現在オフラインです。再接続するためにインターネットの接続を待っています

Windows Server 2008 では、SSL ロード バランサーの背後にある SSTP ベースの VPN サーバーを配置する方法

重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。

英語版 KB:947030
ベータ版情報
この資料では、マイクロソフト製品のベータ版について説明します。この資料の情報として提供されています- あり予告なしに変更されます。

このベータ版製品はマイクロソフトから利用可能な製品の正式なサポートはありません。ベータ リリースに対するサポートを入手する方法の詳細については、ベータ製品ファイルが含まれているマニュアルを参照してくださいまたはリリースをダウンロードした Web の場所を確認します。
重要です レジストリを変更する方法についての情報を掲載しています。これを変更する前にレジストリのバックアップを作成することを確認してください。問題が発生した場合にレジストリを復元する方法を知っていることを確認してください。バックアップ、復元、およびレジストリを変更する方法の詳細については、Knowledge Base の資料を参照するのには、次の資料番号をクリックしてください。
322756 Windows XP と Windows Vista のレジストリを復元する方法
はじめに
次のシナリオを検討してください。
  • Windows Server 2008 を実行している、プロトコル SSTP トンネリング ソケットをセキュリティで保護されたベースの VPN サーバーがあります。
  • VPN サーバーは、SSL ロード バランサー機器の背後にあります。
  • サーバーは、プライベート IP アドレスが割り当てられます。
  • サーバーを DNS サーバーに登録されているパブリック IP アドレスです。
この資料では、SSTP ベースの VPN サーバーは、Windows Server 2008 を実行して、SSL 負荷分散コンピューターの背後に配置する方法について説明します。

SSTP は、Windows Server 2008 のルーティングとリモート アクセス サーバーの役割で使用可能な VPN トンネルの新しい種類です。SSTP 経由で HTTP のポイント ツー ポイント プロトコル (PPP) パケット カプセル化ことができます。これによってより簡単に、ファイアウォールまたはネットワーク アドレス変換 (NAT) デバイス経由の VPN 接続を確立することができます。また、HTTP プロキシ デバイスを経由する VPN 接続を確立できます。

大規模な組織では、HTTPS 接続を閉じるには、SSL ロード バランサーを構成するが一般的ですし、Web サーバーをまたはルーティングとリモート アクセス サーバーへの HTTP 接続を開くには。
詳細

概要

この資料の情報を次のネットワーク構成のシナリオに適用します。
  • SSL ロード バランサーは、1.2.3.4 の IP アドレスがあります。
  • SSL ロード バランサーには server.contoso.com の DNS 名があります。
  • これには、境界ネットワーク (DMZ、非武装地帯、およびスクリーンド サブネットとも呼ばれます) に配置されている 2 つのルーティングとリモート アクセス サーバーがあります。これらのサーバーの 1 つの 1.2.3.5、IP アドレスがあるし、他のサーバーに 1.2.3.6 の IP アドレスがあります。

構成情報

警告 重大な問題、レジストリが誤ってをレジストリ エディターを使用して、または別の方法を使用して変更すると発生します。これらの問題は、オペレーティング システムを再インストールする必要があります。マイクロソフトは、これらの問題を解決できることを保証できません。お客様の責任においてレジストリを変更します。

「概要」に記載されているシナリオでは、SSTP ベースの VPN サーバーを構成するには、次手順を実行します。
  1. 統一リソース識別子 (URI) には、ルーティングとリモート アクセス サーバーのプール内に送信された SSTP ベースの HTTPS 接続を閉じるには、SSL ロード バランサーを構成します。(これらのサーバーが 1.2.3.5 の 1.2.3.6、IP アドレスがあるし、ポート 80 を使用)。次の URI の例を示します。
    https://host_name:443/sra_ {BA195980-CD49-458b-9E23-C84EE0ADCD75})
  2. SSL ロード バランサーとして機能する、Windows Server 2008 ベースのコンピューターにコンピューター証明書をインストールします。コンピューター証明書、EKU の種類を設定必要があります。 サーバーの認証 または すべての目的.この証明書は、VPN クライアントが接続するホスト名と同じサブジェクト名 (CN) が必要です。この構成は正常に SSL ネゴシエーションが必要です。

