Устранение сбоев в соединениях SSTP в Windows Server 2008

Переводы статьи Переводы статьи
Код статьи: 947031 - Vizualiza?i produsele pentru care se aplic? acest articol.
Важно Эта статья содержит сведения об изменении реестра. Убедитесь, что вы создали резервную копию реестра перед внесением изменений. Убедитесь, что вы знаете, как восстановить реестр в случае возникновения проблем. Для получения дополнительных сведений об архивации, восстановлении и изменении реестра щелкните следующий номер статьи базы знаний Майкрософт:
322756 Как провести резервное копирование и восстановление реестра Windows
Развернуть все | Свернуть все

В этой статье

ВВЕДЕНИЕ

В данной статье описывается, как при устранении неполадок подключений SSTP безопасного протокола туннелирования сокетов, которые возникают в Windows Server 2008.

SSTP-это новый тип туннеля виртуальной частной сети (VPN), которая доступна в роли сервера маршрутизации и удаленного доступа в Windows Server 2008. SSTP позволяет пакеты протокола точка-точка (PPP) для инкапсуляции по протоколу HTTP. Эта функция позволяет VPN-подключение для установления более легко через брандмауэр или устройство преобразования сетевых адресов (NAT). Кроме того эта функция позволяет VPN-подключение для установления через HTTP прокси-устройством.

Сведения в этой статье относится только к Устранение сбоев подключения, связанные с управлением SSTP VPN-подключения. Может появиться другие коды ошибок на компьютере клиента удаленного доступа. Однако эти коды ошибок могут быть общие для других видов Туннели VPN, PPTP, L2TP и SSTP. Например в этой статье не рассматривается коды ошибок, которые могут появиться при сбое политики удаленного доступа в случае сбоя проверки подлинности клиента или сервера не поддерживает порты, которые необходимы для конкретного вида подключения.

Дополнительная информация

Следующие сценарии описывают типичные проблемы, которые могут возникнуть при VPN-клиент не может подключиться к SSTP-VPN серверу.

Сценарий 1: Ошибка 0x800704C9 при попытке подключения к серверу на базе SSTP VPN

Такое поведение наблюдается, если отсутствуют порты SSTP, доступных на сервере. Чтобы устранить эту проблему, убедитесь, что сервер маршрутизации и удаленного доступа имеет необходимые порты, настроенные для удаленного доступа. Чтобы сделать это, выполните следующие действия.
  1. Запустите оснастку "Маршрутизация и удаленный доступ" консоли MMC.
  2. Разверните сервер, щелкните правой кнопкой мыши портыи выберите команду Свойства.
  3. В списке имя выберите Минипорт WAN (SSTP)и нажмите кнопку настроить.
  4. Измените число, которое отображается в списке Максимальное число портов , в зависимости от предъявляемых требований и нажмите кнопку ОК.

    Примечание По умолчанию 128 портов доступны для данного устройства.
  5. В диалоговом окне Свойства порта нажмите кнопку " ОК".

Сценарий 2: Появляется код ошибки 809 при попытке подключения к серверу на базе SSTP VPN

Такое поведение наблюдается при выполнении одного из следующих условий:
  • Отключена служба удаленного доступа на сервере.
  • Сервер удаленного доступа не прослушивает соответствующий порт.
  • Служба маршрутизации и удаленного доступа или служба SSTP останавливается на сервере.
  • Сертификат сервера был удален из хранилища сертификатов компьютера на сервере перед SSTP был настроен.
  • Неверное расширение расширенного использования ключа (EKU) сертификата, который используется для подключения SSTP. Например сертификат имеет Улучшенный, указывающее, проверки подлинности клиентов можно использовать для настройки подключения SSTP.
Чтобы устранить эту проблему, выполните следующие действия.
  1. Убедитесь, что на сервере запущена служба маршрутизации и удаленного доступа и служба SSTP. Чтобы сделать это, выполните следующие действия.
    1. Откройте окно командной строки и запустите следующие две команды:
      • sc query remoteaccess
      • SC query sstpsvc
    2. Если одна или обе службы остановлены, с помощью оснастки маршрутизации и удаленного доступа консоли управления (MMC) или оснастки MMC-консоли служб запустить одну или несколько соответствующих служб.
  2. Определите ли сервер ведет прослушивание на порту. Чтобы сделать это, откройте окно командной строки и запустите следующую команду:
    netstat - aon
    Например убедитесь, что служба SSTP прослушивает TCP-порт 443. Если служба SSTP прослушивает TCP-порт 443, следующие записи Локальный адрес будет отображаться при выполнении команды netstat - aon :
    0.0.0.0:443 (IPv4)
    [::]:443 (IPv6)
    Примечание Чтобы определить идентификатор процесса службы SSTP, выполните следующие действия.
    1. Запустите диспетчер задач и откройте вкладку службы .
    2. В списке « имя », найдите запись SstpSvc и запишите число, которое отображается в столбце PID .
  3. Убедитесь, что сертификат, который указывает проверку подлинности сервера находится в хранилище сертификатов на компьютере. Чтобы сделать это, выполните следующие действия.
    1. Нажмите кнопку Пуск, выберите пункт выполнить, тип MMC, а затем нажмите кнопку ОК.
    2. В меню файл выберите команду Добавить или удалить оснастку.
    3. В списке доступных оснасток выберите сертификатыи нажмите кнопку Установка настроек.
    4. В диалоговом окне Оснастка диспетчера сертификатов щелкните учетная запись компьютераи нажмите кнопку Далее.
    5. Выберите параметр локальный компьютер и нажмите кнопку Готово.
    6. В диалоговом окне Добавление или удаление оснастки нажмите кнопку ОК.
    7. В оснастке MMC Консоль1 разверните Сертификаты (локальный компьютер), разверните узел Личныеи щелкните сертификаты.
    8. В области сведений дважды щелкните сертификат и перейдите на вкладку сведения определите ли Проверка подлинности сервера отображается в виде одной операции использования сертификата.

