Řešení potíží s chybami Secure Socket Tunneling Protocol SSTP připojení v systému Windows Server 2008

Důležité: Tento článek obsahuje informace o úpravě registru. Přesvědčte se, zda jste zálohovali registr před úpravami. Ujistěte se, že víte, jak registr obnovit v případě výskytu problému. Další informace o zálohování, obnovení a úpravě registru klepněte na následující číslo článku databáze Microsoft Knowledge Base:
322756 postup zálohování a obnovení registru v systému Windows

ÚVOD

Tento článek popisuje řešení potíží s chybami založené na Secure Socket Tunneling Protocol SSTP připojení, které mohou nastat v systému Windows Server 2008.

SSTP je nový typ tunelového propojení virtuální privátní sítě (VPN), která je k dispozici v roli serveru Směrování a vzdálený přístup v systému Windows Server 2008. SSTP umožňuje paketů protokolu PPP (Point-to-Point) přes protokol HTTP zapouzdřit. Tato funkce umožňuje připojení VPN snadněji stanovit prostřednictvím brány firewall nebo překládání adres (NAT) zařízení. Tato funkce také umožňuje připojení k síti VPN, které stanoví pomocí zařízení s HTTP proxy.

Informace v tomto článku je specifický pro odstraňování potíží chyby připojení, které se vztahují k připojení VPN založené na SSTP. Může se zobrazit jiné kódy chyb v počítači vzdáleného klienta. Tyto kódy chyb však může být společný pro další typy tunelových propojení VPN protokolu PPTP, L2TP a SSTP. Například Tento článek nepopisuje chybové kódy, které můžete obdržet, pokud se nezdaří zásady vzdáleného přístupu, pokud se nezdaří ověření klienta nebo pokud server nepodporuje porty, které jsou požadovány pro konkrétní typ připojení.

Další informace

Následující scénáře popisují běžné problémy, které mohou nastat v případě, že klient VPN se nelze připojit k serveru VPN založené na SSTP.

Scénář 1: Zobrazí se kód chyby 0x800704C9 při pokusu o připojení k serveru VPN založené na SSTP

Tomuto problému může dojít, pokud jsou na serveru k dispozici žádné porty SSTP. Chcete-li tento problém vyřešit, ověřte, zda server směrování a vzdálený přístup má dostatečné porty nakonfigurován pro vzdálený přístup. Chcete-li to provést, postupujte takto:
  1. Spusťte modul snap-in Směrování a vzdálený přístup konzoly MMC.
  2. Rozbalte server, klepněte pravým tlačítkem myši portya klepněte na příkaz Vlastnosti.
  3. V seznamu název klepněte na tlačítko WAN Miniport (SSTP)a potom klepněte na tlačítko Konfigurovat.
  4. Změnit číslo, které se zobrazí v seznamu Maximální počet portů , která je vhodná pro vaše požadavky a potom klepněte na tlačítko OK.

    Poznámka: Standardně jsou k dispozici pro toto zařízení 128 portů.
  5. V dialogovém okně Vlastnosti portu klepněte na tlačítko OK.

Scénář 2: Zobrazí se kód chyby 809 při pokusu o připojení k serveru VPN založené na SSTP

