Académique Documents
Professionnel Documents
Culture Documents
VPN SSTP Sous Server 2008 R2 Tuto de A A Z PDF
VPN SSTP Sous Server 2008 R2 Tuto de A A Z PDF
SOURCES
Laboratoire Microsoft :
http://www.labo-microsoft.org/articles/Windows-server-2008-VPN-SSTP/
Step by step deployment guide by Microsoft :
http://technet.microsoft.com/en-us/library/cc731352(WS.10).aspx
Dpannage des incidents VPN communs :
http://blogs.technet.com/b/rrasblog/archive/2009/08/12/troubleshooting-common-vpn-relatederrors.aspx
http://support.microsoft.com/kb/947031/fr
http://blogs.technet.com/b/rrasblog/archive/2007/09/26/how-to-debug-sstp-specific-connectionfailures.aspx
http://technet.microsoft.com/en-us/library/cc733772(WS.10).aspx
http://msdn.microsoft.com/fr-fr/library/ms733791.aspx
http://blogs.technet.com/b/rrasblog/archive/2009/02/11/sstp-certificate-selection.aspx
INDEX
SOURCES.................................................................................................................................................. 2
INDEX....................................................................................................................................................... 3
Prambule ............................................................................................................................................... 5
1.
2.
3.
1.2
1.3
2.2
2.3
2.4
2.5
2.6
2.7
3.2
3.3
3.4
Configuration du firewall....................................................................................................... 26
3.5
3.6
4.
5.
6.
5.1
5.2
5.3
5.4
5.5
6.1
6.2
6.3
6.4
Le nom demand est valide, mais aucune donne du type requis na t trouve ............. 43
6.5
La connexion na pas pu tre tablie, car le protocole dauthentification utilis par le
serveur [] ne correspond pas aux paramtres ............................................................................. 43
6.6
Une chaine de certificats a t traite mais sest termine par un certificat racine qui nest
pas approuv par le fournisseur dapprobation................................................................................ 44
Conclusion ............................................................................................................................................. 45
Prambule
En premier lieu, vous devez savoir quil est ncessaire de matriser un minimum les
fonctionnalits de base dun domaine Windows Server 2008 ( savoir Active Directory et DNS)
pour comprendre ce tutorial. Par ailleurs, sachez que leur installation ne sera pas dtaille
la suite. Pensez donc vrifier que votre serveur DNS fonctionne correctement et pensez
crer une zone de recherche inverse.
Si vous ne disposez pas dune version de Windows Server 2008 R2 x64 SP1
Standard/Entreprise, vous pouvez tlcharger une dmo ici depuis le site officiel de
Microsoft. Vous pouvez mme la tlcharger en VHD si vous utilisez Hyper-V ou Virtual PC.
Attention, mes serveurs sont installs en anglais, je vous recommande donc dopter pour cette
langue lors de votre tlchargement ou bien de tlcharger le pack multilingue en anglais ici
pour ne pas perdre le fil
Pour ce tuto, jutiliserai deux serveurs et un client :
DC1 : Active Directory et DNS installs (non dtaill)
VPN1 (membre du domaine): RRAS et ADCA installes (dtaill)
CLIENT1 : poste client (Vista SP1 ou Seven minimum). Il nest pas ncessaire que le
client soit membre du domaine
Enfin, sachez que ce tuto est destin tre mis en place dans un environnement particulier
ou PME. En effet, pour les grandes entreprises, il est recommand de sacquitter de certificats
auprs dune autorit comptente, de disposer dune DMZ, de rendre publique la liste des
certificats rvoquer et de possder un serveur avec de deux cartes rseau places dans des
rseaux diffrents.
Vous pouvez galement opter pour une clef de 4096 et un hash en SHA512 (ne pas
changer le type de CSP)
Tools > Options > Security > Local intranet > LOW
Puis clic droit sur le certificat > All tasks > Issue
Votre demande est maintenant valide
Certificates > Add > Computer account > Local computer > OK
Ok
Droulez Certificate Current User > Personal afin de slectionner votre certificat
rcemment install
Clic droit All tasks > Export
Next
Yes, export the private key > Next > [votre PSW] et [nom certificat] > Next > Finish
Droulez Certificate (Local computer) > Personal > Certificates
Avant de continuer, vous devez vrifier que le certificat SSL a bien t enregistr. Pour cela,
ouvrez une fentre DOS en mode administrateur et tapez :
netsh http show sslcert
Modifiez ensuite la valeur ListenerPort avec le port souhait. Pensez galement modifier la
rgle firewall propre au SSTP afin quelle prenne en compte votre nouvelle configuration.
Sachez que dans tous les cas le client cherchera se connecter via le port [443]. Aprs la
modification du registre, redmarrez votre PC pour prendre la nouvelle configuration.
Add
Ajoutez ensuite les rgles suivantes dans la liste :
o Framed Protocol : PPP
o NAS port type : Virtual VPN
o Tunnel Type : SSTP
Add
Ajoutez ensuite les rgles suivantes dans la liste :
o Users groups : ajoutez le groupe GS_VPN dont VPN-user est membre
o Day and time restrictions (optionnel)
Pour terminer, redmarrer votre serveur RRAS pour prendre en compte la nouvelle
considration :
IP et port interne
Download a CA certificate
Ok
Depuis votre poste client, aller sur http://nom_serveur_VPN1/certsrv/en-US ou enFR si version franaise
Download a CA certificate
Attention !
Linconvnient majeur de ne pas publier votre liste de rvocations est que vous devrez rpter
cette procdure tous les 7 jours tout au plus. En effet, au-del de cette priode votre fichier
CRL arrivera chance et vous ne pourrez plus vous connecter.
Remplir les champs nom dutilisateur et mot de passe avec le compte AD clientvpn cr auparavant.
Crer
Revenez ensuite au Centre de rseau et partage, et cliquez en haut gauche sur
Modifier les paramtres de la carte
Clic droit sur la connexion VPN rcemment cre (VPN SSTP) > Proprits
Vrifiez que vous avez bien mis le FQDN de VPN1 dans longlet Gnral
Cliquez sur OK
Votre VPN SSTP est prt. Il ne vous reste donc plus qu saisir les identifiants de
lutilisateur user-sstp pour vous connecter
Vous avez mis lIP de VPN1 (ou votre IP public) au lieu de son FQDN lors de la cration
du VPN via lassistant Windows :
Mettez le FQDN au lieu de lIP dans les proprits du VPN cr, comme indiqu
dans le point 5.5
Vous navez pas tlcharg et install localement la liste des certificats rvoqus.
Reportez-vous au point 5.3 et vrifiez que vous avez correctement tlcharg
et install la liste des certificats rvoqus
La liste de rvocation des certificats est prime. Tlchargez-la sur votre poste client
selon le point 5.3
6.4 Le nom demand est valide, mais aucune donne du type requis na t
trouve
Erreur : 80072AFC
6.6 Une chaine de certificats a t traite mais sest termine par un certificat
racine qui nest pas approuv par le fournisseur dapprobation.
Erreur : 800B0109
Vous navez pas install correctement le certificat sur votre poste client :
Rfrez-vous au paragraphe V.1. pour ajouter le certificat
Le certificat SSL a mal t associ votre VPN. Rendez-vous au point 3.3 pour corriger
ce point
Conclusion
Voil, votre VPN SSTP est prt. Vous pouvez dornavant vous connectez chez vous depuis
nimporte quel endroit, du moment que vous avez un accs internet et que le port [443] nest
pas bloqu.