如何疑難排解在 Windows Server 2008 中的安全通訊端通道通訊協定 SSTP 連線失敗

文章翻譯 文章翻譯
文章編號: 947031 - 檢視此文章適用的產品。
重要本文包含有關如何修改登錄的資訊。請確定您在修改之前備份登錄。如果發生問題,請確定您知道如何還原登錄。如何備份、 還原,及修改登錄的相關資訊,請按一下下列的文件編號,檢視 Microsoft 知識庫中的文件:
322756如何備份和還原在 Windows 登錄
全部展開 | 全部摺疊

在此頁中

簡介

本文將告訴您,如何疑難排解在 Windows Server 2008 中,您可能會遇到的安全通訊端通道通訊協定 SSTP 連線失敗。

SSTP 是一新的一種在路由及遠端存取] 伺服器角色的 Windows Server 2008 中可用的虛擬私人網路 (VPN) 通道。SSTP 允許透過 HTTP 封裝的點對點通訊協定 (PPP) 封包。這項功能可讓 VPN 連線,才能透過防火牆或透過網路位址轉譯 (NAT) 裝置更容易建立的。而且,這項功能可讓 VPN 連線,才能透過 HTTP Proxy 裝置建立的。

本文資訊是特定關聯到一個 SSTP VPN 連線的連線失敗的疑難排解。您可能會收到其他錯誤代碼,在遠端存取用戶端電腦上。然而,這些錯誤代碼可能是很常見的其他種類的 PPTP、 L2TP,以及 SSTP [VPN] 通道。比方說這篇文章不會討論如果遠端存取原則失敗,如果用戶端驗證失敗,或者如果伺服器不支援所需的特定種類的連線連接埠,您可能會收到的錯誤碼。

其他相關資訊

下列案例說明當 VPN 用戶端無法連線到一個 SSTP VPN 伺服器時,可能會遇到的常見問題。

當案例 1: 您錯誤碼 0x800704C9 嘗試時,收到您連線到 SSTP VPN 伺服器

如果沒有 SSTP 連接埠可用在伺服器上,可能就會發生這個問題。如果要疑難排解這個問題,確認 [路由及遠端存取伺服器有足夠的連接埠設定成遠端存取]。要這麼做,請您執行下列步驟:
  1. 啟動 [路由及遠端存取 MMC 」 嵌入式管理單元。
  2. 展開伺服器、 連接埠,] 上按一下滑鼠右鍵,然後按一下 [內容]
  3. 在 [名稱] 清單中按一下 [WAN 迷你連接埠 (SSTP),然後按一下 [設定]
  4. 修改出現在 [最大值連接埠] 清單的適合您需求的號碼,然後按一下 [確定]

    附註預設情況下,128 的連接埠是可供這個裝置。
  5. 在 [連接埠屬性] 對話方塊中,按一下 [確定]

案例 2: 您錯誤碼 809 嘗試時收到您連線到 SSTP VPN 伺服器

如果其中一種下列情況成立時,則為 True,可能就會發生這個問題:
  • 遠端存取已停用伺服器上。
  • 遠端存取伺服器並未在適當的連接埠上接聽。
  • 在伺服器上停止路由及遠端存取服務] 或 [SSTP 服務。
  • 之前設定 SSTP 伺服器憑證已從伺服器上之電腦憑證存放區 內移除。
  • 擴充金鑰使用方式 (EKU) 用於 SSTP 連線憑證的副檔名不正確。比方說憑證具有指定該用戶端驗證用來設定 SSTP 連線的 EKU。
這個問題的疑難排解請依照下列步驟執行:
  1. 請確認路由及遠端存取服務和 SSTP 服務在伺服器上執行。要這麼做,請您執行下列步驟:
    1. 啟動命令提示字元,然後執行下列兩個命令:
      • sc 查詢遠端存取
      • sc 查詢 sstpsvc
    2. 如果其中一個或兩個服務已停止,使用 [路由及遠端存取 Microsoft 管理主控台 (MMC) 」 嵌入式管理單元或 「 服務 MMC] 嵌入式管理單元來啟動適當的服務。
  2. 判斷伺服器是否在正確的連接埠上接聽。執行這項操作、 啟動命令提示字元,然後執行下列命令:
    -aon netstat
    比方說檢查 SSTP 服務會接聽 TCP 連接埠 443 上。如果 SSTP 服務接聽 TCP 連接埠 443 上,執行 netstat-aon 命令時,會出現下列本機位址項目:
    0.0.0.0:443 (IPv4)
    [::]:443 (IPv6)
    附註如果要判斷處理序 ID 的 SSTP 服務,請依照下列步驟執行:
    1. 啟動 [工作管理員,然後按一下 [服務] 索引標籤。
    2. 在 [名稱] 清單中找出 SstpSvc 項目,並再注意出現在 [PID] 欄位的數目。
  3. 請確認指定伺服器驗證的憑證位於電腦憑證存放區中。要這麼做,請您執行下列步驟:
    1. 按一下 [開始],再按一下 [執行]、 輸入 mmc,] 然後再按一下 [確定]
    2. 按一下 [自動顯示在 [檔案] 功能表上的 [新增/移除嵌入式管理單元]。
    3. 在 [可用管理嵌入式管理單元-單元] 清單按一下 [憑證,然後按一下 [新增 >.
    4. 憑證] 嵌入式管理單元 新檔] 對話方塊按一下 [電腦帳戶],然後再按一下 [下一步]
    5. 維持選取,[本機電腦] 選項,然後按一下 [已經完成
    6. [新增或移除嵌入式管理單元] 對話方塊中,按一下 [確定]
    7. [Console1 MMC 嵌入式管理單元,展開 [憑證 (本機電腦)],展開 [個人,然後再按一下 [憑證]。
    8. 在詳細資料] 窗格中連按兩下一個憑證,然後再按 詳細資料] 索引標籤,判斷,是否 伺服器驗證 會顯示為其中一個憑證使用方式項目]。

