Come risolvere i problemi di connessione basata su SSTP Secure Socket Tunneling Protocol in Windows Server 2008

Traduzione articoli Traduzione articoli
Identificativo articolo: 947031 - Visualizza i prodotti a cui si riferisce l?articolo.
importante Vengono fornite informazioni su come modificare il Registro di sistema. Assicurarsi di backup del Registro di sistema prima di modificarlo. Verificare che come ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup, ripristinare e modificare il Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
322756Come eseguire il backup e il ripristino del Registro di sistema in Windows
Espandi tutto | Chiudi tutto

In questa pagina

INTRODUZIONE

In questo articolo viene descritto come risolvere gli errori di connessione basata su SSTP Secure Socket Tunneling Protocol che possono verificarsi in Windows Server 2008.

SSTP Ŕ un nuovo tipo di tunnel VPN (Virtual Private Networking) disponibile nel ruolo del server Routing e accesso remoto in Windows Server 2008. SSTP consente pacchetti PPP (Point-to-Point Protocol) da incapsulare su HTTP. Questa funzionalitÓ consente per una connessione VPN stabilire pi¨ facilmente attraverso un firewall o una periferica Network Address Translation (NAT). Inoltre, questa funzionalitÓ consente una connessione VPN a essere stabilita tramite una periferica di proxy HTTP.

Le informazioni in questo articolo sono specifiche per la risoluzione dei problemi errori di connessione relativi a una connessione VPN basata su SSTP. Altri codici di errore in un computer client di accesso remoto potrebbe essere visualizzato. Tuttavia, questi codici di errore potrebbero essere comuni per altri tipi di tunnel VPN, ad esempio PPTP, L2TP e SSTP. Ad esempio, in questo articolo non viene trattata codici di errore che potrebbe essere visualizzato se un criterio di accesso remoto ha esito negativo, se l'autenticazione del client non riesce o se un server non supporta le porte necessarie per il particolare tipo di connessione.

Informazioni

Di seguito viene descritto alcuni scenari basati i problemi comuni che possono quando un client VPN non pu˛ connettersi un server VPN basato su SSTP.

Scenario 1: ╚ visualizzato 0x800704C9 del codice di errore quando si tenta di connettersi a un server VPN basato su SSTP

Questo problema pu˛ verificarsi se nessuna porta SSTP Ŕ disponibile sul server. Per risolvere il problema, verificare che il server di routing e accesso remoto disponga di sufficienti le porte configurate per l'accesso remoto. Per effettuare questa operazione, attenersi alla seguente procedura:
  1. Avvio dello snap-in MMC di Access remoto e routing.
  2. Espandere il server, fare clic con il pulsante destro del mouse su porte e scegliere ProprietÓ .
  3. Nell'elenco nome fare clic su SSTP (Miniport WAN) e quindi fare clic su Configura .
  4. Modificare il numero visualizzato nella casella numero massimo di porte , a seconda dei requisiti e scegliere OK .

    Nota Per impostazione predefinita, 128 porte sono disponibili per questa periferica.
  5. Nella finestra di dialogo ProprietÓ porta , fare clic su OK .

Scenario 2: ╚ visualizzato 809 del codice di errore quando si tenta di connettersi a un server VPN basato su SSTP

