ダイヤルアップ リモート アクセス ユーザーのイントラネット接続

このシナリオでは、ダイヤルアップ電話回線を使用して、会社のイントラネットにリモート アクセス ユーザーを接続できるようにする方法を紹介します。

トピック

目的
設計のロジック
機能するしくみ
実装した方法
セットアップ手順
その他の参考資料

目的

このシナリオの目的は、次のとおりです。

• 従業員がダイヤルアップ電話回線を使用して会社のイントラネットに接続できるようにします。

• 接続プロセスの間にアドレスと名前を自動的に解決する機能を構成します。

• ダイヤルアップ リモート アクセス クライアントを自動的に構成できるようにします。

• Windows 2000 ベース以外のクライアントとの互換性を維持する一方で、高度なセキュリティを確保します。

• 認証、承認、およびアカウント管理を中央で行えるようにします。

次の「設計のロジック」では、上記の目的をどのようにして達成したかを説明します。

設計のロジック

図 1 に示したインフラストラクチャによってこのシナリオの目的を達成します。

図 1: ダイヤルアップ接続のインフラストラクチャ

このシナリオでは、Microsoft® Windows® 2000 Server を実行しているコンピュータによって、会社のネットワークに対するダイヤルアップ リモート アクセスを実現します。ダイヤルアップ リモート アクセスを使用すると、遠隔地に出かけて作業する外回り担当者や固定された場所で仕事をしている在宅勤務者が会社のネットワーク リソースにアクセスできるようになります。

Seattle サイトで Windows 2000 Server を実行しているコンピュータの 1 台には、ルーティングとリモート アクセス サービスがインストールされています。このコンピュータがリモート アクセス サーバーです。リモート アクセス サーバーは、Microsoft チャレンジ ハンドシェイク認証プロトコル version 2 (MS-CHAP v2) を使用してダイヤルアップ リモート アクセス要求を受け取るように構成されています。リモート アクセス サーバーにはダイヤルアップ装置がインストールされていて、555-0222 という電話番号に応答します。

多数のダイアルアップ クライアントの構成を自動化する手段として、リモート アクセス サーバー上で 接続マネージャ サービスを使用することによって、クライアントにインストールするクライアント接続ソフトウェアを作成します。この接続ソフトウェアには、クリックするだけでイントラネットに接続できるようにダイヤルアップ接続を構成する機能があります。このシナリオではクライアントとして Microsoft® Windows® 2000 Professional を実行しているポータブル コンピュータを使用しますが、セットアップの一部を変更すれば、Microsoft Windows NT® version 4.0、Microsoft Windows 95、または Microsoft Windows 98 を実行しているコンピュータをクライアントとして使用することもできます。

高度なセキュリティは、次の機能によって実現されています。

• MS-CHAP v2。リモート アクセス クライアントとリモート アクセス サーバーの間での双方向の認証を可能にします。MS-CHAP v2 は、Windows 95 (Dial-Up Networking 1.3 Upgrade を使用) や Windows 98 でも Windows 2000 と同様に動作します。

• Microsoft Point-to-Point 暗号化 (MPPE) 。データを暗号化するために使用されます。

さらに、すべての Windows 2000 コンピュータには、Windows 2000 高度暗号化パックがインストールされています。

Seattle サイトには仮想プライベート ネットワークとリモート アクセス サーバーがどちらも複数設定されています。したがって、リモート アクセス サーバーは、リモート認証ダイヤルイン ユーザー サービス (RADIUS) サーバーに対する RADIUS クライアントとして構成されています。RADIUS サーバーは、Windows 2000 Server を実行していて、インターネット認証サービス (IAS) が構成されているコンピュータです。IAS サーバーは、Point-to-Point プロトコル (PPP) の接続要求に対する認証および承認とリモート アクセス ポリシーの管理を中央で集中的に行う機能を持っています。

IAS サーバーでは、接続要求の認証および承認を行うために必要なユーザー アカウントのプロパティを取得するために、Seattle サイトのドメイン コントローラを使用します。noam.reskit.com ドメインはネイティブ モード ドメインなので、リモート アクセス ポリシーとしてはポリシー単位のアクセス管理モデルが選択されています。

機能するしくみ

次に、ポータブル コンピュータのユーザーが reskit.com イントラネットに接続する場合に、ダイヤルアップ接続がどのように確立されるかを、手順に従って紹介します。