Сценарий 3: Ошибка 0x80070040 при попытке подключения к серверу на базе SSTP VPN

Эта проблема может возникнуть, если на сервере маршрутизации и удаленного доступа не установлен сертификат проверки подлинности сервера.

Чтобы устранить эту проблему, выполните следующие действия.
  1. Нажмите кнопку Пуск, выберите пункт выполнить, тип MMC, а затем нажмите кнопку ОК.
  2. В меню файл выберите команду Добавить или удалить оснастку.
  3. В списке доступных оснасток выберите сертификатыи нажмите кнопку Установка настроек.
  4. В диалоговом окне Оснастка диспетчера сертификатов щелкните учетная запись компьютераи нажмите кнопку Далее.
  5. Выберите параметр локальный компьютер и нажмите кнопку Готово.
  6. В диалоговом окне Добавление или удаление оснастки нажмите кнопку ОК.
  7. В оснастке MMC Консоль1 разверните Сертификаты (локальный компьютер), разверните узел Личныеи щелкните сертификаты.
  8. В области сведений дважды щелкните сертификат и перейдите на вкладку сведения определите ли Проверка подлинности сервера отображается в виде одной операции использования сертификата.

Сценарий 4: Ошибка 0x800B0101 при попытке подключения к серверу на базе SSTP VPN

Эта проблема может возникнуть, если истек срок действия сертификата проверки подлинности сервера на сервер маршрутизации и удаленного доступа.

Чтобы устранить эту проблему, выполните следующие действия.
  1. Нажмите кнопку Пуск, выберите пункт выполнить, тип MMC, а затем нажмите кнопку ОК.
  2. В меню файл выберите команду Добавить или удалить оснастку.
  3. В списке доступных оснасток выберите сертификатыи нажмите кнопку Установка настроек.
  4. В диалоговом окне Оснастка диспетчера сертификатов щелкните учетная запись компьютераи нажмите кнопку Далее.
  5. Выберите параметр локальный компьютер и нажмите кнопку Готово.
  6. В диалоговом окне Добавление или удаление оснастки нажмите кнопку ОК.
  7. В оснастке MMC Консоль1 разверните Сертификаты (локальный компьютер), разверните узел Личныеи щелкните сертификаты.
  8. В области сведений найдите сертификат, который имеет как одну из записей использования сертификата Проверки подлинности сервера и затем определить, истек ли срок действия сертификата.
  9. Если истек срок действия сертификата, обновления сертификата.

Сценарий 5: Появляется код ошибки 0x800B0109 при попытке подключения к серверу на базе SSTP VPN

Эта проблема может возникнуть, если не установлен соответствующий доверенный корневой сертификат центра сертификации (ЦС) сертификации в доверенных корневых центров сертификации на клиентском компьютере хранятся.

Примечание Как правило, если клиентский компьютер присоединен к домену и использовать доменные учетные данные для входа на VPN-сервере, сертификат автоматически устанавливается в доверенных корневых центров сертификации хранения. Однако если компьютер не присоединен к домену или при использовании цепочки сертификатов альтернативных, данная проблема может возникать.

