ステップバイステップ ガイド : サイト間の仮想プライベート ネットワーク接続の構築

  • [アーティクル]

公開日: 2005年1月7日

このステップバイステップ ガイドでは、デマンド ダイヤル接続を使用したサイト間の仮想プライベート ネットワーク (VPN) をサポートすることを目的にルーティングとリモート アクセス サービス (RRAS) のインフラストラクチャを構築する際の指針を説明します。

トピック

はじめに  はじめに
概要  概要
ルーティングとリモート アクセス サービス (RRAS) の構成  ルーティングとリモート アクセス サービス (RRAS) の構成
デマンド ダイヤル インターフェイスの構成 デマンド ダイヤル インターフェイスの構成
リモート アクセス ポリシーを使用してサイト間セキュリティを拡張する   リモート アクセス ポリシーを使用してサイト間セキュリティを拡張する
共有キーを使用した IPSec を構成し、接続をテストする  共有キーを使用した IPSec を構成し、接続をテストする
関連資料  関連資料

はじめに

ステップバイステップ ガイド

Microsoft Windows Server 2003 展開のステップバイステップ ガイドでは、多くの共通点を持つオペレーティング システム構成における実際上の操作を説明します。これらのガイドでは、Windows Server 2003 をインストールして共通ネットワーク インフラストラクチャを構築することから説明を始めます。そして、Active Directory® の構成、Windows XP Professional ワークステーションのインストールについて説明し、最後にワークステーションをドメインに追加する方法について説明します。これらのステップバイステップ ガイドの各分冊では、この共通ネットワーク インフラストラクチャが構築されていることを前提としています。このガイドで説明するネットワーク インフラストラクチャとは異なるインフラストラクチャを構築する場合は、適宜変更を加えながらガイドを読み進めてください。

共通ネットワーク インフラストラクチャの構築には、以下のガイドで説明する操作を完了する必要があります。

第 1 部 : ドメイン コントローラとしての Windows Server 2003 のインストール

第 2 部 : Windows XP Professional ワークステーションのインストールとドメインへの接続

共通ネットワーク インフラストラクチャを構築すると、その他のステップバイステップ ガイドの操作を実行できるようになります。ただし、その他のステップバイステップ ガイドでは、共通ネットワーク インフラストラクチャ構築の要件に加えて、その他の前提条件が必要になる場合があります。詳細については、各ステップバイステップ ガイドの説明を参照してください。

Microsoft Virtual PC

Microsoft Windows Server 2003 展開のステップバイステップ ガイドで説明する内容は、現実のラボ環境で実装することができ、Microsoft Virtual PC 2004 や Microsoft Virtual Server 2005 のような仮想化テクノロジを使って実装することもできます。仮想コンピュータ テクノロジを使用すると、単一の物理サーバー上で複数のオペレーティング システムを並行して稼働させることができます。Virtual PC 2004 と Virtual Server 2005 は、ソフトウェアのテストや開発、レガシ アプリケーションの移行、サーバー統合の各シナリオにおいて、業務効率を高めるように設計されています。

Microsoft Windows Server 2003 展開のステップバイステップ ガイドでは、現実のラボ環境での構成を前提としています。ただし、大部分の構成はそのまま仮想環境に適用できます。

このステップバイステップ ガイドに記載する概念を仮想環境に適用する場合の説明については、ここでは割愛します。

重要

このドキュメントで使用している会社、組織、製品、ドメイン名、電子メール アドレス、ロゴ、人物、場所、イベントなどの名称は架空のものです。実在する会社名、組織名、製品名、ドメイン名、電子メール アドレス、ロゴ、個人名、場所名、イベント名などは一切関係ありません。

この共通インフラストラクチャは、プライベート ネットワークで使用する目的で設計されています。共通インフラストラクチャで使用する架空の企業名と DNS (Domain Name System) 名は、インターネット上で使用するための登録が行われていません。パブリック ネットワークやインターネット上では、この名前を使用しないようにしてください。

