次の方法で共有


PPTP によるインターネット経由でリモート ユーザーに接続

このシナリオでは、PPTP (Point-to-Point Tunneling Protocol) を使用し、リモート アクセス ユーザーをインターネット経由で企業イントラネットに接続させる方法を紹介します。

トピック

目的
設計のロジック
機能するしくみ
実装した方法
セットアップ手順
その他の参考資料

目的

このシナリオの目的は以下のとおりです。

  • 移動先または特定の場所からインターネット経由で企業イントラネットに接続する手段を従業員に提供します。

  • 接続手順中にアドレスおよび名前の解決機能の構成を自動的に 実行します。

  • クライアント ソフトウェアの効率的なインストールを可能にし、ネットワークに対するシングルクリック リモート クライアント アクセスを有効にします。

  • 非 Windows 2000 クライアント コンピュータとの互換性を維持しながら、高水準のセキュリティを保証します。

  • 集中的な認証処理、承認処理、アカウント処理を実現します。

  • 複数の場所で利用可能 (multiple points of presence: POP) な自動的に更新されるカスタム電話帳を提供します。

次の「設計のロジック」では、このシナリオのインフラストラクチャで上記の目的をどのようにして達成したか説明します。

設計のロジック

このシナリオの目的を達成するためのインフラストラクチャを図 1 に示します。

ras03-07

図 1: PPTP ベースのリモート アクセス インフラストラクチャ

このシナリオでは、Microsoft® Windows® 2000 Server の動作するコンピュータを仮想プライベート ネットワーク (VPN) サーバーとして機能させることで、インターネットに接続していて VPN クライアントとして機能しているクライアント コンピュータに企業イントラネットへのリモート アクセスを提供します。

このような接続を有効にするために、Seattle サイト内の Windows 2000 ベースのサーバー (Seattle リモート アクセス サーバー) 上でルーティングとリモート アクセス サービスを構成します。Seattle リモート アクセス サーバーは、Point-to-Point トンネリング プロトコル (PPTP) を使用して VPN リモート アクセス クライアント要求を受信する VPN サーバーとして構成します。PPTP をサポートする OS は、Microsoft® Windows® 95、Microsoft® Windows® 98、および Microsoft® Windows NT® Version 4.0 です。このシナリオでは、Windows 2000 ベースの VPN クライアントと、MS-CHAP v2 (Microsoft 暗号化認証 バージョン 2) を使用します。

多数のダイヤルアップ クライアントの構成を自動化するために、接続ポイント サービス (CPS) サーバー上で接続マネージャサービス プロファイルを使用して、クライアントにインストールするクライアント接続ソフトウェアを作成します。この接続ソフトウェアによって、イントラネットへのシングルクリック アクセスが可能なダイヤルアップ接続が構成されます。費用対効果の面で優れているため、アクセス サポートはインターネット サービス プロバイダ (ISP) に外部委託されています。そして、ISP から提供されているアクセス番号をクライアント ソフトウェアに組み込みます。このシナリオでは、Microsoft® Windows® 2000 Professional の動作するポータブル コンピュータを使用します。しかし、セットアップ手順を若干変更すれば、Windows 95 または Windows 98 の動作するコンピュータをクライアントとして使用できます。

以下のコンポーネントによって、高いセキュリティ レベルが保証されます。

  • MS-CHAP v2。リモート アクセス ユーザーと VPN サーバー間の相互認証を可能にします。MS-CHAP v2 がサポートされるのは、Windows 95 (ダイヤルアップ ネットワーク 1.3 アップグレードを適用する必要があります)、Windows 98、および Windows 2000 です。

  • Microsoft Point-to-Point 暗号化 (MPPE)。VPN サーバーと VPN クライアント間で送信されるデータを対象にした暗号化サービスを提供します。

さらに、このシナリオで使用する Windows 2000 ベースのすべてのコンピュータに Windows 2000 高度暗号化パックがインストールされていて、インターネットと VPN サーバー間のファイアウォールとして Cisco 7505 ルーターが使用されています。

Seattle サイトには複数の VPN/リモート アクセス サーバーが存在するので、VPN サーバーを RADIUS (リモート 認証 ダイヤルイン ユーザー サービス) サーバーに対する RADIUS クライアントとして構成します。RADIUS サーバーは、インターネット認証サービス (IAS) を実行する Windows 2000 Server ベースのコンピュータです。IAS サーバーは、Point-to-Point プロトコル (PPTP) 接続要求に対する集中化された認証および承認、およびリモート アクセス ポリシーに対する集中化された管理作業を可能にします。

