文章编号: 947031 - 最后修改: 2008年1月18日 - 修订: 1.3

如何排查 Windows Server 2008 中的基于安全套接字隧道协议 SSTP 的连接失败

逐句中英文参照视图点击这里查看逐句中英文对照机器翻译
机器翻译查看机器翻译免责声明
查看本文应用于的产品
系统提示此文章适用于与您所使用的操作系统不同的操作系统。文章内容可能与您无关,并且已被禁用。
重要本文包含有关如何修改注册表的信息。请确保您对其进行修改之前备份注册表。请确保您知道如何还原注册表发生问题。有关如何备份、 还原,以及修改注册表的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322756? (http://support.microsoft.com/kb/322756/ ) 如何备份和还原在 Windows 注册表

本页

展开全部 | 关闭全部

简介

本文介绍如何排查 Windows Server 2008 中,您可能会遇到的基于安全套接字隧道协议 SSTP 的连接失败。

SSTP 是一种全新的是 Windows Server 2008 中的路由和远程访问服务器角色中可用的虚拟专用网络 (VPN) 隧道。SSTP 允许为要通过 HTTP 封装的点对点协议 (PPP) 数据包。此功能允许通过防火墙或通过网络地址转换 (NAT) 设备更轻松地建立 VPN 连接的。此功能还,允许通过一个 HTTP 代理设备建立 VPN 连接。

本文中的信息是特定于疑难解答与一个 SSTP 基于 VPN 的连接相关的连接失败。您可能会收到一个远程访问客户端计算机上的其他错误代码。但是,这些错误代码可能会为其他类型的 VPN 隧道如 PPTP 和 L2TP,SSTP 常见。例如对于本文不讨论如果远程访问策略无法如果将失败客户端身份验证,或者如果服务器不支持所需的特定的一种连接端口,则可能会收到的错误代码。
回到顶端

更多信息

下面的方案说明了 VPN 客户端无法连接到基于 SSTP 的 VPN 服务器时,您可能会遇到的常见问题。
回到顶端

方案 1: 您会收到错误代码 0x800704C9 当您试图连接到基于 SSTP 的 VPN 服务器

如果没有 SSTP 端口是服务器上的可用,则可能会发生此问题。若要此问题的疑难解答验证 $ 路由和远程访问服务器有足够的端口配置为远程访问。若要这样做,请按照下列步骤操作:
  1. 启动路由和远程访问 MMC 管理单元。
  2. 展开服务器,右键单击 端口,然后再单击 属性
  3. 名称 列表中单击 WAN 微型端口 (SSTP),然后单击 配置
  4. 修改显示在 最多端口数 列表中的根据您的需求的数量,然后单击 确定

