Windows Server 2008 で Secure Socket トンネリング プロトコル (SSTP) ベースの接続エラーをトラブルシューティングする方法

文書翻訳 文書翻訳
文書番号: 947031 - 対象製品
ベータ版情報
この資料では、マイクロソフトのベータ版製品について説明しています。この資料の情報は、この資料の発行時点のものであり、将来予告なしに変更することがあります。

このベータ版製品は、マイクロソフトの正規サポート対象外となっています。ベータ版のサポートについては、ベータ版製品に含まれるドキュメントを参照してください。または、ベータ版製品をダウンロードした Web サイトを参照してください。
重要 : この資料には、レジストリの編集方法が記載されています。万一に備えて、編集の前には必ずレジストリをバックアップし、レジストリの復元方法を理解しておいてください。バックアップ、復元、および編集方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
322756 Windows XP および Windows Server 2003 でレジストリをバックアップ、編集および復元する方法
すべて展開する | すべて折りたたむ

目次

はじめに

この資料では、Windows Server 2008 で Secure Socket トンネリング プロトコル (SSTP) ベースの接続エラーをトラブルシューティングする方法について説明します。

SSTP は、Windows Server 2008 のサーバーの役割 "ルーティングとリモート アクセス" で使用できる、新しい種類の仮想プライベート ネットワーク (VPN) トンネルです。SSTP を使用すると、Point-to-Point プロトコル (PPP) パケットを HTTP 上でカプセル化できます。これにより、ファイアウォールまたはネットワーク アドレス変換 (NAT) デバイスを経由して、VPN 接続をより簡単に確立できるようになります。また、HTTP プロキシ デバイスを経由して VPN 接続を確立することもできます。

この資料に記載されている情報は、SSTP ベースの VPN 接続に関連する原因で接続が失敗した場合にトラブルシューティングを行うためのものです。リモート アクセス クライアント コンピュータでは他のエラー コードが表示される場合がありますが、これらのエラー コードは、PPTP、L2TP、SSTP など、他の種類の VPN トンネルでも共通である場合があります。たとえば、この資料では、リモート アクセス ポリシーが失敗した場合、クライアント認証が失敗した場合、または特定の種類の接続に必要なポートがサーバーでサポートされていない場合に表示されることがあるエラー コードについては説明しません。

詳細

以下の状況では、VPN クライアントが SSTP ベースの VPN サーバーに接続できない場合に発生することがある一般的な問題を示します。

状況 1 : SSTP ベースの VPN サーバーに接続するときにエラー コード 0x800704C9 が表示される

この問題は、サーバーで SSTP ポートが使用できない場合に発生することがあります。この問題のトラブルシューティングを行うには、ルーティングとリモート アクセス サーバーにリモート アクセス用の十分なポートが構成されていることを確認します。これを行うには、以下の手順を実行します。
  1. ルーティングとリモート アクセス MMC スナップインを起動します。
  2. サーバーを展開し、[ポート] を右クリックして、[プロパティ] をクリックします。
  3. [名前] ボックスの一覧で、[WAN Miniport (SSTP)] をクリックし、[構成] をクリックします。
  4. 必要に応じて [ポートの最大数] ボックスの一覧に表示される数を変更し、[OK] をクリックします。

