Řešení potíží s chybami Secure Socket Tunneling Protocol SSTP připojení v systému Windows Server 2008

Překlady článku Překlady článku
ID článku: 947031 - Produkty, které se vztahují k tomuto článku.
Důležité Tento článek obsahuje informace o úpravě registru. Ujistěte se před úpravami je nutné zálohovat registr. Ujistěte se, že víte, jak registr obnovit v případě, že dojde k potížím. Další informace o zálohování, obnovení a úpravách registru získáte článku znalostní báze Microsoft Knowledge Base:
322756 Postup při zálohování a obnovení registru v systému Windows
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

ÚVOD

Tento článek popisuje řešení potíží s chybami Secure Socket Tunneling Protocol SSTP připojení, které mohou nastat v systému Windows Server 2008.

SSTP je nový typ tunelového propojení Virtual Private Networking (VPN), který je k dispozici v roli serveru služby Směrování a vzdálený přístup v systému Windows Server 2008. SSTP umožňuje paketů protokolu PPP (Point-to-Point Protocol) přes protokol HTTP zapouzdřit. Tato funkce umožňuje připojení VPN snadněji stanovit prostřednictvím brány firewall nebo zařízení pro překládání adres (NAT). Tato funkce také umožňuje připojení VPN se stanoví pomocí zařízení s HTTP proxy.

Informace v tomto článku je specifický pro odstraňování potíží chyby připojení, které se vztahují k připojení VPN založených na SSTP. Můžete obdržet jiné kódy chyb v počítači Klient vzdáleného přístupu. Tyto kódy chyb však může být společný pro další typy VPN tunely, jako je například protokol PPTP, L2TP a SSTP. V tomto článku například kódy chyb, které můžete obdržet, pokud selže zásady vzdáleného přístupu, pokud se nezdaří ověření klienta nebo pokud server nepodporuje porty, které jsou požadovány pro konkrétní druh připojení není popsán.

Další informace

Následující scénáře popisují běžné problémy, které mohou nastat v případě, že klient VPN se nemůže připojit k serveru VPN založené na SSTP.

Scénář 1: Zobrazí kód chyby 0x800704C9 při pokusu o připojení k serveru VPN založené na SSTP

K tomuto problému může dojít, pokud jsou na serveru k dispozici žádné porty SSTP. Chcete-li tento problém vyřešit, ověřte, zda server směrování a vzdálený přístup má dostatečné porty nakonfigurován pro vzdálený přístup. Chcete-li to provést, postupujte takto:
  1. Spusťte modul snap-in Směrování a vzdálený přístup konzoly MMC.
  2. Rozbalte server, klepněte pravým tlačítkem myši Portya klepněte na tlačítko Vlastnosti.
  3. V Název Klepněte na položku Připojení WAN Miniport (SSTP)a klepněte na tlačítko Konfigurace.
  4. Změnit číslo se zobrazí v Maximální počet portů podle požadavků a pak klepněte na tlačítko OK.

    Poznámka: Ve výchozím nastavení jsou k dispozici pro toto zařízení 128 portů.
  5. V Vlastnosti portu Dialogové okno, klepněte na tlačítko OK.

Scénář 2: Zobrazí kód chyby 809 při pokusu o připojení k serveru VPN založené na SSTP