當案例 3: 您錯誤碼 0x80070040 嘗試時,收到您連線到 SSTP VPN 伺服器

如果路由及遠端存取伺服器上未安裝伺服器驗證憑證,可能就會發生這個問題。

這個問題的疑難排解請依照下列步驟執行:
  1. 按一下 [開始],再按一下 [執行]、 輸入 mmc,] 然後再按一下 [確定]
  2. 按一下 [自動顯示在 [檔案] 功能表上的 [新增/移除嵌入式管理單元]。
  3. 在 [可用管理嵌入式管理單元-單元] 清單按一下 [憑證,然後按一下 [新增 >.
  4. 憑證] 嵌入式管理單元 新檔] 對話方塊按一下 [電腦帳戶],然後再按一下 [下一步]
  5. 維持選取,[本機電腦] 選項,然後按一下 [已經完成
  6. [新增或移除嵌入式管理單元] 對話方塊中,按一下 [確定]
  7. [Console1 MMC 嵌入式管理單元,展開 [憑證 (本機電腦)],展開 [個人,然後再按一下 [憑證]。
  8. 在詳細資料] 窗格中連按兩下一個憑證,然後再按 詳細資料] 索引標籤,判斷,是否 伺服器驗證 會顯示為其中一個憑證使用方式項目]。

當案例 4: 您錯誤碼 0x800B0101 嘗試時,收到您連線到 SSTP VPN 伺服器

如果伺服器驗證憑證,路由及遠端存取伺服器上的已過期,可能就會發生這個問題。

這個問題的疑難排解請依照下列步驟執行:
  1. 按一下 [開始],再按一下 [執行]、 輸入 mmc,] 然後再按一下 [確定]
  2. 按一下 [自動顯示在 [檔案] 功能表上的 [新增/移除嵌入式管理單元]。
  3. 在 [可用管理嵌入式管理單元-單元] 清單按一下 [憑證,然後按一下 [新增 >.
  4. 憑證] 嵌入式管理單元 新檔] 對話方塊按一下 [電腦帳戶],然後再按一下 [下一步]
  5. 維持選取,[本機電腦] 選項,然後按一下 [已經完成
  6. [新增或移除嵌入式管理單元] 對話方塊中,按一下 [確定]
  7. [Console1 MMC 嵌入式管理單元,展開 [憑證 (本機電腦)],展開 [個人,然後再按一下 [憑證]。
  8. 在詳細資料] 窗格中找到與其中一個憑證使用方式項目具有 伺服器驗證 憑證,並再決定是否憑證已過期。
  9. 如果憑證已過期,更新憑證。

當案例 5: 您錯誤碼 0x800B0109 嘗試時,收到您連線到 SSTP VPN 伺服器

如果受信任的根憑證授權] 中沒有安裝適當的信任的根憑證授權單位 (CA) 憑證,可能就會發生這個問題將儲存在用戶端電腦上。

附註通常,如果用戶端電腦加入網域,而且您使用網域認證登入到 VPN 伺服器,自動安裝憑證中信任的根憑證授權存放。但是,如果電腦未加入網域,或如果您使用替代的憑證鏈結,可能會發生這個問題。

