Como solucionar problemas de falha da conexão com base no protocolo SSTP (Secure Socket Tunneling Protocol) no Windows Server 2008

Traduções deste artigo Traduções deste artigo
ID do artigo: 947031 - Exibir os produtos aos quais esse artigo se aplica.
Importante Este artigo contém informações sobre como modificar o Registro. Certifique-se de fazer backup do Registro antes de modificá-lo. Certifique-se de que saiba como restaurá-lo caso ocorra algum problema. Para obter mais informações sobre como fazer backup, restaurar e modificar o Registro, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:
322756 Como fazer backup e restaurar o Registro no Windows XP e Windows Vista
Expandir tudo | Recolher tudo

Neste artigo

INTRODUÇÃO

Esse artigo descreve como solucionar problemas de falha da conexão com base no protocolo SSTP (Secure Socket Tunneling Protocol) que você pode enfrentar no Windows Server 2008.

O SSTP é um novo tipo de encapsulamento da Rede Virtual Privada (VPN) disponível na função Servidor de roteamento e acesso remoto no Windows Server 2008. O SSTP permite que os pacotes PPP sejam encapsulados através do HTTP. Esse recurso permite que uma conexão VPN seja estabelecida mais facilmente através de um firewall ou de um dispositivo NAT. Além disso, esse recurso permite que uma conexão VPN seja estabelecida através de um dispositivo de proxy HTTP.

As informações neste artigo são específicas para solucionar os problemas de falha de conexão relacionadas a uma conexão VPN com base no SSTP. Outros códigos de erro podem ser exibidos em um computador cliente com acesso remoto. Entretanto, esses códigos de erro podem ser comuns para outros tipos de túneis VPN, tais como PPTP, L2TP e SSTP. Por exemplo, esse artigo não discute os códigos de erro que poderão ser exibidos se uma diretiva de acesso remoto falhar, se a autenticação do cliente falhar ou se um servidor não suportar as portas exigidas para o tipo de conexão específico.

Mais Informações

Os cenários a seguir descrevem problemas comuns que você pode enfrentar quando um cliente VPN não pode se conectar a um servidor VPN com base no SSTP.

Cenário 1: O código de erro 0x800704C9 é exibido ao tentar conectar a um servidor VPN com base no SSTP

Esse problema poderá ocorrer se nenhuma porta SSTP estiver disponível no servidor. Para solucionar esse problema, verifique se o servidor de roteamento e acesso remoto tem portas suficientes configuradas para o acesso remoto. Para fazer isto, execute as seguintes etapas:
  1. Inicie o snap-in MMC de roteamento e acesso remoto.
  2. Expanda o servidor, clique com o botão direito em Portas e clique em Propriedades.
  3. Na lista Nome, clique em Miniporta WAN (SSTP) e clique em Configurar.
  4. Modifique o número exibido na lista Número máximo de portas, de acordo com as suas necessidades, e clique em OK.

    Observação Por padrão, 128 portas estão disponíveis para esse dispositivo.
  5. Na caixa de diálogo Propriedades da porta, clique em OK.

Cenário 2: O código de erro 809 é exibido ao tentar conectar a um servidor VPN com base no SSTP