K tomuto problému může dojít, pokud platí jedna z následujících podmínek:
  • Vzdálený přístup je zakázáno na serveru.
  • Server pro vzdálený přístup není připraven na příslušný port.
  • Na serveru je zastavena služba Směrování a vzdálený přístup nebo službu SSTP.
  • Certifikát serveru byla odebrána z úložiště certifikátů počítače na serveru před SSTP byl konfigurován.
  • Použití rozšířeného klíče (EKU) rozšíření certifikátu, který se používá pro připojení SSTP je nesprávná. Certifikát má například EKU, která určuje, že ověřování klienta použít ke konfiguraci připojení SSTP.
Chcete-li tento problém vyřešit, postupujte takto:
  1. Ověřte, že na serveru je spuštěna služba Směrování a vzdálený přístup a SSTP. Chcete-li to provést, postupujte takto:
    1. Spusťte příkazový řádek a potom spusťte následující dva příkazy:
      • sc query remoteaccess
      • sc query sstpsvc
    2. Pokud jedna nebo obě služby jsou zastaveny, pomocí modulu snap-in Směrování a vzdálený přístup konzoly MMC (konzola Microsoft Management Console) nebo modul snap-in služby konzoly MMC zahájit příslušné služby nebo služeb.
  2. Zjistěte, zda je server naslouchá na správný port. Chcete-li to provést, spusťte příkazový řádek a potom spusťte následující příkaz:
    netstat - aon
    Například ověřte, že služba SSTP nenaslouchá na portu TCP 443. Pokud služba SSTP naslouchá na portu TCP 443, při spuštění, zobrazí se následující položky místní adresa netstat - aon příkaz:
    0.0.0.0:443 (IPv4)
    [:]: 443 (IPv6)
    Poznámka: Chcete-li určit Identifikátor procesu služby SSTP, postupujte takto:
    1. Spusťte Správce úloh a klepněte Služby na kartě.
    2. V Název seznam, vyhledejte SstpSvc položka a Poznámka číslo se zobrazí v PID sloupec.
  3. Ověřte, že certifikát, který určuje ověřování serveru se nachází v úložišti certifikátů počítače. Chcete-li to provést, postupujte takto:
    1. Klepněte na tlačítko Spustit, klepněte na tlačítko Spustit, typ konzoly MMCa klepněte na tlačítko OK.
    2. V Soubor nabídky, klepněte na tlačítko Přidat nebo odebrat modul Snap-in.
    3. V Dostupné moduly snap in Klepněte na položku Certifikátya klepněte na tlačítko Přidat >.
    4. V Modul snap-in Certifikáty Dialogové okno, klepněte na tlačítko Účet počítačea klepněte na tlačítko Další.
    5. Ponechat Místní počítač Vybraná možnost a klepněte na Dokončení.
    6. V Přidat nebo odebrat moduly Snap in Dialogové okno, klepněte na tlačítko OK.
    7. V Konzola 1 MMC modul snap-in, rozbalte položku Certifikáty (místní), rozbalte položku Osobnía klepněte na tlačítko Certifikáty.
    8. V podokně podrobností poklepejte na certifikát a klepněte Podrobnosti kartu určení zda Ověření serveru Zobrazí se jako jedna z položek použití certifikátu.

Scénář 3: Zobrazí kód chyby 0x80070040 při pokusu o připojení k serveru VPN založené na SSTP

Tento problém může nastat, pokud certifikát ověření serveru není nainstalován na serveru služby Směrování a vzdálený přístup.

Chcete-li tento problém vyřešit, postupujte takto:
  1. Klepněte na tlačítko Spustit, klepněte na tlačítko Spustit, typ konzoly MMCa klepněte na tlačítko OK.
  2. V Soubor nabídky, klepněte na tlačítko Přidat nebo odebrat modul Snap-in.
  3. V Dostupné moduly snap in Klepněte na položku Certifikátya klepněte na tlačítko Přidat >.
  4. V Modul snap-in Certifikáty Dialogové okno, klepněte na tlačítko Účet počítačea klepněte na tlačítko Další.
  5. Ponechat Místní počítač Vybraná možnost a klepněte na Dokončení.
  6. V Přidat nebo odebrat moduly Snap in Dialogové okno, klepněte na tlačítko OK.
  7. V Konzola 1 MMC modul snap-in, rozbalte položku Certifikáty (místní), rozbalte položku Osobnía klepněte na tlačítko Certifikáty.
  8. V podokně podrobností poklepejte na certifikát a klepněte Podrobnosti kartu určení zda Ověření serveru Zobrazí se jako jedna z položek použití certifikátu.

Scénář 4: Zobrazí kód chyby 0x8007371B při pokusu o připojení k serveru VPN založené na SSTP

K tomuto problému může dojít, pokud vypršela platnost certifikátu ověření serveru na serveru služby Směrování a vzdálený přístup.

