Устранение сбоев SSTP-соединений в Windows Server 2008

ВНИМАНИЕ! Данная статья переведена с использованием программного обеспечения Майкрософт для машинного перевода и, возможно, отредактирована посредством технологии Community Translation Framework (CTF). Корпорация Майкрософт предлагает вам статьи, обработанные средствами машинного перевода, отредактированные членами сообщества Майкрософт и переведенные профессиональными переводчиками, чтобы вы могли ознакомиться со всеми статьями нашей базы знаний на нескольких языках. Статьи, переведенные с использованием средств машинного перевода и отредактированные сообществом, могут содержать смысловое, синтаксические и (или) грамматические ошибки. Корпорация Майкрософт не несет ответственности за любые неточности, ошибки или ущерб, вызванные неправильным переводом контента или его использованием нашими клиентами. Подробнее об CTF можно узнать по адресу http://support.microsoft.com/gp/machine-translation-corrections/ru.

Эта статья на английском языке: 947031
Важно: Эта статья содержит сведения об изменении реестра. Убедитесь, что Вы создали резервную копию реестра перед внесением изменений. Убедитесь, что вы знаете, как восстановить реестр в случае возникновения проблем. Дополнительные сведения о том, как сделать резервное копирование, восстановление и изменение реестра, см. в следующей статье базы знаний Майкрософт:
322756 Как сделать резервное копирование и восстановление реестра Windows
ВВЕДЕНИЕ
В данной статье описывается, как при устранении неполадок подключения на основе защиты SSTP протокол туннелирования сокетов, которые возникают в Windows Server 2008.

SSTP-это новый тип туннеля виртуальной частной сети (VPN), которая доступна в роли сервера маршрутизации и удаленного доступа в Windows Server 2008. SSTP инкапсулирует пакеты Point-to-Point Protocol (PPP) для дальнейшей их передачи через протокол HTTP. Эта функция позволяет VPN-подключение для установления более легко через брандмауэр или устройство преобразования сетевых адресов (NAT). Кроме того эта функция позволяет VPN-подключение для установления через HTTP прокси-устройством.

Информация в данной статье относится к Устранение сбоев подключения, относящиеся к SSTP VPN-подключение. Может появиться другие коды ошибок на компьютере клиента удаленного доступа. Однако эти коды ошибок могут быть общие для других видов Туннели VPN, PPTP, L2TP и SSTP. Например в этой статье не рассматривается коды ошибок, которые могут появиться при сбое политики удаленного доступа в случае сбоя проверки подлинности клиента, или если сервер не поддерживает порты, которые необходимы для конкретного вида подключения.
Дополнительная информация
Следующие сценарии описывают типичные проблемы, которые могут возникнуть при VPN-клиент не может подключиться к SSTP-VPN серверу.

Сценарий 1. Ошибка 0x800704C9 при попытке подключения к VPN-серверу на базе SSTP

Эта проблема может возникнуть, если отсутствуют порты SSTP, доступных на сервере. Чтобы устранить эту проблему, убедитесь, что сервер маршрутизации и удаленного доступа имеет необходимые порты, настроенные для удаленного доступа. Чтобы сделать это, выполните следующие действия.
  1. Запустите оснастку «Маршрутизация и удаленный доступ к MMC».
  2. Разверните сервер, щелкните правой кнопкой мыши портыи выберите команду Свойства.
  3. В списке имя выберите Минипорт WAN (SSTP)и нажмите кнопку настроить.
  4. Измените число, которое отображается в списке Максимальное число портов , в зависимости от предъявляемых требований и нажмите кнопку ОК.

    Примечание. По умолчанию 128 портов доступны для этого устройства.
  5. В диалоговом окне Свойства порта нажмите кнопку ОК.

Сценарий 2: Появляется код ошибки 809 при попытке подключения к серверу виртуальной частной сети на базе SSTP