Questo problema pu˛ verificarsi se una delle seguenti condizioni Ŕ vera:
  • Accesso remoto Ŕ disattivato sul server.
  • Il server di accesso remoto non Ŕ in ascolto sulla porta appropriata.
  • Il servizio Routing e accesso remoto o il servizio SSTP Ŕ stato arrestato sul server.
  • Il certificato del server Ŕ stato rimosso da archivio certificati del computer sul server prima di SSTP Ŕ stato configurato.
  • Extended Key Usage (EKU) estensione per il certificato utilizzato per la connessione di SSTP Ŕ errato. Ad esempio, il certificato ha un EKU che specifica che l'autenticazione client da utilizzare per configurare la connessione SSTP.
Per risolvere il problema, attenersi alla seguente procedura:
  1. Verificare che il servizio Routing e accesso remoto e il servizio SSTP sono in esecuzione sul server. Per effettuare questa operazione, attenersi alla seguente procedura:
    1. Avviare un prompt dei comandi ed eseguire i seguenti comandi:
      • sc query remoteaccess
      • sc query sstpsvc
    2. Se uno o pi¨ servizi vengono arrestati, Ŕ possibile utilizzare lo snap-in Routing e Remote Access Microsoft Management Console (MMC) o lo snap-in MMC Servizi per avviare il servizio appropriato o i servizi.
  2. Consente di determinare se il server Ŕ in ascolto alla porta corretta. Per effettuare questa operazione, avviare un prompt dei comandi e quindi eseguire il comando riportato di seguito:
    netstat - aon
    Ad esempio, verificare che il servizio SSTP Ŕ in ascolto sulla porta TCP 443. Se il servizio SSTP Ŕ in ascolto sulla porta TCP 443, le seguenti voci di indirizzo locale verranno visualizzate quando si esegue il comando netstat - aon :
    0.0.0.0:443 (IPv4)
    [::]:443 (IPv6)
    Nota Per determinare l'ID processo del servizio SSTP, attenersi alla seguente procedura:
    1. Avviare Task Manager e quindi fare clic sulla scheda servizi .
    2. Nell'elenco nome , individuare la voce SstpSvc e prendere nota del numero visualizzato nella colonna PID .
  3. Verificare che un certificato che specifica l'autenticazione del server si trovi nell'archivio certificati computer. Per effettuare questa operazione, attenersi alla seguente procedura:
    1. Fare clic su Start , scegliere Esegui , digitare mmc e quindi fare clic su OK .
    2. Scegliere Aggiungi/Rimuovi snap-in dal menu file .
    3. Nell'elenco snap-in disponibili , fare clic su certificati e quindi scegliere Aggiungi >.
    4. Nella finestra di dialogo snap-in certificati , selezionare account del computer e scegliere Avanti .
    5. Lasciare selezionata l'opzione computer locale e quindi fare clic su Fine .
    6. Nella finestra di dialogo aggiungere o rimuovere snap-in , fare clic su OK .
    7. Nel Console1 snap-in MMC, espandere certificati (computer locale) , espandere personale e quindi fare clic su certificati .
    8. Nel riquadro dei dettagli fare doppio clic su un certificato e quindi fare clic su della scheda Dettagli verifica se L'autenticazione Server viene visualizzata come uno dei movimenti di utilizzo del certificato.

Scenario 3: ╚ visualizzato 0x80070040 del codice di errore quando si tenta di connettersi a un server VPN basato su SSTP

Questo problema pu˛ verificarsi se un certificato di autenticazione del server non Ŕ installato sul server.

Per risolvere il problema, attenersi alla seguente procedura:
  1. Fare clic su Start , scegliere Esegui , digitare mmc e quindi fare clic su OK .
  2. Scegliere Aggiungi/Rimuovi snap-in dal menu file .
  3. Nell'elenco snap-in disponibili , fare clic su certificati e quindi scegliere Aggiungi >.
  4. Nella finestra di dialogo snap-in certificati , selezionare account del computer e scegliere Avanti .
  5. Lasciare selezionata l'opzione computer locale e quindi fare clic su Fine .
  6. Nella finestra di dialogo aggiungere o rimuovere snap-in , fare clic su OK .
  7. Nel Console1 snap-in MMC, espandere certificati (computer locale) , espandere personale e quindi fare clic su certificati .
  8. Nel riquadro dei dettagli fare doppio clic su un certificato e quindi fare clic su della scheda Dettagli verifica se L'autenticazione Server viene visualizzata come uno dei movimenti di utilizzo del certificato.

