ステップバイステップ ガイド : ダイヤルアップ リモート アクセス サーバーの構成

公開日: 2005年1月7日

このステップバイステップ ガイドでは、ダイヤルインのリモート アクセス接続をサポートすることを目的にルーティングとリモート アクセス サービス (RRAS) のインフラストラクチャを構成する際の指針を説明します。

トピック

はじめに

概要

ダイヤルアップ リモート アクセス サーバーの構成

ポリシーによるリモート アクセス ダイヤルインの保護

関連資料

はじめに

ステップバイステップ ガイド

Microsoft Windows Server 2003 展開のステップバイステップ ガイドでは、多くの共通点を持つオペレーティング システム構成における実際上の操作を説明します。これらのガイドでは、Windows Server 2003 をインストールして共通ネットワーク インフラストラクチャを構築することから説明を始めます。そして、Active Directory® の構成、Windows XP Professional ワークステーションのインストールについて説明し、最後にワークステーションをドメインに追加する方法について説明します。これらのステップバイステップ ガイドの各分冊では、この共通ネットワーク インフラストラクチャが構築されていることを前提としています。このガイドで説明するネットワーク インフラストラクチャとは異なるインフラストラクチャを構築する場合は、適宜変更を加えながらガイドを読み進めてください。

共通ネットワーク インフラストラクチャの構築には、以下のガイドで説明する操作を完了する必要があります。

• 第 1 部 : ドメイン コントローラとしての Windows Server 2003 のインストール
• 第 2 部 : Windows XP Professional ワークステーションのインストールとドメインへの接続

共通ネットワーク インフラストラクチャを構築すると、その他のステップバイステップ ガイドの操作を実行できるようになります。ただし、その他のステップバイステップ ガイドでは、共通ネットワーク インフラストラクチャ構築の要件に加えて、その他の前提条件が必要になる場合があります。詳細については、各ステップバイステップ ガイドの説明を参照してください。

Microsoft Virtual PC

Microsoft Windows Server 2003 展開のステップバイステップ ガイドで説明する内容は、現実のラボ環境で実装することができ、Microsoft Virtual PC 2004 や Microsoft Virtual Server 2005 のような仮想化テクノロジを使って実装することもできます。仮想コンピュータ テクノロジを使用すると、単一の物理サーバー上で複数のオペレーティング システムを並行して稼働させることができます。Virtual PC 2004 と Virtual Server 2005 は、ソフトウェアのテストや開発、レガシ アプリケーションの移行、サーバー統合の各シナリオにおいて、業務効率を高めるように設計されています。

Microsoft Windows Server 2003 展開のステップバイステップ ガイドでは、現実のラボ環境での構成を前提としています。ただし、大部分の構成はそのまま仮想環境に適用できます。

このステップバイステップ ガイドに記載する概念を仮想環境に適用する場合の説明については、ここでは割愛します。

重要

このドキュメントで使用している会社、組織、製品、ドメイン名、電子メール アドレス、ロゴ、人物、場所、イベントなどの名称は架空のものです。実在する会社名、組織名、製品名、ドメイン名、電子メール アドレス、ロゴ、個人名、場所名、イベント名などは一切関係ありません。

この共通インフラストラクチャは、プライベート ネットワークで使用する目的で設計されています。共通インフラストラクチャで使用する架空の企業名と DNS (Domain Name System) 名は、インターネット上で使用するための登録が行われていません。パブリック ネットワークやインターネット上では、この名前を使用しないようにしてください。

この共通インフラストラクチャの Active Directory サービス構造は、Windows Server 2003 の変更と構成管理機能の概要、および Active Directory との関連を示すために設計されたものです。企業で Active Directory を構成する場合を想定して設計されているわけではないことに注意してください。