Такое поведение наблюдается при выполнении одного из следующих условий:
  • На сервере удаленного доступа отключена.
  • Сервер удаленного доступа не прослушивает соответствующий порт.
  • Служба маршрутизации и удаленного доступа или службы SSTP останавливается на сервере.
  • Сертификат сервера был удален из хранилища сертификатов компьютера на сервере перед SSTP был настроен.
  • Неверное расширение расширенного использования ключа (EKU) сертификата, который используется для подключения SSTP. Например сертификат имеет Улучшенный, указывающее, проверки подлинности клиентов можно использовать для настройки подключения SSTP.
Чтобы устранить эту проблему, выполните следующие действия.
  1. Убедитесь, что на сервере запущены службы маршрутизации и удаленного доступа и SSTP. Чтобы сделать это, выполните следующие действия.
    1. Откройте окно командной строки и выполните следующие две команды:
      • sc query remoteaccess
      • SC query sstpsvc
    2. Если одна или обе службы останавливаются, используйте оснастку «Маршрутизация и удаленный доступ к консоли управления (MMC)» или оснастку MMC-Консоли служб для запуска одну или несколько соответствующих служб.
  2. Определите ли сервер ведет прослушивание на порту. Чтобы сделать это, откройте окно командной строки и запустите следующую команду:
    netstat - aon
    Например убедитесь, что служба SSTP прослушивает TCP-порт 443. Если служба SSTP прослушивает TCP-порт 443, при выполнении команды netstat - aon появятся следующие записи Локальный адрес:
    0.0.0.0:443 (IPv4)
    [::]:443 (IPv6)
    Примечание. Чтобы определить идентификатор процесса службы SSTP, выполните следующие действия.
    1. Запустите диспетчер задач и откройте вкладку службы .
    2. В списке « имя » найдите элемент SstpSvc и запишите число, которое отображается в столбце PID .
  3. Убедитесь, что сертификат, который указывает проверку подлинности сервера находится в хранилище сертификатов на компьютере. Чтобы сделать это, выполните следующие действия.
    1. Нажмите кнопку Пуск, выберите пункт выполнить, тип MMC, а затем нажмите кнопку ОК.
    2. В меню Файл выберите команду Добавить или удалить оснастку.
    3. В списке доступных оснасток выберите сертификатыи нажмите кнопку Установка настроек.
    4. В диалоговом окне Оснастка диспетчера сертификатов щелкните учетная запись компьютераи нажмите кнопку Далее.
    5. Выберите параметр локальный компьютер и нажмите кнопку Готово.
    6. В диалоговом окне Добавление или удаление оснастки нажмите кнопку ОК.
    7. В оснастке MMC Консоль1 разверните Сертификаты (локальный компьютер), разверните узел Личныеи щелкните сертификаты.
    8. В области сведений дважды щелкните сертификат и перейдите на вкладку сведения определите ли Проверка подлинности сервера отображается в виде одной операции использования сертификата.

Сценарий 3: Ошибка 0x80070040 при попытке подключения к серверу виртуальной частной сети на базе SSTP

Эта проблема может возникнуть, если на сервере маршрутизации и удаленного доступа не установлен сертификат проверки подлинности сервера.

Чтобы устранить эту проблему, выполните следующие действия.
  1. Нажмите кнопку Пуск, выберите пункт выполнить, тип MMC, а затем нажмите кнопку ОК.
  2. В меню Файл выберите команду Добавить или удалить оснастку.
  3. В списке доступных оснасток выберите сертификатыи нажмите кнопку Установка настроек.
  4. В диалоговом окне Оснастка диспетчера сертификатов щелкните учетная запись компьютераи нажмите кнопку Далее.
  5. Выберите параметр локальный компьютер и нажмите кнопку Готово.
  6. В диалоговом окне Добавление или удаление оснастки нажмите кнопку ОК.
  7. В оснастке MMC Консоль1 разверните Сертификаты (локальный компьютер), разверните узел Личныеи щелкните сертификаты.
  8. В области сведений дважды щелкните сертификат и перейдите на вкладку сведения определите ли Проверка подлинности сервера отображается в виде одной операции использования сертификата.

Сценарий 4. Ошибка 0x800B0101 при попытке подключения к VPN-серверу на базе SSTP

Эта проблема может возникнуть, если истек срок действия сертификата проверки подлинности сервера на сервер маршрутизации и удаленного доступа.

Чтобы устранить эту проблему, выполните следующие действия.
  1. Нажмите кнопку Пуск, выберите пункт выполнить, тип MMC, а затем нажмите кнопку ОК.
  2. В меню Файл выберите команду Добавить или удалить оснастку.
  3. В списке доступных оснасток выберите сертификатыи нажмите кнопку Установка настроек.
  4. В диалоговом окне Оснастка диспетчера сертификатов щелкните учетная запись компьютераи нажмите кнопку Далее.
  5. Выберите параметр локальный компьютер и нажмите кнопку Готово.
  6. В диалоговом окне Добавление или удаление оснастки нажмите кнопку ОК.
  7. В оснастке MMC Консоль1 разверните Сертификаты (локальный компьютер), разверните узел Личныеи щелкните сертификаты.
  8. В области сведений найдите сертификат, имеющий как один из операции использования сертификата Проверки подлинности сервера , а затем определить, истек ли срок действия сертификата.
  9. Если истек срок действия сертификата, обновления сертификата.

Сценарий 5: Ошибка 0x800B0109 при попытке подключения к серверу виртуальной частной сети на базе SSTP

Эта проблема может возникнуть, если соответствующие доверенных корневых сертификатов центров сертификации (ЦС) не установлены в доверенные корневые центры сертификации хранятся на клиентском компьютере.