這個問題的疑難排解請依照下列步驟執行:
  1. 用戶端上請按一下 [開始],按一下 [執行]、 輸入 mmc,然後再按一下 [確定]]。
  2. 按一下 [自動顯示在 [檔案] 功能表上的 [新增/移除嵌入式管理單元]。
  3. 在 [新增/移除嵌入式管理單元 新檔] 對話方塊中,按一下 [新增]。
  4. 可用獨立嵌入式管理單元 新檔] 對話方塊按一下 [憑證,然後按一下 [新增]。
  5. 憑證] 嵌入式管理單元 新檔] 對話方塊按一下 [電腦帳戶],按一下 [下一步],然後再按一下 [完成]
  6. 按一下 [關閉],然後再按一下 [確定]
  7. [Console1 MMC 嵌入式管理單元,展開 [憑證 (本機電腦)],展開 [受信任的根憑證授權單位,然後再按一下 [憑證]。
  8. 檢查會出現在 [詳細資料] 窗格來判斷是否來自憑證授權單位憑證的憑證。
  9. 如果受信任的根憑證授權單位存放區中沒有適當的憑證必須匯入適當的憑證授權單位的憑證。

案例 6: 您錯誤碼 0x800B010F 嘗試時收到您連線到 SSTP VPN 伺服器

如果在 VPN 連線中指定的伺服器主機名稱不符合所指定伺服器送出至用戶端電腦的 SSL 憑證主體名稱,可能就會發生這個問題。

這個問題的疑難排解請依照下列步驟執行:
  1. VPN] 伺服器上請按一下 [開始],再按一下 [執行]、 輸入 mmc,然後再按一下 [確定]]。
  2. 按一下 [自動顯示在 [檔案] 功能表上的 [新增/移除嵌入式管理單元]。
  3. 在 [可用管理嵌入式管理單元-單元] 清單按一下 [憑證,然後按一下 [新增 >.
  4. 憑證] 嵌入式管理單元 新檔] 對話方塊按一下 [電腦帳戶],然後再按一下 [下一步]
  5. 維持選取,[本機電腦] 選項,然後按一下 [已經完成
  6. [新增或移除嵌入式管理單元] 對話方塊中,按一下 [確定]
  7. [Console1 MMC 嵌入式管理單元,展開 [憑證 (本機電腦)],展開 [個人,然後再按一下 [憑證]。
  8. 在詳細資料] 窗格中找出 VPN 伺服器所使用的 SSL 連線的憑證]。
  9. 檢查憑證有正確的主體名稱。比方說如果 VPN 用戶端用來連線到伺服器的 IP 位址,憑證必須在主體名稱中指定該 IP 位址。如果 VPN 伺服器上沒有適當命名的憑證,您必須取得 VPN 伺服器的新憑證。

當案例 7: 您錯誤碼 0x80092013 嘗試時,收到您連線到 SSTP VPN 伺服器

如果從 VPN 伺服器的用戶端電腦失敗時,憑證撤銷檢查 SSL 憑證,用戶端電腦取得,可能就會發生這個問題。

如果要這個問題的疑難排解檢查 [裝載憑證撤銷清單 (CRL) 的伺服器可使用用戶端]。這可能表示 CRL 伺服器可供使用] 用戶端,在網際網路上。用戶端電腦會在 SSL 連線建立期間執行 CRL 檢查。不過,透過 VPN 連線不執行此驗證作業。這是因為直到 CRL 檢查已成功,不建立 VPN 連線。而是 CRL 核取查詢是直接送到 CRL 伺服器。

案例 8: 執行路由及遠端存取伺服器,但有沒有連入 SSTP 連線

警告如果您修改登錄不當使用 「 登錄編輯程式 」,或使用另一個方法,可能會發生嚴重的問題。這些問題可能需要重新安裝作業系統。Microsoft 無法保證可以解決這些問題。您必須自己承擔修改登錄所造成的風險。

