Problembehandlung bei SSTP-Verbindungsfehlern in Windows Server 2008

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 947031 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
947031 How to troubleshoot Secure Socket Tunneling Protocol (SSTP)-based connection failures in Windows Server 2008
Wichtig: Dieser Artikel enthält Informationen zum Bearbeiten der Registrierung. Bevor Sie die Registrierung bearbeiten, vergewissern Sie sich bitte, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen einer Sicherungskopie, zum Wiederherstellen und Bearbeiten der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756 Unter Windows XP und Windows Server 2003 eine Sicherungskopie der Registrierung erstellen und die Registrierung bearbeiten und wiederherstellen
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Einführung

Der vorliegende Artikel erläutert, wie Sie Probleme mit SSTP-Verbindungsfehlern (SSTP = Secure Socket Tunneling-Protokoll) behandeln, die in Windows Server 2008 auftreten können.

SSTP ist ein neuer Typ von VPN-Tunnel (VPN = Virtual Private Networking), der in der Routing- und RAS-Serverrolle in Windows Server 2008 verfügbar ist. SSTP ermöglicht die Verkapselung von PPP-Paketen (PPP = Point-to-Point-Protokoll) über HTTP. Dieses Feature erleichtert den Aufbau einer VPN-Verbindung durch eine Firewall oder über ein NAT-Gerät (NAT = Network Address Translation). Außerdem ermöglicht das Feature den Aufbau einer VPN-Verbindung über ein HTTP-Proxygerät.

Die Informationen in diesem Artikel beziehen sich speziell auf die Problembehandlung von Verbindungsfehlern, die bei einer SSTP-basierten VPN-Verbindung auftreten. Auf einem RAS-Clientcomputer können auch andere Fehlercodes angezeigt werden, die aber eher bei anderen Typen von VPN-Tunneln auftreten können, wie zum Beispiel PPTP oder L2TP. Dieser Artikel behandelt zum Beispiel keine Fehlercodes, die auftreten können, wenn eine RAS-Richtlinie fehlschlägt, wenn die Clientauthentifizierung fehlschlägt oder wenn ein Server die für eine bestimmte Art von Verbindung erforderlichen Ports nicht unterstützt.

Weitere Informationen

Die folgenden Szenarios beschreiben allgemeine Probleme, die auftreten können, wenn ein VPN-Client keine Verbindung zu einem SSTP-basierten VPN-Server herstellen kann.

Szenario 1: Anzeige von Fehlercode 0x800704C9 beim Versuch, die Verbindung zu einem SSTP-basierten VPN-Server herzustellen

Dieses Problem kann auftreten, wenn auf dem Server keine SSTP-Ports verfügbar sind. Stellen Sie zur Behandlung dieses Problems sicher, dass auf dem Routing- und RAS-Server genügend Ports für den Remotezugriff konfiguriert sind. Gehen Sie hierzu folgendermaßen vor:
  1. Starten Sie das MMC-Snap-In "Routing und RAS".
  2. Erweitern Sie den Server, klicken Sie mit der rechten Maustaste auf Ports, und klicken Sie auf Eigenschaften.
  3. Klicken Sie in der Liste Name auf WAN-Miniport (SSTP), und klicken Sie auf Konfigurieren.
  4. Ändern Sie die Anzahl der in der Liste Maximale Portanzahl angezeigten Ports gemäß Ihren Anforderungen, und klicken Sie auf OK.

    Hinweis: Standardmäßig sind für dieses Gerät 128 Ports verfügbar.
  5. Klicken Sie im Dialogfeld Porteigenschaften (Port Properties) auf OK.

Szenario 2: Anzeige von Fehlercode 809 beim Versuch, die Verbindung zu einem SSTP-basierten VPN-Server herzustellen