Tomuto problému může dojít, pokud platí jedna z následujících podmínek:
  • Vzdálený přístup je zakázáno na serveru.
  • Vzdálený server nenaslouchá na příslušný port.
  • Služba Směrování a vzdálený přístup nebo službu SSTP je zastavena na serveru.
  • Certifikát serveru byla odebrána z úložiště certifikátů počítače na serveru před SSTP byl nakonfigurován.
  • Rozšíření rozšířené použití klíče (EKU) certifikátu použitého pro připojení SSTP je nesprávná. Například certifikát má EKU, která určuje, že ověřování klienta použít ke konfiguraci připojení SSTP.
Chcete-li tento problém vyřešit, postupujte takto:
  1. Ověřte, zda na serveru běží služba Směrování a vzdálený přístup a službu SSTP. Chcete-li to provést, postupujte takto:
    1. Spusťte příkazový řádek a potom spusťte následující dva příkazy:
      • sc query remoteaccess
      • sc query sstpsvc
    2. Pokud jedna nebo obě služby jsou zastaveny, pomocí modulu snap-in Směrování a vzdálený přístup konzola Microsoft Management Console (MMC) nebo modulu snap-in služby konzoly MMC spusťte příslušnou službu nebo služby.
  2. Zjistěte, zda server naslouchá na správný port. Chcete-li to provést, spusťte příkazový řádek a potom spusťte následující příkaz:
    netstat - aon
    Například ověřte, že služba SSTP naslouchá na portu TCP 443. Pokud službu SSTP naslouchá na portu TCP 443, zobrazí se následující položky místní adresa při spuštění příkazu netstat - aon :
    0.0.0.0:443 (IPv4)
    [::]:443 (IPv6)
    Poznámka: Chcete-li zjistit ID procesu služby SSTP, postupujte takto:
    1. Spusťte Správce úloh a potom klepněte na kartu služby .
    2. V seznamu název vyhledejte položku SstpSvc a poznamenejte si číslo, které se zobrazí ve sloupci PID .
  3. Ověřte, že certifikát, který určuje ověřování serveru je umístěn v úložišti certifikátů počítače. Chcete-li to provést, postupujte takto:
    1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz mmca potom klepněte na tlačítko OK.
    2. V nabídce soubor klepněte na tlačítko Přidat nebo odebrat modul Snap-in.
    3. V seznamu dostupných modulů snap in klepněte na tlačítko certifikátya potom klepněte na tlačítko Přidat >.
    4. V dialogovém okně modulu snap-in Certifikáty klepněte na přepínač účet počítačea potom klepněte na tlačítko Další.
    5. Ponechte vybranou možnost místní počítač a potom klepněte na tlačítko Dokončeno.
    6. V dialogovém okně Přidat nebo odebrat moduly Snap in klepněte na tlačítko OK.
    7. V Konzola 1 MMC modul snap-in rozbalte položku certifikáty (místní počítač), rozbalte osobnía pak klepněte na tlačítko certifikáty.
    8. V podokně podrobností poklepejte na certifikát a klepněte na kartu Podrobnosti zjistěte, zda Ověřování serveru se zobrazí jako jedna z položek použití certifikátu.

Scénář 3: Zobrazí se kód chyby 0x80070040 při pokusu o připojení k serveru VPN založené na SSTP

Tomuto problému může dojít, pokud certifikát ověření serveru není nainstalován na serveru služby Směrování a vzdálený přístup.

Chcete-li tento problém vyřešit, postupujte takto:
  1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz mmca potom klepněte na tlačítko OK.
  2. V nabídce soubor klepněte na tlačítko Přidat nebo odebrat modul Snap-in.
  3. V seznamu dostupných modulů snap in klepněte na tlačítko certifikátya potom klepněte na tlačítko Přidat >.
  4. V dialogovém okně modulu snap-in Certifikáty klepněte na přepínač účet počítačea potom klepněte na tlačítko Další.
  5. Ponechte vybranou možnost místní počítač a potom klepněte na tlačítko Dokončeno.
  6. V dialogovém okně Přidat nebo odebrat moduly Snap in klepněte na tlačítko OK.
  7. V Konzola 1 MMC modul snap-in rozbalte položku certifikáty (místní počítač), rozbalte osobnía pak klepněte na tlačítko certifikáty.
  8. V podokně podrobností poklepejte na certifikát a klepněte na kartu Podrobnosti zjistěte, zda Ověřování serveru se zobrazí jako jedna z položek použití certifikátu.

Scénář 4: Zobrazí se kód chyby 0x800B0101 při pokusu o připojení k serveru VPN založené na SSTP

Tomuto problému může dojít, pokud certifikát ověření serveru na serveru služby Směrování a vzdálený přístup vypršela.