    : デフォルトでは、このデバイスで 128 個のポートを使用できます。
  5. [ポートのプロパティ] ダイアログ ボックスで、[OK] をクリックします。

状況 2 : SSTP ベースの VPN サーバーに接続するときにエラー コード 809 が表示される

この問題は、次のいずれかの条件に該当する場合に発生することがあります。
  • サーバーでリモート アクセスが無効になっている。
  • リモート アクセス サーバーが適切なポートをリッスンしていない。
  • ルーティングとリモート アクセス サービスまたは SSTP サービスがサーバーで停止している。
  • SSTP が構成される前に、サーバー上のコンピュータ証明書ストアから サーバー証明書が削除された。
  • SSTP 接続に使用される証明書の拡張キー使用法 (EKU) 拡張機能が不適切である。たとえば、SSTP 接続の構成にクライアント認証を使用するように指定する EKU が、証明書で使用されている。
この問題のトラブルシューティングを行うには、以下の手順を実行します。
  1. ルーティングとリモート アクセス サービスおよび SSTP サービスがサーバーで実行されていることを確認します。これを行うには、以下の手順を実行します。
    1. コマンド プロンプトを開き、次の 2 つのコマンドを実行します。
      • sc query remoteaccess
      • sc query sstpsvc
    2. いずれかまたは両方のサービスが停止している場合、ルーティングとリモート アクセス Microsoft 管理コンソール (MMC) スナップインまたはサービス MMC スナップインを使用して、該当するサービスを開始します。
  2. サーバーが正しいポートでリッスンしているかどうかを確認します。これを行うには、コマンド プロンプトを開き、次のコマンドを実行します。
    netstat -aon
    たとえば、SSTP サービスが TCP ポート 443 でリッスンしていることを確認します。SSTP サービスが TCP ポート 443 でリッスンしている場合、netstat -aon コマンドを実行すると、次のローカル アドレス エントリが表示されます。
    0.0.0.0:443 (IPv4)
    [::]:443 (IPv6)
    : SSTP サービスのプロセス ID を確認するには、以下の手順を実行します。
    1. タスク マネージャを起動し、[サービス] タブをクリックします。
    2. [名前] ボックスの一覧で [SstpSvc] エントリを見つけ、[PID] 列に表示される数をメモします。
  3. サーバー認証を指定する証明書がコンピュータの証明書ストアに存在することを確認します。これを行うには、以下の手順を実行します。
    1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。mmc と入力し [OK] をクリックします。
    2. [ファイル] メニューの [スナップインの追加と削除] をクリックします。
    3. [利用できるスナップイン] ボックスの一覧で [証明書] をクリックし、[追加] をクリックします。
    4. [証明書スナップイン] ダイアログ ボックスで [コンピュータ アカウント] をクリックし、[次へ] をクリックします。
    5. [ローカル コンピュータ] オプションが選択された状態で、[完了] をクリックします。
    6. [スナップインの追加と削除] ダイアログ ボックスで [OK] をクリックします。
    7. [コンソール1] MMC スナップインで [証明書 (ローカル コンピュータ)]、[個人] を順に展開し、[証明書] をクリックします。
    8. 詳細ウィンドウで証明書をダブルクリックし、[詳細] タブをクリックします。証明書の使用法のエントリとして [サーバー認証] が表示されるかどうかを確認します。

状況 3 : SSTP ベースの VPN サーバーに接続するときにエラー コード 0x80070040 が表示される

この問題は、ルーティングとリモート アクセス サーバーにサーバー認証証明書がインストールされていない場合に発生することがあります。

この問題のトラブルシューティングを行うには、以下の手順を実行します。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。mmc と入力し [OK] をクリックします。
  2. [ファイル] メニューの [スナップインの追加と削除] をクリックします。
  3. [利用できるスナップイン] ボックスの一覧で [証明書] をクリックし、[追加] をクリックします。
  4. [証明書スナップイン] ダイアログ ボックスで [コンピュータ アカウント] をクリックし、[次へ] をクリックします。
  5. [ローカル コンピュータ] オプションが選択された状態で、[完了] をクリックします。
  6. [スナップインの追加と削除] ダイアログ ボックスで [OK] をクリックします。
  7. [コンソール1] MMC スナップインで [証明書 (ローカル コンピュータ)]、[個人] を順に展開し、[証明書] をクリックします。
  8. 詳細ウィンドウで証明書をダブルクリックし、[詳細] タブをクリックします。証明書の使用法のエントリとして [サーバー認証] が表示されるかどうかを確認します。

状況 4 : SSTP ベースの VPN サーバーに接続するときにエラー コード 0x800B0101 が表示される

この問題は、ルーティングとリモート アクセス サーバーのサーバー認証証明書の期限が切れている場合に発生することがあります。

この問題のトラブルシューティングを行うには、以下の手順を実行します。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。mmc と入力し [OK] をクリックします。
  2. [ファイル] メニューの [スナップインの追加と削除] をクリックします。
  3. [利用できるスナップイン] ボックスの一覧で [証明書] をクリックし、[追加] をクリックします。
  4. [証明書スナップイン] ダイアログ ボックスで [コンピュータ アカウント] をクリックし、[次へ] をクリックします。
  5. [ローカル コンピュータ] オプションが選択された状態で、[完了] をクリックします。
  6. [スナップインの追加と削除] ダイアログ ボックスで [OK] をクリックします。
  7. [コンソール1] MMC スナップインで [証明書 (ローカル コンピュータ)]、[個人] を順に展開し、[証明書] をクリックします。
  8. 詳細ウィンドウで、証明書の使用法のエントリとして [サーバー認証] が表示される証明書を見つけ、証明書の期限が切れているかどうかを確認します。
  9. 証明書の期限が切れている場合は、証明書を更新します。

状況 5 : SSTP ベースの VPN サーバーに接続するときにエラー コード 0x800B0109 が表示される

この問題は、適切な信頼されたルート証明機関 (CA) の証明書が、クライアント コンピュータの信頼されたルート証明機関ストアにインストールされていない場合に発生することがあります。