この共通インフラストラクチャの Active Directory サービス構造は、Windows Server 2003 の変更と構成管理機能の概要、および Active Directory との関連を示すために設計されたものです。企業で Active Directory を構成する場合を想定して設計されているわけではないことに注意してください。

ページのトップへページのトップへ

概要

地理的に異なる場所にオフィスを展開する企業では、リモート サイト接続が必要になります。Windows Server 2003 のルーティングとリモート アクセス サービス (RRAS) を使用して、セキュリティ保護された費用効果の高いサイト間ソリューションを展開できます。

従来、組織においてプライベート ネットワーク間のリモート サイト接続を行う場合、T-Carrier やフレーム リレーなどの広域ネットワーク (WAN) サイト間の接続テクノロジが採用されていました。しかし、これらの専用回線は高価です。たとえば、T-Carrier サービスは帯域幅と距離に基づいた費用計算となるため、接続費用も割高になります。また、T-Carrier サービスでは、一般に、CSU/DSU (Channel Service Unit/Data Service Unit) や接続終端の回線専用ルーターなどの専用のインフラストラクチャを用意する必要があります。

これとは対照的に、Windows Server 2003 RRAS ソリューションの場合、組織で現在使用しているネットワークに統合できます。既存のサーバーもそのまま使用できます。RRAS によって提供されるサイト間接続では、従来型の WAN リンクの代わりに、サイト間ダイヤルアップ接続やサイト間 VPN 接続を使用します。既存の WAN 接続の代替方法としてまたは新規接続の実装方法として RRAS ソリューションを展開すると、トラフィック量に応じた接続の種類を設定して費用節約の最適化を図ることができます。セキュリティの面でも、組織の要件に合わせたカスタマイズが可能です。

サイト間の展開では、RRAS はデマンド ダイヤル ルーティング ("ダイヤル オン デマンド ルーティング" とも呼ばれます) をサポートします。デマンド ダイヤル インターフェイスでは、ルーティングするパケットをルーターが受信したときに、リモート サイトへの接続が開始されます。データをリモート サイトに送信する場合にのみ、接続がアクティブになります。リンク経由で送信するデータが存在しない状態が一定の時間続くと、接続は切断されます。

RRAS は、デマンド ダイヤル フィルタとダイヤル アウト時間もサポートしています。デマンド ダイヤル フィルタを使用すると、接続の確立を許可するトラフィックの種類を指定できます。デマンド ダイヤル フィルタは、インターネット プロトコル (IP) パケット フィルタとは別のものです。IP パケット フィルタは、接続が確立した後にインターフェイスを通過するトラフィックの制限に使用します。ダイヤル アウト時間は、デマンド ダイヤル接続を確立するためにルーターに対して、ダイヤル アウトを許可する時間を指定するものです。この時間は、リモート アクセス ポリシーに基づいて着信接続を受け付けるルーターに対して設定できます。

メモ RRAS は、リモート オフィスを結ぶサイト間接続と、コンピュータどうしを結ぶリモート アクセス接続におけるサイト間接続のどちらもサポートします。このステップバイステップ ガイドでは、共有キーを使用したインターネット プロトコル セキュリティ (IPSec) に基づくサイト間 VPN 接続の展開に重点を置いて説明します。

前提条件

第 1 部 : ドメイン コントローラとしての Windows Server 2003 のインストール

ステップバイステップ ガイド : 追加のドメイン コントローラのセットアップ

ステップバイステップ ガイド : Active Directory の管理

本ガイドでの要件

サイト間 VPN ソリューションを構築するため、呼び出しルーターと応答ルーターをマルチホーム サーバーとして構成します。そのため、各サーバーでセカンダリ ネットワーク インターフェイス カード (NIC) を利用できる状態にする必要があります。このガイドで説明する手順では、下記のようなセカンダリ NIC の設定を使用します。

  • HQ-CON-DC-01 IP アドレス : 20.0.0.1、IP マスク : 255.0.0.0、デフォルト ゲートウェイ : 指定なし、DNS サーバー : 127.0.0.1
  • HQ-CON-DC-02 IP アドレス : 20.0.0.2、IP マスク : 255.0.0.0、デフォルト ゲートウェイ : 指定なし、DNS サーバー : 127.0.0.1