Chcete-li tento problém vyřešit, postupujte takto:
  1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz mmca potom klepněte na tlačítko OK.
  2. V nabídce soubor klepněte na tlačítko Přidat nebo odebrat modul Snap-in.
  3. V seznamu dostupných modulů snap in klepněte na tlačítko certifikátya potom klepněte na tlačítko Přidat >.
  4. V dialogovém okně modulu snap-in Certifikáty klepněte na přepínač účet počítačea potom klepněte na tlačítko Další.
  5. Ponechte vybranou možnost místní počítač a potom klepněte na tlačítko Dokončeno.
  6. V dialogovém okně Přidat nebo odebrat moduly Snap in klepněte na tlačítko OK.
  7. V Konzola 1 MMC modul snap-in rozbalte položku certifikáty (místní počítač), rozbalte osobnía pak klepněte na tlačítko certifikáty.
  8. V podokně podrobností vyhledejte certifikát, který má jako jedna z položek použití certifikátu Ověření serveru a zjistěte, zda vypršela platnost certifikátu.
  9. Pokud platnost certifikátu vypršela, certifikát obnovte.

Scénář 5: Zobrazí se kód chyby 0x800B0109 při pokusu o připojení k serveru VPN založené na SSTP

Tomuto problému může dojít, pokud není nainstalován odpovídající důvěryhodného kořenového certifikátu certifikačního úřadu (CA) v úložišti důvěryhodných kořenových certifikačních autorit v klientském počítači uložit.

Poznámka: Obecně platí, jsou-li klientský počítač připojen k doméně a použití pověření domény pro přihlášení k serveru VPN, certifikát je automaticky instalován do důvěryhodných kořenových certifikačních úřadů uložte. Tohoto problému může dojít, pokud počítač není připojen k doméně, nebo pokud používáte řetěz certifikátů alternativní.

Chcete-li tento problém vyřešit, postupujte takto:
  1. V klientském počítači klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz mmca potom klepněte na tlačítko OK.
  2. V nabídce soubor klepněte na tlačítko Přidat nebo odebrat modul Snap-in.
  3. V dialogovém okně Přidat nebo odebrat modul Snap-in klepněte na tlačítko Přidat.
  4. V dialogovém okně k dispozici samostatný modul Snap-In klepněte na tlačítko certifikátya potom klepněte na tlačítko Přidat.
  5. V dialogovém okně modulu snap-in Certifikáty klepněte na tlačítko účet počítače, klepněte na tlačítko Dalšía potom klepněte na tlačítko Dokončit.
  6. Klepněte na tlačítko Zavříta potom klepněte na tlačítko OK.
  7. V Konzola 1 MMC modul snap-in rozbalte položku certifikáty (místní počítač), rozbalte Důvěryhodné kořenové certifikační úřadya potom klepněte na tlačítko certifikáty.
  8. Prozkoumejte certifikáty, které se zobrazí v podokně podrobností k určení, zda je certifikát od certifikačního úřadu k dispozici.
  9. Pokud není příslušný certifikát přítomen v úložišti důvěryhodných kořenových certifikačních úřadů, je nutné importovat certifikát příslušného certifikačního úřadu.

Scénář 6: Zobrazí se kód chyby 0x800B010F při pokusu o připojení k serveru VPN založené na SSTP

Tomuto problému může dojít, pokud název hostitele serveru, který je zadaný v připojení VPN neodpovídá názvu subjektu, který je uveden na certifikátu SSL, který odešle serveru do klientského počítače.