    注意默认状态下,128 个端口都可用于此设备。
  5. 端口属性 对话框中单击 确定
回到顶端

方案 2: 您会收到错误代码 809 当您试图连接到基于 SSTP 的 VPN 服务器

如果满足下列条件之一为真,则可能会发生此问题:
  • 在服务器上禁用远程访问。
  • 远程访问服务器不合适的端口上侦听。
  • 在服务器上停止路由和远程访问服务或 $ SSTP 服务。
  • SSTP 已配置之前,服务器证书已从计算机证书存储区 在服务器上删除。
  • 扩展密钥用法 (EKU) 扩展用于 SSTP 连接的证书不正确。例如对于证书具有指定客户端身份验证用来配置 SSTP 连接一个 EKU。
若要此问题的疑难解答,请按照下列步骤操作:
  1. 验证在服务器上运行路由和远程访问服务和 $ SSTP 服务。若要这样做,请按照下列步骤操作:
    1. 启动一个命令,然后运行以下两个命令:
      • sc 查询 remoteaccess
      • sc 查询 sstpsvc
    2. 如果已停止一个或两个服务,请使用路由和远程访问 Microsoft 管理控制台 (MMC) 管理单元或服务 MMC 管理单元启动适当的服务。
  2. 确定服务器是否正在正确的端口上监听。将执行此操作、 启动一个命令,然后在运行以下命令:
    -aon netstat
    例如对于验证 SSTP 服务正在侦听 TCP 端口 443。如果 SSTP 服务正在侦听 TCP 端口 443 上,当您运行 netstat-aon 命令时,将出现下列本地地址条目:
    0.0.0.0:443 (IPv4)
    [::]:443 () IPv6
    注意要确定 SSTP 服务的进程 ID,请按照下列步骤操作:
    1. 启动任务经理,然后单击 服务 选项卡。
    2. 名称 列表中找到 SstpSvc 条目,然后记下出现在 PID 列中的编号。
  3. 验证指定服务器身份验证的证书位于计算机证书存储区中。若要这样做,请按照下列步骤操作:
    1. 单击 开始、 单击 运行,键入 mmc,然后单击 确定
    2. 文件 菜单上单击 添加/删除管理单元
    3. 可用的管理单元 列表中单击 证书,然后单击 添加 >.
    4. 证书管理单元 对话框中单击 计算机帐户,然后单击 下一步
    5. 使 本地计算机 选项处于选中状态,然后单击 已完成
    6. 添加或删除管理单元 对话框中单击 确定
    7. 控制台 1 MMC 管理单元中,展开 证书 (本地计算机),展开 个人,然后单击 证书
    8. 在详细信息窗格中双击一个证书,然后单击 详细信息 选项卡,确定是否显示为证书使用条目之一的 服务器身份验证
回到顶端

方案 3: 您会收到错误代码 0x80070040 当您试图连接到基于 SSTP 的 VPN 服务器

如果未在路由和远程访问服务器上安装服务器身份验证证书,则可能会发生此问题。

若要此问题的疑难解答,请按照下列步骤操作:
  1. 单击 开始、 单击 运行,键入 mmc,然后单击 确定
  2. 文件 菜单上单击 添加/删除管理单元
  3. 可用的管理单元 列表中单击 证书,然后单击 添加 >.
  4. 证书管理单元 对话框中单击 计算机帐户,然后单击 下一步
  5. 使 本地计算机 选项处于选中状态,然后单击 已完成
  6. 添加或删除管理单元 对话框中单击 确定
  7. 控制台 1 MMC 管理单元中,展开 证书 (本地计算机),展开 个人,然后单击 证书
  8. 在详细信息窗格中双击一个证书,然后单击 详细信息 选项卡,确定是否显示为证书使用条目之一的 服务器身份验证
回到顶端

方案 4: 您会收到错误代码 0x800B0101 当您试图连接到基于 SSTP 的 VPN 服务器

如果路由和远程访问服务器上的服务器身份验证证书已过期,则可能会发生此问题。

若要此问题的疑难解答,请按照下列步骤操作:
  1. 单击 开始、 单击 运行,键入 mmc,然后单击 确定
  2. 文件 菜单上单击 添加/删除管理单元
  3. 可用的管理单元 列表中单击 证书,然后单击 添加 >.
  4. 证书管理单元 对话框中单击 计算机帐户,然后单击 下一步
  5. 使 本地计算机 选项处于选中状态,然后单击 已完成
  6. 添加或删除管理单元 对话框中单击 确定
  7. 控制台 1 MMC 管理单元中,展开 证书 (本地计算机),展开 个人,然后单击 证书
  8. 在详细信息窗格中找到与证书的使用情况条目之一具有 服务器身份验证 的证书,然后确定证书是否已过期。
  9. 如果证书在到期续订证书。
回到顶端

