VPN サーバーの構成
Seattle VPN サーバー SEA-NA-RAS-01 を構成し、RADIUS 認証を使用した L2TP ベースのリモート アクセス接続をサポートする必要があります。
このシナリオでは、以下の手順を実行しました。
トピック
コンピュータ証明書のインストール
ルーティングとリモート アクセス サービスの構成
OSPF の構成
L2TP ポートの構成
L2TP パケット フィルタの構成
コンピュータ証明書のインストール
IPSec を通じた L2TP VPN 接続では、ポータブル コンピュータと SEA-NA-RAS-01 の双方で、コンピュータ証明書が必要です。リモート アクセス コンピュータと SEA-NA-RAS-01 の双方へのコンピュータ証明書のインストールは、Seattle サイト内の証明機関による noam.reskit.com ドメイン内でのコンピュータ証明書の自動登録を通じて実行されます。
SEA-NA-DC-01 上で以下の手順を実行します。
コンピュータ証明書をインストールするには
アカウント NOAM\Administrator を使用してログオンします。
[スタート] メニューから [プログラム] をポイントし、[管理ツール] をポイントし、[Active Directory ユーザーとコンピュータ] をクリックします。
[Active Directory ユーザーとコンピュータ] スナップインのコンソール ツリーで、[Active Directory ユーザーとコンピュータ] を展開し、[noam.reskit.com] を展開します。
コンソール ツリーで、[noam.reskit.com] を右クリックし、[プロパティ] をクリックします。
[noam.reskit.com のポリシー] ダイアログ ボックスの [グループ ポリシー] タブで、[Default Domain Policy] を選択し、[編集] をクリックします。
[グループ ポリシー] スナップインで、[コンピュータの構成]、[Windows の設定]、[セキュリティの設定]、[公開キーのポリシー] を順に展開します。
[自動証明書要求の設定] を右クリックし、[新規作成] をクリックし、[自動証明要求] をクリックします。
自動証明書要求のセットアップ ウィザードが表示されたら、以下の表の設定を指定します。表に指定のない項目は、既定の設定を使用します。
ウィザードのページ
設定操作
証明書テンプレート
[コンピュータ] を選択します。
Certificate Authority
[your_certificate_authority] をクリックします (your_certificate_authority は、組織の証明機関サーバーです)。
ウィザードの設定が完了したら、[完了] をクリックします。
図 1 の [グループ ポリシー] には、コンピュータ証明書の自動登録のための新しいポリシーが表示されています。
図 1: コンピュータ証明書の自動登録の構成[グループ ポリシー] スナップインを閉じます。
[noam.reskit.com のプロパティ] ダイアログ ボックスで、[OK] をクリックします。
[Active Directory ユーザーとコンピュータ] スナップインを閉じます。
コマンド プロンプトを開いて、secedit/refreshpolicy machine_policy と入力し、ENTER キーを押します。
このコマンドによって、グループ ポリシーを直ちに実装するようにドメイン コントローラに強制します。
コマンド プロンプトを閉じます。
ルーティングとリモート アクセス サービスの構成
リモート アクセス サーバー SEA-NA-RAS-01 を構成し、RADIUS 認証および IPSec を使用した L2TP リモート アクセス接続をサポートすることが必要です。
VPN サーバー SEA-NA-RAS-01 上で以下の手順を実行します。
RADIUS 認証のためにルーティングとリモート アクセス サービスを構成して有効にするには
アカウント NOAM\Administrator を使用してログオンします。
[スタート] メニューから [プログラム] をポイントし、[管理ツール] をポイントして、[ルーティングとリモート アクセス] をクリックします。
コンソール ツリーで、[SEA-NA-RAS-01] を右クリックし、[ルーティングとリモート アクセスの構成と有効化] をクリックします。
ルーティングとリモート アクセス サーバーのセットアップ ウィザードで、[次へ] をクリックします。