Chcete-li tento problém vyřešit, postupujte takto:
  1. Na serveru VPN klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz mmca potom klepněte na tlačítko OK.
  2. V nabídce soubor klepněte na tlačítko Přidat nebo odebrat modul Snap-in.
  3. V seznamu dostupných modulů snap in klepněte na tlačítko certifikátya potom klepněte na tlačítko Přidat >.
  4. V dialogovém okně modulu snap-in Certifikáty klepněte na přepínač účet počítačea potom klepněte na tlačítko Další.
  5. Ponechte vybranou možnost místní počítač a potom klepněte na tlačítko Dokončeno.
  6. V dialogovém okně Přidat nebo odebrat moduly Snap in klepněte na tlačítko OK.
  7. V Konzola 1 MMC modul snap-in rozbalte položku certifikáty (místní počítač), rozbalte osobnía pak klepněte na tlačítko certifikáty.
  8. V podokně podrobností vyhledejte certifikát, který používá VPN server pro připojení SSL.
  9. Ověřte, zda certifikát má název subjektu správné. Například pokud klient používá adresu IP se připojit k serveru, certifikát zadejte tuto IP adresu v názvu subjektu. Pokud vhodně pojmenovaných certifikátu není k dispozici na serveru VPN, musíte získat nový certifikát pro VPN server.

Scénář 7: Zobrazí se kód chyby 0x80092013 při pokusu o připojení k serveru VPN založené na SSTP

Tomuto problému může dojít, jestliže klientského počítače dojde k chybě kontrola odvolaných certifikátů pro certifikát protokolu SSL, který klientský počítač získá ze serveru VPN.

Chcete-li tento problém vyřešit, ověřte, zda je server, který je hostitelem seznamu odvolaných certifikátů (CRL) dostupné pro klienta. To znamená, že seznam odvolaných certifikátů serveru je k dispozici klientovi přes Internet. Klientský počítač spustí kontrolu seznamu CRL při ustavení připojení SSL. Tato operace ověření však není provedena prostřednictvím připojení VPN. Toto je, protože připojení VPN není usazen, dokud kontrola seznamu CRL proběhl úspěšně. Místo toho dotaz Kontrola seznamu CRL odeslána přímo do seznamu odvolaných certifikátů serveru.

Scénář 8: Server služby Směrování a vzdálený přístup je spuštěna, ale neexistují žádné příchozí připojení SSTP

Upozornění: Při nesprávné úpravě registru pomocí Editoru registru nebo jiným způsobem může dojít k vážným problémům. Tyto problémy mohou vyžadovat přeinstalaci operačního systému. Společnost Microsoft nemůže zaručit, že tyto problémy bude možné vyřešit. Úpravy registru provádíte na vlastní nebezpečí.

