如何限制 SSTP 连接到 Windows Server 2008 中的特定 IP 地址

注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。

947028
本文已归档。它按“原样”提供,并且不再更新。
简介
安全套接字隧道协议 (SSTP) 是一种全新的是 Windows Server 2008 中的路由和远程访问服务角色中可用的虚拟专用网络 (VPN) 隧道。SSTP 也是可在 Windows Vista Service Pack 1 (SP1) 中使用的。SSTP 传递通信通过防火墙和 Web 代理可能会阻止点对点隧道协议 (PPTP) 和第 2 层隧道协议 (L2TP) 的传输控制协议 (TCP) 端口 443 上使用 HTTPS 协议 / IPsec 通讯。SSTP 允许为要通过安全套接字层 (SSL) 通道 HTTPS 协议的封装的点对点协议 (PPP) 数据包。这允许通过防火墙或通过网络地址转换 (NAT) 设备更轻松地建立 VPN 连接。此外,这样可以通过一个 HTTP 代理设备建立 VPN 连接。SSTP 提供了一种机制,来封装通过 SSL 信道的 HTTPS 协议的 PPP 通信。

默认状态下,SSTP 配置为侦听所有接口。例如对于 SSTP 被配置为 0.0.0.0 上侦听的 IPv4 或:: / 0 的 IPv6。默认状态下,路由和远程访问服务允许通过在计算机上可用的所有 IPv4 和 IPv6 地址的 VPN 连接。此外,路由和远程访问服务始终可以将计算机证书的也称为机器证书设置为 Http.sys。 Http.sys 是在基于 Windows Server 2008 的连同 0.0.0.0:PortNum 和 [:] 运行路由和远程访问服务的计算机上的 HTTPS 侦听器组件: PortNum。

本文介绍管理员如何阻止 SSTP 连接来自特定的 IPv4 或 IPv6 IP 地址或特定的接口。
更多信息
若要阻止来自特定的 IPv4 或 IPv6 IP 地址或特定的接口的 SSTP 连接,使用下列方法之一。

方法 1: 配置适当的数据包筛选器

  1. 启动路由和远程访问 MMC 管理单元。若要执行此操作、 单击 开始,指向 管理工具,然后单击 路由和远程访问
  2. 展开 IPV4,然后单击 常规。 将显示可用的接口的列表。
  3. 双击客户端连接的 VPN 接口。
  4. 单击 入站筛选器
  5. 单击 新建,然后单击以选中 目标网络 复选框。
  6. IP 地址 框中键入目标 IP 地址。
  7. 子网掩码 框中键入 $ 目标子网掩码。
  8. 协议 列表中单击 TCP
  9. 源端口 框中键入 443。或者如果它不同于 443 键入 SSTP 端口号。
  10. 目标端口 框中键入 443。或者如果它不同于 443 键入 SSTP 端口号。

方法 2: 为 HTTP 侦听程序配置为一个特定 IP 地址: 端口证书

注意若要进行以下命令,您必须打开命令提示符下使用提升的权限。若要执行此操作单击 开始,右键单击 命令提示符,然后单击 以管理员身份运行
  1. 从 Http.sys 删除证书。若要执行此操作请在其中 443 是 SSTP 端口号命令提示符下键入以下命令:
    netsh http 删除 sslcert ipport = 0.0.0.0:443
    netsh http 删除 sslcert ipport = [:]: 443
  2. 将新的证书添加到 Http.sys。 若要执行此操作命令提示符下键入以下命令:
    netsh http 添加 sslcert ipport = IPv4 address for the HTTP listener: 443 certhash = xxx appid = {ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename = MY
    netsh http 添加 sslcert ipport = IPv6 address for the HTTP listener: 443 certhash = xxx appid = {ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename = MY

    注意在以下的命令 xxx 是证书的新的 SHA1 证书哈希的占位符。
  3. 命令提示符键入下面的命令,然后按 ENTER 以配置 SSTP 服务 Sha256CertificateHash 注册表子项值:
    reg 添加 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters/v SHA256CertificateHash/t REG_BINARY/d Sha256 hash value for the IIS Web server certificate 值/f

    注意如果找 SHA256 证书哈希的计算机证书完成步骤 a 至 e 配置 Sha256CertificateHash 注册表子项的值。
    1. 重新启动路由和远程访问服务。
    2. 作为临时 Sha256CertificateHash 注册表项,在第 3 步中提到的注册表位置的值配置任何 32 字节的二进制值。此注册表项必须是类型 REG_BINARY。
    3. 在另一台计算机上创建 VPN 连接的是基于 SSTP VPN 目标位置是路由和远程访问服务器的主机名。
    4. 连接到 VPN 连接。该连接将失败。打开事件查看器在客户端上,然后查找以下事件:
      Cryptographic binding failed for the client connection. The reason is client and the server have mismatched certificate hashes configured. SHA1 Certificate Hash: HashValue SHA256 Certificate Hash: HashValue
      `
    5. 请注意 SHA256 证书哈希在事件中在客户端上的值,然后使用 Sha256CertificateHash 注册表项在路由和远程访问服务器上的此值。
  4. 重新启动路由和远程访问服务器。Http.sys 现在设置为在特定 IP 地址: 端口上侦听。 从其他 IP 地址: 端口中略去 HTTPS 连接。

Warning: This article has been translated automatically

属性

文章 ID:947028 - 上次审阅时间:01/16/2015 02:18:04 - 修订版本: 1.0

  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • kbnosurvey kbarchive kbmt kbexpertiseadvanced kbhowto kbinfo KB947028 KbMtzh
反馈