方案 5: 您会收到错误代码 0x800B0109 当您试图连接到基于 SSTP 的 VPN 服务器

如果受信任的根证书颁发机构中未安装相应的受信任的根证书颁发机构 (CA) 证书,则可能会发生此问题将存储在客户端计算机上。

注意通常,如果客户端计算机加入到域,并且您使用域凭据登录到 VPN 服务器上是否安装了证书自动在受信任的根证书颁发机构存储。但是,如果计算机未加入到域,或者使用一个可选的证书链您可能会遇到此问题。

若要此问题的疑难解答,请按照下列步骤操作:
  1. 在客户端上单击 开始、 单击 运行、 键入 mmc,然后单击 确定
  2. 文件 菜单上单击 添加/删除管理单元
  3. 添加/删除管理单元 对话框中单击 添加
  4. 可用独立管理单元 对话框中单击 证书,然后单击 添加
  5. 证书管理单元 对话框中单击 计算机帐户 并单击 下一步,然后单击 完成
  6. 单击 关闭,然后单击 确定
  7. 控制台 1 MMC 管理单元中,展开 证书 (本地计算机),展开 受信任的根证书颁发机构,然后单击 证书
  8. 检查以确定是否存在从证书颁发机构证书的详细信息窗格中显示的证书。
  9. 如果不在受信任的根证书颁发机构存储区中存在适当的证书必须导入适当的证书颁发机构的证书。
回到顶端

方案 6: 您会收到错误代码 0x800B010F 当您试图连接到基于 SSTP 的 VPN 服务器

如果 VPN 连接中指定的服务器的主机名称与指定的服务器提交到客户端计算机的 SSL 证书使用者名称不匹配,则可能会发生此问题。

若要此问题的疑难解答,请按照下列步骤操作:
  1. 在 VPN 服务器上单击 开始、 单击 运行、 键入 mmc,然后单击 确定
  2. 文件 菜单上单击 添加/删除管理单元
  3. 可用的管理单元 列表中单击 证书,然后单击 添加 >.
  4. 证书管理单元 对话框中单击 计算机帐户,然后单击 下一步
  5. 使 本地计算机 选项处于选中状态,然后单击 已完成
  6. 添加或删除管理单元 对话框中单击 确定
  7. 控制台 1 MMC 管理单元中,展开 证书 (本地计算机),展开 个人,然后单击 证书
  8. 在详细信息窗格中找到的 SSL 连接的 VPN 服务器使用的证书。
  9. 验证该证书具有正确的主题的名称。例如对于如果 VPN 客户端连接到该服务器使用的 IP 地址,证书必须在使用者名称中指定该 IP 地址。如果不存在于 VPN 服务器将带有相应名称的证书必须获取 VPN 服务器的新的证书。
回到顶端

方案 7: 您会收到错误代码 0x80092013 当您试图连接到基于 SSTP 的 VPN 服务器

如果从 VPN 服务器的客户端计算机发生故障的证书吊销检查的 SSL 证书的客户端计算机获得,则可能会发生此问题。

若要到此问题的疑难解答验证承载证书吊销列表 (CRL) 的服务器到客户端可用。这可能意味着 CRL 服务器在 Internet 上是可供客户端使用。客户端计算机运行的 SSL 连接建立过程中的 CRL 检查。但是,通过 VPN 连接是不能执行此验证操作。这是因为直到 CRL 检查已成功完成,不建立 VPN 连接。而是 CRL 检查查询是直接发送到 CRL 服务器。
回到顶端

方案 8: 运行路由和远程访问服务器,但没有传入 SSTP 连接

警告如果您修改注册表错误地使用注册表编辑器或使用另一种方法,则可能会出现严重问题。这些问题可能需要重新安装操作系统。Microsoft 不能保证可以解决这些问题。修改注册表的风险由您自己承担。