Примечание. Как правило, если клиентский компьютер входит в домен и использовать доменные учетные данные для входа на VPN-сервере, сертификат автоматически устанавливается в доверенных корневых центров сертификации хранения. Тем не менее если компьютер не присоединен к домену или при использовании в цепочке альтернативных сертификата, могут возникнуть проблемы.

Чтобы устранить эту проблему, выполните следующие действия.
  1. На клиентском компьютере нажмите кнопку Пуск, выберите пункт выполнить, тип MMC, а затем нажмите кнопку ОК.
  2. В меню Файл выберите команду Добавить или удалить оснастку.
  3. В диалоговом окне Добавить/удалить оснастку нажмите кнопку Добавить.
  4. В диалоговом окне Доступные изолированную оснастку выберите сертификатыи нажмите кнопку Добавить.
  5. В диалоговом окне Оснастка диспетчера сертификатов щелкните учетная запись компьютера, нажмите кнопку Далееи нажмите кнопку Готово.
  6. Нажмите кнопку Закрыть, а затем нажмите кнопку ОК.
  7. В оснастке MMC Консоль1 разверните Сертификаты (локальный компьютер), разверните узел Доверенные корневые центры сертификациии щелкните сертификаты.
  8. Проверьте сертификаты, которые отображаются в области сведений, чтобы определить, присутствует ли сертификат из центра сертификации.
  9. Если отсутствует соответствующий сертификат в хранилище доверенных корневых центров сертификации, необходимо импортировать сертификат для соответствующего центра сертификации.

Сценарий 6: Ошибка 0x800B010F при попытке подключения к серверу виртуальной частной сети на базе SSTP

Эта проблема может возникнуть, если имя узла сервера, указанный в подключении к виртуальной частной сети не соответствует имени субъекта, который указан в сертификате SSL, сервер отправляет на клиентский компьютер.

Чтобы устранить эту проблему, выполните следующие действия.
  1. На VPN-сервере, нажмите кнопку Пуск, выберите пункт выполнить, тип MMC, а затем нажмите кнопку ОК.
  2. В меню Файл выберите команду Добавить или удалить оснастку.
  3. В списке доступных оснасток выберите сертификатыи нажмите кнопку Установка настроек.
  4. В диалоговом окне Оснастка диспетчера сертификатов щелкните учетная запись компьютераи нажмите кнопку Далее.
  5. Выберите параметр локальный компьютер и нажмите кнопку Готово.
  6. В диалоговом окне Добавление или удаление оснастки нажмите кнопку ОК.
  7. В оснастке MMC Консоль1 разверните Сертификаты (локальный компьютер), разверните узел Личныеи щелкните сертификаты.
  8. В области сведений найдите сертификат, используемый сервером VPN для подключения SSL.
  9. Убедитесь, что сертификат имеет имя субъекта правильно. Например если VPN-клиент использует IP-адрес для подключения к серверу, сертификат необходимо указать IP-адрес в имя субъекта. Если сертификат с соответствующим именем не будет присутствовать на VPN-сервере, необходимо получить новый сертификат на VPN-сервере.

Сценарий 7: Появляется код ошибки 0x80092013 при попытке подключения к серверу виртуальной частной сети на базе SSTP

Эта проблема может возникнуть, если происходит сбой компьютера клиента, проверки отзыва сертификатов для сертификата SSL, на клиентском компьютере полученный от VPN-сервера.

Чтобы устранить эту проблему, убедитесь, что сервер, на котором размещается список отзыва сертификатов (CRL) доступных клиенту. Это может означать, что сервер CRL доступен клиенту через Интернет. Клиентский компьютер выполняет проверку списка отзыва Сертификатов во время установки подключения SSL. Тем не менее эта операция проверки не выполняется через VPN-подключение. Это происходит потому, что VPN-подключение не установлено, пока не будет успешно проверки списка отзыва Сертификатов. Вместо этого непосредственно на сервер CRL отправляется запрос проверки списка отзыва Сертификатов.

Сценарий 8: Сервер маршрутизации и удаленного доступа запущена, но нет входящих соединений SSTP

Предупреждение При неправильном изменении реестра с помощью редактора реестра или иным способом могут возникнуть серьезные проблемы. Эти проблемы могут потребовать переустановки операционной системы. Корпорация Майкрософт не гарантирует, что эти проблемы можно решить. Вносите изменения в реестр на ваш собственный риск.