Scenario 4: ╚ visualizzato 0x800B0101 del codice di errore quando si tenta di connettersi a un server VPN basato su SSTP

Questo problema pu˛ verificarsi se il certificato di autenticazione del server sul server Ŕ scaduto.

Per risolvere il problema, attenersi alla seguente procedura:
  1. Fare clic su Start , scegliere Esegui , digitare mmc e quindi fare clic su OK .
  2. Scegliere Aggiungi/Rimuovi snap-in dal menu file .
  3. Nell'elenco snap-in disponibili , fare clic su certificati e quindi scegliere Aggiungi >.
  4. Nella finestra di dialogo snap-in certificati , selezionare account del computer e scegliere Avanti .
  5. Lasciare selezionata l'opzione computer locale e quindi fare clic su Fine .
  6. Nella finestra di dialogo aggiungere o rimuovere snap-in , fare clic su OK .
  7. Nel Console1 snap-in MMC, espandere certificati (computer locale) , espandere personale e quindi fare clic su certificati .
  8. Nel riquadro dei dettagli individuare il certificato che disponga di Autenticazione Server come uno dei movimenti di utilizzo del certificato e verificare se il certificato Ŕ scaduto.
  9. Se il certificato Ŕ scaduto, rinnovare il certificato.

Scenario 5: ╚ visualizzato 0x800B0109 del codice di errore quando si tenta di connettersi a un server VPN basato su SSTP

Questo problema pu˛ verificarsi se il certificato di autoritÓ di certificazione (CA) di certificazione principale attendibile appropriato non Ŕ installato in AutoritÓ di certificazione principale attendibili nella archiviati nel computer client.

Nota In genere, se il computer di client Ŕ stato aggiunto al dominio e se si utilizza le credenziali di dominio per accedere al server VPN, il certificato viene installato automaticamente nell'autoritÓ di certificazione principale attendibili memorizzare. Tuttavia, se il computer non Ŕ stato aggiunto al dominio o se si utilizza una catena di certificati alternativo, questo problema pu˛ verificarsi.

Per risolvere il problema, attenersi alla seguente procedura:
  1. Sul computer client, fare clic su Start , scegliere Esegui , digitare mmc e quindi fare clic su OK .
  2. Scegliere Aggiungi/Rimuovi snap-in dal menu file .
  3. Nella finestra della finestra di dialogo Aggiungi/Rimuovi snap-in , fare clic su Aggiungi .
  4. Nella finestra di dialogo Snap-in autonomi disponibili , fare clic su certificati e scegliere Aggiungi .
  5. Nella finestra di dialogo snap-in certificati , selezionare account del computer fare clic su Avanti e quindi fare clic su Fine .
  6. Fare clic su Chiudi e quindi fare clic su OK .
  7. Nel Console1 snap-in MMC, espandere certificati (computer locale) , espandere AutoritÓ di certificazione fonti attendibili e quindi fare clic su certificati .
  8. Esaminare i certificati che visualizzati nel riquadro dei dettagli per determinare se un certificato dall'autoritÓ di certificazione Ŕ presente.
  9. Se il certificato appropriato non Ŕ presente nell'archivio AutoritÓ di certificazione principale attendibili, Ŕ necessario importare un certificato dell'autoritÓ di certificazione appropriata.

Scenario 6: ╚ visualizzato 0x800B010F del codice di errore quando si tenta di connettersi a un server VPN basato su SSTP

Questo problema pu˛ verificarsi se il nome host del server specificato nella connessione VPN non corrisponde il nome del soggetto specificato nel certificato SSL che il server invia al computer client.