IAS サーバーでは、接続の試行を認証および承認するために、Seattle サイト ドメイン コントローラを使用してユーザー アカウントのプロパティを取得します。このシナリオでは、noam.reskit.com ドメインがネイティブ モード ドメインであるため、リモート アクセス ポリシーのためにポリシーによるアクセス管理モデルを使用しています。

機能するしくみ

インターネットに接続するポータブル コンピュータから Reskit.com イントラネットへの PPTP 接続を確立する手順は以下のとおりです。

  1. ポータブル コンピュータ上の接続マネージャ クライアント コンポーネントはサービス プロバイダに接続した後、PPTP トンネルを確立するために VPN サーバーとネゴシエートします (図 2 を参照)。

    ras03-08

    図 2: PPTP トンネルのネゴシエーション

  2. PPTP トンネルが確立された後、認証プロトコルとして MS-CHAP v2 が使用され、それによって PPP 接続がネゴシエートされます (図 3 を参照)。

    ras03-09

    図 3: MS-CHAP v2 ネゴシエーション

  3. PPP リンク ネゴシエーション プロセス中に、VPN サーバーは RADIUS Access-Request パケットを使用して、企業サイト内の IAS サーバーに認証資格情報と接続パラメータを渡します (図 4 を参照)。

    ras02-07

    図 4: VPN サーバーによる RADIUS Access-Request メッセージの送信

  4. IAS サーバーは、ローカル ドメイン コントローラを照会することによってポータブル コンピュータ ユーザーの認証資格情報を確認します (図 5 を参照)。

    ras02-08

    図 5: ドメイン コントローラを使用した認証資格情報の確認

  5. IAS サーバーは、ポータブル コンピュータのユーザー アカウントのプロパティと "PPTP Remote Access Users" リモート アクセス ポリシーを使用して接続を承認します。

  6. IAS サーバーは、接続の試行が認証、承認された後、RADIUS Access-Accept パケットを VPN サーバーに返信します (図 6 を参照)。

    ras02-09

    図 6: IAS サーバーによる RADIUS Access-Accept メッセージの送信

  7. VPN サーバーが PPP 接続プロセスを完了すると、ポータブル コンピュータが暗号化 PPTP 接続を使用してインターネット経由で企業イントラネットに接続します。

実装した方法

ここで示すセットアップ手順は、リソース キット導入実験シナリオを構築し、ハードウェア、ソフトウェア、および管理面の権限に関する要件を特定するときに使用したものです。

注意
このシナリオにおいてコンピュータおよびデバイスを構成するために使用した手続きはサンプルとして示したものです。実際の各ネットワークでは、類似したコンピュータおよびデバイスを構成する場合でも、必要になる手順はそれぞれのケースで異なります。さらに各シナリオでは、そのシナリオの機能を実現するために必要な手順だけを示しています。運用ネットワークにおいて必要になるその他の手順については取り上げていません。

管理者は、ここに記載したセットアップ手順で必要になる構成を各コンピュータで実行するための適切な権限を持たなければなりません。既定の設定でルート ドメイン の Administrator アカウント (NOAM\Administrator) は適切な権限を持ちます。このアカウントは、ドメイン コントローラを昇格させた後、Enterprise Admins グループのメンバになります。しかし運用ネットワークでは、権限をさらに制限することが必要な場合もあります。このシナリオのセットアップ手順で使用したアカウントについて説明しておきます。

このセットアップ手順では、以下の構成を仮定しています。

  • 各コンピュータ上のハードドライブが再フォーマットされていて、適切なオペレーティング システムがインストールされています。

  • 各コンピュータに名前が付けられています。

  • コンピュータが通信するためのルーティングがセットアップされていて、以下の IP アドレスがコンピュータに割り当てられる状態にあります。

    SEA-NA-RAS-01.noam.reskit.com

    172.16.40.18/22, 131.107.1.131/25

    SEA-NA-IAS-01.noam.reskit.com

    172.16.40.15/22

    SEA-NA-DC-01.noam.reskit.com

    172.16.8.11/22

    SEA-NA-CPS-01.noam.reskit.com

    172.16.20.12/22

    注意
    172.16.0.0/16 の範囲の IP アドレスは、プライベート ネットワーク用に予約された IP アドレス範囲内にあります。テスト環境内やファイアウォールの背後ではこれらの IP アドレスを使用することはできますが、インターネット上では使用できません。詳細については、RFC 1918 を参照してください。