若要此问题的疑难解答,请按照下列步骤操作:
  1. 验证 SSTP 服务正在运行。若要执行此操作请在命令提示符处运行 sc 查询 sstpsvc 命令。
  2. 验证路由和远程访问服务正在运行。若要执行此操作请在命令提示符处运行 sc 查询 remoteaccess 命令。
  3. 验证 SSTP 服务正在侦听 TCP 端口 443 上或在其配置了 SSTP 服务侦听该端口上。为此请在命令提示符处运行以下命令:
    netstat –aon | findstr 443
  4. 检查服务器证书绑定到 Http.sys 驱动程序。为此请在命令提示符处运行以下命令:
    netsh http 显示 sslcert
  5. 检查 IP 地址和端口号的服务器证书。路由和远程访问服务读取只是将 IPv6 地址 :: 0 或 IPv4 地址 0.0.0.0
  6. 验证您在步骤 4 和步骤 5 中检查该服务器证书出现在计算机证书存储区中。若要这样做,请按照下列步骤操作:
    1. 单击 开始、 单击 运行,键入 mmc,然后单击 确定
    2. 文件 菜单上单击 添加/删除管理单元
    3. 可用的管理单元 列表中单击 证书,然后单击 添加 >.
    4. 证书管理单元 对话框中单击 计算机帐户,然后单击 下一步
    5. 使 本地计算机 选项处于选中状态,然后单击 已完成
    6. 添加或删除管理单元 对话框中单击 确定
    7. 控制台 1 MMC 管理单元中,展开 证书 (本地计算机),展开 个人,然后单击 证书
    8. 在详细信息窗格中找到适当的证书。
  7. 验证该证书是有效的并且它未过期。 同时,验证 Sha256CertificateHash 注册表项下或在 Sha1CertificateHash 注册表项列出了相同的证书哈希值。
  8. 验证没有路由和远程访问入站筛选器或出站筛选器被配置为阻止 SSTP 连接。若要这样做,请按照下列步骤操作:
    1. 启动路由和远程访问 MMC 管理单元。
    2. 展开该的服务器,然后展开以适合您的网络通信的 IPv4IPv6
    3. 单击 常规,用鼠标右键单击适当的网络接口,然后单击 属性
    4. Network_Interface_Name 属性 对话框中单击 入站筛选器。验证没有筛选器被配置为阻止 SSTP 通信,然后单击 确定
    5. Network_Interface_Name 属性 对话框中单击 出站筛选器。验证没有筛选器被配置为阻止 SSTP 通信,然后单击 确定
  9. 确定服务器是否配置为在相应的端口上侦听 SSTP 连接。默认状态下,服务器使用 TCP 端口 443 用于 SSTP 连接。为了确定哪个端口服务器使用,请按照下列步骤:
    1. 启动注册表编辑器,然后找到以下注册表子项:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters
    2. 在详细信息窗格中右键单击 ListenerPort,然后单击 修改
    3. 请注意在 数值数据 框中显示的值。
    注意默认状态下,ListenerPort 注册表项的值为 443。如果更改了此值必须重新启动路由和远程访问服务。
  10. 确定是否将 Windows 防火墙配置为具有以允许 SSTP 通信异常。若要这样做,请按照下列步骤操作:
    1. 单击 开始,单击 运行,键入 firewall.cpl,然后单击 确定
    2. Windows 防火墙 对话框中单击 允许程序通过 Windows 防火墙
    3. Windows 防火墙设置 对话框中 例外 选项卡上,验证已选中 安全套接字隧道协议 复选框。
  11. 验证防火墙配置路由和远程访问服务器的前面没有配置为阻止发往路由和远程访问服务器的 SSTP 通信。例如对于验证外部防火墙未配置为阻止 TCP 443 通信。
  12. 检查系统日志和 $ 应用程序日志以找到与路由和远程访问服务或 SSTP 服务相关的任何事件。
回到顶端
这篇文章中的信息适用于:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
回到顶端
关键字:?
kbmt kbexpertisebeginner kbhowto kbinfo KB947031 KbMtzh
回到顶端
机器翻译机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 947031? (http://support.microsoft.com/kb/947031/en-us/ )
回到顶端
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。