 ページのトップへ

概要

リモート環境からネットワークへのアクセスを必要とするユーザーをサポートするには、ダイヤルアップ ネットワークと仮想プライベート ネットワーク (VPN) のいずれかまたは両方を展開します。ダイヤルアップ ネットワークを使用すると、リモート ユーザーは、電話回線経由で組織のネットワークにあるリモート アクセス サーバーに直接ダイヤルインできます。VPN を使用すると、インターネットにアクセスするリモート ユーザーは、組織のネットワークにある VPN サーバーとの接続を確立できます。VPN の展開について追加の指針については、「ステップバイステップ ガイド : サイト間の仮想プライベート ネットワーク接続の構築」を参照してください。このガイドでは、ダイヤルアップ リモート アクセスのソリューションに必要な手順について説明します。

組織に最適なソリューションを検討する場合、各ソリューションの相対的な費用効果と、セキュリティや可用性に対する組織の要件にどの程度適合するか、という点を考慮します。また、リモート アクセス サーバー設計の実現に必要な、イントラネットのネットワーク インフラストラクチャについても考慮する必要があります。インフラストラクチャを正しく設計しないと、リモート アクセス クライアントは IP アドレスを取得できず、イントラネットの名前解決も行うことができません。また、リモート アクセス クライアントとイントラネット リソースの間でパケットの転送もできません。

組織のニーズに合わせて、セキュリティで保護された信頼性の高いリモート アクセス ソリューションを提供する場合、展開方法 (ダイヤルアップ ネットワーク、VPN、またはこれらを組み合わせたもの) を選択してから、リモート アクセス設計を慎重に計画し、テストすることが重要になります。VPN リモート アクセス サーバーの展開とダイヤルアップ リモート アクセス サーバーの展開では、作業内容が異なりますが、多くの場合、リモート アクセス ソリューションには VPN とダイヤルアップの 2 つの要素が必要になります。図 1 に、ダイヤルアップ リモート アクセス ソリューションの基本的なアーキテクチャを示します。Microsoft 証明書サービスとインターネット認証サービス (IAS) は、拡張された認証方法とポリシーの集中管理機能を提供するコンポーネントです。これらのサービスは、ダイヤルアップ インフラストラクチャと VPN インフラストラクチャのいずれの場合も、オプションで提供されます。このステップバイステップ ガイドでは、これらのオプション コンポーネントについては説明しません。

図 1. 標準的なリモート アクセス インフラストラクチャ

リモート アクセスでのダイヤルアップ ネットワークの使用

ダイヤルアップ ネットワーク ソリューションの場合、リモート ユーザーは、ネットワーク上のリモート アクセス サーバーにダイヤルインできます。ダイヤルアップ回線は、本質的に、インターネットなどのパブリック ネットワークを使用するソリューションよりもセキュリティ レベルが高くなります。ただし、ダイヤルアップ ネットワークを組織で使用すると、多額の初期費用がかかり、ソリューションのライフ サイクル全体をとおして出費が続きます。費用には以下のものが含まれます。

• ハードウェアの購入とインストール ダイヤルアップ ネットワークには、モデムなどの通信用ハードウェア、サーバー ハードウェア、電話回線の導入に初期費用がかかります。
• 毎月の通話料 リモート アクセスに使用される各電話回線によって、ダイヤルアップ ネットワークの費用が増加します。フリー ダイヤル番号またはコールバック機能を使用してユーザーの長距離通話料金を負担すると、費用はより高額になる可能性があります。ほとんどの場合、企業は長距離通話の割引料金を手配できます。これは、より高額な家庭用通信料金を各ユーザーに実費請求するよりは望ましい方法です。
• 継続的なサポート リモート アクセス ユーザー数とリモート アクセス設計の複雑さによって、ダイヤルアップ ネットワークの継続的なサポート費用が多額になります。サポート費用には、展開のサポートや管理を行うためのネットワーク サポート エンジニア、テスト設備、トレーニング、ヘルプ デスク担当者にかかる経費が含まれます。組織にかかる費用のうち、このサポート費用が大部分を占めます。

