如何部署 Windows Server 2008 中的 SSL 负载平衡器后面的基于 SSTP 的 VPN 服务器

文章翻译 文章翻译
文章编号: 947030 - 查看本文应用于的产品
测试版信息
本文讨论了 Microsoft 产品的试用版。在本文中提供信息,作为-是,可能会有所更改,恕不另行通知。

可从 Microsoft 此测试版产品的正式的产品支持。有关如何获取对 beta 版本的支持的请参见测试版的产品文件附带的文档,或到您下载该版本的 Web 位置查看。
重要本文包含有关如何修改注册表的信息。请确保您对其进行修改之前备份注册表。请确保您知道如何还原注册表发生问题。有关如何备份、 还原,以及修改注册表的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322756如何备份和还原注册表中 Windows XP 和 Windows Vista
展开全部 | 关闭全部

本文内容

简介

请考虑以下情形:
  • 您必须运行 Windows Server 2008 的基于安全套接字隧道协议 SSTP 的 VPN 服务器。
  • VPN 服务器位于一个 SSL 负载平衡器的后面。
  • 服务器分配一个专用的 IP 地址。
  • 服务器有一个公用的 IP 地址,该注册到 DNS 服务器地址。
本文介绍如何部署一个基于 SSTP 的 VPN 服务器,后面运行 Windows Server 2008 的 SSL 的负载平衡的计算机。

SSTP 是一种全新的是 Windows Server 2008 中的路由和远程访问服务器角色中可用的 VPN 隧道。SSTP 通过 HTTP 支持点对点协议 (PPP) 数据包的封装。这允许您更轻松地建立 VPN 连接通过防火墙或通过网络地址转换 (NAT) 设备。这还允许您通过一个 HTTP 代理设备建立 VPN 连接。

在大型的组织中常见的做法是配置了 SSL 负载平衡器,以关闭 HTTPS 连接,然后打开 HTTP 连接到 Web 服务器或路由和远程访问服务器。

更多信息

概述

本文中的信息适用于下面的网络配置方案:
  • SSL 负载平衡器有 1.2.3.4 的 IP 地址。
  • SSL 负载平衡器有 server.contoso.com 的 DNS 名称。
  • 有两个路由和远程访问服务器位于外围网络 (也称为 DMZ、 非军事区和屏蔽子网) 中。这些服务器之一具有 IP 地址为 1.2.3.5,并且其他服务器的 IP 地址的 1.2.3.6。

配置信息

警告如果您修改注册表错误地使用注册表编辑器或使用另一种方法,则可能会出现严重问题。这些问题可能需要重新安装操作系统。Microsoft 不能保证可以解决这些问题。修改注册表的风险由您自己承担。

若要在"概述"部分所述的情况下配置基于 SSTP 的 VPN 服务器,请按照下列步骤操作:
  1. 配置 SSL 负载平衡器关闭基于 SSTP 的 HTTPS 连接的路由和远程访问服务器的池中被定向到特定的统一资源标识符 (URI)。(这些服务器有 IP 地址 1.2.3.5 和 1.2.3.6,和他们使用端口 80。下面是一个 URI 的一个示例:
    https://host_name:443/sra_ {BA195980-CD49-458b-9E23-C84EE0ADCD75})
  2. 作为 SSL 负载平衡器的基于 Windows Server 2008 的计算机上安装计算机证书。计算机证书必须具有在 EKU 键入组 服务器身份验证,或 所有的目的。此证书必须具有与 VPN 客户端连接到的主机名称相同的主题名称 (CN)。此配置是必需的成功 SSL 协商。

    例如对于请考虑以下情形:
    • 如果 VPN 客户端被配置为连接到公用的 IP 地址的 NAT 设备 (1.2.3.4),证书的使用者名称还必须 1.2.3.4。
    • 如果 VPN 客户端被配置为连接到可公开访问的 FQDN (server.contoso.com),证书的使用者名称还必须 server.contoso.com。
  3. 如果要关闭路由和远程访问服务器上的 HTTP 连接请按照下列步骤操作:
    1. 下面的注册表项设为 0 的值,以便路由和远程访问服务器可以侦听一个特定的 HTTP 连接:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sstpsvc\Parameters\UseHTTPS
    2. 默认状态下,路由和远程访问服务器在端口 443 上侦听,如果 UseHTTPS 选项设置为 1 或端口 80 上如果 UseHTTPS 选项设置为 0。如果您希望为在另一个端口上侦听路由和远程访问服务器,请完成步骤 3 c-3 g。 如果不希望路由和远程访问服务器在另一个端口上侦听,请转到步骤 3 小时。
    3. 启动注册表编辑器,然后找到以下注册表子项:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters
    4. 在详细信息窗格中右键单击 ListenerPort,然后单击 修改
    5. 单击 十进制,键入一个备用的端口号 (如 5000,然后单击 确定
    6. 退出注册表编辑器。
    7. 重新启动路由和远程访问服务。
    8. 即使 SSL 负载平衡器上关闭 HTTPS 连接,路由和远程访问服务器需要 SSL 负载平衡器,以提高安全性上安装计算机证书的哈希值。要确保路由和远程访问服务器有 SSL 负载平衡器上安装计算机证书的哈希值,使用 SSL 负载平衡器上安装计算机证书的 SHA256 证书哈希配置以下 REG_BINARY 子项:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sstpsvc\Parameters\Sha256CertificateHash
      注意如果找 SHA256 证书哈希 SSL 负载平衡器上安装计算机证书的完成步骤 3i 的 3 k 配置临时 Sha256CertificateHash 注册表项值。
    9. 在另一台计算机上创建 VPN 连接的是基于 SSTP 和 VPN 目标是 SSL 的负载平衡器的主机名。
    10. 单击连接的 VPN 连接的 连接。连接尝试失败。打开客户端的计算机上的事件查看器,然后查找以下事件:
      加密绑定的客户端连接失败。原因是客户端和服务器上有不匹配的证书哈希配置。 SHA1 证书哈希:.. SHA256 证书哈希:..
    11. 请注意 SHA256 证书哈希在事件中在客户端上的值,然后使用 Sha256CertificateHash 注册表项在路由和远程访问服务器上的此值。
    12. 重新启动路由和远程访问服务器。
    13. 重新建立 SSTP 连接。
  4. 通过使用服务器管理器的所有路由和远程访问服务器上安装了路由和远程访问服务器角色。
  5. 通过运行通过 $ 路由和远程访问配置向导配置路由和远程访问服务器。
  6. 如果在路由和远程访问服务器上启用 Windows 防火墙的情况下,手动打开该如端口 80,在 Windows 防火墙中的相应的端口号。 如果在路由和远程访问服务器上启用了路由和远程访问服务器的入站和出站筛选器,手动打开相应的端口号上路由和远程访问服务器的入站和出站筛选器。
  7. 设置路由和远程访问服务器为侦听特定的端口号上的基于 HTTP 的 VPN 连接。

参考

有关详细的信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
947031如何排查 Windows Server 2008 中的基于安全套接字隧道协议 SSTP 的连接失败

属性

文章编号: 947030 - 最后修改: 2008年2月7日 - 修订: 1.2
这篇文章中的信息适用于:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard
  • Windows Web Server 2008
关键字:?
kbmt kbexpertiseinter kbhowto kbinfo KB947030 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 947030
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com