: 一般に、クライアント コンピュータがドメインに参加しており、ドメイン資格情報を使用して VPN サーバーにログオンする場合、証明書は、信頼されたルート証明機関ストアに自動的にインストールされます。しかし、コンピュータがドメインに参加していない場合、または別の証明書チェーンを使用している場合は、この問題が発生することがあります。

この問題のトラブルシューティングを行うには、以下の手順を実行します。
  1. クライアント コンピュータで、[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。mmc と入力し [OK] をクリックします
  2. [ファイル] メニューの [スナップインの追加と削除] をクリックします。
  3. [スナップインの追加と削除] ダイアログ ボックスで [追加] をクリックします。
  4. [利用できるスタンドアロン スナップイン] ボックスの一覧で [証明書] をクリックし、[追加] をクリックします。
  5. [証明書スナップイン] ダイアログ ボックスで [コンピュータ アカウント] をクリックし、[次へ] をクリックして [完了] をクリックします。
  6. [閉じる] をクリックし、[OK] をクリックします。
  7. [コンソール1] MMC スナップインで [証明書 (ローカル コンピュータ)]、[信頼されたルート証明機関] を順に展開し、[証明書] をクリックします。
  8. 詳細ウィンドウに表示される証明書を調べて、証明機関から発行された証明書が存在するかどうかを確認します。
  9. 信頼されたルート証明機関ストアに適切な証明書が存在しない場合は、適切な証明機関の証明書をインポートする必要があります。

状況 6 : SSTP ベースの VPN サーバーに接続するときにエラー コード 0x800B010F が表示される

この問題は、VPN 接続で指定されているサーバーのホスト名と、サーバーがクライアント コンピュータに送信する SSL 証明書で指定されているサブジェクト名が一致しない場合に発生することがあります。

この問題のトラブルシューティングを行うには、以下の手順を実行します。
  1. VPN サーバーで、[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。mmc と入力し [OK] をクリックします
  2. [ファイル] メニューの [スナップインの追加と削除] をクリックします。
  3. [利用できるスナップイン] ボックスの一覧で [証明書] をクリックし、[追加] をクリックします。
  4. [証明書スナップイン] ダイアログ ボックスで [コンピュータ アカウント] をクリックし、[次へ] をクリックします。
  5. [ローカル コンピュータ] オプションが選択された状態で、[完了] をクリックします。
  6. [スナップインの追加と削除] ダイアログ ボックスで [OK] をクリックします。
  7. [コンソール1] MMC スナップインで [証明書 (ローカル コンピュータ)]、[個人] を順に展開し、[証明書] をクリックします。
  8. 詳細ウィンドウで、VPN サーバーが SSL 接続に使用する証明書を見つけます。
  9. 証明書のサブジェクト名が正しいことを確認します。たとえば、VPN クライアントが IP アドレスを使用してサーバーに接続する場合、証明書のサブジェクト名にその IP アドレスが指定されている必要があります。適切なサブジェクト名が指定された証明書が VPN サーバーに存在しない場合は、VPN サーバーの新しい証明書を入手する必要があります。

状況 7 : SSTP ベースの VPN サーバーに接続するときにエラー コード 0x80092013 が表示される

この問題は、クライアント コンピュータが VPN サーバーから入手した SSL 証明書に対する証明書失効の確認がクライアント コンピュータで失敗した場合に発生することがあります。

この問題のトラブルシューティングを行うには、証明書失効リスト (CRL) をホストするサーバーがクライアントから利用できることを確認します。CRL サーバーがインターネット経由でクライアントから利用できることを確認する必要がある場合があります。クライアント コンピュータでは、SSL 接続の確立中に CRL チェックが実行されます。しかし、この確認処理は VPN 接続を介して実行されません。これは、CRL チェックが成功するまで VPN 接続は確立されないためです。そのため、CRL チェック クエリは、CRL サーバーに直接送信されます。

状況 8 : ルーティングとリモート アクセス サーバーは実行されているが、着信 SSTP 接続が存在しない

警告 : レジストリ エディタまたは別の方法を使用してレジストリを誤って変更すると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要になることがあります。マイクロソフトは、レジストリの変更により発生した問題に関しては、一切責任を負わないものとします。レジストリの変更は、自己の責任において行ってください。