[標準的な構成] ページで、[手動で構成したサーバー] をクリックし、[次へ] をクリックします。
[完了] をクリックします。
ルーティングとリモート アクセス サービスを開始するか尋ねるメッセージが表示されたら、[はい] をクリックします。
コンソール ツリーで、[SEA-NA-RAS-01] を右クリックして、[プロパティ] をクリックします。
[SEA-NA-RAS-01 のプロパティ] ダイアログ ボックスの [セキュリティ] タブの [認証プロバイダ] で、[RADIUS 認証] をクリックし、[構成] をクリックします。
[RADIUS 認証] ダイアログ ボックスで、[追加] をクリックします。
[RADIUS サーバーの追加] ダイアログ ボックスで、[サーバー名] ボックスに SEA-NA-IAS-01 と入力し (図 2 を参照)、[変更] をクリックします。
[シークレットの変更] ダイアログ ボックスの [新しいシークレット] ボックスと [新しいシークレットの確認入力] ボックスに s(5%jkw#Q9d$mP4 と入力し、[OK] をクリックします。
[RADIUS サーバーの追加] ダイアログ ボックスで、[常にデジタル署名を使う] チェック ボックスをオンにして、[OK] をクリックします。
[RADIUS 認証] ダイアログ ボックスで、[OK] をクリックします。
新しい RADIUS パラメータを有効にするには、ルーティングとリモート アクセス サービスを再開する必要があることを通知するメッセージが表示されたら、[OK] をクリックします。
図 2: RADIUS 認証用の RADIUS サーバーとして Seattle IAS サーバーを構成[SEA-NA-RAS-01] ダイアログ ボックスの [セキュリティ] タブの [アカウンティング プロバイダ] ボックスから [RADIUS アカウンティング] を選択し、[構成] をクリックします。
[RADIUS アカウンティング] ダイアログ ボックスで、[追加] をクリックします。
[RADIUS サーバーの追加] ダイアログ ボックスで、[サーバー名] ボックスに SEA-NA-IAS-01 と入力します (図 3 を参照)。
[RADIUS サーバーの追加] ダイアログ ボックスで、[変更] をクリックします。
[シークレットの変更] ダイアログ ボックスの [新しいシークレット] ボックスと [新しいシークレットの確認入力] ボックスに s(5%jkw#Q9d$mP4 と入力し、[OK] をクリックします。
[RADIUS アカウンティングのオン/オフのメッセージを送信する] チェック ボックスをオンにして、[OK] をクリックします。
[RADIUS アカウンティング] ダイアログ ボックスで、[OK] をクリックします。
新しい RADIUS パラメータを有効にするには、ルーティングとリモート アクセス サービスを再開する必要があることを通知するメッセージが表示されたら、[OK] をクリックします。
[IP] タブの [アダプタ] リストで、[SeattleSubnet] インターフェイス (Seattle イントラネットに接続するインターフェイス) を選択します。
[SEA-NA-RAS-01 (ローカル) のプロパティ] ダイアログ ボックスで、[OK] をクリックします。
この変更を有効にするためには、新しい認証プロバイダを使用して、 ルーティングとリモート アクセス サービスを再開する必要があることを通知されたら、[はい] をクリックします。
図 3: RADIUS アカウンティング用の RADIUS サーバーとして Seattle IAS サーバーを構成コンソール ツリーで、[SEA-NA-RAS-01] を右クリックし、[すべてのタスク] をポイントして、[再起動] をクリックしてルーティングとリモート アクセス サービスを再開します。
[ルーティングとリモート アクセス] スナップインを閉じます。
OSPF の構成
VPN サーバーでは、すべてのプライベート ネットワーク セグメントと通信する構成が必要です。ResKit.com では OSPF を使用して内部ルーティング情報を更新するので、VPN サーバーは OSPF を使用して内部ルーティング情報を認識する必要があります。
VPN サーバー SEA-NA-RAS-01 上で以下の手順を実行します。
VPN サーバーの OSPF を構成するには
アカウント NOAM\Administrator を使用してログオンします。
[スタート] メニューから [プログラム] をポイントし、[管理ツール] をポイントし、[ルーティングとリモート アクセス] をクリックします。
