文章編號: 947030 - 上次校閱: 2008年2月7日 - 版次: 1.2

如何部署 Windows Server 2008 中的 SSL 負載平衡器後面的 SSTP VPN 伺服器

中英文對照顯示按一下這裡顯示機器翻譯的中英文對照
機器翻譯檢視機器翻譯免責聲明
檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。
Beta 版資訊
本文將告訴您的 Microsoft 產品的 Beta 版。本文資訊提供來做-是,若有變更,恕不另行通知。

使用來自 Microsoft 這個 Beta 版產品沒有正式的產品支援。有關如何取得 Beta 版本支援的詳細資訊,請參閱隨附於 Beta 版產品檔案的文件或檢查下載此版本的 Web 位置。
重要本文包含有關如何修改登錄的資訊。請確定您在修改之前備份登錄。如果發生問題,請確定您知道如何還原登錄。如何備份、 還原,及修改登錄的相關資訊,請按一下下列的文件編號,檢視 Microsoft 知識庫中的文件:
322756? (http://support.microsoft.com/kb/322756/ ) 如何備份和還原 Windows XP 和 Windows Vista 中登錄

在此頁中

全部展開 | 全部摺疊

簡介

考慮下列案例:
  • 您有一個正在執行 Windows Server 2008 的安全通訊端通道通訊協定 SSTP VPN 伺服器。
  • VPN 伺服器位於背後 SSL 負載平衡器。
  • 伺服器已被指派一個私人的 IP 位址。
  • 伺服器有一個登錄到 DNS 伺服器的公用 IP 位址。
本文將告訴您,如何部署背後的 SSL 的載入平衡執行電腦的 Windows Server 2008 的 SSTP VPN 伺服器。

SSTP 是一新的一種適用於 Windows Server 2008 中的 [路由及遠端存取伺服器] 角色的 VPN 通道。SSTP 透過 HTTP 啟用點對點通訊協定 (PPP) 封包封裝。這可讓您輕鬆地建立 VPN 連線透過防火牆或透過網路位址轉譯 (NAT) 裝置。這也可讓您透過 HTTP Proxy 裝置建立 VPN 連線。

在大型組織通常會設定一個 SSL 負載平衡器,以關閉 [HTTPS 連線,然後開啟 [HTTP 連線到 Web 伺服器或路由及遠端存取伺服器。
回此頁最上方

其他相關資訊

概觀

在本文資訊適用於下列網路組態案例:
  • SSL 負載平衡器具有 IP 地址的 1.2.3.4。
  • SSL 負載平衡器具有 server.contoso.com 的 DNS 名稱。
  • 有兩個路由及遠端存取伺服器是位於外圍網路 (也稱為 DMZ、 非軍事區域和屏蔽式子網路)。其中一個這些伺服器有 IP 位址為 1.2.3.5,且另一台伺服器的 IP 位址是 1.2.3.6。
回此頁最上方

組態資訊

警告如果您修改登錄不當使用 「 登錄編輯程式 」,或使用另一個方法,可能會發生嚴重的問題。這些問題可能需要重新安裝作業系統。Microsoft 無法保證可以解決這些問題。您必須自己承擔修改登錄所造成的風險。

如果要設定 SSTP VPN 伺服器概觀 > 一節所述的案例中,請依照下列步驟執行:
  1. 設定 SSL 負載平衡器關閉 SSTP HTTPS 連線的路由及遠端存取伺服器的集區中則會導向至特定的統一資源識別元 (URI)。(這些伺服器有 1.2.3.5 及 1.2.3.6,IP 位址,以及使用連接埠 80)。以下是一個 URI 的範例:
    https://host_name:443/sra_ {BA195980-CD49-458b-9E23-C84EE0ADCD75})
  2. 在 Windows Server 2008 為基礎的電腦,可作為 SSL 負載平衡器上安裝電腦憑證。電腦憑證必須具備 EKU 鍵入設定 伺服器驗證,或 所有的目的。此憑證必須有主體名稱 (CN) 是 VPN 用戶端連線的主機名稱相同。此設定是必要成功 SSL 交涉。

