Comment faire pour dépanner les incidents de connexion SSTP (Secure Socket Tunneling Protocol) dans Windows Server 2008

Traductions disponibles Traductions disponibles
Numéro d'article: 947031 - Voir les produits auxquels s'applique cet article
Important Cet article contient des informations sur la modification du Registre. Avant de modifier le Registre, pensez à le sauvegarder et assurez-vous que vous savez le restaurer en cas de problème. Pour plus d'informations sur la façon de sauvegarder, restaurer et modifier le Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
322756 Comment faire pour sauvegarder, modifier et restaurer le Registre dans Windows XP et Windows Vista
Agrandir tout | Réduire tout

Sommaire

INTRODUCTION

Cet article explique comment dépanner les incidents de connexion SSTP (Secure Socket Tunneling Protocol) que vous pouvez rencontrer dans Windows Server 2008.

SSTP est un nouveau type de tunnel VPN (Réseau privé virtuel) qui est disponible dans le rôle de serveur Routage accès distant de Windows Server 2008. Il permet l'encapsulation de paquets PPP (protocole point à point) sur HTTP. Cette fonctionnalité facilite l'établissement d'une connexion VPN via un pare-feu ou via un périphérique de traduction d'adresses réseau. Elle permet également l'établissement d'une connexion VPN via un périphérique proxy HTTP.

Les informations de cet article sont spécifiques au dépannage des incidents de connexion relatifs à la connexion VPN SSTP. Vous pouvez recevoir d'autres codes d'erreur sur un ordinateur d'accès client distant. Toutefois, ces codes d'erreur peuvent être courants pour d'autres types de tunnels VPN, tels que PPTP, L2TP et SSTP. Par exemple, cet article ne décrit pas les codes d'erreur que vous pouvez recevoir en cas d'échec d'une stratégie d'accès distant, d'une authentification client, ou encore si un serveur ne prend pas en charge les ports requis pour ce type particulier de connexion.

Plus d'informations

Les scénarios suivants décrivent des problèmes courants que vous pouvez rencontrer lorsqu'un client VPN ne parvient pas à se connecter à un serveur VPN SSTP.

Scénario 1 : vous recevez le code d'erreur 0x800704C9 lorsque vous essayez de vous connecter à un serveur VPN SSTP

Ce problème peut se produire si aucun port SSTP n'est disponible sur le serveur. Pour résoudre ce problème, vérifiez que le serveur Routage et accès distant comporte suffisamment de ports configurés pour l'accès distant. Pour cela, procédez comme suit :
  1. Démarrez le composant logiciel enfichable Routage et accès distant dans la console MMC.
  2. Développez le serveur, cliquez avec le bouton droit sur Ports, puis cliquez sur Propriétés.
  3. Dans la liste Nom, cliquez sur Miniport WAN (SSTP), puis sur Configurer.
  4. Modifiez le nombre qui apparaît dans la liste Nombre maximum de ports, en fonction de vos besoins, puis cliquez sur OK.

    Remarque Par défaut, 128 ports sont disponibles pour ce périphérique.
  5. Dans la boîte de dialogue Propriétés du port, cliquez sur OK.

Scénario 2 : vous recevez le code d'erreur 809 lorsque vous essayez de vous connecter à un serveur VPN SSTP