前提条件

• 第 1 部 : ドメイン コントローラとしての Windows Server 2003 のインストール
• ステップバイステップ ガイド : 追加のドメイン コントローラのセットアップ
• ステップバイステップ ガイド : Active Directory の管理
• ステップバイステップ ガイド : サイト間の仮想プライベート ネットワーク接続の構築

本ガイドでの要件

• ダイヤルアップ リモート アクセス サーバーを適切にテストするには、リモート アクセス サーバーとクライアントの両方にモデムをインストールし、テスト用の電話回線を用意する必要があります。
• リモート アクセス サーバーのテストに物理的なモデムを使用できない場合、標準モデムを強制的にインストールして、このガイドの各手順を進めることができます。
• このステップバイステップ ガイドで使用する一般的なモデムをインストールするには
  1. HQ-CON-DC-01 で、[スタート] ボタンをクリックし、[コントロール パネル] をクリックします。次に、[ハードウェアの追加] をクリックします。
  2. [次へ] をクリックし、[はい、ハードウェアを接続しています] チェック ボックスをオンにして、[次へ] をクリックします。
  3. [インストールされているハードウェア] 一覧の一番下までスクロールし、[新しいハードウェア デバイスの追加] をクリックして、[次へ] をクリックします。
  4. [一覧から選択したハードウェアをインストールする (詳細)] をクリックし、[次へ] をクリックします。
  5. [モデム] をクリックし、[次へ] をクリックします。
  6. [モデムを一覧から選択するので検出しない] チェック ボックスをオンにし、[次へ] をクリックします。
  7. [モデル] の結果ペインで、[標準 56000 bps モデム] をダブルクリックします。
  8. [すべてのポート] をクリックし、[次へ] をクリックします。
  9. [完了] をクリックします。

 ページのトップへ

ダイヤルアップ リモート アクセス サーバーの構成

サーバーをダイヤルアップ リモート アクセス サーバーとして構成する前に、ルーティングとリモート アクセス サービス (RRAS) を有効にする必要があります。Windows Server 2003 では、RRAS が自動的にインストールされます。RRAS が有効化されていることは、このガイドの前提条件となっています。「ステップバイステップ ガイド : サイト間の仮想プライベート ネットワーク接続の構築」を参照してください。RRAS を構成する方法の詳細については、Windows Server 2003 のヘルプとサポート センターの「リモート アクセス/VPN サーバーの役割 : リモート アクセス/VPN サーバーを構成する」を参照してください。

ルーティングとリモート アクセスを有効にし、ルーティングとリモート アクセス スナップインを使用して、ダイヤルアップ リモート アクセス サーバーのプロパティを構成します。

HQ-CON-DC-01 でルーティングとリモート アクセス スナップインを起動するには

1. [スタート] メニューで、[すべてのプログラム] をポイントします。次に、[管理ツール] をポイントし、[ルーティングとリモート アクセス] をクリックします。

HQ-CON-DC-01 がダイヤルアップ リモート アクセス用に構成されていることを確認するには

1. [ルーティングとリモート アクセス] コンソールで、[HQ-CON-DC-01] を右クリックし、[プロパティ] をクリックします。

2. [HQ-CON-DC-01 のプロパティ] ダイアログ ボックスの [全般] タブで、図 2 に示すように、[リモート アクセス サーバー] チェック ボックスがオンになっていることを確認します。

   

   図 2. リモート アクセス サーバーの構成

3. [HQ-CON-DC-01 のプロパティ] ダイアログ ボックスで、[OK] をクリックします。

リモート アクセス用のダイヤルイン ポートの構成

1. [ルーティングとリモート アクセス] コンソールで、[HQ-CON-DC-01] の横にあるプラス記号 (+) をクリックし、ツリーを展開します。

2. [ポート] を右クリックし、[プロパティ] をクリックします。

3. [ポートのプロパティ] 画面で、[デバイス] からリモート アクセス ダイヤルイン接続に使用するモデムをクリックします。図 3 では、[標準 56000 bps モデム] が選択されています。

