PPTP によるインターネット経由でリモート ユーザーに接続
このシナリオでは、PPTP (Point-to-Point Tunneling Protocol) を使用し、リモート アクセス ユーザーをインターネット経由で企業イントラネットに接続させる方法を紹介します。
トピック
目的
設計のロジック
機能するしくみ
実装した方法
セットアップ手順
その他の参考資料
目的
このシナリオの目的は以下のとおりです。
移動先または特定の場所からインターネット経由で企業イントラネットに接続する手段を従業員に提供します。
接続手順中にアドレスおよび名前の解決機能の構成を自動的に 実行します。
クライアント ソフトウェアの効率的なインストールを可能にし、ネットワークに対するシングルクリック リモート クライアント アクセスを有効にします。
非 Windows 2000 クライアント コンピュータとの互換性を維持しながら、高水準のセキュリティを保証します。
集中的な認証処理、承認処理、アカウント処理を実現します。
複数の場所で利用可能 (multiple points of presence: POP) な自動的に更新されるカスタム電話帳を提供します。
次の「設計のロジック」では、このシナリオのインフラストラクチャで上記の目的をどのようにして達成したか説明します。
設計のロジック
このシナリオの目的を達成するためのインフラストラクチャを図 1 に示します。
.gif "ras03-07")
図 1: PPTP ベースのリモート アクセス インフラストラクチャ
このシナリオでは、Microsoft® Windows® 2000 Server の動作するコンピュータを仮想プライベート ネットワーク (VPN) サーバーとして機能させることで、インターネットに接続していて VPN クライアントとして機能しているクライアント コンピュータに企業イントラネットへのリモート アクセスを提供します。
このような接続を有効にするために、Seattle サイト内の Windows 2000 ベースのサーバー (Seattle リモート アクセス サーバー) 上でルーティングとリモート アクセス サービスを構成します。Seattle リモート アクセス サーバーは、Point-to-Point トンネリング プロトコル (PPTP) を使用して VPN リモート アクセス クライアント要求を受信する VPN サーバーとして構成します。PPTP をサポートする OS は、Microsoft® Windows® 95、Microsoft® Windows® 98、および Microsoft® Windows NT® Version 4.0 です。このシナリオでは、Windows 2000 ベースの VPN クライアントと、MS-CHAP v2 (Microsoft 暗号化認証 バージョン 2) を使用します。
多数のダイヤルアップ クライアントの構成を自動化するために、接続ポイント サービス (CPS) サーバー上で接続マネージャサービス プロファイルを使用して、クライアントにインストールするクライアント接続ソフトウェアを作成します。この接続ソフトウェアによって、イントラネットへのシングルクリック アクセスが可能なダイヤルアップ接続が構成されます。費用対効果の面で優れているため、アクセス サポートはインターネット サービス プロバイダ (ISP) に外部委託されています。そして、ISP から提供されているアクセス番号をクライアント ソフトウェアに組み込みます。このシナリオでは、Microsoft® Windows® 2000 Professional の動作するポータブル コンピュータを使用します。しかし、セットアップ手順を若干変更すれば、Windows 95 または Windows 98 の動作するコンピュータをクライアントとして使用できます。
以下のコンポーネントによって、高いセキュリティ レベルが保証されます。
MS-CHAP v2。リモート アクセス ユーザーと VPN サーバー間の相互認証を可能にします。MS-CHAP v2 がサポートされるのは、Windows 95 (ダイヤルアップ ネットワーク 1.3 アップグレードを適用する必要があります)、Windows 98、および Windows 2000 です。
Microsoft Point-to-Point 暗号化 (MPPE)。VPN サーバーと VPN クライアント間で送信されるデータを対象にした暗号化サービスを提供します。
さらに、このシナリオで使用する Windows 2000 ベースのすべてのコンピュータに Windows 2000 高度暗号化パックがインストールされていて、インターネットと VPN サーバー間のファイアウォールとして Cisco 7505 ルーターが使用されています。
Seattle サイトには複数の VPN/リモート アクセス サーバーが存在するので、VPN サーバーを RADIUS (リモート 認証 ダイヤルイン ユーザー サービス) サーバーに対する RADIUS クライアントとして構成します。RADIUS サーバーは、インターネット認証サービス (IAS) を実行する Windows 2000 Server ベースのコンピュータです。IAS サーバーは、Point-to-Point プロトコル (PPTP) 接続要求に対する集中化された認証および承認、およびリモート アクセス ポリシーに対する集中化された管理作業を可能にします。
IAS サーバーでは、接続の試行を認証および承認するために、Seattle サイト ドメイン コントローラを使用してユーザー アカウントのプロパティを取得します。このシナリオでは、noam.reskit.com ドメインがネイティブ モード ドメインであるため、リモート アクセス ポリシーのためにポリシーによるアクセス管理モデルを使用しています。
機能するしくみ
インターネットに接続するポータブル コンピュータから Reskit.com イントラネットへの PPTP 接続を確立する手順は以下のとおりです。
