如何在 Windows Server 2008 中配置 NAT 设备后面基于安全套接字隧道协议 SSTP 的 VPN 服务器

文章翻译 文章翻译
文章编号: 947032 - 查看本文应用于的产品
重要本文包含有关如何修改注册表的信息。请确保您对其进行修改之前备份注册表。请确保您知道如何还原注册表发生问题。有关如何备份、 还原,以及修改注册表的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322756如何备份和还原在 Windows 注册表
展开全部 | 关闭全部

本文内容

简介

本文介绍如何在 Windows Server 2008 中配置基于安全套接字隧道协议 SSTP 的 VPN 服务器网络地址转换 (NAT) 设备的后面。

SSTP 是一种全新的是 Windows Server 2008 中的路由和远程访问服务器角色中可用的虚拟专用网络 (VPN) 隧道。SSTP 允许为要通过 HTTP 封装的点对点协议 (PPP) 数据包。这允许通过防火墙或通过网络地址转换 (NAT) 设备更轻松地建立 VPN 连接。此外,这样可以通过一个 HTTP 代理设备建立 VPN 连接。

该信息为这篇文章是更有可能适用于小型或中等规模的组织。对于组织这种常见的是要有一个分配给外部接口的 NAT 路由器或网关设备的公用 IP 地址。本文介绍以下情形:
  • 您有基于 Windows Server 2008 的基于安全套接字隧道协议 SSTP 的 VPN 服务器。
  • 服务器分配一个专用的 IP 地址。
  • 服务器位于 NAT 设备后面的内部网络上。

更多信息

概述

本文中的信息与下面的网络配置示例:
  • NAT 设备具有下列 IP 地址分配:
    • 下列公共的可路由 IP 地址分配给外部接口: 1.2.3.4
    • 下列专用的非路由 IP 地址分配给内部接口: 192.168.0.1
  • 可以从外部访问一个 DNS 服务器上公用的 IP 地址 1.2.3.4 被映射到以下的完全限定的域名称 (FQDN): vpn-1.contoso.com
  • 基于 Windows Server 2008 的路由和远程访问服务器具有以下 IP 地址分配:
    • IP 地址: 192.168.0.2
    • 子网掩码: 255.255.255.0
    • 默认网关: 192.168.0.1

配置信息

警告如果您修改注册表错误地使用注册表编辑器或使用另一种方法,则可能会出现严重问题。这些问题可能需要重新安装操作系统。Microsoft 不能保证可以解决这些问题。修改注册表的风险由您自己承担。

在"概述"部分所述的情况下配置基于 SSTP 的 VPN 服务器,请按照下列步骤操作:
  1. 配置 NAT 设备重定向到基于 Windows Server 2008 的计算机将充当基于 SSTP 的 VPN 服务器的 SSTP 通信从外部网络。专门,传入通信重定向,如下所示:
    • 源 IP 地址: 1.2.3.4 (外部接口)
    • 源端口: TCP 443
    • 目标 IP 地址: 192.168.0.2 (路由和远程访问服务器的 IP 地址)
    • 目标端口: TCP 443
    注意默认状态下,基于 SSTP 的 VPN 服务器在 TCP 端口 443 上侦听。但是,您可以更改这要根据您的要求的另一个端口。有关如何执行此操作的详细信息请参阅第 5 步。
  2. 在基于 Windows Server 2008 的计算机上安装计算机证书。 此证书必须具有与 VPN 客户端连接到的主机名称相同的主题名称 (CN)。这是必需的 SSL 协商成功。

    例如:
    • 如果 VPN 客户端被配置为连接到公用的 IP 地址的 NAT 设备 (1.2.3.4),证书的接受方名称必须是 1.2.3.4
    • 如果 VPN 客户端被配置为连接到可公开访问的 FQDN (vpn-1.contoso.com),证书的接受方名称必须是 vpn 1.contoso.com
  3. 在基于 Windows Server 2008 的计算机上安装 网络策略和访问服务 角色与 路由和远程访问服务 角色服务一起使用服务器管理器工具。
  4. 安装 路由和远程访问服务 角色服务后,通过路由和远程访问服务向导来配置路由和远程访问服务。
  5. 如果要将基于 SSTP 的 VPN 服务器配置为在 TCP 端口 443 之外的其他端口上侦听,请按照下列步骤操作:
    1. 启动注册表编辑器,然后找到以下注册表子项:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters\
    2. 在详细信息窗格中右键单击 ListenerPort,然后单击 修改
    3. 单击 十进制,键入一个备用的端口号 (如 5000,然后单击 确定
    4. 退出注册表编辑器,然后重新启动路由和远程访问服务。
    注意如果更改了 ListenerPort 值必须配置 NAT 设备将端口 443 的 TCP 通信转发到新的端口号配置的。例如对于您必须配置 NAT 设备将转发到基于 SSTP 的 VPN 服务器上的 TCP 端口 5000 的 TCP 端口 443 上的传入通信。

参考

有关详细的信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
947031如何排查 Windows Server 2008 中的基于安全套接字隧道协议 SSTP 的连接失败

属性

文章编号: 947032 - 最后修改: 2008年1月19日 - 修订: 1.4
这篇文章中的信息适用于:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
关键字:?
kbmt kbexpertisebeginner kbhowto kbinfo KB947032 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 947032
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com