    比方說請考慮下列案例:
    • 如果 VPN 用戶端設定為連線至公用 IP 位址的 NAT 裝置 (1.2.3.4),憑證的主旨名稱也必須是 1.2.3.4。
    • 如果 VPN 用戶端設定為連線到可公開存取 FQDN (server.contoso.com),憑證的主旨名稱也必須是 server.contoso.com。
  3. 如果要關閉路由及遠端存取伺服器上的 HTTP 連接請依照下列步驟執行:
    1. 使路由及遠端存取伺服器可以接聽特定的 HTTP 連線,請將下列的登錄機碼設定為 0 的值中:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sstpsvc\Parameters\UseHTTPS
    2. 在預設情況下,路由及遠端存取伺服器上接聽連接埠 443 如果 UseHTTPS 選項設為 1 或連接埠 80 上如果 UseHTTPS 選項設定為 0。如果您想要讓路由及遠端存取伺服器在另一個連接埠上接聽,請完成步驟 3 c 3 g。 如果您不要路由及遠端存取伺服器在另一個連接埠上接聽前往步驟 3 h。
    3. 啟動 「 登錄編輯程式 」,並再找出下列登錄子機碼:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters
    4. 在詳細資料] 窗格中 ListenerPort,] 上按一下滑鼠右鍵,然後按一下 [修改]
    5. 按一下 [十進位]、 輸入例如 5000,一個替代的連接埠號碼,然後按一下 [確定]
    6. 結束登錄編輯程式。
    7. 重新啟動路由及遠端存取服務。
    8. 即使在 SSL 負載平衡器上關閉 HTTPS 連線,路由及遠端存取伺服器會需要 SSL 負載平衡器,以改善安全性已安裝的電腦憑證的雜湊值。若要確定路由及遠端存取伺服器有 SSL 負載平衡器所安裝的電腦憑證的雜湊值,使用 SHA256 憑證雜湊的 SSL 負載平衡器所安裝電腦憑證設定下列 REG_BINARY 子機碼:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sstpsvc\Parameters\Sha256CertificateHash
      附註如果找不到的 SSL 負載平衡器所安裝的電腦憑證 SHA256 憑證雜湊,完成步驟 3i 3 k 來設定暫存 Sha256CertificateHash 登錄機碼值。
    9. 在不同的電腦上建立 VPN 連線,是以 SSTP 為基礎而 VPN 目的地是 SSL 負載平衡器的主機名稱。
    10. 按一下 [連線 到連接 VPN 連線。連線嘗試失敗。開啟用戶端] 電腦上的事件檢視器,然後再找出下列事件:
      密碼編譯的繫結的用戶端連線失敗。原因是用戶端,而且伺服器有設定不相符的憑證雜湊。 SHA1 憑證雜湊:... SHA256 憑證雜湊:...
    11. 記下的用戶端的電腦上事件中 SHA256 憑證雜湊值,然後使用 Sha256CertificateHash 登錄機碼,在路由及遠端存取伺服器上的 [此值。
    12. 重新啟動路由及遠端存取伺服器。
    13. 重新建立 SSTP 連線。
  4. 所有路由及遠端存取伺服器上使用伺服器管理員,以安裝路由及遠端存取伺服器角色。
  5. 藉由透過路由及遠端存取設定精靈執行設定路由及遠端存取伺服器。
  6. 如果路由及遠端存取伺服器上啟用 「 Windows 防火牆,手動開啟成 Windows 防火牆 」 中的連接埠 80,在適當的連接埠數字。 如果路由及遠端存取伺服器上啟用路由及遠端存取伺服器的傳入和傳出篩選器,手動開啟適當的連接埠編號上路由及遠端存取伺服器的傳入和傳出篩選器。
  7. 設定路由及遠端存取伺服器接聽特定的連接埠號碼上的 HTTP 為主的 VPN 連線。
回此頁最上方

?考

如需詳細資訊,請按一下下列的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
947031? (http://support.microsoft.com/kb/947031/ ) 如何疑難排解在 Windows Server 2008 中的安全通訊端通道通訊協定 SSTP 連線失敗
回此頁最上方
這篇文章中的資訊適用於:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard
  • Windows Web Server 2008
回此頁最上方
關鍵字:?
kbmt kbexpertiseinter kbhowto kbinfo KB947030 KbMtzh
回此頁最上方
機器翻譯機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:947030? (http://support.microsoft.com/kb/947030/en-us/ )
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。