Чтобы устранить эту проблему, выполните следующие действия.
  1. Убедитесь, что запущена служба SSTP. Чтобы сделать это, выполните команду sc query sstpsvc в командной строке.
  2. Убедитесь, что запущена служба маршрутизации и удаленного доступа. Для этого выполните команду sc запросов удаленного доступа из командной строки.
  3. Убедитесь, что служба SSTP на TCP-порт 443 или порт, на котором настроена служба SSTP для прослушивания. Чтобы сделать это, выполните следующую команду в командной строке:
    netstat – aon | Команда findstr 443
  4. Проверьте сертификат сервера, к которому привязан драйвер Http.sys. Чтобы сделать это, выполните следующую команду в командной строке:
    Показать sslcert Netsh http
  5. Проверьте IP-адрес и номер порта сервера сертификатов. Служба маршрутизации и удаленного доступа считывает только IPv6-адреса :: 0 или IPv4-адрес 0.0.0.0.
  6. Убедитесь, что сертификат сервера, проверить в шагах 4 и 5 в хранилище сертификатов компьютера. Чтобы сделать это, выполните следующие действия.
    1. Нажмите кнопку Пуск, выберите пункт выполнить, тип MMC, а затем нажмите кнопку ОК.
    2. В меню Файл выберите команду Добавить или удалить оснастку.
    3. В списке доступных оснасток выберите сертификатыи нажмите кнопку Установка настроек.
    4. В диалоговом окне Оснастка диспетчера сертификатов щелкните учетная запись компьютераи нажмите кнопку Далее.
    5. Выберите параметр локальный компьютер и нажмите кнопку Готово.
    6. В диалоговом окне Добавление или удаление оснастки нажмите кнопку ОК.
    7. В оснастке MMC Консоль1 разверните Сертификаты (локальный компьютер), разверните узел Личныеи щелкните сертификаты.
    8. В области сведений найдите соответствующий сертификат.
  7. Убедитесь, что сертификат действителен и что он не истек. Кроме того убедитесь, что хеш сертификата в разделе реестра Sha256CertificateHash или в разделе реестра Sha1CertificateHash .
  8. Убедитесь, что вход без маршрутизации и удаленного доступа для блокирования SSTP-соединения настроены фильтры или фильтры выхода. Чтобы сделать это, выполните следующие действия.
    1. Запустите оснастку «Маршрутизация и удаленный доступ к MMC».
    2. Разверните узел сервера, а затем разверните IPv4 или IPv6, в зависимости от сетевого трафика.
    3. Перейдите на вкладку Общие, щелкните правой кнопкой мыши соответствующий сетевой интерфейс и нажмите кнопку Свойства.
    4. ВNetwork_Interface_Name Диалоговое окно свойств нажмите кнопку Фильтры. Убедитесь, что фильтр не настроен на блокирование трафика SSTP и нажмите кнопку ОК.
    5. ВNetwork_Interface_Name Диалоговое окно свойств, щелкните Фильтры исходящего трафика. Убедитесь, что фильтр не настроен на блокирование трафика SSTP и нажмите кнопку ОК.
  9. Определите ли сервер настроен на прослушивание SSTP-соединения на соответствующий порт. По умолчанию сервер использует TCP-порт 443 для SSTP-соединения. Чтобы определить, какой порт используется сервер, выполните следующие действия:
    1. Запустите редактор реестра и найдите следующий подраздел реестра:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters
    2. В области сведений щелкните правой кнопкой мыши ListenerPortи выберите команду Изменить.
    3. Обратите внимание, значение, отображаемое в поле значение .
    Примечание. По умолчанию параметр ListenerPort имеет значение 443. При изменении этого значения необходимо перезапустить службу маршрутизации и удаленного доступа.
  10. Определите, настроен ли на брандмауэре исключения для трафика SSTP. Чтобы сделать это, выполните следующие действия.
    1. Нажмите кнопку Пуск, выберите пункт выполнить, тип Firewall.cpl, а затем нажмите кнопку ОК.
    2. В диалоговом окне Брандмауэра Windows щелкните Разрешение запуска программы через брандмауэр Windows.
    3. В диалоговом окне Параметры брандмауэра Windows на вкладке исключения убедитесь, установлен флажок Secure Socket туннельный протокол .
  11. Убедитесь, что брандмауэр, настроенный перед сервер маршрутизации и удаленного доступа настроен на блокирование трафика SSTP, предназначенного для сервера маршрутизации и удаленного доступа. Например убедитесь, что внешний брандмауэр настроен для блокировки TCP 443 трафика.
  12. Просмотрите журнал системы и журнал приложений, чтобы найти любые события, относящиеся к службе маршрутизации и удаленного доступа или службы SSTP.

Внимание! Эта статья переведена автоматически

Свойства

Номер статьи: 947031 — последний просмотр: 07/03/2016 19:33:00 — редакция: 9.0

Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard

  • kbexpertisebeginner kbhowto kbinfo kbmt KB947031 KbMtru
Отзывы и предложения