1. ポータブル コンピュータ上の接続マネージャ クライアントが、reskit.com のダイヤルアップ リモート アクセス番号にダイヤルします。

2. MS-CHAP v2 を認証プロトコルとして使用して PPP 接続のネゴシエーションが行われます。このプロセスを図 2 に示します。

   
   図 2: MS-CHAP v2 のネゴシエーション

3. PPP リンクのネゴシエーション プロセスの実行中に、リモート アクセス サーバーが RADIUS Access-Request パケットを使用して、会社のサイト内の IAS サーバーに認証情報と接続パラメータを渡します。このプロセスを図 3 に示します。

   
   図 3: リモート アクセス サーバーによって送信される RADIUS Access-Request メッセージ

4. IAS サーバーがドメイン コントローラ上の Active Directory・ディレクトリ サービスを使用して、ポータブル コンピュータのユーザーの認証情報を検証します。このプロセスを図 4 に示します。

   
   図 4: ドメイン コントローラを使用した認証情報の検証

5. IAS サーバーが ポータブル コンピュータのユーザー アカウントのプロパティと、ダイヤルアップ リモート アクセス ユーザーのリモート アクセス ポリシーを使用して、接続を承認します。

6. 接続の要求が認証および承認された後で、IAS サーバーが RADIUS Access-Accept パケットをリモート アクセス サーバーに送り返します。このプロセスを図 5 に示します。

   
   図 5: IAS サーバーによって送信される RADIUS Access-Accept メッセージ

7. リモート アクセス サーバーが PPP 接続プロセスを完了し、暗号化された PPP 接続によってポータブル コンピュータが会社のイントラネットに接続されます。

実装した方法

この節では、導入実験においてシナリオを構築するために使用したセットアップ手順と、ハードウェア、ソフトウェア、および管理権限に関する前提条件を紹介します。

注意
このシナリオにおいてコンピュータおよびデバイスを構成するために使用した手続きは、サンプルとして示したものです。実際の各ネットワークでは、類似したコンピュータおよびデバイスを構成する場合でも、必要になる手順はそれぞれのケースで異なります。さらに各シナリオでは、そのシナリオの機能を実現するために必要な手順だけを示しています。運用ネットワークおいて必要になるその他の手順については取り上げていません。

管理者は、ここに記載したセットアップ手順で必要になる構成を各コンピュータで実行するための適切な権限を持たなければなりません。既定で適切な権限を割り当てられているのは、ルート ドメインに対する Administrator アカウント (NOAM\Administrator) です。このアカウントは、ドメイン コントローラの昇格が完了した後で、Enterprise Admins グループのメンバになります。しかし運用ネットワークでは、権限をさらに制限することが必要な場合もあります。このシナリオにおいて実際に使用したアカウントについては、それぞれのセットアップ手順で個別に説明します。

このセットアップ手順では、以下の構成を仮定しています。

• 各コンピュータのハード ディスクを再フォーマットし、適切なオペレーティング システムをインストールしてあります。

• 各コンピュータに適切な名前を付けてあります。

• 各コンピュータで通信を行うために適切なルーティングをセットアップしています。各コンピュータには次の IP アドレスを割り当てます。

  SEA-NA-RAS-01.noam.reskit.com	172.16.40.100/22
  SEA-NA-IAS-01.noam.reskit.com	172.16.40.15/22
  SEA-NA-DC-01.noam.reskit.com	172.16.8.11/22

  注意
  このシナリオで使用している IP アドレスは、プライベート ネットワーク用に予約された IP アドレス範囲内のアドレスです。テスト環境内やファイアウォールの背後ではこれらの IP アドレスを使用することはできますが、インターネット上では使用できません。詳細については、RFC 1918 を参照してください。

表 1 に、このシナリオのために使用したハードウェアおよびソフトウェアの一覧を示します。

表 1 このシナリオにおけるダイヤルアップ リモート アクセスの導入に使用したハー ドウェアおよびソフトウェア

コンポーネント	ハードウェア	ソフトウェア
Seattle のドメイン コントローラ SEA-NA-DC-01.noam.reskit.com	Compaq® ProLiant コンピュータ	Windows 2000 Server DNS サービス
Seattle のリモート アクセス サーバー SEA-NA-RAS-01.noam.reskit.com	Compaq ProLiant コンピュータ	Windows 2000 Server ルーティングとリモート アクセス サービス
Seattle の IAS サーバー SEA-NA-IAS-01.noam.reskit.com	Compaq ProLiant コンピュータ	Windows 2000 Server インターネット認証サービス
クライアント	Compaq Armada ポータブル コンピュータ	Windows 2000 Professional