サイト間デマンド ダイヤル接続のシミュレーションを正しく行うため、子ドメイン vancouver の下にあるすべてのコンピュータは、別のネットワークに移動してください。つまり、3 つ目のネットワーク インターフェイスを使用できるようにしてください。以降で説明する手順では、子ドメイン vancouver の下にあるすべてのコンピュータは 3 つ目のネットワーク インターフェイス (ネットワーク アドレスは 30.0.0.0 です) を使用する構成であることを前提としています。vancouver ドメインを物理的な 1 つのセグメントにする場合は、HQ-CON-DC-02 に DNS をインストールし、構成する必要があります。

警告 このガイドで説明する手順は、共有キーを使用した IPSec に基づくデマンド ダイヤルのサイト間 VPN 接続を構築するために必要な構成について、概要を示すものです。これらの手順は、必ず、テスト環境で行うようにしてください。Windows Server 2003 VPN の計画および展開の詳細については、Windows Server 2003 の仮想プライベート ネットワークを参照してください。

ページのトップへページのトップへ

ルーティングとリモート アクセス サービス (RRAS) の構成

ルーティングとリモート アクセス サーバーのセットアップ ウィザードを起動すると、展開するリモート アクセス ソリューションに最も近い構成パスを選択するようにプロンプトが表示されます。表示される構成パスが求めているものに厳密に一致しない場合、ウィザードが完了した後にサーバーを構成することができます。または、ウィザードでカスタム構成パスを選択することもできます。

当座の目標は 2 つのプライベート ネットワーク間でセキュリティ保護された接続を構成することですが、このステップバイステップ ガイドのシリーズには、ダイヤルアップ接続を含めることによって RRAS のコア機能を拡張する手順もあります。そのため、以降に説明する手順では、まず、RRAS を VPN サーバーとして構成し、その後で、サイト間 VPN を手動で構成します。

メモ Windows Server 2003 の基本のインストールを実行すると、RRAS コンポーネントは既定でインストールされます。ただし、有効にはならず、構成も行われていません。

HQ-CON-DC-01 で RRAS を有効にして構成するには

  1. [スタート] メニューで、[すべてのプログラム] をポイントします。次に、[管理ツール] をポイントし、[ルーティングとリモート アクセス] をクリックします。

  2. [ルーティングとリモート アクセス] コンソールで、[HQ-CON-DC-01] を右クリックし、[ルーティングとリモート アクセスの構成と有効化] をクリックします。

  3. [ルーティングとリモート アクセス サーバーのセットアップ ウィザード] で、[次へ] をクリックします。

  4. [リモート アクセス (ダイヤルアップまたは VPN)] (既定) をクリックし、[次へ] をクリックします。

  5. 図 1 に示すように [VPN] チェック ボックスをオンにし、[次へ] をクリックします。

    図 1.   リモート アクセスの方法の選択

    図 1. リモート アクセスの方法の選択
    拡大表示する

  6. [ネットワーク インターフェイス] で、このサイト間 VPN を動作させるインターネット接続に使用するアダプタを選択します。既定の [選択したインターフェイスに静的パケット フィルタをセットアップしてセキュリティを有効にする] を選択し、[次へ] をクリックします。

  7. [IP アドレスの割り当て] 画面で、既定の [自動] を選択し、[次へ] をクリックして次に進みます。

    メモ RRAS サーバーを構成するとき、リモート アクセス サーバーがダイヤルアップ クライアントのアドレスを取得するときに動的ホスト構成プロトコル (DHCP) と静的 IP アドレス プールのどちらを使用するかを指定します。静的 IP アドレス プールを使用する場合は、プールのアドレス範囲を指定します。プールのアドレス範囲は IP ネットワークのアドレスのサブセットですが、リモート アクセス サーバーがアタッチされているサブセットであるか、別のサブセットであるかを指定します。静的 IP アドレス プールのアドレス範囲が別のサブセットを示す場合は、接続先のリモート アクセス クライアントへのトラフィックがリモート アクセス サーバーに転送されるようにするため、そのアドレス範囲へのルーティングがイントラネットのルーターに確実に設定されるような環境を構築する必要があります。