ポータブル コンピュータ上の接続マネージャ クライアント コンポーネントはサービス プロバイダに接続した後、PPTP トンネルを確立するために VPN サーバーとネゴシエートします (図 2 を参照)。
.gif "ras03-08")
図 2: PPTP トンネルのネゴシエーション
PPTP トンネルが確立された後、認証プロトコルとして MS-CHAP v2 が使用され、それによって PPP 接続がネゴシエートされます (図 3 を参照)。
.gif "ras03-09")
図 3: MS-CHAP v2 ネゴシエーション
PPP リンク ネゴシエーション プロセス中に、VPN サーバーは RADIUS Access-Request パケットを使用して、企業サイト内の IAS サーバーに認証資格情報と接続パラメータを渡します (図 4 を参照)。
.gif "ras02-07")
図 4: VPN サーバーによる RADIUS Access-Request メッセージの送信
IAS サーバーは、ローカル ドメイン コントローラを照会することによってポータブル コンピュータ ユーザーの認証資格情報を確認します (図 5 を参照)。
.gif "ras02-08")
図 5: ドメイン コントローラを使用した認証資格情報の確認
IAS サーバーは、ポータブル コンピュータのユーザー アカウントのプロパティと "PPTP Remote Access Users" リモート アクセス ポリシーを使用して接続を承認します。
IAS サーバーは、接続の試行が認証、承認された後、RADIUS Access-Accept パケットを VPN サーバーに返信します (図 6 を参照)。
.gif "ras02-09")
図 6: IAS サーバーによる RADIUS Access-Accept メッセージの送信
VPN サーバーが PPP 接続プロセスを完了すると、ポータブル コンピュータが暗号化 PPTP 接続を使用してインターネット経由で企業イントラネットに接続します。
実装した方法
ここで示すセットアップ手順は、リソース キット導入実験シナリオを構築し、ハードウェア、ソフトウェア、および管理面の権限に関する要件を特定するときに使用したものです。
注意
このシナリオにおいてコンピュータおよびデバイスを構成するために使用した手続きはサンプルとして示したものです。実際の各ネットワークでは、類似したコンピュータおよびデバイスを構成する場合でも、必要になる手順はそれぞれのケースで異なります。さらに各シナリオでは、そのシナリオの機能を実現するために必要な手順だけを示しています。運用ネットワークにおいて必要になるその他の手順については取り上げていません。
管理者は、ここに記載したセットアップ手順で必要になる構成を各コンピュータで実行するための適切な権限を持たなければなりません。既定の設定でルート ドメイン の Administrator アカウント (NOAM\Administrator) は適切な権限を持ちます。このアカウントは、ドメイン コントローラを昇格させた後、Enterprise Admins グループのメンバになります。しかし運用ネットワークでは、権限をさらに制限することが必要な場合もあります。このシナリオのセットアップ手順で使用したアカウントについて説明しておきます。
このセットアップ手順では、以下の構成を仮定しています。
各コンピュータ上のハードドライブが再フォーマットされていて、適切なオペレーティング システムがインストールされています。
各コンピュータに名前が付けられています。
コンピュータが通信するためのルーティングがセットアップされていて、以下の IP アドレスがコンピュータに割り当てられる状態にあります。
SEA-NA-RAS-01.noam.reskit.com
172.16.40.18/22, 131.107.1.131/25
SEA-NA-IAS-01.noam.reskit.com
172.16.40.15/22
SEA-NA-DC-01.noam.reskit.com
172.16.8.11/22
SEA-NA-CPS-01.noam.reskit.com
172.16.20.12/22
注意
172.16.0.0/16 の範囲の IP アドレスは、プライベート ネットワーク用に予約された IP アドレス範囲内にあります。テスト環境内やファイアウォールの背後ではこれらの IP アドレスを使用することはできますが、インターネット上では使用できません。詳細については、RFC 1918 を参照してください。
表 1 に、リソース キット導入実験シナリオを開発するために使用したハードウェアおよびソフトウェアのリストを示します。
表 1 リソースキット導入実験で PPTP ベースのリモート アクセスを導入するために使用したコンポーネント
コンポーネント |
ハードウェア |
ソフトウェア |
|---|---|---|
Seattle ドメイン コントローラ SEA-NA-DC-01. noam.reskit.com |
Compaq ProLiant コンピュータ |
Windows 2000 Server Active Directory DNS サービス |
Seattle 仮想プライベート ネットワーク サーバー SEA-NA-RAS-01. noam.reskit.com |
Compaq ProLiant コンピュータ |
Windows 2000 Server ローカル エリア ネットワーク (LAN) インターフェイス SeattleSubnet および DMZ を構成したルーティングとリモート アクセス サービス |
Seattle RADIUS サーバー SEA-NA-IAS-01. noam.reskit.com |
Compaq ProLiant コンピュータ |
Windows 2000 Server インターネット認証サービス |
Seattle 接続ポイント サービス サーバー SEA-NA-CPS-01. noam.reskit.com |
Compaq ProLiant コンピュータ |