Per risolvere il problema, attenersi alla seguente procedura:
  1. Sul server VPN, fare clic su Start , scegliere Esegui , digitare mmc e quindi fare clic su OK .
  2. Scegliere Aggiungi/Rimuovi snap-in dal menu file .
  3. Nell'elenco snap-in disponibili , fare clic su certificati e quindi scegliere Aggiungi >.
  4. Nella finestra di dialogo snap-in certificati , selezionare account del computer e scegliere Avanti .
  5. Lasciare selezionata l'opzione computer locale e quindi fare clic su Fine .
  6. Nella finestra di dialogo aggiungere o rimuovere snap-in , fare clic su OK .
  7. Nel Console1 snap-in MMC, espandere certificati (computer locale) , espandere personale e quindi fare clic su certificati .
  8. Nel riquadro dei dettagli individuare il certificato utilizzato dal server VPN per la connessione SSL.
  9. Verificare che il certificato sia il nome del soggetto corretto. Ad esempio, se il client utilizza un indirizzo IP per la connessione al server, il certificato necessario specificare l'indirizzo IP nel nome soggetto. Se il certificato denominato in modo appropriato non Ŕ presente sul server VPN, Ŕ necessario ottenere un nuovo certificato per il server VPN.

Scenario 7: ╚ visualizzato 0x80092013 del codice di errore quando si tenta di connettersi a un server VPN basato su SSTP

Questo problema pu˛ verificarsi se ha esito negativo computer client la revoca dei certificati controlla la SSL certificati che il computer client ottenuta dal server.

Per risolvere il problema, verificare che il server che ospita l'elenco di revoche certificati (CRL) sia disponibile per il client. Ci˛ significa che il server CRL Ŕ disponibile per il client su Internet. Il computer client esegue il controllo CRL durante la definizione della connessione SSL. Tuttavia, l'operazione di verifica non viene eseguita tramite una connessione VPN. Infatti, non Ŕ stabilita la connessione VPN fino a quando il controllo CRL Ŕ stata completata. Invece, la query di controllo CRL Ŕ inviata direttamente al server CRL.

Scenario 8: Il server di routing e accesso remoto Ŕ in esecuzione ma non esistono connessioni SSTP in ingresso

avviso Pu˛ causare seri problemi se si modifica il Registro di sistema in modo errato mediante l'editor del Registro di sistema o utilizzando un altro metodo. Questi problemi potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non garantisce che sia possono risolvere questi problemi. La modifica del Registro di sistema Ŕ a rischio e pericolo dell'utente.