コンソール ツリーで、[SEA-NA-RAS-01] を展開し、[IP ルーティング] を展開し、[IGMP] を右クリックし、[削除] をクリックします。
IGMP バージョン2、ルーターとプロキシを削除するかどうか尋ねるメッセージが表示されたら、[はい] をクリックします。
コンソール ツリーで、[全般] を右クリックし、[新しいルーティング プロトコル] をクリックします。
[新しいルーティング プロトコル] ダイアログ ボックスで、[Open Shortest Path First (OSPF)] を選択し、[OK] をクリックします。
コンソール ツリーで、[OSPF] を右クリックし、[プロパティ] をクリックします。
[OSPF のプロパティ] ダイアログ ボックスの [領域] タブで、[0.0.0.0] を選択し、[編集] をクリックします。
[OSPF 領域の構成] ダイアログ ボックスの [全般] タブで、[普通のテキストのパスワードを有効にする] チェック ボックスをオンにします。
[範囲] タブの [宛先] ボックスに 172.16.0.0 と入力し、[ネットワーク マスク] ボックスに 255.255.252.0 と入力し、[追加] をクリックして [OK] をクリックします。
[OSPF のプロパティ] ダイアログ ボックスで、[OK] をクリックします。
コンソール ツリーで、[OSPF] を右クリックし、[新しいインターフェイス] をクリックします。
[Open Shortest Path First (OSPF) の新しいインターフェイス] ダイアログ ボックスで、[SeattleSubnet] をクリックし、[OK] をクリックします。
[OSPF プロパティ - SeattleSubnet のプロパティ] ダイアログ ボックスで、[OK] をクリックします。
[ルーティングとリモート アクセス] スナップインを閉じます。
L2TP ポートの構成
リモート アクセス ユーザーおよびデマンド ダイヤル ルーターからの同時 L2TP 接続数を最大で 300 までサポートするように SEA-NA-RAS-01 を構成する必要があります。
VPN サーバー SEA-NA-RAS-01 上で以下の手順を実行します。
最大で 300 までの接続数を許容するように L2TP ポートを構成するには
アカウント NOAM\Administrator を使用してログオンします。
[スタート] メニューから [プログラム] をポイントし、[管理ツール] をポイントして、[ルーティングとリモート アクセス] をクリックします。
コンソール ツリーで、[SEA-NA-RAS-01] を展開し、[ポート] を右クリックし、[プロパティ] をクリックします。
[ポートのプロパティ] ダイアログ ボックスで、[WAN ミニポート (L2TP)] デバイスをクリックし、[構成] をクリックします。
[デバイスの構成 - WAN ミニポート (L2TP)] ダイアログ ボックスで (図 4 を参照)、[ポートの最大数] ボックスに 300 と入力し、[OK] をクリックします。
[ポートのプロパティ] ダイアログ ボックスで、[OK] をクリックします。
[ルーティングとリモート アクセス] スナップインを閉じます。
図 4: WAN ミニポート (L2TP) デバイスのポート数を 300 に構成
L2TP パケット フィルタの構成
SEA-NA-RAS-01 で未承認のインターネット トラフィックの送受信をすべて抑止するために、SEA-NA-RAS-01 のインターネット インターフェイスに対する IP 入出力フィルタを構成する必要があります。IP 入出力フィルタを使用しない場合、インターネット インターフェイスで受信したすべてのトラフィックが転送されます。
注意
このシナリオで使用した IP 入出力フィルタでは、L2TP トラフィックに対してのみ、SEA-NA-RAS-01 を経由する転送を許容します。それぞれの組織では、セキュリティ要件に応じて、その他の IP 入出力フィルタを構成する必要があります。
VPN サーバー SEA-NA-RAS-01 上で以下の手順を実行します。
L2TP パケット フィルタを構成するには
アカウント NOAM\Administrator を使用してログオンします。
[スタート] メニューから [プログラム] をポイントし、[管理ツール] をポイントして、[ルーティングとリモート アクセス] をクリックします。
コンソール ツリーで、[SEA-NA-RAS-01] を展開し、[IP ルーティング] を展開し、[全般] をクリックします。
