Como resolver problemas de falhas de ligação baseada no Protocolo SSTP (Secure Socket Tunneling Protocol) no Windows Server 2008

Traduções de Artigos Traduções de Artigos
Artigo: 947031 - Ver produtos para os quais este artigo se aplica.
Importante: este artigo contém informações sobre como modificar o registo. Certifique-se de que cria uma cópia de segurança do registo antes de o modificar. Certifique-se de que sabe como restaurar o registo se ocorrer um problema. Para mais informações sobre como efectuar uma cópia de segurança, restaurar e modificar o registo, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
322756 Como fazer cópias de segurança, editar e restaurar o registo no Windows XP e no Windows Server 2003
Expandir tudo | Reduzir tudo

Nesta página

INTRODUÇÃO

Este artigo descreve como resolver problemas de falhas de ligação baseada no Protocolo SSTP (Secure Socket Tunneling Protocol) que o utilizador poderá verificar no Windows Server 2008.

O SSTP é um novo tipo de túnel VPN (Virtual Private Networking) disponível na função de servidor de Encaminhamento e Acesso Remoto no Windows Server 2008. O SSTP permite que pacotes do Protocolo PPP (Point-to-Point Protocol) sejam encapsulados através de HTTP. Esta funcionalidade permite que uma ligação VPN seja estabelecida mais facilmente através de uma firewall ou de um dispositivo NAT (Network Address Translation). Esta funcionalidade permite também que uma ligação VPN seja estabelecida através de um dispositivo proxy HTTP.

As informações deste artigo destinam-se a resolver problemas de falhas de ligação relacionadas com uma ligação VPN baseada em SSTP. Poderá receber outros códigos de erro num computador cliente de acesso remoto. No entanto, esses códigos de erro poderão ser comuns para outros tipos de túneis VPN, como PPTP, L2TP e SSTP. Por exemplo, este artigo não aborda os códigos de erro que poderá receber se uma política de acesso remoto falhar, se a autenticação de cliente falhar ou se um servidor não suportar as portas necessárias para o tipo de ligação específico.

Mais Informação

Os seguintes cenários descrevem problemas comuns que poderá verificar quando um cliente VPN não conseguir ligar a um servidor VPN baseado em SSTP.

Cenário 1: Recebe o código de erro 0x800704C9 quando tenta ligar a um servidor VPN baseado em SSTP

Este problema poderá ocorrer se não existirem portas SSTP disponíveis no servidor. Para resolver este problema, verifique se o servidor de Encaminhamento e Acesso Remoto tem portas suficientes configuradas para acesso remoto. Para o fazer, siga estes passos:
  1. Inicie o snap-in Encaminhamento e Acesso Remoto da MMC.
  2. Expanda o servidor, clique com o botão direito do rato em Portas e clique em Propriedades.
  3. Na lista Nome, clique em WAN Miniport (SSTP) e clique em Configurar.
  4. Modifique o número que é apresentado na lista N.º máximo de portas, de acordo com as suas necessidades e clique em OK.

    Nota: por predefinição, estão disponíveis 128 portas para este dispositivo.
  5. Na caixa de diálogo Propriedades da porta, clique em OK.

Cenário 2: Recebe o código de erro 809 quando tenta ligar a um servidor VPN baseado em SSTP