  8. [複数のリモート アクセス サーバーの管理] 画面で、既定の [いいえ、ルーティングとリモート アクセスを使って接続要求を認証します] を選択し、[次へ] をクリックします。

    メモ リモート アクセス サーバーが複数存在する場合、これらのサーバーについて別々にリモート アクセス ポリシーを管理するのではなく、インターネット認証サービス (IAS) を使用する 1 つのリモート認証ダイヤルイン ユーザー サービス (RADIUS) サーバーを構成し、リモート アクセス サーバーを RADIUS クライアントとして管理できます。IAS サーバーは、リモート アクセスの認証、承認、アカウンティング、監査を集中的に管理する機能を提供します。

  9. [ルーティングとリモート アクセス サーバーのセットアップ ウィザードの完了] 画面で、[完了] をクリックし、RRAS の構成を完了します。

  10. 図 2 に示すように、[ルーティングとリモート アクセス] ダイアログ ボックスで [OK] をクリックし、[DHCP リレー] 要件を確認します。

    メモ 既定では、RRAS が提供する DHCP サービスは、自動的に、すべての DHCP リレー要件に対応しています。これに該当しない DHCP サーバーが存在するシナリオでは、そのサーバーが DHCP リクエストをリレーするように構成する必要があります。

    図 2.   DHCP リレー

    図 2. DHCP リレー
    拡大表示する

HQ-CON-DC-02 で RRAS を有効にして構成するには

  1. [スタート] メニューで、[すべてのプログラム] をポイントします。次に、[管理ツール] をポイントし、[ルーティングとリモート アクセス] をクリックします。
  2. [ルーティングとリモート アクセス] コンソールで、[HQ-CON-DC-02] を右クリックし、[ルーティングとリモート アクセスの構成と有効化] をクリックします。
  3. [ルーティングとリモート アクセス サーバーのセットアップ ウィザード] で、[次へ] をクリックします。
  4. [カスタム構成] をクリックし、[次へ] をクリックします。
  5. [デマンド ダイヤル接続 (支社のルーティングに使用)] をクリックし、[次へ] をクリックします。
  6. [ルーティングとリモート アクセス サーバーのセットアップ ウィザードの完了] 画面で、[完了] をクリックし、RRAS の構成を完了します。
  7. [ルーティングとリモート アクセス] ダイアログ ボックスで、[はい] をクリックし、RRAS サービスを起動します。

ページのトップへページのトップへ

デマンド ダイヤル インターフェイスの構成

ネットワーク インターフェイスを使用すると、RRAS を稼働しているサーバーはプライベート ネットワークやパブリック ネットワークを経由して他のコンピュータとの通信を確立できます。ルーティングとリモート アクセスに関していえば、ネットワーク インターフェイスには 2 つの側面があります。1 つは、ネットワーク アダプタなどの物理的なハードウェアとして、もう 1 つは、ネットワーク インターフェイス構成としての側面です。

ルーティングとリモート アクセスでは、ネットワーク インターフェイスは以下のカテゴリに分類されます。

  • プライベート インターフェイス  1 つのプライベート インターフェイスが 1 つのネットワーク アダプタとなり、プライベート ネットワークに物理的に接続されます。ほとんどのプライベート ネットワークは、プライベート ネットワークの IP アドレス範囲で構成されます。プライベート インターフェイスも、プライベート アドレスで構成されます。プライベート ネットワークは、理論的には既知のユーザーとコンピュータで成り立つため、一般に、パブリック インターフェイスと比較するとプライベート インターフェイスの方がセキュリティ上の考慮事項は少なくなります。
  • パブリック インターフェイス  1 つのパブリック インターフェイスが 1 つのネットワーク アダプタとなり、インターネットなどのパブリック ネットワークに物理的に接続されます。パブリック インターフェイスは、パブリック IP アドレスで構成されます。ネットワーク アドレス変換 (NAT) を実行するように、パブリック インターフェイスを構成することができます。理論的には、パブリック インターフェイスにはパブリック ネットワーク上のどのユーザーでもアクセスできるため、一般に、プライベート インターフェイスと比較するとパブリック インターフェイスの方がセキュリティ上の考慮事項が多くなります。
  • デマンド ダイヤル インターフェイス デマンド ダイヤル インターフェイスは、パブリック ネットワークまたはプライベート ネットワーク上の特定のルーターへの接続を提供します。デマンド ダイヤル インターフェイスは、オンデマンド (必要な場合にのみアクティブになります) と固定 (常時接続されています) のどちらにも設定できます。

