Como configurar um servidor VPN baseado no Protocolo SSTP (Secure Socket Tunneling Protocol) atrás de um dispositivo NAT no Windows Server 2008

Traduções de Artigos Traduções de Artigos
Artigo: 947032 - Ver produtos para os quais este artigo se aplica.
Importante: este artigo contém informações sobre como modificar o registo. Certifique-se de que cria uma cópia de segurança do registo antes de o modificar. Certifique-se de que sabe como restaurar o registo se ocorrer um problema. Para mais informações sobre como efectuar uma cópia de segurança, restaurar e modificar o registo, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
322756 Como fazer cópias de segurança, editar e restaurar o registo no Windows XP e no Windows Server 2003
Expandir tudo | Reduzir tudo

Nesta página

INTRODUÇÃO

Este artigo descreve como configurar um servidor VPN baseado no Protocolo SSTP (Secure Socket Tunneling Protocol) atrás de um dispositivo NAT (Network Address Translation) no Windows Server 2008.

O SSTP é um novo tipo de túnel VPN (Virtual Private Networking) disponível na função de Servidor de Encaminhamento e Acesso Remoto no Windows Server 2008. O SSTP permite que pacotes do Protocolo PPP (Point-to-Point Protocol) sejam encapsulados através de HTTP. Isto permite que uma ligação VPN seja estabelecida mais facilmente através de uma firewall ou de um dispositivo NAT (Network Address Translation). Também permite que uma ligação VPN seja estabelecida através de um dispositivo proxy HTTP.

As informações deste artigo poderão aplicar-se especialmente a uma organização de pequena ou média dimensão. Nestes tipos de organizações, é comum ter um endereço IP público atribuído à interface externa de um router NAT ou de um dispositivo de Gateway. Este artigo descreve os seguintes cenários:
  • Tem um servidor VPN baseado no Protocolo SSTP (Secure Socket Tunneling Protocol) baseado no Windows Server 2008.
  • É atribuído um endereço IP privado ao servidor.
  • O servidor encontra-se numa rede interna atrás de um dispositivo NAT.

Mais Informação

Descrição geral

As informações contidas neste artigo estão relacionadas com o seguinte exemplo de configuração de rede:
  • Um dispositivo NAT tem as seguintes atribuições de endereços IP:
    • O seguinte endereço IP público encaminhável é atribuído à interface externa: 1.2.3.4
    • O seguinte endereço IP privado não encaminhável é atribuído à interface interna: 192.168.0.1
  • Num servidor DNS a que possa ter acesso externamente, o endereço IP público 1.2.3.4 é mapeado para o seguinte nome de domínio completamente qualificado (FQDN): vpn-1.contoso.com.
  • Um servidor de Encaminhamento e Acesso Remoto baseado no Windows Server 2008 tem as seguintes atribuições de endereços IP:
    • Endereço IP: 192.168.0.2
    • Máscara de sub-rede: 255.255.255.0
    • Gateway predefinido: 192.168.0.1

Informações de configuração

Aviso: poderão ocorrer problemas graves se modificar o registo de forma incorrecta utilizando o Editor de Registo ou qualquer outro método. Estes problemas poderão forçar a reinstalação do sistema operativo. A Microsoft não garante que estes problemas possam ser resolvidos. Todo e qualquer risco decorrente da modificação do registo é da responsabilidade do utilizador.

Para configurar um servidor VPN baseado em SSTP no cenário descrito na secção "Descrição geral", siga estes passos:
  1. Configure o dispositivo NAT para redireccionar tráfego SSTP a partir da rede externa para o computador baseado no Windows Server 2008 que funcionará como o servidor VPN baseado em SSTP. Especificamente, redireccione tráfego de entrada do seguinte modo:
    • Endereço IP de origem: 1.2.3.4 (a interface externa)
    • Porta de origem: TCP 443
    • Endereço IP de destino: 192.168.0.2 (o endereço IP do servidor de Encaminhamento e Acesso Remoto)
    • Porta de destino: TCP 443
    Nota: por predefinição, o servidor VPN baseado em SSTP escuta na porta TCP 443. No entanto, é possível alterar para outra porta, conforme adequado às suas necessidades. Para mais informações sobre como efectuar este procedimento, consulte o passo 5.
  2. Instale um certificado de computador no computador baseado no Windows Server 2008. Este certificado tem de ter um nome de requerente (CN) igual ao nome de anfitrião ao qual se ligam os clientes VPN. Isto é necessário para que a negociação SSL tenha êxito.

    Por exemplo:
    • Se um cliente VPN estiver configurado para ligar ao endereço IP público do dispositivo NAT (1.2.3.4), o nome do requerente do certificado deverá ser 1.2.3.4.
    • Se um cliente VPN estiver configurado para ligar ao FQDN (vpn-1.contoso.com) ao qual pode ter acesso publicamente, o nome do requerente do certificado deverá ser vpn-1.contoso.com.
  3. Utilize a ferramenta Gestor de Servidor para instalar a função Serviços de Política e Acesso de Rede em conjunto com o serviço de função Serviços de Encaminhamento e Acesso Remoto no computador baseado no Windows Server 2008.
  4. Após a instalação do serviço de função Serviços de Encaminhamento e Acesso Remoto, configure o serviço Encaminhamento e Acesso Remoto utilizando o Assistente de Serviços de Encaminhamento e Acesso Remoto.
  5. Se pretender configurar o servidor VPN baseado em SSTP para escutar numa porta diferente de TCP 443, siga estes passos:
    1. Inicie o Editor de Registo e localize a seguinte subchave de registo:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters\
    2. No painel de detalhes, clique com o botão direito do rato em ListenerPort e clique em Modificar.
    3. Clique em Decimal, escreva um número de porta alternativo como 5000 e clique em OK.
    4. Saia do Editor de Registo e reinicie o serviço Encaminhamento e Acesso Remoto.
    Nota: se alterar o valor de ListenerPort, terá de configurar o dispositivo NAT para reencaminhar tráfego da porta TCP 443 para o novo número de porta configurado. Por exemplo, terá de configurar o dispositivo NAT para reencaminhar tráfego de entrada da porta TCP 443 para a porta TCP 5000 no servidor VPN baseado em SSTP.

Referências

Para mais informações, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
947031 Como resolver problemas de falhas de ligação baseada no Protocolo SSTP (Secure Socket Tunneling Protocol) no Windows Server 2008

Propriedades

Artigo: 947032 - Última revisão: 10 de março de 2008 - Revisão: 1.3
A informação contida neste artigo aplica-se a:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Palavras-chave: 
kbexpertisebeginner kbhowto kbinfo KB947032

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com