Este problema poderá ocorrer caso se verifique uma das seguintes condições:
  • O acesso remoto está desactivado no servidor.
  • O servidor de acesso remoto não está à escuta na porta adequada.
  • O serviço Encaminhamento e Acesso Remoto ou o serviço SSTP está parado no servidor.
  • O certificado do servidor foi removido do arquivo de certificados do computador no servidor antes da configuração de SSTP.
  • A extensão de Utilização de Chaves Expandidas (EKU) do certificado utilizado para a ligação SSTP está incorrecta. Por exemplo, o certificado tem uma EKU que especifica que a autenticação de cliente deverá ser utilizada para configurar a ligação SSTP.
Para resolver este problema, siga estes passos:
  1. Verifique se o serviço Encaminhamento e Acesso Remoto e o serviço SSTP estão em execução no servidor. Para o fazer, siga estes passos:
    1. Inicie uma linha de comandos e, em seguida, execute os seguintes dois comandos:
      • sc query remoteaccess
      • sc query sstpsvc
    2. Se um ou ambos os serviços estiverem parados, utilize o snap-in Encaminhamento e Acesso Remoto da Consola de Gestão da Microsoft (MMC) ou o snap-in Serviços da MMC para iniciar o serviço ou serviços adequados.
  2. Determine se o servidor está a escutar na porta correcta. Para o fazer, inicie uma linha de comandos e, em seguida, execute o seguinte comando:
    netstat -aon
    Por exemplo, verifique se o serviço SSTP está a escutar na porta TCP 443. Se o serviço SSTP estiver a escutar na porta TCP 443, as seguintes entradas de endereço local serão apresentadas quando executar o comando netstat -aon:
    0.0.0.0:443 (IPv4)
    [::]:443 (IPv6)
    Nota: para determinar o ID do processo do serviço SSTP, siga estes passos:
    1. Inicie o Gestor de Tarefas e clique no separador Serviços.
    2. Na lista Nome, localize a entrada SstpSvc e repare no número que é apresentado na coluna PID.
  3. Verifique se existe um certificado que especifique a autenticação de servidor no arquivo de certificados do computador. Para o fazer, siga estes passos:
    1. Clique em Iniciar, clique em Executar, escreva mmc e clique em OK.
    2. No menu Ficheiro, clique em Adicionar/remover snap-in.
    3. Na lista Snap-ins disponíveis, clique em Certificados e clique em Adicionar >.
    4. Na caixa de diálogo Snap-in de certificados, clique em Conta de computador e, em seguida, clique em Seguinte.
    5. Mantenha a opção Computador local seleccionada e clique em Concluir.
    6. Na caixa de diálogo Adicionar ou Remover Snap-ins, clique em OK.
    7. No snap-in da MMC Consola1, expanda Certificados (computador local), expanda Pessoal e clique em Certificados.
    8. No painel de detalhes, faça duplo clique num certificado e clique no separador Detalhes. Determine se Autenticação de servidor é apresentado como uma das entradas de utilização de certificados.

Cenário 3: Recebe o código de erro 0x80070040 quando tenta ligar a um servidor VPN baseado em SSTP

Este problema poderá ocorrer se um certificado de autenticação de servidor não estiver instalado no servidor de Encaminhamento e Acesso Remoto.

Para resolver este problema, siga estes passos:
  1. Clique em Iniciar, clique em Executar, escreva mmc e clique em OK.
  2. No menu Ficheiro, clique em Adicionar/remover snap-in.
  3. Na lista Snap-ins disponíveis, clique em Certificados e clique em Adicionar >.
  4. Na caixa de diálogo Snap-in de certificados, clique em Conta de computador e, em seguida, clique em Seguinte.
  5. Mantenha a opção Computador local seleccionada e clique em Concluir.
  6. Na caixa de diálogo Adicionar ou Remover Snap-ins, clique em OK.
  7. No snap-in da MMC Consola1, expanda Certificados (computador local), expanda Pessoal e clique em Certificados.
  8. No painel de detalhes, faça duplo clique num certificado e clique no separador Detalhes. Determine se Autenticação de servidor é apresentado como uma das entradas de utilização de certificados.

Cenário 4: Recebe o código de erro 0x800B0101 quando tenta ligar a um servidor VPN baseado em SSTP

Este problema poderá ocorrer se o certificado de autenticação de servidor no servidor de Encaminhamento e Acesso Remoto tiver expirado.

Para resolver este problema, siga estes passos:
  1. Clique em Iniciar, clique em Executar, escreva mmc e clique em OK.
  2. No menu Ficheiro, clique em Adicionar/remover snap-in.
  3. Na lista Snap-ins disponíveis, clique em Certificados e clique em Adicionar >.
  4. Na caixa de diálogo Snap-in de certificados, clique em Conta de computador e, em seguida, clique em Seguinte.
  5. Mantenha a opção Computador local seleccionada e clique em Concluir.
  6. Na caixa de diálogo Adicionar ou Remover Snap-ins, clique em OK.
  7. No snap-in da MMC Consola1, expanda Certificados (computador local), expanda Pessoal e clique em Certificados.
  8. No painel de detalhes, localize o certificado que tem Autenticação de servidor como uma das entradas de utilização de certificados e determine se o certificado expirou.
  9. Se o certificado tiver expirado, renove-o.

Cenário 5: Recebe o código de erro 0x800B0109 quando tenta ligar a um servidor VPN baseado em SSTP

Este problema poderá ocorrer se o certificado de Autoridade de Certificação (AC) de raiz fidedigna adequado não estiver instalado no arquivo de Autoridades de Certificação de Raiz Fidedigna no computador cliente.

