如何在 Windows Server 2008 中設定 NAT 裝置後面的安全通訊端通道通訊協定 SSTP VPN 伺服器

文章翻譯 文章翻譯
文章編號: 947032 - 檢視此文章適用的產品。
重要本文包含有關如何修改登錄的資訊。請確定您在修改之前備份登錄。如果發生問題,請確定您知道如何還原登錄。如何備份、 還原,及修改登錄的相關資訊,請按一下下列的文件編號,檢視 Microsoft 知識庫中的文件:
322756如何備份和還原在 Windows 登錄
全部展開 | 全部摺疊

在此頁中

簡介

本文將告訴您,如何在 Windows Server 2008 中設定安全通訊端通道通訊協定 SSTP VPN 伺服器背後的網路位址轉譯 (NAT) 裝置。

SSTP 是一新的一種適用於 Windows Server 2008 中的 [路由及遠端存取伺服器] 角色的虛擬私人網路 (VPN) 通道。SSTP 允許透過 HTTP 封裝的點對點通訊協定 (PPP) 封包。這可讓 VPN 連線,才能透過防火牆或透過網路位址轉譯 (NAT) 裝置更容易建立的。而且,這樣才能透過 HTTP Proxy 裝置建立 VPN 連線的。

該資訊是本文是比較可能適用於小型大小或中型組織。針對這類組織通常會有一個公用 IP 位址指派給外部介面的 NAT 路由器或閘道裝置。本文將告訴您下列案例:
  • 您有一個 Windows Server 2008 為基礎安全通訊端通道通訊協定 SSTP 為基礎的 VPN 伺服器。
  • 伺服器已被指派一個私人的 IP 位址。
  • 在伺服器位於 NAT 裝置後面的內部網路。

其他相關資訊

概觀

本文中的資訊和有關下列網路組態範例:
  • NAT 裝置有下列的 IP 位址指派:
    • 下列公用可路由傳送的 IP 位址指派給外部介面: 1.2.3.4
    • 下列私用非路由式的 IP 位址指派給內部介面: 192.168.0.1
  • DNS 伺服器可供外部存取,公用 IP 位址 1.2.3.4 對應到下列的完整格式的網域名稱 (FQDN): vpn-1.contoso.com
  • Windows Server 2008 為基礎的路由及遠端存取伺服器具有下列的 IP 位址指派:
    • IP 位址: 192.168.0.2
    • 子網路遮罩: 255.255.255.0
    • 預設閘道: 192.168.0.1

組態資訊

警告如果您修改登錄不當使用 「 登錄編輯程式 」,或使用另一個方法,可能會發生嚴重的問題。這些問題可能需要重新安裝作業系統。Microsoft 無法保證可以解決這些問題。您必須自己承擔修改登錄所造成的風險。

若要設定 SSTP VPN 伺服器概觀 > 一節所述的案例中,請依照下列步驟執行:
  1. 設定 NAT 裝置重新導向從外部網路到 Windows Server 2008 架構的電腦將做為 SSTP VPN 伺服器的 SSTP 流量。特別,重新導向連入流量,如下所示:
    • 來源 IP 位址: 1.2.3.4 (外部介面)
    • 來源連接埠: TCP 443
    • 目的地 IP 位址: 192.168.0.2 (路由及遠端存取伺服器的 IP 位址)
    • 目的地連接埠: TCP 443
    附註在預設的情況下,SSTP VPN 伺服器會在 TCP 連接埠 443 上接聽。但是,您可以將這變更為適合您需求的另一個連接埠。更多有關如何執行這項操作的資訊,請參閱步驟 5。
  2. 在 Windows Server 2008 架構的電腦上安裝電腦憑證。 此憑證必須有主體名稱 (CN) 是 VPN 用戶端連線的主機名稱相同。這是必要的 SSL 交涉才能成功。

    例如:
    • 如果 VPN 用戶端設定為 [連線至公用 IP 位址的 NAT 裝置 (1.2.3.4),憑證的主體名稱必須是 1.2.3.4
    • 如果 VPN 用戶端設定為連線至可公開存取 FQDN (vpn-1.contoso.com),憑證的主體名稱必須是 vpn 1.contoso.com
  3. 使用伺服器管理員工具在 Windows Server 2008 架構的電腦上安裝 網路原則與存取服務 角色與 路由及遠端存取服務] 角色服務一起。
  4. 安裝 路由及遠端存取服務] 角色服務之後設定 [使用 [路由和遠端存取服務精靈的 [路由及遠端存取服務]。
  5. 如果想將 SSTP VPN 伺服器設定為在 TCP 連接埠 443 以外的連接埠上接聽請依照下列步驟執行:
    1. 啟動 「 登錄編輯程式 」,並再找出下列登錄子機碼:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters\
    2. 在詳細資料] 窗格中 ListenerPort,] 上按一下滑鼠右鍵,然後按一下 [修改]
    3. 按一下 [十進位]、 輸入例如 5000,一個替代的連接埠號碼,然後按一下 [確定]
    4. 結束 [登錄編輯程式,然後重新啟動路由及遠端存取服務。
    附註如果您變更 ListenerPort 值,您必須設定 NAT 裝置,以將 TCP 連接埠 443 傳輸轉寄至新的連接埠號碼在您的設定。比方說,您必須設定 NAT 裝置來轉寄至 TCP 連接埠 5000 SSTP VPN 伺服器上的 TCP 連接埠 443 上的傳入流量。

?考

如需詳細資訊,請按一下下列的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
947031如何疑難排解在 Windows Server 2008 中的安全通訊端通道通訊協定 SSTP 連線失敗

屬性

文章編號: 947032 - 上次校閱: 2008年1月19日 - 版次: 1.4
這篇文章中的資訊適用於:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
關鍵字:?
kbmt kbexpertisebeginner kbhowto kbinfo KB947032 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:947032
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com