Chcete-li tento problém vyřešit, postupujte takto:
  1. Ověřte, zda je spuštěna služba SSTP. Chcete-li to provést, spusťte příkaz sc query sstpsvc na příkazovém řádku.
  2. Ověřte, zda je spuštěna služba Směrování a vzdálený přístup. Chcete-li to provést, spusťte příkaz sc query remoteaccess na příkazovém řádku.
  3. Ověřte, že služba SSTP naslouchá na portu TCP 443 nebo na port, na kterém jste nakonfigurovali službu SSTP poslouchat. Chcete-li to provést, spusťte následující příkaz na příkazovém řádku:
    netstat – aon | findstr 443
  4. Prozkoumejte certifikát serveru, který je vázán k ovladači Http.sys. Chcete-li to provést, spusťte následující příkaz na příkazovém řádku:
    netsh http show sslcert
  5. Zkontrolujte adresu IP a číslo portu certifikátu serveru. Služba Směrování a vzdálený přístup přečte pouze IPv6 adresu :: 0 nebo protokolu IPv4 adresa 0.0.0.0.
  6. Ověřte, zda certifikát serveru, který je prověřen v krocích 4 a 5 v úložišti certifikátů počítače. Chcete-li to provést, postupujte takto:
    1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz mmca potom klepněte na tlačítko OK.
    2. V nabídce soubor klepněte na tlačítko Přidat nebo odebrat modul Snap-in.
    3. V seznamu dostupných modulů snap in klepněte na tlačítko certifikátya potom klepněte na tlačítko Přidat >.
    4. V dialogovém okně modulu snap-in Certifikáty klepněte na přepínač účet počítačea potom klepněte na tlačítko Další.
    5. Ponechte vybranou možnost místní počítač a potom klepněte na tlačítko Dokončeno.
    6. V dialogovém okně Přidat nebo odebrat moduly Snap in klepněte na tlačítko OK.
    7. V Konzola 1 MMC modul snap-in rozbalte položku certifikáty (místní počítač), rozbalte osobnía pak klepněte na tlačítko certifikáty.
    8. V podokně podrobností vyhledejte příslušný certifikát.
  7. Ověřte, zda je certifikát platný a zda nevypršela. Ověřte také, zda se stejnou hodnotou hash certifikátu je uveden v části klíče registru Sha256CertificateHash nebo v klíči registru Sha1CertificateHash .
  8. Ověřte, že žádné směrování a vzdáleného přístupu vstupní filtry nebo výstupní filtry jsou nakonfigurovány k blokování připojení SSTP. Chcete-li to provést, postupujte takto:
    1. Spusťte modul snap-in Směrování a vzdálený přístup konzoly MMC.
    2. Rozbalte server a potom rozbalte položku IPv4 nebo IPv6, případně pro síťový provoz.
    3. Klepněte na kartu Obecné, klepněte pravým tlačítkem myši na příslušné síťové rozhraní a potom klepněte na příkaz Vlastnosti.
    4. V dialogovém okně Vlastnosti Network_Interface_Name klepněte na tlačítko Vstupní filtry. Ověřte, zda žádný filtr nakonfigurována k blokování přenosů protokolu SSTP a klepněte na tlačítko OK.
    5. V dialogovém okně Vlastnosti Network_Interface_Name klepněte na tlačítko Výstupní filtry. Ověřte, zda žádný filtr nakonfigurována k blokování přenosů protokolu SSTP a klepněte na tlačítko OK.
  9. Zjistěte, zda je server nakonfigurován pro naslouchání na odpovídající port pro připojení SSTP. Ve výchozím nastavení server používá TCP port 443 pro připojení SSTP. K určení portu, který server používá, postupujte takto:
    1. Spusťte Editor registru a vyhledejte následující podklíč registru:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters
    2. V podokně podrobností klepněte pravým tlačítkem myši ListenerPorta potom klepněte na příkaz změnit.
    3. Poznamenejte si hodnotu, která se zobrazí v poli Údaj hodnoty .
    Poznámka: Ve výchozím nastavení položka registru ListenerPort má hodnotu 443. Pokud tuto hodnotu změnit, je nutné restartovat službu Směrování a vzdálený přístup.
  10. Zjistěte, zda brána Firewall systému Windows je nastaven na výjimky umožňující provoz SSTP. Chcete-li to provést, postupujte takto:
    1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz firewall.cpla klepněte na tlačítko OK.
    2. V dialogovém okně Brána Firewall systému Windows klepněte na tlačítko Povolit program v bráně Firewall systému Windows.
    3. Na kartě výjimky v dialogovém okně Nastavení brány Windows Firewall zkontrolujte zaškrtnutí políčka Secure Socket Tunneling Protocol .
  11. Ověřte, že není nakonfigurován bránu firewall, která je před server služby Směrování a vzdálený přístup nakonfigurován blokovat přenos protokolu SSTP, určený pro server služby Směrování a vzdálený přístup. Například ověřte, zda externí brány firewall není nakonfigurován k přenosu bloku TCP 443.
  12. Zkontrolujte systémový protokol a vyhledat všechny události, které se vztahují ke službě Směrování a vzdálený přístup nebo službu SSTP protokolu aplikace.
Vlastnosti

ID článku: 947031 - Poslední kontrola: 14. 1. 2017 - Revize: 1

Váš názor