Jak omezit připojení SSTP konkrétní adresu IP v systému Windows Server 2008

Překlady článku Překlady článku
ID článku: 947028 - Produkty, které se vztahují k tomuto článku.
Tento článek byl archivován. Je nabízen v takovém stavu, v jakém je, a nebude již nadále aktualizován.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

ÚVOD

SSTP (zabezpečené Socket Tunneling Protocol) je nový druh tunelové propojení virtuální privátní sítě (VPN), který je k dispozici v roli směrování a vzdálený přístup služby v systému Windows Server 2008. SSTP je také k dispozici pro použití v systému Windows Vista Service Pack 1 (SP1). SSTP používá protokol HTTPS přes port Transmission Control Protocol (TCP) 443 přenášena přes brány firewall a webové servery proxy, která může zablokovat protokolu PPTP (Point-to-Point Tunneling Protocol) a Layer 2 Tunneling Protocol (L2TP) / přenos protokolu IPsec. Být zapouzdřeny přes kanál (SSL) protokol SSL (Secure Sockets Layer) protokolu HTTPS paketů protokolu PPP (Point-to-Point Protocol) umožňuje SSTP. To umožňuje připojení VPN snadněji stanovit pomocí brány firewall nebo zařízení Network Address Translation (NAT). Také to umožňuje připojení VPN k stanoví pomocí zařízení s proxy HTTP. SSTP poskytuje mechanismus pro zapouzdření přenosy protokolu PPP přes SSL kanál protokolu HTTPS.

Ve výchozím SSTP je konfigurováno naslouchání na všech rozhraních. Například SSTP je konfigurováno naslouchání na 0.0.0.0 protokolu IPv4 nebo:: / 0 pro protokol IPv6. Ve výchozím nastavení směrování a vzdálený přístup služby umožňuje u připojení VPN projít přes všechny IPv4 a IPv6 adres, které jsou k dispozici v počítači. Také směrování a vzdálený přístup služby vždy nastaví certifikát počítače, nazývaný také certifikát počítače HTTP.sys. Http.sys je součást naslouchání protokolu HTTPS počítače systémem Windows Server 2008, který obsahuje službu Směrování a vzdálený přístup služby společně s 0.0.0.0:PortNum a [:]: PortNum.

Tento článek popisuje, jak může správce blokovat připojení SSTP z určité adresy IPv4 nebo IPv6 adresy IP nebo z určité rozhraní.

Další informace

Chcete-li blokovat připojení SSTP z určité adresy IPv4 nebo IPv6 adresy IP nebo z určité rozhraní, použijte jednu z následujících metod.

Metoda 1: Konfigurace filtru vhodné paketů

  1. Spusťte modul snap-in Směrování a vzdálený přístup v konzole MMC. Chcete-li to provést, klepněte na tlačítko Start, přejděte na položku Nástroje pro správu a potom klepněte na příkaz Směrování a vzdálený přístup.
  2. Rozbalte položku IPV4 a potom klepněte na položku Obecné. Zobrazí se seznam dostupných rozhraní.
  3. Poklepejte na rozhraní, na které VPN připojení klientů.
  4. Klepněte na tlačítko Vstupní filtry.
  5. Klepněte na příkaz Nový a potom klepnutím zaškrtněte políčko Cílová síť.
  6. Do pole adresa zadejte cílovou adresu IP.
  7. Do pole Maska podsítě zadejte masku podsítě cílové.
  8. V seznamu protokolu klepněte na TCP.
  9. Zadejte pole zdrojový port443. Nebo zadejte číslo portu SSTP, pokud se liší od 443.
  10. Zadejte pole cílový port443. Nebo zadejte číslo portu SSTP, pokud se liší od 443.

Metoda 2: Konfigurace certifikát pro konkrétní adresu IP: port pro naslouchání protokolu HTTP

Poznámka: Spustit následující příkazy, musíte otevřít příkazový řádek pomocí zvýšených oprávnění. Chcete-li to provést, klepněte na tlačítko Start, klepněte pravým tlačítkem myši na položku Příkazový řádek a potom klepněte na příkaz Spustit jako správce.
  1. Odstranit certifikát z HTTP.sys. Chcete-li to provést, zadejte následující příkazy na příkazovém řádku, kde 443 je číslo portu SSTP:
    netsh http odstranit sslcert ipport = 0.0.0.0:443
    Netsh http odstranit sslcert ipport = [:]: 443
  2. Přidejte nový certifikát HTTP.sys. Chcete-li to provést, zadejte na příkazovém řádku následující příkazy:
    přidat netsh http sslcert ipport = IPv4 address for the HTTP listener: 443 certhash = xxx ID_aplikace = {ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename = MY
    Netsh http přidat sslcert ipport = IPv6 address for the HTTP listener: 443 certhash = xxx ID_aplikace = {ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename = MY

    Poznámka: V těchto příkazech xxx zástupným symbolem pro hodnotu hash SHA1 certifikátu nový certifikát.
  3. Na příkazovém řádku zadejte následující příkaz a stiskněte klávesu ENTER nakonfigurovat hodnotu podklíče registru Sha256CertificateHash služby SSTP:
    reg add /v HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters SHA256CertificateHash /t REG_BINARY /d Sha256 hash value for the IIS Web server certificate /f

    Poznámka: Pokud nemůžete nalézt certifikát počítače hodnotu hash certifikátu SHA256, a až e, chcete-li nakonfigurovat hodnotu pro podklíč registru Sha256CertificateHash kroky dokončení.
    1. Restartujte službu Směrování a vzdálený přístup.
    2. Nakonfigurovat všechny binární hodnota 32 bajtů jako dočasné hodnotu pro klíč registru Sha256CertificateHash v umístění v registru, který je uveden v kroku 3. Tento klíč registru musí být typu REG_BINARY.
    3. V jiném počítači vytvořit připojení VPN, které je založen na SSTP kde cíl VPN je název hostitele serveru pro směrování a vzdálený přístup.
    4. Připojit k připojení VPN. Připojení se nezdaří. Otevřete Prohlížeč událostí v klientském počítači a potom vyhledejte následující událost:
      Cryptographic binding failed for the client connection. The reason is client and the server have mismatched certificate hashes configured. SHA1 Certificate Hash: HashValue SHA256 Certificate Hash: HashValue
      `
    5. Poznamenejte si hodnotu hash certifikátu SHA256 v případě v klientském počítači a potom tuto hodnotu použijte pro klíč registru Sha256CertificateHash na serveru služby Směrování a vzdálený přístup.
  4. Restartujte server směrování a vzdálený přístup. Http.sys je nyní nastaven na naslouchání na konkrétní adresu IP: port. Z jiné adresy IP: porty jsou vynechány připojení HTTPS.

Vlastnosti

ID článku: 947028 - Poslední aktualizace: 16. ledna 2015 - Revize: 1.0
Informace v tomto článku jsou určeny pro produkt:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Klíčová slova: 
kbnosurvey kbarchive kbmt kbexpertiseadvanced kbhowto kbinfo KB947028 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:947028

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com