Чтобы устранить эту проблему, выполните следующие действия.
  1. На клиентском компьютере нажмите кнопку Пуск, выберите пункт выполнить, тип MMC, а затем нажмите кнопку ОК.
  2. В меню файл выберите команду Добавить или удалить оснастку.
  3. В диалоговом окне Добавить/удалить оснастку нажмите кнопку Добавить.
  4. В диалоговом окне Доступные изолированную оснастку выберите сертификатыи нажмите кнопку Добавить.
  5. В диалоговом окне Оснастка диспетчера сертификатов щелкните учетная запись компьютера, нажмите кнопку Далееи нажмите кнопку Готово.
  6. Нажмите кнопку Закрыть, а затем нажмите кнопку ОК.
  7. В оснастке MMC Консоль1 разверните Сертификаты (локальный компьютер), разверните узел Доверенные корневые центры сертификациии щелкните сертификаты.
  8. Проверьте сертификаты, которые отображаются в области сведений, чтобы определить, присутствует ли сертификат из центра сертификации.
  9. Если отсутствует соответствующий сертификат в хранилище доверенных корневых центров сертификации, необходимо импортировать сертификат для соответствующего центра сертификации.

Сценарий 6: Ошибка 0x800B010F при попытке подключения к серверу на базе SSTP VPN

Эта проблема может возникнуть, если имя узла, указанное в VPN-подключение сервера не соответствует имени субъекта, который указан в сертификате SSL, сервер отправляет на клиентский компьютер.

Чтобы устранить эту проблему, выполните следующие действия.
  1. На VPN-сервере, нажмите кнопку Пуск, выберите пункт выполнить, тип MMC, а затем нажмите кнопку ОК.
  2. В меню файл выберите команду Добавить или удалить оснастку.
  3. В списке доступных оснасток выберите сертификатыи нажмите кнопку Установка настроек.
  4. В диалоговом окне Оснастка диспетчера сертификатов щелкните учетная запись компьютераи нажмите кнопку Далее.
  5. Выберите параметр локальный компьютер и нажмите кнопку Готово.
  6. В диалоговом окне Добавление или удаление оснастки нажмите кнопку ОК.
  7. В оснастке MMC Консоль1 разверните Сертификаты (локальный компьютер), разверните узел Личныеи щелкните сертификаты.
  8. В области сведений найдите сертификат, используемый сервером VPN для подключения SSL.
  9. Убедитесь, что сертификат имеет правильную тему. Например если VPN-клиент использует IP-адрес для подключения к серверу, сертификата необходимо указать этот IP-адрес в имя субъекта. Если сертификат с соответствующим именем отсутствует на VPN-сервере, необходимо получить новый сертификат на VPN-сервере.

Сценарий 7: Появляется код ошибки 0x80092013 при попытке подключения к серверу на базе SSTP VPN

Эта проблема может возникнуть при сбое компьютера клиента, проверка отзыва сертификатов для сертификата SSL, на клиентском компьютере полученный от VPN-сервера.

Чтобы устранить эту проблему, убедитесь, что сервер, на котором размещается список отзыва сертификатов (CRL) доступных клиенту. Это может означать, что сервер CRL доступен клиенту через Интернет. Клиентский компьютер выполняет проверку списка отзыва Сертификатов во время установки подключения SSL. Тем не менее эта операция проверки не выполняется через VPN-подключение. Это происходит потому, что VPN-подключение не установлено, пока не будет успешно проверки списка отзыва Сертификатов. Вместо этого непосредственно на сервер CRL отправляется запрос проверки списка отзыва Сертификатов.

Сценарий 8. Сервер маршрутизации и удаленного доступа запущен, но отсутствуют входящие SSTP подключения

Предупреждение При неправильном изменении реестра с помощью редактора реестра или иным способом могут возникнуть серьезные проблемы. Эти проблемы могут потребовать переустановки операционной системы. Корпорация Майкрософт не гарантирует решения этих проблем. Ответственность за изменение реестра несет пользователь.