セットアップ手順

ポータブル コンピュータから reskit.com イントラネットへの PPP ベースのダイヤルアップ リモート アクセス接続を構築するために、以下の作業を実施しました。

1. ドメイン コントローラの構成

2. リモート アクセス サーバーの構成

3. インターネット認証サービス サーバーの構成

4. 接続マネージャ クライアント ソフトウェアの作成と配布

5. ポータブル コンピュータの構成

図 6 は、このシナリオで使用したコンピュータを示しています。

図 6: PPP ベースのダイヤルアップ リモート アクセス接続に使用したコンピュータ

その他の参考資料

Microsoft Windows 2000 Server リソース キット

• VPN の詳細については、『Microsoft Windows 2000 Server リソース キット 5 ネットワーク ガイド』の「第 9 章 仮想プライベート ネットワーキング (概要紹介) 」を参照してください。

• Windows 2000 における PPP 接続のサポートの詳細については、『Microsoft Windows 2000 Server リソース キット 5 ネットワーク ガイド』の「第 7 章 リモート アクセス サーバー」を参照してください。

• ダイヤルアップ接続に関する計画の詳細については、『Microsoft Windows 2000 Server リソース キット 1 導入ガイド』の「第 6 章 Windows 2000 導入のためのネットワーク インフラストラクチャの準備」と「第 7 章 ネットワーク接続方針の確定」を参照してください。

Windows 2000 ドキュメント

• リモート アクセスの詳細については、Window 2000 Server ヘルプ の「ネットワーク」の「ルーティングとリモート アクセス」の「リモート アクセス」を参照してください。

• Windows 2000 の導入の詳細については、『Planning and Deployment』 (英語) を参照してください。

• Windows 2000 インフラストラクチャの詳細については、『Step-by-Step Guides』 (英語) を参照してください。

RFC (Requests for Comments)

• PPP の詳細については、RFC Editor Web サイト (英語) の RFC 1661、「The Point-to-Point Protocol (PPP) 」を参照してください。

Microsoft Press

• Windows 2000 についてさらに詳しく理解したい方は、Windows 2000 関連書籍のタイトルを Microsoft Press Web サイトで参照してください。

• Windows 2000 の MCSE トレーニングについて詳しくは、『Upgrading to Microsoft® Windows® 2000 Training Kit (Beta Edition)』 (英語) を参照してください。

導入実験の詳細と協力企業について

• 導入実験、および導入実験に提供されたハードウェアに関する情報については、『導入実験のハードウェア仕様』を参照してください。

リソース キット導入実験シナリオの凡例

• Microsoft Windows 2000 リソース キット導入実験シナリオのネットワーク図で使用されている略語や記号について詳しくは、『導入実験シナリオの凡例』を参照してください。

リソース キット導入実験のネットワーク図

• ネットワークの設計、ネットワーク ルーティング設計、ドメイン ネーム システム (DNS) 設計、および Active Directory 階層の高水準の編成については、『導入実験のネットワーク図』を参照してください。

関連資料

Windows 2000 Server リソース キット 購入ページ

Windows 2000 Professional リソース キット 購入ページ

Windows 2000 リソース キットの詳細については、こちらを参照してください。

注意
このシナリオにおいて、コンピュータおよびデバイスを構成するために使用した手続きは、サンプルとして紹介したものです。実際のネットワークでは、類似したコンピュータおよびデバイスを構成する場合でも、必要になる手順はそれぞれのケースで異なります。さらに各シナリオでは、目的とする機能を実現するために必要な手順だけを示しています。運用ネットワークにおいて必要になる、その他の手順については取り上げていません。すべてのシナリオは、特に表記しない限り Windows 2000 を使用してテストされています。また、ブラウザとして Microsoft Internet Explorer 5 以上を推奨します。
Last Updated: Wednesday, February 07, 2001