Dieses Problem kann auftreten, wenn eine der folgenden Bedingungen vorliegt:
  • Der Remotezugriff auf dem Server ist deaktiviert.
  • Der RAS-Server hört den entsprechenden Port nicht ab.
  • Der Routing- und RAS-Dienst oder der SSTP-Dienst auf dem Server sind nicht gestartet.
  • Auf dem Server wurde das Serverzertifikat aus dem Zertifikatspeicher des Computers entfernt, bevor SSTP konfiguriert wurde.
  • Das EKU-Attribut (Extended Key Usage, Erweiterte Schlüsselverwendung) für das Zertifikat, das für die SSTP-Verbindung verwendet wird, ist unkorrekt. Beispielsweise gibt das EKU-Attribut für das Zertifikat an, dass die SSTP-Verbindung mittels Clientauthentifizierung konfiguriert werden soll.
Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:
  1. Stellen Sie sicher, dass der Routing- und RAS-Dienst und der SSTP-Dienst auf dem Server ausgeführt werden. Gehen Sie hierzu folgendermaßen vor:
    1. Öffnen Sie eine Eingabeaufforderung, und führen Sie die folgenden zwei Befehle aus:
      • sc query remoteaccess
      • sc query sstpsvc
    2. Wenn einer der Dienste oder beide Dienste beendet wurden, verwenden Sie das MMC-Snap-In "Routing und RAS" oder das MMC-Snap-In "Dienste", um die entsprechenden Dienste zu starten.
  2. Stellen Sie fest, ob der Server den entsprechenden Port abhört. Führen Sie hierzu an einer Eingabeaufforderung den folgenden Befehl aus:
    netstat -aon
    Vergewissern Sie sich beispielsweise, ob der SSTP-Dienst den TCP-Port 443 abhört. Wenn der SSTP-Dienst den TCP-Port 443 abhört, werden bei Ausführung des Befehls netstat -aon die folgenden lokalen Adresseinträge angezeigt:
    0.0.0.0:443 (IPv4)
    [::]:443 (IPv6)
    Hinweis: Gehen Sie folgendermaßen vor, um die Prozess-ID des SSTP-Dienstes zu ermitteln:
    1. Starten Sie den Task-Manager, und klicken Sie auf die Registerkarte Dienste.
    2. Suchen Sie in der Liste Name den Eintrag SstpSvc, und notieren Sie sich die Nummer, die in der Spalte PID angezeigt wird.
  3. Stellen Sie sicher, dass im Zertifikatspeicher des Computers ein Zertifikat enthalten ist, das Serverauthentifizierung angibt. Gehen Sie hierzu folgendermaßen vor:
    1. Klicken Sie auf Start und auf Ausführen, geben Sie mmc ein, und klicken Sie auf OK.
    2. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.
    3. Klicken Sie in der Liste Verfügbare Snap-Ins auf Zertifikate und anschließend auf Hinzufügen >.
    4. Klicken Sie im Dialogfeld Zertifikat-Snap-In auf Computerkonto und anschließend auf Weiter.
    5. Lassen Sie die Option Lokaler Computer aktiviert, und klicken Sie auf Abgeschlossen (Finished).
    6. Klicken Sie im Dialogfeld Snap-Ins hinzufügen/entfernen auf OK.
    7. Erweitern Sie im MMC-Snap-In Konsole1 den Eintrag Zertifikate (Lokaler Computer), erweitern Sie Eigene Zertifikate, und klicken Sie auf Zertifikate.
    8. Doppelklicken Sie im Detailfenster auf ein Zertifikat, und klicken Sie auf die Registerkarte Details. Stellen Sie fest, ob unter den Einträgen für die Zertifikatverwendung der Eintrag Serverauthentifizierung enthalten ist.

Szenario 3: Anzeige von Fehlercode 0x80070040 beim Versuch, die Verbindung zu einem SSTP-basierten VPN-Server herzustellen

Dieses Problem kann auftreten, wenn auf dem Routing- und RAS-Server kein Serverauthentifizierungszertifikat installiert ist.

Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:
  1. Klicken Sie auf Start und auf Ausführen, geben Sie mmc ein, und klicken Sie auf OK.
  2. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.
  3. Klicken Sie in der Liste Verfügbare Snap-Ins auf Zertifikate und anschließend auf Hinzufügen >.
  4. Klicken Sie im Dialogfeld Zertifikat-Snap-In auf Computerkonto und anschließend auf Weiter.
  5. Lassen Sie die Option Lokaler Computer aktiviert, und klicken Sie auf Abgeschlossen.
  6. Klicken Sie im Dialogfeld Snap-Ins hinzufügen/entfernen auf OK.
  7. Erweitern Sie im MMC-Snap-In Konsole1 den Eintrag Zertifikate (Lokaler Computer), erweitern Sie Eigene Zertifikate, und klicken Sie auf Zertifikate.
  8. Doppelklicken Sie im Detailfenster auf ein Zertifikat, und klicken Sie auf die Registerkarte Details. Stellen Sie fest, ob unter den Einträgen für die Zertifikatverwendung der Eintrag Serverauthentifizierung enthalten ist.