   

   図 3. モデムの選択

4. [構成] をクリックします。

5. [デバイスの構成] ダイアログ ボックスで、[リモート アクセス接続 (受信のみ)] をオンにし、[このデバイスの電話番号] にリモート ユーザーが接続する番号を入力して、[OK] をクリックします。メモ 複数のモデムをリモート アクセス接続に使用する場合は、各デバイスごとに手順 3 ～ 5 を繰り返します。

6. [OK] をクリックして、終了します。

 ページのトップへ

ポリシーによるリモート アクセス ダイヤルインの保護

Windows Server 2003 で RRAS を使用する場合、ネットワーク アクセス権限は、ユーザー アカウントのダイヤルイン プロパティとリモート アクセス ポリシーに基づいて付与されます。

リモート アクセス ポリシーは、接続の許可と拒否の方法を定義した、順序付けられた一連の規則です。各規則ごとに、1 つ以上の条件、一連のプロファイル設定、リモート アクセス許可の設定があります。接続が許可されると、リモート アクセス ポリシーのプロファイルで、一連の接続制限が指定されます。ユーザー アカウントのダイヤルインのプロパティでも、制限を加えることができます。ユーザー アカウントの接続の制限が適用可能な場合は、ユーザー アカウントの接続の制限によって、リモート アクセス ポリシーのプロファイルの接続の制限は上書きされます。

リモート アクセス ポリシーを使用して許可するには、2 つの方法があります。

• ユーザーごと ユーザーごとに管理している場合、ユーザー アカウントまたはコンピュータ アカウントに対して、リモート アクセス許可を設定し、アクセスの [許可] や [拒否] を行ったり、必要に応じて接続の種類によって異なるリモート アクセス ポリシーを作成します。たとえば、ダイヤルアップ接続用にリモート アクセス ポリシーを指定し、ワイヤレス接続用には異なるポリシーを指定することができます。ユーザーごとの許可管理が推奨されるのは、管理対象のユーザー アカウントやコンピュータ アカウントの数が少ない場合に限られます。
• グループごと グループごとに管理している場合、[リモート アクセス ポリシーでアクセスを制御] を使ってユーザー アカウントに対するリモート アクセス許可を設定し、接続の種類やグループのメンバシップを基に、リモート アクセス ポリシーを作成します。たとえば、社員 (Employees グループのメンバ) のダイヤルアップ接続用にリモート アクセス ポリシーを指定し、受託業者 (Contractors グループのメンバ) のダイヤルアップ接続用には異なるポリシーを指定することができます。

リモート アクセス ポリシーの条件は、接続の設定との比較が行われる 1 つ以上の属性で構成されています。複数の条件が存在する場合、ポリシーに合わせて、接続の設定がすべての条件に合致する必要があります。リモート アクセス ポリシーのすべての条件が合致する場合に、リモート アクセス許可は許可または拒否されます。[リモート アクセス許可を与える] または [リモート アクセス許可を拒否する] を使用して、ポリシーにリモート アクセス許可を設定します。