Chcete-li tento problém vyřešit, postupujte takto:
  1. Klepněte na tlačítko Spustit, klepněte na tlačítko Spustit, typ konzoly MMCa klepněte na tlačítko OK.
  2. V Soubor nabídky, klepněte na tlačítko Přidat nebo odebrat modul Snap-in.
  3. V Dostupné moduly snap in Klepněte na položku Certifikátya klepněte na tlačítko Přidat >.
  4. V Modul snap-in Certifikáty Dialogové okno, klepněte na tlačítko Účet počítačea klepněte na tlačítko Další.
  5. Ponechat Místní počítač Vybraná možnost a klepněte na Dokončení.
  6. V Přidat nebo odebrat moduly Snap in Dialogové okno, klepněte na tlačítko OK.
  7. V Konzola 1 MMC modul snap-in, rozbalte položku Certifikáty (místní), rozbalte položku Osobnía klepněte na tlačítko Certifikáty.
  8. V podokně podrobností vyhledejte certifikát, který má Ověření serveru jako jedna z položek použití certifikátu a zjistěte, zda vypršela platnost certifikátu.
  9. Pokud platnost certifikátu vypršela, certifikát obnovte.

Scénář 5: Zobrazí kód chyby 0x800B0109 při pokusu o připojení k serveru VPN založené na SSTP

Tento problém může nastat, pokud není nainstalován odpovídající důvěryhodného kořenového certifikátu certifikačního úřadu (CA) v důvěryhodné kořenové certifikační úřady v klientském počítači uložit.

Poznámka: Obecně platí, pokud klientský počítač je připojen k doméně a použití pověření domény pro přihlášení k serveru VPN, certifikát je automaticky instalován do důvěryhodných kořenových certifikačních úřadů uložte. Pokud počítač není připojen k doméně, nebo používáte-li řetězci alternativní certifikátů, může dojít k tomuto problému.

Chcete-li tento problém vyřešit, postupujte takto:
  1. V klientském počítači klepněte na tlačítko Spustit, klepněte na tlačítko Spustit, typ konzoly MMCa klepněte na tlačítko OK.
  2. V Soubor nabídky, klepněte na tlačítko Přidat nebo odebrat modul Snap-in.
  3. V Přidat nebo odebrat modul Snap-in Dialogové okno, klepněte na tlačítko Přidat.
  4. V K dispozici samostatný modul Snap-In Dialogové okno, klepněte na tlačítko Certifikátya klepněte na tlačítko Přidat.
  5. V Modul snap-in Certifikáty Dialogové okno, klepněte na tlačítko Účet počítače, klepněte na tlačítko Dalšía klepněte na tlačítko Dokončit.
  6. Klepněte na tlačítko Zavříta klepněte na tlačítko OK.
  7. V Konzola 1 MMC modul snap-in, rozbalte položku Certifikáty (místní), rozbalte položku Důvěryhodné kořenové certifikační úřadya klepněte na tlačítko Certifikáty.
  8. Prozkoumejte certifikáty, které se zobrazí v podokně podrobností k určení, zda je certifikát od certifikačního úřadu k dispozici.
  9. Pokud příslušný certifikát není k dispozici v úložišti důvěryhodných kořenových certifikačních úřadů, je nutné importovat certifikát příslušného certifikačního úřadu.

Scénář 6: Zobrazí se kód chyby 0x800B010F Při pokusu o připojení k serveru VPN založené na SSTP

Tento problém může nastat, pokud hostitelský název serveru zadaný v připojení VPN neodpovídá názvu subjektu, který je uveden na certifikátu SSL, který odešle serveru do klientského počítače.