詳細ペインで、[DMZ] (Seattleサイトの中立ゾーンに接続する LAN 接続) を右クリックし、[プロパティ] をクリックします。
[DMZ のプロパティ] ダイアログ ボックスの [全般] タブで、[入力フィルタ] をクリックします。
[入力フィルタ] ダイアログ ボックス (図 5 を参照) で、[追加] をクリックします。
[IP フィルタの追加] ダイアログ ボックスで、以下の表に従ってダイアログ ボックスの設定を行います。表に指定のない項目は、既定の設定を使用します。
設定項目
設定操作
宛先ネットワーク
オンにします。
IP アドレス
131.107.1.131 と入力します。
サブネット マスク
255.255.255.255 と入力します。
プロトコル
[UDP] を選択します。
発信元ポート
500 と入力します。
宛先ポート
500 と入力します。
[IP フィルタの追加] ダイアログ ボックスで、[OK] をクリックします。
[入力フィルタ] ダイアログ ボックスで、[追加] をクリックします。
[IP フィルタの追加] ダイアログ ボックスで、以下の表に従ってダイアログ ボックスの設定を行います。表に指定のない項目は、既定の設定を使用します。
設定項目
設定操作
宛先ネットワーク
オンにします。
IP アドレス
131.107.1.131 と入力します。
サブネット マスク
255.255.255.255 と入力します。
プロトコル
[UDP] を選択します。
発信元ポート
1701 と入力します。
宛先ポート
1701 と入力します。
[IP フィルタの追加] ダイアログ ボックスで、[OK] をクリックします。
[入力フィルタ] ダイアログ ボックスで (図 5 を参照)、[下の条件に一致するパケットを除いたすべてのパケットを破棄する] をクリックして、[OK] をクリックします。
図 5: L2TP 入力フィルタの構成[DMZ のプロパティ] ダイアログ ボックスの [全般] タブで、[出力フィルタ] をクリックします。
[出力フィルタ] ダイアログ ボックスで、[追加] をクリックします。
[IP フィルタの追加] ダイアログ ボックスで、以下の表に従ってダイアログ ボックスの設定を行います。表に指定のない項目は、既定の設定を使用します。
設定項目
設定操作
発信元ネットワーク
オンにします。
IP アドレス
131.107.1.131 と入力します。
サブネット マスク
255.255.255.255 と入力します。
プロトコル
[UDP] を選択します。
発信元ポート
500 と入力します。
宛先ポート
500 と入力します。
[IP フィルタの追加] ダイアログ ボックスで、[OK] をクリックします。
[出力フィルタ] ダイアログ ボックスで、[追加] をクリックします。
[IP フィルタの追加] ダイアログ ボックスで、以下の表に従ってダイアログ ボックスの設定を行います。表に指定のない項目は、既定の設定を使用します。
設定項目
設定操作
発信元ネットワーク
オンにします。
IP アドレス
131.107.1.131 と入力します。
サブネット マスク
255.255.255.255 と入力します。
プロトコル
[UDP] を選択します。
発信元ポート
1701 と入力します。
宛先ポート
1701 と入力します。
[IP フィルタの追加] ダイアログ ボックスで、[OK] をクリックします。
[出力フィルタ] ダイアログ ボックスで (図 6 を参照)、[下の条件に一致するパケットを除いたすべてのパケットを破棄する] をクリックして、[OK] をクリックします。
[DMZ のプロパティ] ダイアログ ボックスで、[OK] をクリックします。
[ルーティングとリモート アクセス] スナップインを閉じます。
図 6: L2TP 出力フィルタの構成
関連するセットアップ手順
関連資料
Windows 2000 リソース キットの詳細については、こちらを参照してください。
注意
このシナリオにおいて、コンピュータおよびデバイスを構成するために使用した手続きは、サンプルとして紹介したものです。実際のネットワークでは、類似したコンピュータおよびデバイスを構成する場合でも、必要になる手順はそれぞれのケースで異なります。さらに各シナリオでは、目的とする機能を実現するために必要な手順だけを示しています。運用ネットワークにおいて必要になる、その他の手順については取り上げていません。すべてのシナリオは、特に表記しない限り Windows 2000 を使用してテストされています。また、ブラウザとして Microsoft Internet Explorer 5 以上を推奨します。