這個問題的疑難排解請依照下列步驟執行:
  1. 請確認 SSTP 服務已在執行。執行此動作請在命令提示字元下執行 sc 查詢 sstpsvc 命令。
  2. 請確認路由及遠端存取服務已在執行。執行此動作請在命令提示字元下執行 sc 查詢遠端存取 命令。
  3. 請確認 SSTP 服務正在接聽 TCP 連接埠 443 或已設定 SSTP 服務接聽連接埠上。執行此動作請在命令提示字元下執行下列命令:
    netstat –aon | findstr 443
  4. 檢查伺服器憑證是繫結至 Http.sys 驅動程式。執行此動作請在命令提示字元下執行下列命令:
    netsh http 顯示 sslcert
  5. 檢查 IP 位址和連接埠號碼的伺服器憑證。「 路由及遠端存取 」 服務會讀取 IPv6 位址 :: 0 或 [IPv4 位址 0.0.0.0
  6. 請確認您在步驟 4 和 5 中檢查伺服器憑證是存在於電腦憑證儲存區。要這麼做,請您執行下列步驟:
    1. 按一下 [開始],再按一下 [執行]、 輸入 mmc,] 然後再按一下 [確定]
    2. 按一下 [自動顯示在 [檔案] 功能表上的 [新增/移除嵌入式管理單元]。
    3. 在 [可用管理嵌入式管理單元-單元] 清單按一下 [憑證,然後按一下 [新增 >.
    4. 憑證] 嵌入式管理單元 新檔] 對話方塊按一下 [電腦帳戶],然後再按一下 [下一步]
    5. 維持選取,[本機電腦] 選項,然後按一下 [已經完成
    6. [新增或移除嵌入式管理單元] 對話方塊中,按一下 [確定]
    7. [Console1 MMC 嵌入式管理單元,展開 [憑證 (本機電腦)],展開 [個人,然後再按一下 [憑證]。
    8. 在詳細資料] 窗格中找出適當的憑證]。
  7. 請確認該憑證有效,且尚未過期。 而且,確認已列出相同的憑證雜湊,Sha256CertificateHash 登錄機碼下或 Sha1CertificateHash 登錄機碼之下。
  8. 請確認沒有路由及遠端存取輸入篩選器或輸出篩選器設定為封鎖 SSTP 連線。要這麼做,請您執行下列步驟:
    1. 啟動 [路由及遠端存取 MMC 」 嵌入式管理單元。
    2. 展開伺服器,然後再展開適當的網路流量的 [IPv4IPv6
    3. 按一下 [一般]、 適當的網路] 介面上按一下滑鼠右鍵,然後按一下 [內容]
    4. 在 [Network_Interface_Name 內容] 對話方塊中,按一下 [輸入篩選器]。請確認沒有篩選器設定封鎖 SSTP 流量,然後按一下 [確定]
    5. 在 [Network_Interface_Name 內容] 對話方塊中,按一下 [輸出篩選器]。請確認沒有篩選器設定封鎖 SSTP 流量,然後按一下 [確定]
  9. 判斷伺服器是否設定為 SSTP 連線在適當的連接埠上接聽。預設情況下,伺服器會使用 TCP 連接埠 443 SSTP 連線。若要判斷連接埠伺服器使用,請依照下列步驟執行:
    1. 啟動 「 登錄編輯程式 」,並再找出下列登錄子機碼:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters
    2. 在詳細資料] 窗格中 ListenerPort,] 上按一下滑鼠右鍵,然後按一下 [修改]
    3. 記下會出現在 [數值資料] 方塊中的值。
    附註根據預設,ListenerPort 登錄項目會有值為 443。如果您將此值變更您必須重新啟動路由及遠端存取服務。
  10. 判斷 「 Windows 防火牆是否設定為有允許 SSTP 流量的例外狀況。要這麼做,請您執行下列步驟:
    1. 按一下 [開始]、 按一下 [執行]、 輸入 firewall.cpl,然後按一下 [確定]]。
    2. 在 [Windows 防火牆] 對話方塊中,按一下 [允許程式通過 Windows 防火牆]。
    3. 在 [Windows 防火牆設定] 對話方塊的 [例外] 索引標籤,驗證已選取 [安全通訊端通道通訊協定] 核取方塊。
  11. 請確認已設定路由及遠端存取伺服器的前面的防火牆不設定來封鎖預定為路由及遠端存取伺服器的 SSTP 資料傳輸。比方說確認外部防火牆不設定封鎖 TCP 443 流量。
  12. 檢查系統記錄檔和應用程式記錄檔,找不到任何 「 路由及遠端存取 」 服務,或 SSTP 服務與相關的事件。

屬性

文章編號: 947031 - 上次校閱: 2008年1月18日 - 版次: 1.3
這篇文章中的資訊適用於:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
關鍵字:?
kbmt kbexpertisebeginner kbhowto kbinfo KB947031 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:947031
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com