Chcete-li tento problém vyřešit, postupujte takto:
  1. Na serveru VPN klepněte na tlačítko Spustit, klepněte na tlačítko Spustit, typ konzoly MMCa klepněte na tlačítko OK.
  2. V Soubor nabídky, klepněte na tlačítko Přidat nebo odebrat modul Snap-in.
  3. V Dostupné moduly snap in Klepněte na položku Certifikátya klepněte na tlačítko Přidat >.
  4. V Modul snap-in Certifikáty Dialogové okno, klepněte na tlačítko Účet počítačea klepněte na tlačítko Další.
  5. Ponechat Místní počítač Vybraná možnost a klepněte na Dokončení.
  6. V Přidat nebo odebrat moduly Snap in Dialogové okno, klepněte na tlačítko OK.
  7. V Konzola 1 MMC modul snap-in, rozbalte položku Certifikáty (místní), rozbalte položku Osobnía klepněte na tlačítko Certifikáty.
  8. V podokně podrobností vyhledejte certifikát, který používá VPN server pro připojení SSL.
  9. Ověřte, zda certifikát obsahuje název subjektu správné. Například musí certifikát klienta VPN používá adresy IP se připojit k serveru, zadejte tuto adresu IP v názvu subjektu. Je-li vhodně pojmenovaných certifikátu není k dispozici na serveru VPN, musíte získat nový certifikát pro VPN server.

Scénář 7: Zobrazí kód chyby 0x80092013 při pokusu o připojení k serveru VPN založené na SSTP

K tomuto problému může dojít, pokud selže počítač klienta, kontrola odvolaných certifikátů SSL certifikát, klientský počítač získaných ze serveru VPN.

Chcete-li tento problém vyřešit, ověřte, zda je server, který je hostitelem seznamu odvolaných certifikátů (CRL) dostupné pro klienta. To znamená, že seznam CRL je dostupný server klientovi přes Internet. Klientský počítač spustí kontrolu seznamu odvolaných certifikátů při ustavení připojení SSL. Tato operace ověření však nebyla provedena prostřednictvím připojení VPN. Důvodem je připojení VPN není usazen, dokud kontrola seznamu CRL proběhl úspěšně. Místo toho je seznam CRL kontrola dotaz odeslán přímo k serveru CRL.

Scénář 8: Na serveru služby Směrování a vzdálený přístup se systémem, ale nejsou žádná příchozí připojení SSTP

Upozornění Při nesprávných úpravách registru pomocí Editoru registru nebo jiným způsobem může dojít k vážným problémům. Tyto problémy mohou vyžadovat přeinstalaci operačního systému. Společnost Microsoft nemůže zaručit, že tyto potíže lze vyřešit. Úpravy registru provádíte na vlastní nebezpečí.