各ネットワーク インターフェイスを、パブリック、プライベート、またはデマンド ダイヤル インターフェイスとして構成するだけでなく、ネットワーク インターフェイスに対して、パケット フィルタ、アドレスなどのオプションを構成することもできます。ベーシック ファイアウォールなど、一部のパブリック インターフェイスのオプションは、プライベート インターフェイスでは利用できません。

応答サーバー (HQ-CON-DC-01) 上でデマンド ダイヤル インターフェイスを構成するには

  1. [ルーティングとリモート アクセス] コンソールで、[HQ-CON-DC-01] の横にあるプラス記号 (+) をクリックし、ツリーを展開します。

  2. [HQ-CON-DC-01] ツリーで、[ネットワーク インターフェイス] を右クリックし、[新しいデマンド ダイヤル インターフェイス] をクリックします。

  3. [デマンド ダイヤル インターフェイス ウィザードの開始] で、[次へ] をクリックし、構成を開始します。

  4. [インターフェイス名] に「VPN_Vancouver」を入力し、[次へ] をクリックします。

  5. [接続の種類] で、既定の [仮想プライベート ネットワーク (VPN) を使って接続する] を選択し、[次へ] をクリックします。

  6. [VPN の種類] 画面で、図 3 に示すように [レイヤ 2 トンネリング プロトコル (L2TP)] をクリックして、[次へ] をクリックします。

    図 3.   VPN の種類の選択

    図 3. VPN の種類の選択
    拡大表示する

  7. [接続先のアドレス] 画面で、[ホスト名または IP アドレス] に「20.0.0.2」を入力し、[次へ] をクリックします。

  8. [プロトコルとセキュリティ] 画面で、[このインターフェイス上の IP パケットの経路を選定する] チェック ボックスと [リモート ルーターがダイヤルインできるようにユーザー アカウントを追加する] チェック ボックスを両方ともオンにし、[次へ] をクリックします。

  9. [リモート ネットワークの静的ルート] 画面で、[追加] をクリックします。[接続先] に「30.0.0.0」を入力し、[ネットワーク マスク] に「255.0.0.0」を入力して、[OK] をクリックします。次に、[次へ] をクリックします。

    メモ ここで説明した手順では、ドメイン vancouver が 30.0.0.0 ネットワーク上にあらかじめ配置されていることを前提としています。

  10. [ダイヤルインのアカウント情報] 画面で、[パスワード] および [パスワードの確認] に「pass#word1」を入力し、[次へ] をクリックします。

  11. [ダイヤルアウトのアカウント情報] 画面で、[ユーザー名] に「VPN_HQ」を入力し、[ドメイン] に「VANCOUVER」を入力します。次に、[パスワード] および [パスワードの確認] に「pass#word1」と入力します。手順を完了すると、図 4 のような構成が表示されます。[次へ] をクリックします。

    図 4.   HQ-CON-DC-01 上でのダイヤルアウト資格情報の設定

    図 4. HQ-CON-DC-01 上でのダイヤルアウト資格情報の設定
    拡大表示する

  12. [デマンド ダイヤル インターフェイス ウィザードの完了] ページで、[完了] をクリックします。

呼び出しサーバー (HQ-CON-DC-02) 上でデマンド ダイヤル インターフェイスを構成するには

  1. [ルーティングとリモート アクセス] コンソールで、[HQ-CON-DC-02] の横にあるプラス記号 (+) をクリックし、ツリーを展開します。

  2. [HQ-CON-DC-02] ツリーで、[ネットワーク インターフェイス] を右クリックし、[新しいデマンド ダイヤル インターフェイス] をクリックします。