Windows 2000 Server (NTFS ファイル システムを使用) インターネット インフォメーション サービス 電話帳サービス Phone Book Administrator |
境界ネットワーク ルーターおよびファイアウォール SEA-RKE-CISCO-01. |
Cisco 7505 ルーター |
Cisco Internet Operating System (IOS) version 12.0 (5) XU VPN サーバーに対する PPTP トラフィックを許容するアクセス リスト |
クライアント |
Compaq Armadaポータブル コンピュータ |
Windows 2000 Professional |
セットアップ手順
ポータブル コンピュータから Reskit.com イントラネットへの PPTP ベースのリモート アクセス VPN 接続をインターネット経由で確立するために、以下の作業を実施しました。
その他の参考資料
導入実験のシナリオ
ダイヤルアップ リモート アクセス接続について詳しくは、導入実験のシナリオの『ダイヤルアップ リモート アクセス ユーザーのイントラネット接続』を参照してください。
L2TP ベースのリモート アクセス接続について詳しくは、導入実験シナリオの『L2TP によるインターネット経由でリモート ユーザーに接続』を参照してください。
Windows 2000 リソース キット
VPN の詳細については、『Microsoft Windows 2000 Server リソース キット 5 ネットワーク ガイド』の「第 9 章 仮想プライベート ネットワーキング (概要紹介)」 (英語) を参照してください。
Windows 2000 における PPP 接続のサポートの詳細については、『Microsoft Windows 2000 Server リソース キット 5 ネットワーク ガイド』の「第 7 章 リモート アクセス サーバー」を参照してください。
VPN 接続の計画の詳細については、『Microsoft Windows 2000 Server リソース キット 1 導入ガイド』の「第 6 章 Windows 2000 導入のためのネットワークインフラストラクチャの準備」および「第 7 章 ネットワーク接続方針の確定」を参照してください。
Windows 2000 ドキュメント
VPN の詳細については、Window 2000 Server ヘルプ の「ネットワーク」の「仮想プライベート ネットワーク」を検索してください。
Windows 2000 の導入の詳細については、『Planning and Deployment』 (英語) を参照してください。
Windows 2000 インフラストラクチャの詳細については、『Step-by-Step Guides』 (英語) を参照してください。
RFC (Requests for Comments)
- PPTP について詳しくは、RFC Editor Web サイト
.gif "leave-ms")
(英語) の RFC 2637、「Point-to-Point Tunneling Protocol」を参照してください。
ホワイト ペーパー
- VPN について詳しくは、『仮想プライベート ネットワーク: 概要』、『プライバシ保護された Microsoft ネットワーク アクセス:仮想プライベート ネットワークおよびイントラネット セキュリティ』、および『Virtual Private Networking』 (英語) を参照してください。
Microsoft Press
Windows 2000 についてさらに詳しく理解したい方は、Windows 2000 関連書籍のタイトルを Microsoft Press Web サイトで参照してください。
Windows 2000 の MCSE トレーニングについて詳しくは、『Upgrading to Microsoft Windows 2000 トレーニングキット (ベータ版)』を参照してください。
Windows 2000 の TCP/IP プロトコル セットとその実装について詳しくは、『Microsoft Windows 2000テクニカルリファレンス TCP/IPプロトコル&サービス』を参照してください。
導入実験の詳細と協力企業について
- 導入実験、および導入実験に提供されたハードウェアに関する情報については、『導入実験のハードウェア仕様』を参照してください。
リソース キット導入実験シナリオの凡例
- Microsoft Windows 2000 リソース キット導入実験シナリオのネットワーク図で使用されている略語や記号について詳しくは、『導入実験シナリオの凡例』を参照してください。
リソース キット導入実験のネットワーク図
- ネットワークの設計、ネットワーク ルーティング設計、ドメイン ネーム システム (DNS) 設計、および Active Directory 階層の高水準の編成については、『導入実験のネットワーク図』を参照してください。
関連するシナリオ
PPTP によるインターネット経由でリモート ユーザーに接続
関連資料
Windows 2000 Server リソース キット 購入ページ
Windows 2000 Professional リソース キット 購入ページ
Windows 2000 リソース キットの詳細については、こちらを参照してください。
注意
このシナリオにおいて、コンピュータおよびデバイスを構成するために使用した手続きは、サンプルとして紹介したものです。実際のネットワークでは、類似したコンピュータおよびデバイスを構成する場合でも、必要になる手順はそれぞれのケースで異なります。さらに各シナリオでは、目的とする機能を実現するために必要な手順だけを示しています。運用ネットワークにおいて必要になる、その他の手順については取り上げていません。すべてのシナリオは、特に表記しない限り Windows 2000 を使用してテストされています。また、ブラウザとして Microsoft Internet Explorer 5 以上を推奨します。