Konfigurieren eines SSTP-basierten VPN-Servers hinter einem NAT-Gerät in Windows Server 2008

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 947032 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
947032 How to configure a Secure Socket Tunneling Protocol (SSTP)-based VPN server behind a NAT device in Windows Server 2008
Wichtig: Dieser Artikel enthält Informationen zum Bearbeiten der Registrierung. Bevor Sie die Registrierung bearbeiten, vergewissern Sie sich bitte, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen einer Sicherungskopie, zum Wiederherstellen und Bearbeiten der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756 Unter Windows XP und Windows Server 2003 eine Sicherungskopie der Registrierung erstellen und die Registrierung bearbeiten und wiederherstellen
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Einführung

Dieser Artikel beschreibt, wie Sie in Windows Server 2008 einen SSTP-basierten (SSTP = Secure Socket Tunneling-Protokoll) VPN-Server hinter einem NAT-Gerät (NAT = Network Address Translation) konfigurieren.

SSTP ist ein neuer Typ von VPN-Tunnel (VPN = Virtual Private Networking), der in der Routing- und RAS-Serverrolle in Windows Server 2008 verfügbar ist. SSTP ermöglicht die Verkapselung von PPP-Paketen (PPP = Point-to-Point-Protokoll) über HTTP. Dies erleichtert die Einrichtung einer VPN-Verbindung durch eine Firewall oder über ein NAT-Gerät. Außerdem ermöglicht dies die Einrichtung einer VPN-Verbindung über ein HTTP-Proxygerät.

Die Informationen in diesem Artikel beziehen sich eher auf kleine oder mittelgroße Organisationen. Solche Organisationen haben üblicherweise eine einzelne öffentliche IP-Adresse, die der externen Schnittstelle eines NAT-Routers oder eines Gateway-Geräts zugewiesen wird. Dieser Artikel beschreibt das folgende Szenario:
  • Sie haben einen SSTP-basierten VPN-Server auf Windows Server 2008-Basis.
  • Dem Server ist eine private IP-Adresse zugewiesen.
  • Der Server befindet sich auf einem internen Netzwerk hinter einem NAT-Gerät.

Weitere Informationen

Überblick

Die Informationen in diesem Artikel beziehen sich auf die folgende Netzwerk-Beispielkonfiguration:
  • Ein NAT-Gerät hat die folgenden IP-Adresszuweisungen:
    • Die folgende öffentliche, routbare IP-Adresse wird der externen Schnittstelle zugewiesen: 1.2.3.4
    • Die folgende private, nicht-routbare IP-Adresse wird der internen Schnittstelle zugewiesen: 192.168.0.1
  • Auf einem DNS-Server, der den externen Zugriff erlaubt, wird die öffentliche IP-Adresse 1.2.3.4 dem folgenden vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) zugeordnet: vpn-1.contoso.com.
  • Ein Windows Server 2008-basierter Routing- und RAS-Server hat die folgenden IP-Adresszuweisungen:
    • IP-Adresse: 192.168.0.2
    • Subnetzmaske: 255.255.255.0
    • Standardgateway: 192.168.0.1

Konfigurationsinformation

Achtung: Die unkorrekte Verwendung des Registrierungs-Editors kann schwerwiegende Probleme verursachen, die das gesamte System betreffen und eine Neuinstallation des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungs-Editors herrühren, behoben werden können. Benutzen Sie den Registrierungs-Editor auf eigene Verantwortung.

Gehen Sie folgendermaßen vor, um in dem Szenario, das im Abschnitt "Überblick" beschrieben ist, einen SSTP-basierten VPN-Server zu konfigurieren:
  1. Konfigurieren Sie das NAT-Gerät darauf, den SSTP-Verkehr vom externen Netzwerk zu dem Windows Server 2008-Computer umzuleiten, der als SSTP-basierter VPN-Server fungiert. Leiten Sie ankommenden Verkehr wie folgt um:
    • Quell-IP-Adresse: 1.2.3.4 (die externe Schnittstelle)
    • Quellport: TCP 443
    • Ziel-IP-Adresse: 192.168.0.2 (die IP-Adresse des Routing- und RAS-Servers)
    • Zielport: TCP 443
    Hinweis: Der SSTP-basierte VPN-Server hört standardmäßig TCP-Port 443 ab. Sie können diese Einstellung jedoch gemäß Ihren Anforderungen ändern. Weitere Informationen zur Vorgehensweise finden Sie unter Schritt 5.
  2. Installieren Sie ein Computerzertifikat auf dem Windows Server 2008-Computer. Bei diesem Zertifikat muss der Name des Antragstellers mit dem Hostnamen des Geräts übereinstimmen, zu dem der VPN-Client die Verbindung herstellt. Dies ist erforderlich für eine erfolgreiche SSL-Aushandlung.

    Beispiel:
    • Wenn ein VPN-Client darauf konfiguriert ist, die Verbindung zur öffentlichen IP-Adresse des NAT-Geräts (1.2.3.4) herzustellen, muss der Name des Antragstellers für das Zertifikat 1.2.3.4 lauten.
    • Wenn ein VPN-Client darauf konfiguriert ist, die Verbindung zu dem öffentlich erreichbaren FQDN (vpn-1.contoso.com) herzustellen, muss der Name des Antragstellers für das Zertifikat vpn-1.contoso.com lauten.
  3. Verwenden Sie den Server-Manager, um die Rolle Netzwerkrichtlinien- und Zugriffsdienste zusammen mit dem Rollendienst Routing- und RAS-Dienste auf dem Windows Server 2008-Computer zu installieren.
  4. Nachdem der Rollendienst Routing- und RAS-Dienste installiert wurde, verwenden Sie den Assistenten für Routing- und RAS-Dienste, um den Routing- und RAS-Dienst zu konfigurieren.
  5. Wenn Sie den SSTP-basierten VPN-Server darauf konfigurieren möchten, einen anderen Port als TCP-Port 443 abzuhören, gehen Sie folgendermaßen vor:
    1. Starten Sie den Registrierungs-Editor, und suchen Sie den folgenden Registrierungsteilschlüssel:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters\
    2. Klicken Sie im Detailfenster mit der rechten Maustaste auf ListenerPort, und klicken Sie auf Ändern.
    3. Klicken Sie auf Dezimal, geben Sie eine andere Portnummer ein, wie zum Beispiel 5000, und klicken Sie auf OK.
    4. Beenden Sie den Registrierungs-Editor, und starten Sie den Routing- und RAS-Dienst neu.
    Hinweis: Wenn Sie den Wert für "ListenerPort" ändern, müssen Sie das NAT-Gerät darauf konfigurieren, Verkehr an den TCP-Port 443 an den neuen, von Ihnen konfigurierten Port weiterzuleiten. Beispielsweise müssen Sie das NAT-Gerät darauf konfigurieren, auf TCP-Port 443 ankommenden Verkehr an den TCP-Port 5000 auf dem SSTP-basierten VPN-Server weiterzuleiten.

Informationsquellen

Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
947031 Kann wie Problem mit Verbindungsfehlern in Windows Server 2008 von Secure Socket Tunneling Protocol (SSTP)-based behandeln

Eigenschaften

Artikel-ID: 947032 - Geändert am: Montag, 21. April 2008 - Version: 1.4
Die Informationen in diesem Artikel beziehen sich auf:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Keywords: 
kbexpertisebeginner kbhowto kbinfo KB947032
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com