  3. [デマンド ダイヤル インターフェイス ウィザードの開始] で、[次へ] をクリックし、構成を開始します。

  4. [インターフェイス名] に「VPN_HQ」を入力し、[次へ] をクリックします。

  5. [接続の種類] で、既定の [仮想プライベート ネットワーク (VPN) を使って接続する] を選択し、[次へ] をクリックします。

  6. [VPN の種類] 画面で、図 3 に示すように [レイヤ 2 トンネリング プロトコル (L2TP)] チェック ボックスをオンにして、[次へ] をクリックします。

  7. [接続先のアドレス] 画面で、[ホスト名または IP アドレス] に「20.0.0.1」を入力し、[次へ] をクリックします。

  8. [プロトコルとセキュリティ] 画面で、[このインターフェイス上の IP パケットの経路を選定する] チェック ボックスと [リモート ルーターがダイヤルインできるようにユーザー アカウントを追加する] チェック ボックスを両方ともオンにし、[次へ] をクリックします。

  9. [リモート ネットワークの静的ルート] 画面で、[追加] をクリックします。[接続先] に「10.0.0.0」を入力し、[ネットワーク マスク] に「255.0.0.0」を入力して、[OK] をクリックします。次に、[次へ] をクリックします。

    メモ ここで説明した手順では、ドメイン ルート contoso がまだ 10.0.0.0 ネットワーク上にあることを前提としています。

  10. [ダイヤルインのアカウント情報] 画面で、[パスワード] および [パスワードの確認] に「pass#word1」を入力し、[次へ] をクリックします。

  11. [ダイヤルアウトのアカウント情報] 画面で、[ユーザー名] に「VPN_Vancouver」を入力し、[ドメイン] に「CONTOSO」を入力します。次に、[パスワード] および [パスワードの確認] に「pass#word1」を入力します。手順を完了すると、図 5 のような構成が表示されます。

    図 5.   HQ-CON-DC-02 上でのダイヤルアウト資格情報の設定

    図 5. HQ-CON-DC-02 上でのダイヤルアウト資格情報の設定
    拡大表示する

  12. [次へ] をクリックします。

  13. [デマンド ダイヤル インターフェイス ウィザードの完了] ページで、[完了] をクリックします。

ページのトップへページのトップへ

リモート アクセス ポリシーを使用してサイト間セキュリティを拡張する

Windows Server 2003 で RRAS を使用する場合、ネットワーク アクセス権限は、ユーザー アカウントのダイヤルイン プロパティとリモート アクセス ポリシーに基づいて付与されます。

リモート アクセス ポリシーは、接続の許可と拒否の方法を定義した、順序付けられた一連の規則です。各規則ごとに、1 つ以上の条件、一連のプロファイル設定、リモート アクセス許可の設定があります。接続が許可されると、リモート アクセス ポリシーのプロファイルで、一連の接続制限が指定されます。ユーザー アカウントのダイヤルインのプロパティでも、制限を加えることができます。ユーザー アカウントの接続の制限が適用可能な場合は、ユーザー アカウントの接続の制限によって、リモート アクセス ポリシーのプロファイルの接続の制限は上書きされます。