Per risolvere il problema, attenersi alla seguente procedura:
  1. Verificare che il servizio SSTP Ŕ in esecuzione. A tale scopo, eseguire il comando sc query sstpsvc al prompt dei comandi.
  2. Verificare che il servizio Routing e accesso remoto sia in esecuzione. A tale scopo, eseguire il comando sc query remoteaccess al prompt dei comandi.
  3. Verificare che il servizio SSTP Ŕ in ascolto su la porta TCP 443 o la porta su cui aver configurato il servizio SSTP per l'ascolto. Per effettuare questa operazione, il seguente comando al prompt dei comandi:
    netstat ?aon | findstr 443
  4. Esaminare il certificato del server Ŕ legato al driver HTTP.sys. Per effettuare questa operazione, il seguente comando al prompt dei comandi:
    netsh http Mostra sslcert
  5. Esaminare l'indirizzo IP e il numero di porta del certificato server. Il servizio Routing e accesso remoto legge solo l'indirizzo IPv6 :: 0 o indirizzi di IPv4 0.0.0.0 .
  6. Verificare che il certificato del server esaminato nei passaggi 4 e 5 sia presente nell'archivio certificati computer. Per effettuare questa operazione, attenersi alla seguente procedura:
    1. Fare clic su Start , scegliere Esegui , digitare mmc e quindi fare clic su OK .
    2. Scegliere Aggiungi/Rimuovi snap-in dal menu file .
    3. Nell'elenco snap-in disponibili , fare clic su certificati e quindi scegliere Aggiungi >.
    4. Nella finestra di dialogo snap-in certificati , selezionare account del computer e scegliere Avanti .
    5. Lasciare selezionata l'opzione computer locale e quindi fare clic su Fine .
    6. Nella finestra di dialogo aggiungere o rimuovere snap-in , fare clic su OK .
    7. Nel Console1 snap-in MMC, espandere certificati (computer locale) , espandere personale e quindi fare clic su certificati .
    8. Nel riquadro dei dettagli individuare il certificato appropriato.
  7. Verificare che il certificato Ŕ valido e che non sia scaduta. Inoltre, verificare che lo stesso hash certificato sia elencato sotto la chiave del Registro di sistema di Sha256CertificateHash oppure sotto la chiave del Registro di sistema di Sha1CertificateHash .
  8. Verificare che in ingresso non routing e accesso remoto configurati filtri o i filtri in uscita per bloccare le connessioni SSTP. Per effettuare questa operazione, attenersi alla seguente procedura:
    1. Avvio dello snap-in MMC di Access remoto e routing.
    2. Espandere il server e quindi espandere IPv4 o IPv6 , appropriata per il traffico di rete.
    3. Fare clic su Generale , fare clic con il pulsante destro del mouse sull'interfaccia di rete appropriato e scegliere ProprietÓ .
    4. Nella finestra di dialogo proprietÓ Network_Interface_Name, fare clic su Filtri in ingresso . Verificare che nessun filtro Ŕ configurato per il blocco del traffico SSTP e quindi fare clic su OK .
    5. Nella finestra di dialogo proprietÓ Network_Interface_Name, fare clic su Filtri in uscita . Verificare che nessun filtro Ŕ configurato per il blocco del traffico SSTP e quindi fare clic su OK .
  9. Consente di determinare se il server Ŕ configurato per l'ascolto sulla porta appropriata delle connessioni SSTP. Per impostazione predefinita, il server utilizza la porta TCP 443 per le connessioni SSTP. Per determinare la porta che il server utilizza, attenersi alla seguente procedura:
    1. Avviare l'editor del Registro di sistema e individuare la seguente sottochiave del Registro di sistema:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters
    2. Nel riquadro dei dettagli fare clic con il pulsante destro del mouse su ListenerPort e quindi fare clic su Modifica .
    3. Prendere nota del valore visualizzato nella casella dati valore .
    Nota Per impostazione predefinita, la voce del Registro di sistema ListenerPort ha un valore 443. Se si modifica questo valore, Ŕ necessario riavviare il servizio Routing e accesso remoto.
  10. Consente di determinare se Windows Firewall Ŕ configurato per disporre di un'eccezione per il traffico SSTP. Per effettuare questa operazione, attenersi alla seguente procedura:
    1. Fare clic su Start , scegliere Esegui , digitare firewall.cpl e quindi fare clic su OK .
    2. Nella finestra di dialogo Windows Firewall , fare clic su Consenti programma attraverso Windows Firewall .
    3. Nella scheda eccezioni della finestra di dialogo Impostazioni di Windows Firewall , verificare che l'opzione la casella di controllo Secure Socket Tunneling Protocol sia selezionata.
  11. Verificare che un firewall di prima del server Routing e accesso remoto Ŕ configurato in modo non Ŕ configurato per bloccare il traffico SSTP destinato per il server di routing e accesso remoto. Ad esempio, verificare che un firewall esterno non Ŕ configurato per il traffico di blocco TCP 443.
  12. Esaminare il Registro di sistema e il registro applicazioni per individuare gli eventi correlati al servizio Routing e accesso remoto o al servizio di SSTP.

ProprietÓ

Identificativo articolo: 947031 - Ultima modifica: venerdý 18 gennaio 2008 - Revisione: 1.3
Le informazioni in questo articolo si applicano a:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Chiavi:á
kbmt kbexpertisebeginner kbhowto kbinfo KB947031 KbMtit
Traduzione automatica articoli
Il presente articolo Ŕ stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non Ŕ sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pi¨ o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non Ŕ la sua. Microsoft non Ŕ responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 947031
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com