Ce problème peut se produire lorsque l'une des conditions suivantes est remplie :
  • L'accès distant est désactivé sur le serveur.
  • Le serveur d'accès distant n'écoute pas sur le port approprié.
  • le service Routage et accès distant ou le service SSTP est arrêté sur serveur.
  • La certificat de serveur à été supprimé de la banque de certificats de l'ordinateur sur le serveur avant que SSTP ne soit configuré.
  • L'extension EKU (Utilisation améliorée de la clé) pour le certificat qui est utilisée pour la connexion SSTP est incorrecte. Par exemple, le certificat comporte une extension EKU qui spécifie que l'authentification client doit être utilisée pour configurer la connexion SSTP.
Pour résoudre ce problème, procédez comme suit :
  1. Vérifiez que le service Routage et accès distant et le service SSTP s'exécutent sur le serveur. Pour cela, procédez comme suit :
    1. Lancez une invite de commandes, puis exécutez les deux commandes suivantes :
      • sc query remoteaccess
      • sc query sstpsvc
    2. Si l'un ou les deux services sont arrêtés, utilisez le composant logiciel enfichable MMC (Microsoft Management Console) Routage et accès distant ou Services pour démarrer le ou les services appropriés.
  2. Déterminez si le serveur écoute sur le port correct. Pour cela, lancez une invite de commandes, puis exécutez la commande suivante :
    netstat -aon
    Par exemple, vérifiez que le service SSTP écoute sur le port TCP 443. Si le service SSTP écoute sur le port port TCP 443, les entrées d'adresse locale suivantes apparaissent lorsque vous exécutez la commande netstat -aon :
    0.0.0.0:443 (IPv4)
    [::]:443 (IPv6)
    Remarque Pour déterminer l'ID processus du service SSTP, procédez comme suit :
    1. Démarrez le Gestionnaire des tâches, puis cliquez sur l'onglet Services.
    2. Dans la liste Nom, repérez l'entrée SstpSvc, puis notez le nombre qui figure dans la colonne PID.
  3. Vérifiez qu'un certificat indiquant l'authentification serveur se trouve dans le magasin de certificats de l'ordinateur. Pour cela, procédez comme suit :
    1. Cliquez sur Démarrer, puis sur Exécuter, tapez mmc, puis cliquez sur OK.
    2. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable.
    3. Dans la liste Composants logiciels enfichables disponibles, cliquez sur Certificats, puis sur Ajouter >.
    4. Dans la boîte de dialogue Composant logiciel enfichable Certificats, cliquez sur Le compte de l'ordinateur, puis sur Suivant.
    5. Laissez l'option Ordinateur local sélectionnée, puis cliquez sur Terminé.
    6. Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables, cliquez sur OK.
    7. Dans le composant logiciel enfichable MMC Console1, développez Certificats (ordinateur local), Personnel, puis cliquez sur Certificats.
    8. Dans le volet d'informations, double-cliquez sur un certificat, puis cliquez sur l'onglet Détails. Déterminez si Authentification du serveur figure en tant qu'entrée d'utilisation de certificat.

Scénario 3 : vous recevez le code d'erreur 0x80070040 lorsque vous essayez de vous connecter à un serveur VPN SSTP

Ce problème peut se produire si aucun certificat d'authentification serveur n'est installé sur le serveur Routage et accès distant.

Pour résoudre ce problème, procédez comme suit :
  1. Cliquez sur Démarrer, puis sur Exécuter, tapez mmc, puis cliquez sur OK.
  2. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable.
  3. Dans la liste Composants logiciels enfichables disponibles, cliquez sur Certificats, puis sur Ajouter >.
  4. Dans la boîte de dialogue Composant logiciel enfichable Certificats, cliquez sur Le compte de l'ordinateur, puis sur Suivant.
  5. Laissez l'option Ordinateur local sélectionnée, puis cliquez sur Terminé.
  6. Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables, cliquez sur OK.
  7. Dans le composant logiciel enfichable MMC Console1, développez Certificats (ordinateur local), Personnel, puis cliquez sur Certificats.
  8. Dans le volet d'informations, double-cliquez sur un certificat, puis cliquez sur l'onglet Détails. Déterminez si Authentification du serveur figure en tant qu'entrée d'utilisation de certificat.

Scénario 4 : vous recevez le code d'erreur 0x800B0101 lorsque vous essayez de vous connecter à un serveur VPN SSTP

Ce problème peut se produire si le certificat d'authentification serveur installé sur le serveur Routage et accès distant a expiré.

Pour résoudre ce problème, procédez comme suit :
  1. Cliquez sur Démarrer, puis sur Exécuter, tapez mmc, puis cliquez sur OK.
  2. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable.
  3. Dans la liste Composants logiciels enfichables disponibles, cliquez sur Certificats, puis sur Ajouter >.
  4. Dans la boîte de dialogue Composant logiciel enfichable Certificats, cliquez sur Le compte de l'ordinateur, puis sur Suivant.
  5. Laissez l'option Ordinateur local sélectionnée, puis cliquez sur Terminé.
  6. Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables, cliquez sur OK.
  7. Dans le composant logiciel enfichable MMC Console1, développez Certificats (ordinateur local), Personnel, puis cliquez sur Certificats.
  8. Dans le volet d'informations, repérez le certificat qui comporte Authentification du serveur en tant qu'entrée d'utilisation de certificat, puis déterminez si le certificat a expiré.
  9. Si le certificat a expiré, renouvelez-le.

Scénario 5 : vous recevez le code d'erreur 0x800B0109 lorsque vous essayez de vous connecter à un serveur VPN SSTP

Ce problème peut se produire si le certificat de l'autorité de certification racine de confiance approprié n'est pas installé dans le magasin correspondant sur l'ordinateur client.

Remarque En règle générale, si l'ordinateur client est joint au domaine et si vous utilisez des informations d'identification de domaine pour ouvrir une session sur le serveur VPN, le certificat est automatiquement installé dans le magasin des autorités de certification racines de confiance. Toutefois, si l'ordinateur n'est pas joint au domaine ou si vous utilisez une autre chaîne de certificat, vous pouvez rencontrer ce problème.