リモート アクセス ポリシーを使用して許可するには、2 つの方法があります。

  • ユーザーごと ユーザーごとに管理している場合、ユーザー アカウントまたはコンピュータ アカウントに対して、リモート アクセス許可を設定し、アクセスの [許可] や [拒否] を行ったり、必要に応じて接続の種類によって異なるリモート アクセス ポリシーを作成します。たとえば、ダイヤルアップ接続用にリモート アクセス ポリシーを指定し、ワイヤレス接続用には異なるリモート アクセス ポリシーを指定することができます。ユーザーごとの許可管理が推奨されるのは、管理対象のユーザー アカウントやコンピュータ アカウントの数が少ない場合に限られます。
  • グループごと グループごとに管理している場合、[リモート アクセス ポリシーでアクセスを制御] を使ってユーザー アカウントに対するリモート アクセス許可を設定し、接続の種類やグループのメンバシップを基に、リモート アクセス ポリシーを作成します。たとえば、社員 (Employees グループのメンバ) のダイヤルアップ接続用にリモート アクセス ポリシーを指定し、受託業者 (Contractors グループのメンバ) のダイヤルアップ接続用には異なるリモート アクセス ポリシーを指定することができます。

リモート アクセス ポリシーの条件は、接続の設定との比較が行われる 1 つ以上の属性で構成されています。複数の条件が存在する場合、ポリシーに合わせて、接続の設定がすべての条件に合致する必要があります。リモート アクセス ポリシーのすべての条件が合致する場合に、リモート アクセス許可は許可または拒否されます。[リモート アクセス許可を与える] または [リモート アクセス許可を拒否する] を使用して、ポリシーにリモート アクセス許可を設定します。

次に、リモート アクセス ポリシーを構成して、グループごとに許可を与える方法について説明します。

グループごとに許可を与えるリモート アクセス ポリシーを用意するには

  1. HQ-CON-DC-01 サーバーで、[Active Directory ユーザーとコンピュータ] コンソールを開きます。

  2. [Active Directory ユーザーとコンピュータ] コンソールで、[contoso.com] の横にあるプラス記号 (+) をクリックし、ツリーを展開します。

  3. [contoso.com] ツリーの下にある [Users] 組織単位 (OU) をクリックします。結果ペインで、[VPN_Vancouver] をダブルクリックします。

  4. [VPN_Vancouver Properties のプロパティ] シートで、[ダイヤルイン] タブをクリックします。

  5. [リモート アクセス許可] で、図 6 に示すように [リモート アクセス ポリシーでアクセスを制御] をクリックします。

    図 6.   RRAS ポリシーを使用したリモート アクセス許可の強制

    図 6. RRAS ポリシーを使用したリモート アクセス許可の強制

  6. [VPN_Vancouver Properties のプロパティ] シートで、[OK] をクリックします。

  7. [contoso.com] ツリーの下にある [Groups] 組織単位を右クリックし、[新規作成] をクリックします。次に、[グループ] をクリックします。

  8. [新しいオブジェクト – グループ] 画面で、[グループ名] に「Branch Office VPN」を入力し、[OK] をクリックします。

  9. 結果ペインで、[Branch Office VPN] をダブルクリックします。[Branch Office VPNのプロパティ] 画面で、[メンバ] タブをクリックします。[追加] をクリックし、「VPN_Vancouver」と入力して、[OK] を 2 回クリックします。

  10. [Active Directory ユーザーとコンピュータ] コンソールを閉じます。

グループごとに許可を与えるリモート アクセス ポリシーを構成するには

  1. [ルーティングとリモート アクセス] コンソールで、[リモート アクセス ポリシー] をクリックします。
  2. 結果ペインで、[Microsoft ルーティングとリモート アクセス サーバーへの接続] をダブルクリックします。
  3. [ポリシー条件] の下の [追加] をクリックします。[Windows-Groups] をダブルクリックし、[追加] をクリックして、「Branch Office VPN」と入力します。次に、[OK] を 2 回クリックします。
  4. [プロパティ] シートの一番下で、[リモート アクセス許可を与える] をクリックし、[OK] をクリックします。

ページのトップへページのトップへ

共有キーを使用した IPSec を構成し、接続をテストする

Windows Server 2003 では、証明書に基づいた IPSec 認証を実行するため、既定で L2TP クライアントと L2TP サーバーが事前に構成されます。L2TP over IPSec 接続を確立すると、IPSec ポリシーが自動的に生成され、L2TP のセキュリティ設定のネゴシエーションを行うときにインターネット キー交換 (IKE) が証明書に基づいた認証を実行するように指定されます。これは、L2TP over IPSec 接続を確立するには、L2TP クライアントと L2TP サーバーにコンピュータ証明書 ("マシン証明書" とも呼ばれます) がインストールされていることが必要であることを意味します。L2TP クライアントと L2TP サーバーのコンピュータ証明書は、同じ証明機関 (CA) から発行されたものであるか、それぞれの CA のルート証明機関が互いに信頼関係のあるルート証明書ストアとしてインストールされていることが必要です。