Nota: geralmente, se o computador cliente estiver associado ao domínio e se utilizar credenciais de domínio para iniciar sessão no servidor VPN, o certificado será instalado automaticamente no arquivo de Autoridades de Certificação de Raiz Fidedigna. No entanto, se o computador não estiver associado ao domínio ou se utilizar uma cadeia de certificados alternativa, este problema poderá ocorrer.

Para resolver este problema, siga estes passos:
  1. No computador cliente, clique em Iniciar, clique em Executar, escreva mmc e clique em OK.
  2. No menu Ficheiro, clique em Adicionar/remover snap-in.
  3. Na caixa de diálogo Adicionar/remover snap-in, clique em Adicionar.
  4. Na caixa de diálogo Snap-ins autónomos disponíveis, clique em Certificados e clique em Adicionar.
  5. Na caixa de diálogo Snap-in de certificados, clique em Conta de computador, clique em Seguinte e clique em Concluir.
  6. Clique em Fechar e clique em OK.
  7. No snap-in da MMC Consola1, expanda Certificados (computador local), expanda Autoridades de certificação de raiz fidedigna e clique em Certificados.
  8. Examine os certificados que são apresentados no painel de detalhes para determinar se está presente um certificado da autoridade de certificação.
  9. Se o certificado adequado não estiver presente no arquivo de Autoridades de Certificação de Raiz Fidedigna, terá de importar um certificado para a autoridade de certificação adequada.

Cenário 6: Recebe o código de erro 0x800B010F quando tenta ligar a um servidor VPN baseado em SSTP

Este problema poderá ocorrer se o nome de anfitrião do servidor especificado na ligação VPN não corresponder ao nome do requerente especificado no certificado SSL enviado pelo servidor para o computador cliente.

Para resolver este problema, siga estes passos:
  1. No servidor VPN, clique em Iniciar, clique em Executar, escreva mmc e clique em OK.
  2. No menu Ficheiro, clique em Adicionar/remover snap-in.
  3. Na lista Snap-ins disponíveis, clique em Certificados e clique em Adicionar >.
  4. Na caixa de diálogo Snap-in de certificados, clique em Conta de computador e, em seguida, clique em Seguinte.
  5. Mantenha a opção Computador local seleccionada e clique em Concluir.
  6. Na caixa de diálogo Adicionar ou Remover Snap-ins, clique em OK.
  7. No snap-in da MMC Consola1, expanda Certificados (computador local), expanda Pessoal e clique em Certificados.
  8. No painel de detalhes, localize o certificado que o servidor VPN utiliza para a ligação SSL.
  9. Verifique se o certificado tem o nome de requerente correcto. Por exemplo, se o cliente VPN utilizar um endereço IP para ligar ao servidor, o certificado terá de especificar esse endereço IP no nome do requerente. Se o certificado correctamente nomeado estiver agora presente no servidor VPN, terá de obter um novo certificado para o servidor VPN.

Cenário 7: Recebe o código de erro 0x80092013 quando tenta ligar a um servidor VPN baseado em SSTP

Este problema poderá ocorrer se o computador cliente falhar a verificação de revogação de certificado para o certificado SSL que o computador cliente obteve a partir do servidor VPN.

Para resolver este problema, verifique se o servidor que aloja a Lista de Revogação de Certificados (CRL) está disponível para o cliente. Isto poderá significar que o servidor CRL está disponível para o cliente na Internet. O computador cliente executa a verificação de CRL durante o estabelecimento da ligação SSL. No entanto, esta operação de verificação não é efectuada através da ligação VPN. Isto ocorre porque a ligação VPN não é estabelecida enquanto a verificação de CRL não tiver êxito. Em vez disso, a consulta de verificação da CRL é enviada directamente para o servidor CRL.

Cenário 8: O servidor de Encaminhamento e Acesso Remoto está em execução, mas não existem ligações SSTP recebidas

Aviso: poderão ocorrer problemas graves se modificar o registo de forma incorrecta utilizando o Editor de Registo ou qualquer outro método. Estes problemas poderão forçar a reinstalação do sistema operativo. A Microsoft não garante que estes problemas possam ser resolvidos. Todo e qualquer risco decorrente da modificação do registo é da responsabilidade do utilizador.