Esse problema poderá ocorrer se uma das seguintes condições for verdadeira:
  • O acesso remoto está desabilitado no servidor.
  • O servidor de acesso remoto não está escutando na porta apropriada.
  • O serviço de roteamento e acesso remoto ou o serviço SSTP está parado no servidor.
  • O certificado do servidor foi removido de um armazenamento de certificado do computador no servidor antes da configuração do SSTP.
  • A extensão de uso estendido de chave (EKU) do certificado usado para a conexão SSTP está incorreta. Por exemplo, o certificado tem uma extensão EKU que especifica qual autenticação do cliente é usada para configurar a conexão SSTP.
Para solucionar esse problema, execute as seguintes etapas:
  1. Verifique se o serviço de roteamento e acesso remoto ou o serviço SSTP estão sendo executados no servidor. Para fazer isto, execute as seguintes etapas:
    1. Inicie um prompt de comando e execute os dois comandos a seguir:
      • sc query remoteaccess
      • sc query sstpsvc
    2. Se um ou os dois serviços forem interrompidos, use o snap-in Console de Gerenciamento Microsoft (MMC) de Roteamento e Acesso Remoto ou o snap-in Serviços MMC para iniciar o(s) serviço(s) apropriado(s).
  2. Determine se o servidor está escutando na porta correta. Para fazer isso, inicie um prompt de comando e execute o seguinte comando:
    netstat -aon
    Por exemplo, verifique se o serviço SSTP está escutando na porta TCP 443. Se o serviço SSTP estiver escutando na porta TCP 443, as seguintes entradas de endereço local serão exibidas ao executar o comando netstat -aon:
    0.0.0.0:443 (IPv4)
    [::]:443 (IPv6)
    Observação Para determinar a identificação do processo do serviço SSTP, execute as seguintes etapas:
    1. Inicie o Gerenciador de tarefas e clique na guia Serviços.
    2. Na lista Nome, localize a entrada SstpSvc e observe o número que aparece na coluna PID.
  3. Verifique se um certificado que especifica a autenticação do servidor está localizado no armazenamento de certificados do computador. Para fazer isto, execute as seguintes etapas:
    1. Clique em Iniciar, em Executar, digite mmc e clique em OK.
    2. No menu Arquivo clique em Adicionar/remover snap-in.
    3. Em Snap-ins disponíveis, clique em Certificados e em Adicionar>.
    4. Na caixa de diálogo Snap-in de certificados, clique em Conta de computador e em Avançar.
    5. Deixe a opção Computador local selecionada e clique em Concluir.
    6. Na caixa de diálogo Adicionar ou remover snap-ins, clique em OK.
    7. No snap-in MMC Console 1, expanda Certificado (computador local), expanda Pessoal e clique em Certificados.
    8. No painel de detalhes, clique duas vezes em um certificado e clique na guia Detalhes. Determine se Autenticação do servidor aparece como uma das entradas de uso do certificado.

Cenário 3: O código de erro 0x80070040 é exibido ao tentar conectar a um servidor VPN com base no SSTP

Esse problema poderá ocorrer se um certificado de autenticação do servidor não estiver instalado no servidor de roteamento e acesso remoto.

Para solucionar esse problema, execute as seguintes etapas:
  1. Clique em Iniciar, em Executar, digite mmc e clique em OK.
  2. No menu Arquivo clique em Adicionar/remover snap-in.
  3. Em Snap-ins disponíveis, clique em Certificados e em Adicionar>.
  4. Na caixa de diálogo Snap-in de certificados, clique em Conta de computador e em Avançar.
  5. Deixe a opção Computador local selecionada e clique em Concluir.
  6. Na caixa de diálogo Adicionar ou remover snap-ins, clique em OK.
  7. No snap-in MMC Console 1, expanda Certificado (computador local), expanda Pessoal e clique em Certificados.
  8. No painel de detalhes, clique duas vezes em um certificado e clique na guia Detalhes. Determine se Autenticação do servidor aparece como uma das entradas de uso do certificado.

Cenário 4: O código de erro 0x800B0101 é exibido ao tentar conectar a um servidor VPN com base no SSTP

Esse problema poderá ocorrer se o certificado de autenticação do servidor de roteamento e acesso remoto tiverem expirado.

Para solucionar esse problema, execute as seguintes etapas:
  1. Clique em Iniciar, em Executar, digite mmc e clique em OK.
  2. No menu Arquivo clique em Adicionar/remover snap-in.
  3. Em Snap-ins disponíveis, clique em Certificados e em Adicionar>.
  4. Na caixa de diálogo Snap-in de certificados, clique em Conta de computador e em Avançar.
  5. Deixe a opção Computador local selecionada e clique em Concluir.
  6. Na caixa de diálogo Adicionar ou remover snap-ins, clique em OK.
  7. No snap-in MMC Console 1, expanda Certificado (computador local), expanda Pessoal e clique em Certificados.
  8. No painel de detalhes, localize o certificado que tem Autenticação do servidor como uma das entradas de uso do certificado e determine se o certificado expirou.
  9. Se o certificado tiver expirado, renove-o.

Cenário 5: O código de erro 0x800B0109 é exibido ao tentar conectar a um servidor VPN com base no SSTP

Esse problema poderá ocorrer se o certificado de Autoridades de certificação raiz confiáveis (CA) não estiver instalado no armazenamento de Autoridades de certificação de raiz confiável no computador cliente.