Pour résoudre ce problème, procédez comme suit :
  1. Sur l'ordinateur client, cliquez sur Démarrer, sur Exécuter, tapez mmc, puis cliquez sur OK.
  2. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable.
  3. Dans la boîte de dialogue Ajouter/Supprimer un composant logiciel enfichable, cliquez sur Ajouter.
  4. Dans la boîte de dialogue Composants logiciels enfichables disponibles, cliquez sur Certificats, puis sur Ajouter.
  5. Dans la boîte de dialogue Composant logiciel enfichable Certificats, cliquez sur Le compte de l'ordinateur, sur Suivant, puis sur Terminer.
  6. Cliquez sur Fermer, puis sur OK.
  7. Dans le composant logiciel enfichable MMC Console1, développez Certificats (Ordinateur local) et Autorités de certification racine de confiance, puis cliquez sur Certificats.
  8. Examinez les certificats qui figurent dans le volet d'informations afin de déterminer si un certificat de l'autorité de certification est présent.
  9. Si le certificat approprié n'est pas présent dans le magasin des autorités de certification racines de confiance, vous devez importer un certificat pour l'autorité de certification appropriée.

Scénario 6 : vous recevez le code d'erreur 0x800B010F lorsque vous essayez de vous connecter à un serveur VPN SSTP

Ce problème peut se produire si le nom d'hôte du serveur qui est indiqué dans la connexion VPN ne correspond pas au nom d'objet spécifié dans le certificat SSL soumis par le serveur à l'ordinateur client.

Pour résoudre ce problème, procédez comme suit :
  1. Sur le serveur VPN, cliquez sur Démarrer, sur Exécuter, tapez mmc, puis cliquez sur OK.
  2. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable.
  3. Dans la liste Composants logiciels enfichables disponibles, cliquez sur Certificats, puis sur Ajouter >.
  4. Dans la boîte de dialogue Composant logiciel enfichable Certificats, cliquez sur Le compte de l'ordinateur, puis sur Suivant.
  5. Laissez l'option Ordinateur local sélectionnée, puis cliquez sur Terminé.
  6. Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables, cliquez sur OK.
  7. Dans le composant logiciel enfichable MMC Console1, développez Certificats (ordinateur local), Personnel, puis cliquez sur Certificats.
  8. Dans le volet d'informations, repérez le certificat utilisé par le serveur VPN pour la connexion SSL.
  9. Vérifiez que le certificat comporte un nom d'objet correct. Par exemple, si le client VPN utilise une adresse IP pour se connecter au serveur, le certificat doit indiquer cette adresse le nom d'objet. Si la certificat nommé de manière adéquate n'est pas présent sur le serveur VPN, vous devez obtenir un nouveau certificat pour le serveur VPN.

Scénario 7 : vous recevez le code d'erreur 0x80092013 lorsque vous essayez de vous connecter à un serveur VPN SSTP

Ce problème peut se produire si l'ordinateur client computer échoue lors de la vérification de révocation de certificat pour le certificat SSL que l'ordinateur client a obtenu auprès du serveur VPN.

Pour résoudre ce problème, vérifiez que le serveur qui héberge la liste de révocation de certificats est disponible sur le client. Cela peut signifier que cette liste est disponible sur le client via Internet. L'ordinateur client effectue une vérification de la liste de révocation de certificats pendant l'établissement de la connexion SSL. Toutefois, cette opération de vérification n'est pas effectuée sur la connexion VPN. Ceci est dû au fait qu'aucune connexion VPN n'est établie tant que la vérification de la liste de révocation de certificats n'est pas terminée. Au lieu de cela, la demande de vérification de la liste de révocation de certificats est envoyée directement au serveur de la liste.

Scénario 8 : le service Routage et accès distant est lancé, mais il n'y a aucune connexion SSTP entrante

Avertissement Toute modification incorrecte du Registre à l'aide de l'Éditeur du Registre ou d'une autre méthode peut entraîner des problèmes sérieux. Ces problèmes peuvent vous obliger à réinstaller le système d'exploitation. Microsoft ne peut pas garantir que ces problèmes puissent être résolus. Vous assumez l'ensemble des risques liés à la modification du Registre.