Para resolver este problema, siga estes passos:
  1. Verifique se o serviço SSTP está em execução. Para o fazer, execute o comando sc query sstpsvc numa linha de comandos.
  2. Verifique se o serviço Encaminhamento e Acesso Remoto está em execução. Para o fazer, execute o comando sc query remoteaccess numa linha de comandos.
  3. Verifique se o serviço SSTP está a escutar na porta TCP 443 ou na porta em que configurou o serviço SSTP para escuta. Para o fazer, execute o seguinte comando numa linha de comandos:
    netstat ?aon | findstr 443
  4. Examine o certificado de servidor que está associado ao controlador Http.sys. Para o fazer, execute o seguinte comando numa linha de comandos:
    netsh http show sslcert
  5. Examine o endereço IP e o número de porta do certificado de servidor. O serviço Encaminhamento e Acesso Remoto lê apenas o endereço IPv6 ::0 ou IPv4 0.0.0.0.
  6. Verifique se o certificado de servidor que observou nos passos 4 e 5 existe no arquivo de certificados do computador. Para o fazer, siga estes passos:
    1. Clique em Iniciar, clique em Executar, escreva mmc e clique em OK.
    2. No menu Ficheiro, clique em Adicionar/remover snap-in.
    3. Na lista Snap-ins disponíveis, clique em Certificados e clique em Adicionar >.
    4. Na caixa de diálogo Snap-in de certificados, clique em Conta de computador e, em seguida, clique em Seguinte.
    5. Mantenha a opção Computador local seleccionada e clique em Concluir.
    6. Na caixa de diálogo Adicionar ou Remover Snap-ins, clique em OK.
    7. No snap-in da MMC Consola1, expanda Certificados (computador local), expanda Pessoal e clique em Certificados.
    8. No painel de detalhes, localize o certificado adequado.
  7. Verifique se o certificado é válido e se não expirou. Verifique também se o mesmo hash do certificado está listado na chave de registo Sha256CertificateHash ou na chave de registo Sha1CertificateHash.
  8. Verifique se não existem filtros de entrada nem de saída de Encaminhamento e Acesso Remoto que estejam configurados para bloquear ligações SSTP. Para o fazer, siga estes passos:
    1. Inicie o snap-in Encaminhamento e Acesso Remoto da MMC.
    2. Expanda o servidor e expanda IPv4 ou IPv6, conforme adequado ao tráfego de rede.
    3. Clique em Geral, clique com o botão direito do rato na interface de rede adequada e clique em Propriedades.
    4. Na caixa de diálogo Propriedades de Nome_Interface_Rede, clique em Filtros de entrada. Verifique se não existe um filtro configurado para bloquear tráfego SSTP e clique em OK.
    5. Na caixa de diálogo Propriedades de Nome_Interface_Rede, clique em Filtros de saída. Verifique se não existe um filtro configurado para bloquear tráfego SSTP e clique em OK.
  9. Determine se o servidor está configurado para escutar na porta adequada para ligações SSTP. Por predefinição, o servidor utiliza a porta TCP 443 para ligações SSTP. Para determinar qual a porta utilizada pelo servidor, siga estes passos:
    1. Inicie o Editor de Registo e localize a seguinte subchave de registo:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters
    2. No painel de detalhes, clique com o botão direito do rato em ListenerPort e clique em Modificar.
    3. Repare no valor apresentado na caixa Dados do valor.
    Nota: por predefinição, a entrada de registo ListenerPort tem um valor de 443. Se alterar este valor, terá de reiniciar o serviço Encaminhamento e Acesso Remoto.
  10. Determine se a Firewall do Windows está configurada para ter uma excepção que permita tráfego SSTP. Para o fazer, siga estes passos:
    1. Clique em Iniciar, clique em Executar, escreva firewall.cpl e clique em OK.
    2. Na caixa de diálogo Firewall do Windows, clique em Permitir um programa através da Firewall do Windows.
    3. No separador Excepções da caixa de diálogo Definições da Firewall do Windows, verifique se a caixa de verificação Secure Socket Tunneling Protocol está seleccionada.
  11. Verifique se não existe uma firewall configurada à frente do servidor de Encaminhamento e Acesso Remoto para bloquear tráfego SSTP destinado ao servidor de Encaminhamento e Acesso Remoto. Por exemplo, verifique se uma firewall externa não está configurada para bloquear tráfego de TCP 443.
  12. Examine o registo do Sistema e o registo de Aplicações para localizar quaisquer eventos relacionados com o serviço Encaminhamento e Acesso Remoto ou com o serviço SSTP.

Propriedades

Artigo: 947031 - Última revisão: 10 de março de 2008 - Revisão: 1.2
A informação contida neste artigo aplica-se a:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Palavras-chave: 
kbexpertisebeginner kbhowto kbinfo KB947031

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com