Observação Geralmente, se o computador cliente estiver conectado ao domínio e se você usar as credenciais para fazer logon em um servidor VPN, o certificado será automaticamente instalado no armazenamento de Autoridades de certificação raiz confiáveis. Entretanto, se o computador não estiver conectado ao domínio e se você usar uma cadeia de certificados alternativa, você poderá enfrentar esse problema.

Para solucionar esse problema, execute as seguintes etapas:
  1. No computador cliente, clique em Iniciar, em Executar, digite mmc e clique em OK.
  2. No menu Arquivo clique em Adicionar/remover snap-in.
  3. Na caixa de diálogo Adicionar ou remover snap-in, clique em Adicionar.
  4. Na caixa de diálogo Snap-in autônomo disponível, clique em Certificados e em Adicionar.
  5. Na caixa de diálogo Snap-in de certificados, clique em Conta de computador, em Avançar e clique em Concluir.
  6. Clique em Fechar e em OK.
  7. No snap-in MMC Console 1, expanda Certificado (computador local), expanda Autoridades de certificação de raiz confiável e clique em Certificados.
  8. Examine os certificados que aparecem no painel de detalhes para determinar se um certificado de uma autoridade de certificação está presente.
  9. Se o certificado apropriado não estiver presente no armazenamento de Autoridades de certificação raiz confiáveis, será necessário importar um certificado para a autoridade de certificação apropriada.

Cenário 6: O código de erro 0x800B010F é exibido ao tentar conectar a um servidor VPN com base no SSTP

Esse problema poderá ocorrer se o nome do host do servidor especificado na conexão VPN não corresponder ao nome da entidade especificada no certificado SSL que o servidor envia para o computador cliente.

Para solucionar esse problema, execute as seguintes etapas:
  1. No servidor VPN, clique em Iniciar, em Executar, digite mmc e clique em OK.
  2. No menu Arquivo clique em Adicionar/remover snap-in.
  3. Em Snap-ins disponíveis, clique em Certificados e em Adicionar>.
  4. Na caixa de diálogo Snap-in de certificados, clique em Conta de computador e em Avançar.
  5. Deixe a opção Computador local selecionada e clique em Concluir.
  6. Na caixa de diálogo Adicionar ou remover snap-ins, clique em OK.
  7. No snap-in MMC Console 1, expanda Certificado (computador local), expanda Pessoal e clique em Certificados.
  8. No painel de detalhes, localize o certificado que o servidor VPN usa para a conexão SSL.
  9. Verifique se o certificado tem o nome da entidade correto. Por exemplo, se o cliente VPN usar um endereço IP para se conectar ao servidor, o certificado deverá especificar esse endereço IP no nome da entidade. Se o certificado apropriadamente nomeado não estiver presente no servidor VPN, será necessário obter um novo certificado para o servidor VPN.

Cenário 7: O código de erro 0x80092013 é exibido ao tentar conectar a um servidor VPN com base no SSTP

Esse problema poderá ocorrer se o computador cliente falhar a verificação de revogação do certificado SSL que o computador cliente obteve junto ao servidor VPN.

Para solucionar esse problema, verifique se o servidor que hospeda a CRL (lista de certificados revogados) está disponível para o cliente. Isso pode significar que o servidor CRL está disponível para o cliente através da Internet. O computador cliente executa a verificação da CRL durante o estabelecimento da conexão SSL. Entretanto, essa operação de verificação não é executada através da conexão VPN. Isso ocorre porque a conexão VPN não é estabelecida até que a verificação da CRL tenha êxito. Em vez disso, a consulta de verificação da CRL é enviada diretamente para o servidor CRL.

Cenário 8: O servidor de roteamento e acesso remoto está sendo executado, mas não há conexões SSTP recebidas

Aviso O uso incorreto do Editor do Registro, ou outro método, pode causar sérios problemas. Estes problemas talvez exijam a reinstalação do sistema operacional. A Microsoft não garante que os problemas resultantes do uso incorreto do Editor de Registro possam ser solucionados. A modificação do Registro é de sua responsabilidade.