Pour résoudre ce problème, procédez comme suit :
  1. Vérifiez que le service SSTP est lancé. Pour cela, exécutez la commande sc query sstpsvc à une invite de commandes.
  2. Vérifiez que le service Routage et accès distant est lancé. Pour cela, exécutez la commande sc query remoteaccess à une invite de commandes.
  3. Vérifiez que le service SSTP écoute sur le port TCP 443 ou sur port sur lequel vous avez configuré le service SSTP pour écoute. Pour cela, exécutez la commande suivante à une invite de commandes :
    netstat ?aon | findstr 443
  4. Examinez le certificat serveur qui est lié au pilote Http.sys. Pour cela, exécutez la commande suivante à une invite de commandes :
    netsh http show sslcert
  5. Examinez l'adresse IP et le numéro de port du certificat de serveur. Le service Routage et accès distant lit uniquement l'adresse IPv6 ::0 ou l'adresse IPv4 0.0.0.0.
  6. Vérifiez que le certificat de serveur que vous avez examiné aux étapes 4 et 5 est présent dans le magasin de certificats de l'ordinateur. Pour cela, procédez comme suit :
    1. Cliquez sur Démarrer, puis sur Exécuter, tapez mmc, puis cliquez sur OK.
    2. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable.
    3. Dans la liste Composants logiciels enfichables disponibles, cliquez sur Certificats, puis sur Ajouter >.
    4. Dans la boîte de dialogue Composant logiciel enfichable Certificats, cliquez sur Le compte de l'ordinateur, puis sur Suivant.
    5. Laissez l'option Ordinateur local sélectionnée, puis cliquez sur Terminé.
    6. Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables, cliquez sur OK.
    7. Dans le composant logiciel enfichable MMC Console1, développez Certificats (ordinateur local), Personnel, puis cliquez sur Certificats.
    8. Dans le volet d'informations, recherchez le certificat approprié.
  7. Vérifiez que le certificat est valide et qu'il n'a pas expiré. Vérifiez également que le même hachage de certificat est répertorié sous la clé de Registre Sha256CertificateHash ou Sha1CertificateHash.
  8. Vérifiez qu'aucun filtre d'entrée ou de sortie du service Routage et accès distant n'est configuré pour la blocage des connexions SSTP. Pour cela, procédez comme suit :
    1. Démarrez le composant logiciel enfichable Routage et accès distant dans la console MMC.
    2. Développez le serveur, puis IPv4 ou IPv6, en fonction de votre trafic réseau.
    3. Cliquez sur Général, cliquez avec le bouton droit sur l'interface de réseau appropriée, puis cliquez sur Propriétés.
    4. Dans la boîte de dialogue Nom_interface_réseau Propriétés, cliquez sur Filtres d'entrée. Vérifiez qu'aucun filtre n'est configuré pour bloquer le trafic SSTP, puis cliquez sur OK.
    5. Dans la boîte de dialogue Nom_interface_réseau Propriétés, cliquez sur Filtres de sortie. Vérifiez qu'aucun filtre n'est configuré pour bloquer le trafic SSTP, puis cliquez sur OK.
  9. Déterminez si le serveur est configuré pour l'écoute sur le port approprié pour les connexions SSTP. Par défaut, le serveur utilise le port TCP 443 pour les connexions SSTP. Pour déterminer le port utilisé par le serveur, procédez comme suit :
    1. Démarrez l'Éditeur du Registre, puis recherchez la sous-clé de Registre suivante :
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters
    2. Dans le volet Détails, cliquez avec le bouton droit sur ListenerPort, puis cliquez sur Modifier.
    3. Notez la valeur qui apparaît dans la zone Données de la valeur.
    Remarque Par défaut, l'entrée de Registre ListenerPort a pour valeur 443. Si vous modifiez cette valeur, vous devez redémarrer le service Routage et accès distant.
  10. Déterminez si le pare-feu Windows est configuré pour qu'une exception autorise le trafic SSTP. Pour cela, procédez comme suit :
    1. Cliquez sur Démarrer, sur Exécuter, tapez firewall.cpl, puis cliquez sur OK.
    2. Dans la boîte de dialogue Pare-feu Windows, cliquez sur Autoriser un programme via le Pare-feu Windows.
    3. Sous l'onglet Exceptions de la boîte de dialogue Paramètres du Pare-feu Windows, vérifiez que la case à cocher Protocole SSTP (Secure Socket Tunneling Protocol) est activée.
  11. Vérifiez qu'un pare-feu configure face au serveur Routage et accès distant n'est pas configuré pour bloquer le traffic SSTP destiné à ce serveur. Par exemple, vérifiez qu'aucun pare-feu externe n'est configuré pour bloquer le trafic TCP 443.
  12. Examinez le journal système et le journal des applications afin de localiser les événements associés au service Routage et accès distant ou au service SSTP.

Propriétés

Numéro d'article: 947031 - Dernière mise à jour: mardi 19 février 2008 - Version: 1.2
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Mots-clés : 
kbhowto kbinfo kbexpertisebeginner KB947031
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com