    たとえば、次のシナリオを検討してください。
    • VPN クライアントが NAT デバイス (1.2.3.4) のパブリック IP アドレスに接続する構成されている場合は、証明書のサブジェクト名も 1.2.3.4 。 します。
    • パブリックにアクセスできる、FQDN (server.contoso.com) を接続する VPN クライアントが構成されている場合は、証明書のサブジェクト名 server.contoso.com もする必要があります。
  3. ルーティングとリモート アクセス サーバー上の HTTP 接続を閉じる場合は、次の手順を実行します。
    1. 特定の HTTP 接続上でルーティングとリモート アクセス サーバーがリッスンできるように、次のレジストリ キーの値を 0 に設定します。
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sstpsvc\Parameters\UseHTTPS
    2. 1 またはポート 80 で UseHTTPS オプションが 0 に設定されている場合、UseHTTPS オプションが設定されている場合既定では、ルーティングとリモート アクセス サーバー ポート 443 でリッスンします。別のポートでリッスンするように、ルーティングとリモート アクセス サーバーが必要な場合は、手順 3 の c と 3 g を完了します。別のポートでリッスンするように、ルーティングとリモート アクセス サーバーに実行しない場合は、h の 3 つのステップを実行するに移動します。
    3. レジストリ エディターを起動し、次のレジストリ サブキーを見つけます。
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters
    4. 詳細ペインで右クリックします。 ListenerPort、し 変更.
    5. クリックしてください。 10 進数は、別のポート番号を入力 5000、し [OK].
    6. レジストリ エディターを終了します。
    7. ルーティングとリモート アクセス サービスを再起動します。
    8. SSL ロード バランサーを HTTPS 接続が閉じている場合でも、ルーティングとリモート アクセス サーバーのセキュリティを向上させるために、SSL ロード バランサーにインストールされているコンピューター証明書のハッシュ値が必要です。ルーティングとリモート アクセス サーバーは、SSL ロード バランサーにインストールされているコンピューター証明書のハッシュ値を持っているかどうかを確認するには、SSL ロード バランサーにインストールされているコンピューター証明書の SHA256 の証明書のハッシュを使用して、次の REG_BINARY サブキーを構成します。
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sstpsvc\Parameters\Sha256CertificateHash
      メモ SHA256 の証明書ハッシュ値、SSL ロード バランサーにインストールされているコンピューター証明書が見つからない場合は、一時的な値は、Sha256CertificateHash のレジストリ キーを構成するのには、手順 3i-3 k を完了します。
    9. 別のコンピューター上でが SSTP ベースの VPN リンク先、SSL 負荷分散装置のホスト名が VPN 接続を作成します。
    10. クリックしてください。 接続 VPN 接続を接続します。接続の試行は失敗します。クライアント コンピューターでイベント ビューアーを開くし、次のイベントを探します。
      クライアント接続で暗号化バインドに失敗しました。クライアントとサーバーは一致しない証明書ハッシュのように構成があります。SHA1 証明書ハッシュ:.SHA256 証明書ハッシュ:.
    11. SHA256 の証明書のハッシュ値をクライアント コンピューターで、イベントの値を確認し、Sha256CertificateHash のレジストリ キーで、ルーティングとリモート アクセス サーバーは、この値を使用します。
    12. ルーティングとリモート アクセス サーバーを再起動します。
    13. SSTP 接続を再確立します。
  4. すべてのルーティングとリモート アクセス サーバーでサーバー マネージャーを使用して、ルーティングとリモート アクセス サーバーの役割をインストールします。
  5. ルーティングとリモート アクセスの構成ウィザードを実行することにより、ルーティングとリモート アクセス サーバーを構成します。
  6. Windows ファイアウォールは、ルーティングとリモート アクセス サーバーで有効にする場合は、Windows ファイアウォールでポート 80 をなど、適切なポート番号を手動で開きます。ルーティングとリモート アクセス サーバーの着信および発信フィルターは、ルーティングとリモート アクセス サーバーで有効になっている場合は、適切なポート番号は、ルーティングとリモート アクセス サーバーの着信および発信フィルターを手動で開きます。
  7. 特定のポート番号に HTTP ベースの VPN 接続をリッスンするように、ルーティングとリモート アクセス サーバーを設定します。
関連情報
詳細については、Knowledge Base の資料を参照するのには、次の資料番号をクリックしてください。
947031Windows Server 2008 でプロトコル SSTP トンネリング ソケットをセキュリティで保護されたベースの接続の失敗をトラブルシューティングする方法

警告: この記事は自動翻訳されています

プロパティ

文書番号:947030 - 最終更新日: 08/10/2011 13:00:00 - リビジョン: 3.0

  • kbhowto kbinfo kbexpertiseinter kbmt KB947030 KbMtja
フィードバック