт не гарантирует эти проблемы. Изменения в реестр на ваш собственный риск.

Чтобы настроить сервер на базе SSTP VPN в ситуации, описанной в разделе «Обзор», выполните следующие действия:
  1. Настройка балансировки SSL для закрытия подключений HTTPS на базе SSTP, направленные в пуле серверов маршрутизации и удаленного доступа для конкретных универсальный код ресурса (URI). (Эти серверы имеют IP-адреса 1.2.3.5 и 1.2.3.6, и они используют порт 80). Ниже приведен пример URI:
    https://HOST_NAME:443/sra_ {BA195980-CD49-458b-9E23-C84EE0ADCD75})
  2. Установите сертификат компьютера на компьютер под управлением Windows Server 2008, который служит в качестве выравнивателя загрузки SSL. Сертификат компьютера должен иметь значение типа «Улучшенный ключ» Проверка подлинности сервера или Все назначения. Этот сертификат должен содержать имя субъекта (CN), такой же, как имя узла, к которому подключение VPN-клиентов. Такая конфигурация необходима для успешного согласования SSL.

    Например рассмотрим следующую ситуацию:
    • Если VPN-клиент настроен для подключения к общий IP-адрес устройства NAT (1.2.3.4), имя субъекта сертификата должно также быть 1.2.3.4.
    • Если VPN-клиент настроен для подключения к полное доменное имя (server.contoso.com), доступную в открытых источниках, имя субъекта сертификата должно также быть server.contoso.com.
  3. Если вы хотите закрыть подключение HTTP на сервере маршрутизации и удаленного доступа, выполните следующие действия.
    1. Задайте следующий раздел реестра значение 0, чтобы сервер маршрутизации и удаленного доступа может прослушивать конкретной HTTP-подключения:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sstpsvc\Parameters\UseHTTPS
    2. По умолчанию серверы маршрутизации и удаленного доступа прослушивает порт 443, если параметр UseHTTPS имеет значение 1 или на порт 80, если параметр UseHTTPS имеет значение 0. Выполнения действия 3 c-3 g, если сервер маршрутизации и удаленного доступа на другой порт. Если требуется, чтобы сервер маршрутизации и удаленного доступа на другой порт, переходите к шагу 3 h.
    3. Запустите редактор реестра и найдите следующий подраздел реестра:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters
    4. В области сведений щелкните правой кнопкой мыши ListenerPort, а затем нажмите кнопку Изменить.
    5. Нажмите кнопку Десятичный, введите альтернативный порт, например 5000, а затем нажмите кнопку ОК.
    6. Закройте редактор реестра.
    7. Перезапустите службу маршрутизации и удаленного доступа.
    8. Несмотря на то, что закрытия HTTPS-соединения SSL балансировки нагрузки сервера маршрутизации и удаленного доступа должен хеш сертификата компьютера, установленного на балансировки SSL для повышения безопасности. Убедитесь, что сервер маршрутизации и удаленного доступа имеет значение хэша сертификата компьютера, установленного на балансировки SSL, настройте следующий подраздел REG_BINARY с помощью SHA256 хеш сертификата компьютера, установленного на балансировки SSL:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sstpsvc\Parameters\Sha256CertificateHash
      Примечание Не удается найти SHA256 хеш сертификата компьютера, установленного на балансировки SSL, выполните действия 3i 3 k, чтобы настроить временное значение раздела реестра Sha256CertificateHash.
    9. На другом компьютере создайте VPN-подключение, основанному на SSTP и для которого назначение VPN является имя узла балансировки SSL.
    10. Нажмите кнопку Подключение для подключения VPN-подключения. Попытка подключения будет неудачной. Откройте окно просмотра событий на клиентском компьютере, а затем найдите следующее событие:
      Не удалось выполнить криптографическая привязка для клиентского соединения. Причина заключается в клиенте и на сервере установлены несоответствующие сертификата хеш-значения настроены. Значение SHA1 Хэш-сертификата:... SHA256 Хэш сертификата:...
    11. Обратите внимание на значение хеш сертификата SHA256 событий на клиентском компьютере, а затем использовать это значение для раздела реестра Sha256CertificateHash на сервере маршрутизации и удаленного доступа.
    12. Перезапустите сервер маршрутизации и удаленного доступа.
    13. Восстановление подключения SSTP.
  4. Установка роли сервера маршрутизации и удаленного доступа с помощью диспетчера сервера на все серверы маршрутизации и удаленного доступа.
  5. Настройте сервер маршрутизации и удаленного доступа, выполняются с использованием мастера маршрутизации и удаленного доступа К конфигурации.
  6. Если брандмауэр Windows включен на сервере маршрутизации и удаленного доступа, вручную откройте соответствующий номер порта, например, порт 80, в брандмауэре Windows. Если сервер маршрутизации и удаленного доступа фильтры входящих и исходящих включены на сервере маршрутизации и удаленного доступа, откройте соответствующий номер порта на сервере маршрутизации и удаленного доступа фильтры входящих и исходящих вручную.
  7. Установка сервера маршрутизации и удаленного доступа для прослушивания подключений VPN на основе протокола HTTP на специальный номер порта.

Ссылки

Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
947031Устранение сбоев Secure Socket туннелирования протокола SSTP-подключение в Windows Server 2008

Свойства

Код статьи: 947030 - Последний отзыв: 19 июня 2011 г. - Revision: 4.0
Информация в данной статье относится к следующим продуктам.
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard
  • Windows Web Server 2008
Ключевые слова: 
kbexpertiseinter kbhowto kbinfo kbmt KB947030 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:947030

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com