Szenario 4: Anzeige von Fehlercode 0x800B0101 beim Versuch, die Verbindung zu einem SSTP-basierten VPN-Server herzustellen

Dieses Problem kann auftreten, wenn das Serverauthentifizierungszertifikat auf dem Routing- und RAS-Server abgelaufen ist.

Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:
  1. Klicken Sie auf Start und auf Ausführen, geben Sie mmc ein, und klicken Sie auf OK.
  2. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.
  3. Klicken Sie in der Liste Verfügbare Snap-Ins auf Zertifikate und anschließend auf Hinzufügen >.
  4. Klicken Sie im Dialogfeld Zertifikat-Snap-In auf Computerkonto und anschließend auf Weiter.
  5. Lassen Sie die Option Lokaler Computer aktiviert, und klicken Sie auf Abgeschlossen.
  6. Klicken Sie im Dialogfeld Snap-Ins hinzufügen/entfernen auf OK.
  7. Erweitern Sie im MMC-Snap-In Konsole1 den Eintrag Zertifikate (Lokaler Computer), erweitern Sie Eigene Zertifikate, und klicken Sie auf Zertifikate.
  8. Suchen Sie im Detailfenster das Zertifikat, das als einen der Einträge für die Zertifikatverwendung Serverauthentifizierung hat, und stellen Sie fest, ob das Zertifikat abgelaufen ist.
  9. Wenn das Zertifikat abgelaufen ist, erneuern Sie das Zertifikat.

Szenario 5: Anzeige von Fehlercode 0x800B0109 beim Versuch, die Verbindung zu einem SSTP-basierten VPN-Server herzustellen

Dieses Problem kann auftreten, wenn das entsprechende Zertifikat der vertrauenswürdigen Stammzertifizierungsstelle nicht im Speicher vertrauenswürdiger Stammzertifizierungsstellen auf dem Clientcomputer installiert ist.

Hinweis: Im Normalfall wird das Zertifikat automatisch im Speicher vertrauenswürdiger Stammzertifizierungsstellen installiert, wenn der Clientcomputer der Domäne hinzugefügt wird und Sie sich mit den Domänenanmeldeinformationen beim VPN-Server anmelden. Wenn der Computer jedoch nicht der Domäne hinzugefügt wird oder Sie eine andere Zertifikatskette verwenden, kann dieses Problem auftreten.

Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:
  1. Klicken Sie auf dem Clientcomputer auf Start und auf Ausführen, geben Sie mmc ein, und klicken Sie auf OK.
  2. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.
  3. Klicken Sie im Dialogfeld Snap-In hinzufügen/entfernen auf Hinzufügen.
  4. Klicken Sie im Dialogfeld Verfügbare eigenständige Snap-Ins auf Zertifikate und anschließend auf Hinzufügen.
  5. Klicken Sie im Dialogfeld Zertifikat-Snap-In auf Computerkonto, klicken Sie auf Weiter und anschließend auf Fertig stellen.
  6. Klicken Sie auf Schließen und anschließend auf OK.
  7. Erweitern Sie im MMC-Snap-In Konsole1 den Eintrag Zertifikate (Lokaler Computer), erweitern Sie Vertrauenswürdige Stammzertifizierungsstellen, und klicken Sie auf Zertifikate.
  8. Untersuchen Sie die im Detailfenster angezeigten Zertifikate, um festzustellen, ob ein Zertifikat von der Zertifizierungsstelle vorhanden ist.
  9. Wenn das entsprechende Zertifikat im Speicher vertrauenswürdiger Stammzertifizierungsstellen nicht vorhanden ist, müssen Sie ein Zertifikat für die entsprechende Zertifizierungsstelle importieren.

Szenario 6: Anzeige von Fehlercode 0x800B010F beim Versuch, die Verbindung zu einem SSTP-basierten VPN-Server herzustellen

Dieses Problem kann auftreten, wenn der Hostname des in der VPN-Verbindung angegebenen Servers nicht mit dem Namen des Antragstellers übereinstimmt, der auf dem SSL-Zertifikat angegeben ist, das der Server an den Clientcomputer übermittelt.

Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:
  1. Klicken Sie auf dem VPN-Server auf Start und auf Ausführen, geben Sie mmc ein, und klicken Sie auf OK.
  2. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.
  3. Klicken Sie in der Liste Verfügbare Snap-Ins auf Zertifikate und anschließend auf Hinzufügen >.
  4. Klicken Sie im Dialogfeld Zertifikat-Snap-In auf Computerkonto und anschließend auf Weiter.
  5. Lassen Sie die Option Lokaler Computer aktiviert, und klicken Sie auf Abgeschlossen.
  6. Klicken Sie im Dialogfeld Snap-Ins hinzufügen/entfernen auf OK.
  7. Erweitern Sie im MMC-Snap-In Konsole1 den Eintrag Zertifikate (Lokaler Computer), erweitern Sie Eigene Zertifikate, und klicken Sie auf Zertifikate.
  8. Suchen Sie im Detailfenster das Zertifikat, das der VPN-Server für die SSL-Verbindung verwendet.
  9. Vergewissern Sie sich, dass der Name des Antragstellers für das Zertifikat korrekt ist. Wenn der VPN-Client zum Beispiel eine IP-Adresse für die Verbindung zum Server verwendet, muss im Namen des Antragstellers diese IP-Adresse angegeben sein. Wenn das Zertifikat mit dem entsprechenden Namen nicht auf dem VPN-Server vorhanden ist, müssen Sie ein neues Zertifikat für den VPN-Server beziehen.

Szenario 7: Anzeige von Fehlercode 0x80092013 beim Versuch, die Verbindung zu einem SSTP-basierten VPN-Server herzustellen

Dieses Problem kann auftreten, wenn auf dem Clientcomputer die Zertifikatsperrüberprüfung für das SSL-Zertifikat fehlschlägt, das der Clientcomputer vom VPN-Server bezogen hat.

Vergewissern Sie sich, dass der Server, der die Zertifikatsperrliste verwaltet, für den Client verfügbar ist, um dieses Problem zu beheben. Dies kann bedeuten, dass der Server mit der Zertifikatsperrliste für den Client über das Internet erreichbar ist. Der Clientcomputer führt die Zertifikatsperrlistenprüfung während des Aufbaus der SSL-Verbindung durch. Dieser Verifizierungsvorgang erfolgt jedoch nicht über die VPN-Verbindung. Dies liegt daran, dass die VPN-Verbindung erst aufgebaut wird, wenn die Zertifikatsperrlistenprüfung erfolgreich war. Stattdessen wird die Abfrage für die Zertifikatsperrlistenprüfung direkt an den Zertifikatsperrlistenserver gesendet.

Szenario 8: Der Routing- und RAS-Server wird ausgeführt, aber es gibt keine eingehenden SSTP-Verbindungen

Achtung: Die unkorrekte Verwendung des Registrierungs-Editors kann schwerwiegende Probleme verursachen, die das gesamte System betreffen und eine Neuinstallation des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungs-Editors herrühren, behoben werden können. Benutzen Sie den Registrierungs-Editor auf eigene Verantwortung.

Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:
  1. Stellen Sie sicher, dass der SSTP-Dienst ausgeführt wird. Führen Sie hierzu an einer Eingabeaufforderung den Befehl sc query sstpsvc aus.
  2. Stellen Sie sicher, dass der Routing- und RAS-Dienst ausgeführt wird. Führen Sie hierzu an einer Eingabeaufforderung den Befehl sc query remoteaccess aus.
  3. Stellen Sie sicher, dass der SSTP-Dienst den TCP-Port 443 (oder den von Ihnen entsprechend konfigurierten Port) abhört. Führen Sie hierzu an einer Eingabeaufforderung den folgenden Befehl aus:
    netstat ?aon | findstr 443
  4. Untersuchen Sie das Serverzertifikat, das an den Treiber "Http.sys" gebunden ist. Führen Sie hierzu an einer Eingabeaufforderung den folgenden Befehl aus:
    netsh http show sslcert
  5. Untersuchen Sie die IP-Adresse und die Portnummer des Serverzertifikats. Der Routing- und RAS-Dienst liest nur die IPv6-Adresse ::0 oder die IPv4-Adresse 0.0.0.0.
  6. Vergewissern Sie sich, dass das Serverzertifikat, das Sie in den Schritten 4 und 5 untersucht haben, im Zertifikatspeicher des Computers vorhanden ist. Gehen Sie hierzu folgendermaßen vor:
    1. Klicken Sie auf Start und auf Ausführen, geben Sie mmc ein, und klicken Sie auf OK.
    2. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.
    3. Klicken Sie in der Liste Verfügbare Snap-Ins auf Zertifikate und anschließend auf Hinzufügen >.
    4. Klicken Sie im Dialogfeld Zertifikat-Snap-In auf Computerkonto und anschließend auf Weiter.
    5. Lassen Sie die Option Lokaler Computer aktiviert, und klicken Sie auf Abgeschlossen.
    6. Klicken Sie im Dialogfeld Snap-Ins hinzufügen/entfernen auf OK.
    7. Erweitern Sie im MMC-Snap-In Konsole1 den Eintrag Zertifikate (Lokaler Computer), erweitern Sie Eigene Zertifikate, und klicken Sie auf Zertifikate.
    8. Suchen Sie im Detailfenster das entsprechende Zertifikat.
  7. Vergewissern Sie sich, dass das Zertifikat gültig und nicht abgelaufen ist. Vergewissern Sie sich außerdem, dass derselbe Zertifikathash unter dem Registrierungsschlüssel Sha256CertificateHash oder dem Registrierungsschlüssel Sha1CertificateHash aufgelistet ist.
  8. Vergewissern Sie sich, dass für Routing und RAS keine eingehenden oder ausgehenden Filter konfiguriert sind, die SSTP-Verbindungen blockieren. Gehen Sie hierzu folgendermaßen vor:
    1. Starten Sie das MMC-Snap-In "Routing und RAS"
    2. Erweitern Sie den Server, und erweitern Sie dann IPv4 oder IPv6, je nachdem, welchen Netzverkehr Sie verwenden.
    3. Klicken Sie auf Allgemein, klicken Sie mit der rechten Maustaste auf die entsprechende Netzwerkschnittstelle, und klicken Sie auf Eigenschaften.
    4. Klicken Sie im Dialogfeld Eigenschaften von Name der Netzwerkschnittstelle auf Eingehende Filter. Vergewissern Sie sich, dass kein Filter konfiguriert ist, der SSTP-Verkehr blockiert, und klicken Sie auf OK.
    5. Klicken Sie im Dialogfeld Eigenschaften von Name der Netzwerkschnittstelle auf Ausgehende Filter. Vergewissern Sie sich, dass kein Filter konfiguriert ist, der SSTP-Verkehr blockiert, und klicken Sie auf OK.
  9. Stellen Sie fest, ob der Server darauf konfiguriert ist, SSTP-Verbindungen auf dem entsprechenden Port abzuhören. Standardmäßig verwendet der Server den TCP-Port 443 für SSTP-Verbindungen. Gehen Sie folgendermaßen vor, um festzustellen, welchen Port der Server verwendet:
    1. Starten Sie den Registrierungs-Editor, und suchen Sie den folgenden Registrierungsteilschlüssel:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters
    2. Klicken Sie im Detailfenster mit der rechten Maustaste auf ListenerPort, und klicken Sie auf Ändern.
    3. Notieren Sie sich den im Feld Wert stehenden Wert.
    Hinweis: Der Registrierungseintrag "ListenerPort" hat standardmäßig den Wert 443. Wenn Sie diesen Wert ändern, müssen Sie den Routing- und RAS-Dienst neu starten.
  10. Stellen Sie fest, ob die Windows-Firewall mit einer Ausnahme konfiguriert ist, die SSTP-Verkehr zulässt. Gehen Sie hierzu folgendermaßen vor:
    1. Klicken Sie auf Start und auf Ausführen, geben Sie firewall.cpl ein, und klicken Sie auf OK.
    2. Klicken Sie im Dialogfeld Windows-Firewall auf Programm durch die Windows-Firewall kommunizieren lassen.
    3. Vergewissern Sie sich, dass im Dialogfeld Windows-Firewalleinstellungen auf der Registerkarte Ausnahmen das Kontrollkästchen Secure Socket Tunneling-Protokoll aktiviert ist.
  11. Vergewissern Sie sich, dass eine vor dem Routing- und RAS-Server konfigurierte Firewall nicht darauf konfiguriert ist, für den Routing- und RAS-Server bestimmten SSTP-Verkehr zu blockieren. Vergewissern Sie sich zum Beispiel, dass eine externe Firewall nicht darauf konfiguriert ist, Verkehr über TCP-Port 443 zu blockieren.
  12. Durchsuchen Sie das Systemprotokoll und das Anwendungsprotokoll nach Ereignissen, die sich auf den Routing- und RAS-Dienst oder den SSTP-Dienst beziehen.

Eigenschaften

Artikel-ID: 947031 - Geändert am: Montag, 21. April 2008 - Version: 1.3
Die Informationen in diesem Artikel beziehen sich auf:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Keywords: 
kbexpertisebeginner kbhowto kbinfo KB947031
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com