表 1 に、リソース キット導入実験シナリオを開発するために使用したハードウェアおよびソフトウェアのリストを示します。

1 リソースキット導入実験で PPTP ベースのリモート アクセスを導入するために使用したコンポーネント

コンポーネント

ハードウェア

ソフトウェア

Seattle ドメイン コントローラ

SEA-NA-DC-01. noam.reskit.com

Compaq ProLiant コンピュータ

Windows 2000 Server

Active Directory

DNS サービス

Seattle 仮想プライベート ネットワーク サーバー

SEA-NA-RAS-01. noam.reskit.com

Compaq ProLiant コンピュータ

Windows 2000 Server

ローカル エリア ネットワーク (LAN) インターフェイス SeattleSubnet および DMZ を構成したルーティングとリモート アクセス サービス

Seattle RADIUS サーバー

SEA-NA-IAS-01. noam.reskit.com

Compaq ProLiant コンピュータ

Windows 2000 Server

インターネット認証サービス

Seattle 接続ポイント サービス サーバー

SEA-NA-CPS-01. noam.reskit.com

Compaq ProLiant コンピュータ

Windows 2000 Server (NTFS ファイル システムを使用)

インターネット インフォメーション サービス

電話帳サービス

Phone Book Administrator

境界ネットワーク ルーターおよびファイアウォール

SEA-RKE-CISCO-01.
noam.reskit.com

Cisco 7505 ルーター

Cisco Internet Operating System (IOS) version 12.0 (5) XU

VPN サーバーに対する PPTP トラフィックを許容するアクセス リスト

クライアント

Compaq Armadaポータブル コンピュータ

Windows 2000 Professional

セットアップ手順

ポータブル コンピュータから Reskit.com イントラネットへの PPTP ベースのリモート アクセス VPN 接続をインターネット経由で確立するために、以下の作業を実施しました。

  1. ドメイン コントローラの構成

  2. インターネット認証サービス サーバーの構成

  3. リモート アクセス サーバーを VPN サーバーとして構成

  4. 接続ポイント サービス サーバーの構成

  5. 電話帳の作成

  6. 電話帳の発行

  7. 接続マネージャ サービス プロファイルの作成

  8. ポータブル コンピュータへの接続マネージャ サービス プロファイルのインストール

  9. VPN 接続の開始

その他の参考資料

導入実験のシナリオ

Windows 2000 リソース キット

  • VPN の詳細については、『Microsoft Windows 2000 Server リソース キット 5 ネットワーク ガイド』の「第 9 章 仮想プライベート ネットワーキング (概要紹介)」 (英語) を参照してください。

  • Windows 2000 における PPP 接続のサポートの詳細については、『Microsoft Windows 2000 Server リソース キット 5 ネットワーク ガイド』の「第 7 章 リモート アクセス サーバー」を参照してください。

  • VPN 接続の計画の詳細については、『Microsoft Windows 2000 Server リソース キット 1 導入ガイド』の「第 6 章 Windows 2000 導入のためのネットワークインフラストラクチャの準備」および「第 7 章 ネットワーク接続方針の確定」を参照してください。

Windows 2000 ドキュメント

  • VPN の詳細については、Window 2000 Server ヘルプ の「ネットワーク」の「仮想プライベート ネットワーク」を検索してください。

  • Windows 2000 の導入の詳細については、『Planning and Deployment』 (英語) を参照してください。

  • Windows 2000 インフラストラクチャの詳細については、『Step-by-Step Guides』 (英語) を参照してください。

RFC (Requests for Comments)

  • PPTP について詳しくは、RFC Editor Web サイトleave-ms (英語) の RFC 2637、「Point-to-Point Tunneling Protocol」を参照してください。

ホワイト ペーパー

Microsoft Press

導入実験の詳細と協力企業について

リソース キット導入実験シナリオの凡例

  • Microsoft Windows 2000 リソース キット導入実験シナリオのネットワーク図で使用されている略語や記号について詳しくは、『導入実験シナリオの凡例』を参照してください。

リソース キット導入実験のネットワーク図

  • ネットワークの設計、ネットワーク ルーティング設計、ドメイン ネーム システム (DNS) 設計、および Active Directory 階層の高水準の編成については、『導入実験のネットワーク図』を参照してください。

関連するシナリオ

関連資料

Windows 2000 Server リソース キット 購入ページ

Windows 2000 Professional リソース キット 購入ページ

Windows 2000 リソース キットの詳細については、こちらを参照してください。

注意
このシナリオにおいて、コンピュータおよびデバイスを構成するために使用した手続きは、サンプルとして紹介したものです。実際のネットワークでは、類似したコンピュータおよびデバイスを構成する場合でも、必要になる手順はそれぞれのケースで異なります。さらに各シナリオでは、目的とする機能を実現するために必要な手順だけを示しています。運用ネットワークにおいて必要になる、その他の手順については取り上げていません。すべてのシナリオは、特に表記しない限り Windows 2000 を使用してテストされています。また、ブラウザとして Microsoft Internet Explorer 5 以上を推奨します。