Chcete-li tento problém vyřešit, postupujte takto:
  1. Ověřte, zda je spuštěna služba SSTP. To provedete tak, sc query sstpsvc příkaz na příkazovém řádku.
  2. Ověřte, zda je spuštěna služba Směrování a vzdálený přístup. To provedete tak, sc query remoteaccess příkaz na příkazovém řádku.
  3. Ověřte, že služba SSTP nenaslouchá na TCP port 443 nebo port, na kterém jste nakonfigurovali službu SSTP poslouchat. Chcete-li to provést, spusťte následující příkaz na příkazovém řádku:
    netstat –aon | findstr 443
  4. Zkontrolujte serverový certifikát, který je vázán na ovladač Http.sys. Chcete-li to provést, spusťte následující příkaz na příkazovém řádku:
    netsh http zobrazit sslcert
  5. Zkontrolujte adresu IP a číslo portu certifikátu serveru. Služba Směrování a vzdálený přístup čtení pouze adresy IPv6 :: 0 nebo adresu IPv4 0.0.0.0.
  6. Ověřte, zda je certifikát serveru, který je zkontrolován v krocích 4 a 5 v úložišti certifikátů počítače. Chcete-li to provést, postupujte takto:
    1. Klepněte na tlačítko Spustit, klepněte na tlačítko Spustit, typ konzoly MMCa klepněte na tlačítko OK.
    2. V Soubor nabídky, klepněte na tlačítko Přidat nebo odebrat modul Snap-in.
    3. V Dostupné moduly snap in Klepněte na položku Certifikátya klepněte na tlačítko Přidat >.
    4. V Modul snap-in Certifikáty Dialogové okno, klepněte na tlačítko Účet počítačea klepněte na tlačítko Další.
    5. Ponechat Místní počítač Vybraná možnost a klepněte na Dokončení.
    6. V Přidat nebo odebrat moduly Snap in Dialogové okno, klepněte na tlačítko OK.
    7. V Konzola 1 MMC modul snap-in, rozbalte položku Certifikáty (místní), rozbalte položku Osobnía klepněte na tlačítko Certifikáty.
    8. V podokně podrobností vyhledejte příslušný certifikát.
  7. Ověřte, zda je certifikát platný a že není vypršela. Ověřte také, že se stejnou hodnotou hash certifikátu je uveden v části Sha256CertificateHash klíč registru nebo v Sha1CertificateHash klíč registru.
  8. Ověřte, že žádné směrování a vzdálený přístup příchozí filtry nebo výstupní filtry jsou nakonfigurována na blokování připojení SSTP. Chcete-li to provést, postupujte takto:
    1. Spusťte modul snap-in Směrování a vzdálený přístup konzoly MMC.
    2. Rozbalte server a potom rozbalte položku IPv4 nebo IPv6, případně k provozu v síti.
    3. Klepněte na tlačítko Obecné, klepněte pravým tlačítkem myši na příslušné síťové rozhraní a klepněte na tlačítko Vlastnosti.
    4. V Network_Interface_Name Vlastnosti Dialogové okno, klepněte na tlačítko Vstupní filtry. Ověřte, zda je nakonfigurován žádný filtr, blokovat provoz SSTP, a klepněte na tlačítko OK.
    5. V Network_Interface_Name Vlastnosti Dialogové okno, klepněte na tlačítko Odchozí filtry. Ověřte, zda je nakonfigurován žádný filtr, blokovat provoz SSTP, a klepněte na tlačítko OK.
  9. Zjistěte, zda je server nakonfigurován pro naslouchání příslušný port pro připojení SSTP. Ve výchozím nastavení server používá TCP port 443 SSTP připojení. Chcete-li zjistit informace o portu, který používá server, postupujte takto:
    1. Spusťte Editor registru a vyhledejte následující podklíč registru:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters
    2. V podokně podrobností klepněte pravým tlačítkem myši ListenerPorta klepněte na tlačítko Upravit.
    3. Poznámka: hodnota, která se zobrazí v Hodnota dat pole.
    Poznámka: Ve výchozím nastavení má položka registru ListenerPort na hodnotu 443. Pokud tuto hodnotu změnit, je nutné restartovat službu Směrování a vzdálený přístup.
  10. Zjistěte, zda je brána Windows Firewall nakonfigurována na výjimku pro provoz SSTP. Chcete-li to provést, postupujte takto:
    1. Klepněte na tlačítko Spustit, klepněte na tlačítko Spustit, typ příkaz firewall.cpla klepněte na tlačítko OK.
    2. V Brána Firewall systému Windows Dialogové okno, klepněte na tlačítko Povolení programu prostřednictvím brány Windows Firewall.
    3. V Výjimky na kartě Nastavení brány Windows Firewall dialogovém okně ověřte, zda Secure Socket Tunneling Protocol je-li zaškrtnuto políčko.
  11. Ověřte, zda brány firewall, která je u serveru pro směrování a vzdálený přístup nakonfigurován není nakonfigurována k blokování SSTP přenos určený pro server služby Směrování a vzdálený přístup. Například ověřte, zda externí brány firewall není nakonfigurován k přenosu bloku TCP 443.
  12. Zkontrolujte systémový protokol a vyhledat všechny události, které se vztahují ke službě Směrování a vzdálený přístup nebo službu SSTP protokolu aplikace.

Vlastnosti

ID článku: 947031 - Poslední aktualizace: 22. května 2011 - Revize: 3.0
Informace v tomto článku jsou určeny pro produkt:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Klíčová slova: 
kbexpertisebeginner kbhowto kbinfo kbmt KB947031 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:947031

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com