Para solucionar esse problema, execute as seguintes etapas:
  1. Verifique se o serviço SSTP estão em execução. Para fazer isso, execute o comando sc query sstpsvc em um prompt de comando.
  2. Verifique se o serviço de roteamento e acesso remoto estão em execução. Para fazer isso, execute o comando sc query remoteaccess em um prompt de comando.
  3. Verifique se o serviço SSTP está escutando na porta TCP 443 ou na porta que você configurou o serviço SSTP para escuta. Para fazer isso, execute o seguinte comando em um prompt de comando:
    netstat ?aon | findstr 443
  4. Examine o certificado do servidor conectado ao driver Http.sys. Para fazer isso, execute o seguinte comando em um prompt de comando:
    netsh http show sslcert
  5. Examine o endereço IP e o número da porta do certificado do servidor. O serviço de roteamento e acesso remoto lê apenas o endereço IPv6 ::0 ou o endereço IPv4 0.0.0.0.
  6. Verifique se o certificado do servidor examinado nas etapas 4 e 5 está presente em um armazenamento de certificados do computador. Para fazer isto, execute as seguintes etapas:
    1. Clique em Iniciar, em Executar, digite mmc e clique em OK.
    2. No menu Arquivo clique em Adicionar/remover snap-in.
    3. Em Snap-ins disponíveis, clique em Certificados e em Adicionar>.
    4. Na caixa de diálogo Snap-in de certificados, clique em Conta de computador e em Avançar.
    5. Deixe a opção Computador local selecionada e clique em Concluir.
    6. Na caixa de diálogo Adicionar ou remover snap-ins, clique em OK.
    7. No snap-in MMC Console 1, expanda Certificado (computador local), expanda Pessoal e clique em Certificados.
    8. No painel de detalhes, localize o certificado apropriado.
  7. Verifique se o certificado é válido e se não expirou. Além disso, verifique se o mesmo hash de certificado está listado na chave do Registro Sha256CertificateHash ou Sha1CertificateHash.
  8. Verifique se nenhum filtro de entrada ou de saída de roteamento e acesso remoto estão configurados para bloquear as conexões SSTP. Para fazer isto, execute as seguintes etapas:
    1. Inicie o snap-in MMC de roteamento e acesso remoto.
    2. Expanda o servidor e expanda IPv4 ou IPv6, conforme apropriado para o seu tráfego de rede.
    3. Clique em Geral, clique com o botão direito do mouse na interface de rede apropriada e em Propriedades.
    4. Na caixa de diálogo Proriedades de Nome_da_interface_de_rede clique em Filtros de entrada. Verifique se nenhum filtro está configurado para bloquear o tráfego SSTP e clique em OK.
    5. Na caixa de diálogo Proriedades de Nome_da_interface_de_rede clique em Filtros de saída. Verifique se nenhum filtro está configurado para bloquear o tráfego SSTP e clique em OK.
  9. Determine se o servidor está configurado para escutar na porta apropriada das conexões SSTP. Por padrão, o servidor usa a porta TCP 443 para as conexões SSTP. Para determinar qual porta o servidor usa, execute as seguintes etapas:
    1. Inicie o Editor do Registro e localize a seguinte subchave do Registro:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters
    2. No painel de detalhes, clique com o botão direito do mouse em ListenerPort e clique em Modificar.
    3. Observe o valor exibido na caixa Dados do valor.
    Observação Por padrão, a entrada do Registro ListenerPort tem um valor igual a 443. Se você alterar esse valor, será necessário reiniciar o serviço de roteamento e acesso remoto.
  10. Determine se o Firewall do Windows está configurado para ter uma exceção para permitir o tráfego SSTP. Para fazer isto, execute as seguintes etapas:
    1. Clique em Iniciar, em Executar, digite firewall.cpl e clique em OK.
    2. Na caixa de diálogo Firewall do Windows, clique em Permitir um programa pelo Firewall do Windows.
    3. Na guia Exceções da caixa de diálogo Configurações do Firewall do Windows, verifique se a caixa de seleção Protocolo SSTP está marcada.
  11. Verifique se um firewall configurado na frente do servidor de roteamento e acesso remoto não está definido para bloquear o tráfego SSTP com destino ao servidor de roteamento e acesso remoto. Por exemplo, verifique se um firewall externo não está configurado para bloquear o tráfego TCP 443.
  12. Examine o log do Sitema e o log do Aplicativo para localizar os eventos relacionados ao serviço de roteamento e acesso remoto ou ao serviço SSTP.

Propriedades

ID do artigo: 947031 - Última revisão: sexta-feira, 22 de fevereiro de 2008 - Revisão: 1.2
A informação contida neste artigo aplica-se a:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Palavras-chave: 
kbhowto kbinfo kbexpertisebeginner KB947031

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com