この問題のトラブルシューティングを行うには、以下の手順を実行します。
  1. SSTP サービスが実行されていることを確認します。これを行うには、コマンド プロンプトで sc query sstpsvc コマンドを実行します。
  2. ルーティングとリモート アクセス サービスが実行されていることを確認します。これを行うには、コマンド プロンプトで sc query remoteaccess コマンドを実行します。
  3. SSTP サービスが TCP ポート 443 でリッスンしている、または SSTP サービスをリッスンするように構成したポートでリッスンしていることを確認します。これを行うには、コマンド プロンプトで次のコマンドを実行します。
    netstat ?aon | findstr 443
  4. Http.sys ドライバにバインドされたサーバー証明書を確認します。これを行うには、コマンド プロンプトで次のコマンドを実行します。
    netsh http show sslcert
  5. サーバー証明書の IP アドレスとポート番号を確認します。ルーティングとリモート アクセス サービスは、IPv6 アドレス ::0 または IPv4 アドレス 0.0.0.0 のみを読み取ります。
  6. 手順 4. および 5. で確認したサーバー証明書がコンピュータの証明書ストアに存在することを確認します。これを行うには、以下の手順を実行します。
    1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。mmc と入力し [OK] をクリックします。
    2. [ファイル] メニューの [スナップインの追加と削除] をクリックします。
    3. [利用できるスナップイン] ボックスの一覧で [証明書] をクリックし、[追加] をクリックします。
    4. [証明書スナップイン] ダイアログ ボックスで [コンピュータ アカウント] をクリックし、[次へ] をクリックします。
    5. [ローカル コンピュータ] オプションが選択された状態で、[完了] をクリックします。
    6. [スナップインの追加と削除] ダイアログ ボックスで [OK] をクリックします。
    7. [コンソール1] MMC スナップインで [証明書 (ローカル コンピュータ)]、[個人] を順に展開し、[証明書] をクリックします。
    8. 詳細ウィンドウで、該当する証明書を見つけます。
  7. 証明書が有効であり、期限が切れていないことを確認します。また、その証明書のハッシュが Sha256CertificateHash レジストリ キーまたは Sha1CertificateHash レジストリ キーに表示されていることを確認します。
  8. ルーティングとリモート アクセスの入力フィルタまたは出力フィルタが SSTP 接続をブロックするように構成されていないことを確認します。これを行うには、以下の手順を実行します。
    1. ルーティングとリモート アクセス MMC スナップインを起動します。
    2. サーバーを展開し、対象となるネットワーク トラフィックに応じて [IPv4] または [IPv6] を展開します。
    3. [全般] ノードをクリックします。該当するネットワーク インターフェイスを右クリックし、[プロパティ] をクリックします。
    4. [Network_Interface_Nameのプロパティ] ダイアログ ボックスで [入力フィルタ] をクリックします。SSTP トラフィックをブロックするように構成されているフィルタがないことを確認し、[OK] をクリックします。
    5. [Network_Interface_Nameのプロパティ] ダイアログ ボックスで [出力フィルタ] をクリックします。SSTP トラフィックをブロックするように構成されているフィルタがないことを確認し、[OK] をクリックします。
  9. サーバーが適切なポートで SSTP 接続をリッスンするように構成されているかどうかを確認します。デフォルトでは、サーバーは SSTP 接続に TCP ポート 443 を使用します。サーバーが使用するポートを確認するには、次の手順を実行します。
    1. レジストリ エディタを起動し、次のレジストリ サブキーに移動します。
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters
    2. 詳細ウィンドウで [ListenerPort] を右クリックし、[修正] をクリックします。
    3. [値のデータ] ボックスに表示される値をメモします。
    : デフォルトでは、ListenerPort レジストリ エントリの値は 443 です。この値を変更する場合、ルーティングとリモート アクセス サービスを再起動する必要があります。
  10. Windows ファイアウォールで、SSTP トラフィックを許可する例外が構成されているかどうかを確認します。これを行うには、次の手順を実行します。
    1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。firewall.cpl と入力し、[OK] をクリックします。
    2. [Windows ファイアウォール] ダイアログ ボックスで [Windows ファイアウォールによるプログラムの許可] をクリックします。
    3. [Windows ファイアウォールの設定] ダイアログ ボックスの [例外] タブで、[Secure Socket トンネリング プロトコル] チェック ボックスがオンになっていることを確認します。
  11. ルーティングとリモート アクセス サーバーの外部に構成されているファイアウォールが、ルーティングとリモート アクセス サーバー宛ての SSTP トラフィックをブロックするように構成されていないことを確認します。たとえば、外部ファイアウォールが TCP 443 トラフィックをブロックするように構成されていないことを確認します。
  12. システム ログとアプリケーション ログを確認して、ルーティングとリモート アクセス サービスまたは SSTP サービスに関連するイベントを見つけます。

プロパティ

文書番号: 947031 - 最終更新日: 2008年2月6日 - リビジョン: 1.2
この資料は以下の製品について記述したものです。
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
キーワード:?
kbexpertisebeginner kbhowto kbinfo KB947031
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com