Чтобы устранить эту проблему, выполните следующие действия.
  1. Убедитесь, что запущена служба SSTP. Чтобы сделать это, выполните команду sc query sstpsvc в командной строке.
  2. Убедитесь, что запущена служба маршрутизации и удаленного доступа. Для этого выполните команду sc запросов удаленного доступа из командной строки.
  3. Убедитесь, что служба SSTP на порт 443 TCP и порт, на котором настроена служба SSTP для прослушивания. Для этого выполните следующую команду в командной строке:
    netstat –aon | findstr 443
  4. Проверьте сертификат сервера, к которому привязан драйвер Http.sys. Для этого выполните следующую команду в командной строке:
    netsh http show sslcert
  5. Проверьте IP-адрес и номер порта сервера сертификатов. Служба маршрутизации и удаленного доступа считывает только IPv6-адреса :: 0 или IPv4-адрес 0.0.0.0.
  6. Убедитесь, что сертификат сервера, проверить в шагах 4 и 5 в хранилище сертификатов компьютера. Чтобы сделать это, выполните следующие действия.
    1. Нажмите кнопку Пуск, выберите пункт выполнить, тип MMC, а затем нажмите кнопку ОК.
    2. В меню файл выберите команду Добавить или удалить оснастку.
    3. В списке доступных оснасток выберите сертификатыи нажмите кнопку Установка настроек.
    4. В диалоговом окне Оснастка диспетчера сертификатов щелкните учетная запись компьютераи нажмите кнопку Далее.
    5. Выберите параметр локальный компьютер и нажмите кнопку Готово.
    6. В диалоговом окне Добавление или удаление оснастки нажмите кнопку ОК.
    7. В оснастке MMC Консоль1 разверните Сертификаты (локальный компьютер), разверните узел Личныеи щелкните сертификаты.
    8. В области сведений найдите соответствующий сертификат.
  7. Убедитесь, что сертификат действителен и что его действия не истек.Кроме того убедитесь, что хеш сертификата в разделе реестра Sha256CertificateHash или в разделе реестра Sha1CertificateHash .
  8. Убедитесь, что вход без маршрутизации и удаленного доступа для блокирования подключений SSTP настроены фильтры или фильтры выхода. Чтобы сделать это, выполните следующие действия.
    1. Запустите оснастку "Маршрутизация и удаленный доступ" консоли MMC.
    2. Разверните узел сервера, а затем разверните IPv4 или IPv6, в зависимости от вашего сетевого трафика.
    3. Перейдите на вкладку Общие, щелкните правой кнопкой мыши соответствующий сетевой интерфейс и нажмите кнопку Свойства.
    4. ВNetwork_Interface_Name Диалогового окна Свойства нажмите кнопку Фильтры. Убедитесь, что фильтр не настроен на блокирование трафика SSTP и нажмите кнопку ОК.
    5. ВNetwork_Interface_Name Диалоговое окно свойств, щелкните Фильтры исходящего трафика. Убедитесь, что фильтр не настроен на блокирование трафика SSTP и нажмите кнопку ОК.
  9. Определите, является ли сервер настроен для прослушивания соответствующего порта SSTP-соединения. По умолчанию сервер использует TCP-порт 443 для SSTP-соединения. Чтобы определить, какой порт используется сервер, выполните следующие действия:
    1. Запустите редактор реестра и найдите следующий подраздел реестра:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters
    2. В области сведений щелкните правой кнопкой мыши ListenerPortи выберите команду Изменить.
    3. Обратите внимание, значение, отображаемое в поле значение .
    Примечание По умолчанию параметр ListenerPort имеет значение 443. При изменении этого значения необходимо перезапустить службу маршрутизации и удаленного доступа.
  10. Определите, настроен ли на брандмауэре исключения для трафика SSTP. Чтобы сделать это, выполните следующие действия.
    1. Нажмите кнопку Пуск, выберите пункт выполнить, тип Firewall.cpl, а затем нажмите кнопку ОК.
    2. В диалоговом окне Брандмауэра Windows щелкните Разрешение запуска программы через брандмауэр Windows.
    3. В диалоговом окне Параметры брандмауэра Windows на вкладке исключения убедитесь, установлен флажок Secure Socket туннельный протокол .
  11. Убедитесь, что брандмауэр, настроенный перед сервером маршрутизации и удаленного доступа не блокирует трафик SSTP, предназначенный для сервера маршрутизации и удаленного доступа. Например убедитесь, что внешний брандмауэр не настроен для блокирования трафика TCP 443.
  12. Просмотрите журнал системы и журнал приложений, чтобы найти любые события, относящиеся к службе маршрутизации и удаленного доступа или службы SSTP.

Свойства

Код статьи: 947031 - Последний отзыв: 9 февраля 2014 г. - Revision: 8.0
Информация в данной статье относится к следующим продуктам.
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Ключевые слова: 
kbexpertisebeginner kbhowto kbinfo kbmt KB947031 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Данная статья переведена с использованием программного обеспечения Майкрософт для машинного перевода и, возможно, отредактирована посредством технологии Community Translation Framework (CTF). Корпорация Майкрософт предлагает вам статьи, обработанные средствами машинного перевода, отредактированные членами сообщества Майкрософт и переведенные профессиональными переводчиками, чтобы вы могли ознакомиться со всеми статьями нашей базы знаний на нескольких языках. Статьи, переведенные с использованием средств машинного перевода и отредактированные сообществом, могут содержать смысловое, синтаксические и (или) грамматические ошибки. Корпорация Майкрософт не несет ответственности за любые неточности, ошибки или ущерб, вызванные неправильным переводом контента или его использованием нашими клиентами. Подробнее об CTF можно узнать по адресу http://support.microsoft.com/gp/machine-translation-corrections/ru.
Эта статья на английском языке: 947031

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com