L2TP ベースのルーター間 VPN 接続を確立するときに、証明書に基づく IPSec 認証方法を使いたくない場合もあります。このような場合は、IPSec ポリシーを手動で構成し、ルーター間 VPN 接続を確立するときに事前共有キーを使うようにします。この事前共有の認証キーは、IKE ネゴシエーションにおける単純なパスワードのような働きをします。両方のルーター側で相手が同じパスワードを知っていることを証明できると、互いに信頼関係を構築し、L2TP トラフィックにおけるプライベートな対称暗号化キーやセキュリティ設定に関するネゴシエーションに進みます。

IKE の事前共有キーの使用は、一般に、証明書を使う場合と同様のセキュリティ機能で保護されているとは解釈されません。これは、IKE 認証 (および暗黙の信頼関係) が IPSec ポリシーにプレーン テキスト形式で格納されたキー値のみに依存するためです。ポリシーを参照するユーザーであればだれでも、事前共有キーの値を見ることができます。そこに悪意のあるユーザーがいれば、そのシステムの IPSec セキュリティを構築できるように、自分たちのシステムを構成することが可能です。ただし、L2TP 接続では、ポイント ツー ポイント プロトコル (PPP) を使用したユーザーレベルの認証が求められます。このため、たとえ悪意のあるユーザーがいるとしても、事前共有キーとユーザーの正しい資格情報の両方を知らなければ、L2TP over IPSec 接続を確立することはできません。

応答サーバー (HQ-CON-DC-01) 上で IPSec 共有キーを構成するには

  1. [ルーティングとリモート アクセス] コンソールで、[HQ-CON-DC-01 (ローカル)] を右クリックし、[プロパティ] をクリックします。

  2. [HQ-CON-DC-01 (ローカル)のプロパティ] シートで、[セキュリティ] タブをクリックします。[カスタム IPSec ポリシーを L2TP 接続に許可する] チェック ボックスをオンにし、図 7 に示すように [事前共有キー] に「12345」と入力して、[OK] をクリックします。

    図 7.   応答ルーター上での事前共有キーの設定

    図 7. 応答ルーター上での事前共有キーの設定

呼び出しサーバー (HQ-CON-DC-02) 上で IPSec 共有キーを構成するには

  1. [ルーティングとリモート アクセス] コンソールの [HQ-CON-DC-02 (ローカル)] で、[ネットワーク インターフェイス] をクリックし、[VPN_HQ] をダブルクリックします。

  2. [VPN_HQ プロパティ] ページで、[セキュリティ] タブをクリックし、[IPSec 設定] をクリックします。

  3. [IPSec 設定] ダイアログ ボックスで、[認証に事前共有キーを使う] チェック ボックスをオンにし、図 8 に示すように [キー] に「12345」を入力します。次に、[OK] を 2 回クリックします。

    図 8.   呼び出しルーター上での事前共有キーの設定

    図 8. 呼び出しルーター上での事前共有キーの設定

サイト間 VPN 接続をテストするには

[ルーティングとリモート アクセス] コンソールで、[VPN_HQ] を右クリックし、[接続] をクリックします。

ページのトップへページのトップへ

関連資料

詳細については、次の資料を参照してください。

Windows Server 2003 の仮想プライベート ネットワーク (VPN) については、https://www.microsoft.com/japan/windowsserver2003/technologies/networking/vpn/default.mspx を参照してください。

Windows Server 2003 に関する最新情報 (Windows Server 2003 Web サイト)
https://www.microsoft.com/japan/windowsserver2003/default.mspx

ページのトップへページのトップへ