次に、ダイヤルイン接続のリモート アクセス ポリシーを構成して、グループごとに許可を与える方法について説明します。

グループごとにダイヤルイン許可を与えるリモート アクセス ポリシーを用意するには

1. HQ-CON-DC-01 サーバーで、[Active Directory ユーザーとコンピュータ] コンソールを開きます。
2. [Active Directory ユーザーとコンピュータ] コンソールで、[contoso.com] の横にあるプラス記号 (+) をクリックし、ツリーを展開します。
3. [contoso.com] ツリーの下にある [Accounts] 組織単位 (OU) をクリックします。結果ペインで、[Production] をダブルクリックし、[Clair Hector] をダブルクリックします。
4. [Clair Hectorのプロパティ] シートで、[ダイヤルイン] タブをクリックします。
5. [リモート アクセス許可] で、[リモート アクセス ポリシーでアクセスを制御] がオンであることを確認し、[OK] をクリックします。
6. [contoso.com] ツリーの下にある [Groups] 組織単位を右クリックし、[新規作成] をクリックします。次に、[グループ] をクリックします。
7. [新しいオブジェクト – グループ] 画面で、[グループ名] に「Dial-in Remote Access」と入力し、[OK] をクリックします。
8. 結果ペインで、[Dial-in Remote Access] をダブルクリックします。[Dial-in Remote Accessのプロパティ] 画面で、[メンバ] タブをクリックします。[追加] をクリックし、「Clair Hector」と入力して、[OK] を 2 回クリックします。メモ [Dial-in Remote Access] セキュリティ グループに別のユーザーを追加する場合、Contoso ユーザーごとに手順 8 を繰り返します。
9. [Active Directory ユーザーとコンピュータ] コンソールを閉じます。

グループごとに許可を与えるリモート アクセス ポリシーを構成するには

1. [ルーティングとリモート アクセス] コンソールで、[リモート アクセス ポリシー] をクリックします。

2. 結果ペインで、[ルーティングとリモート アクセス サーバーへの接続] をダブルクリックします。

3. [ポリシー条件] で、[Windows-Groups が次のものと一致: "CONTOSO\Branch Office VPN"] のポリシー条件が存在することを確認し、[OK] をクリックします。メモ このポリシーは、「ステップバイステップ ガイド : サイト間の仮想プライベート ネットワーク接続の構築」で定義したものです。

4. 結果ペインで、[ルーティングとリモート アクセス サーバーへの接続] を右クリックし、[名前の変更] をクリックします。次に、「Branch Office VPNs」と入力し、Enter キーを押します。

5. 結果ペインで、[ほかのアクセス サーバーへの接続] を右クリックし、[名前の変更] をクリックします。次に、「Dial-in Remote Access」と入力し、Enter キーを押します。完了すると、リモート アクセス ポリシーが、図 4 に示すように表示されます。

   
   図 4. リモート アクセス ポリシー

   拡大表示する

6. 結果ペインで、[Dial-in Remote Access] をダブルクリックし、[ポリシー条件] の下にある [追加] をクリックします。

7. [Windows-Groups] をダブルクリックし、[追加] をクリックして、「Dial-in Remote Access」と入力します。次に、[OK] を 2 回クリックします。

8. [ポリシー条件] の下にある [追加] をクリックし、[Called-Station-Id] をダブルクリックして、[文字またはワイルド カードを入力してください] にリモート ユーザーが接続する番号を入力します。

9. 作業を終えたら [OK] をクリックします。図 5 に示すように、[ポリシー条件] が表示されます。

   
   図 5. ポリシー条件

   メモ ポリシー条件は用途が広く、受信接続を完全に制御できます。前述の例では、Calling-Station-Id を設定することで、このポリシーは受信デバイスに直接関連付けられます。この関連付けによるセキュリティ制限に加えて、さらに精度レベルを向上できます。たとえば、Calling-Station-Id を指定した 2 つ目のモデムは、Executive Dial-in セキュリティ グループと Calling-Station-Id 条件を組み込むことで、Executive Dial-in 用に予約できます。

10. [プロパティ] シートの一番下で、[リモート アクセス許可を与える] をクリックし、[OK] をクリックします。

 ページのトップへ

関連資料

詳細については、次の資料を参照してください。

• CMAK (Connection Manager Administration Kit) については、http://technet2.microsoft.com/WindowsServer/ja/Library/d000ae3a-3d5d-4a20-ab44-5afca021b0881041.mspx を参照してください。
• ダイヤルアップと VPN リモート アクセス サーバーの展開については http://technet2.microsoft.com/WindowsServer/en/library/c737dd42-dea4-4786-9c18-837c08dd2db11033.mspx?mfr=true (英語) を参照してください。
• Windows Server 2003 に関する最新情報 (Windows Server 2003 Web サイト)
  https://www.microsoft.com/japan/windowsserver2003/

ページのトップへ