Seattle ルーターの構成

このシナリオでは、以下の手順を実行しました。

トピック

コンピュータ証明書のインストール
ルーティングとリモート アクセス サービスの構成
PPTP ポートの構成
デマンドダイヤル インターフェイスの構成
OSPF の構成
静的ルートの構成
PPTP パケット フィルタの構成

コンピュータ証明書のインストール

EAP-TLS で認証される接続では、応答側ルーターに "コンピュータ証明書" をインストールする必要があります。Seattle サイト内の証明機関によるコンピュータ証明書の自動登録処理によって、ドメイン内のすべてのメンバにコンピュータ証明書がインストールされます。

Seattle ドメイン コントローラ SEA-NA-DC-01 上で以下の手順を実行します。

noam.reskit.com ドメイン内のすべてのコンピュータを対象にしたコンピュータ証明書の自動登録処理を構成するには

1. アカウント NOAM\Administrator を使用してログオンします。

2. [スタート] メニューから [プログラム] をポイントし、[管理ツール] をポイントし、[Active Directory ユーザーとコンピュータ] をクリックします。

3. コンソール ツリーで、[Active Directory ユーザーとコンピュータ] を展開し、[noam.reskit.com] を展開します。

4. [noam.reskit.com] を右クリックし、[プロパティ] をクリックします。

5. [noam.reskit.com のプロパティ] ダイアログ ボックスの [グループ ポリシー] タブで、[Default Domain Policy] を選択し、[編集] をクリックします。

6. [グループ ポリシー] スナップインで、[コンピュータの構成]、[Windows 設定]、[セキュリティ設定]、[公開キーのポリシー] を順に展開します。

7. [自動証明書要求の設定] を右クリックし、[新規作成] をクリックし、[自動証明要求] をクリックします。

8. 自動証明書要求セットアップ ウィザードが表示されたら、以下の表の設定をウィザードに指定します。表に指定のない項目は、既定の設定を使用します。

   ウィザードのページ	設定操作
   証明書のテンプレート	[コンピュータ] を選択します。
   Certificate Authority	[your_certificate_authority] をクリックします (your_certificate_authority は、組織の証明機関サーバーです)。

9. ウィザードの設定が完了したら、[完了] をクリックします。

   図 1 の [グループ ポリシー] スナップインには、コンピュータ証明書の自動登録のための新しいグループ ポリシーが表示されています。

   

   図 1: コンピュータ証明書の自動登録の構成

10. [グループ ポリシー] スナップインを閉じます。

11. [noam.reskit.com のプロパティ] ダイアログ ボックスで、[OK] をクリックします。

12. [Active Directory ユーザーとコンピュータ] スナップインを閉じます。

13. コマンド プロンプトを開いて、secedit/refreshpolicy machine_policy と入力し、ENTER キーを押します。

    このコマンドによって、グループ ポリシーを直ちに実装するようにドメイン コントローラに強制します。

14. コマンド プロンプトを閉じます。

ルーティングとリモート アクセス サービスの構成

Seattle ルーター SEA-NA-RAS-01 では、RADIUS 認証を使用することにより、PPTP ベースの EAP で認証されたデマンドダイヤル接続をサポートする構成が必要です。

SEA-NA-RAS-01 上で以下の手順を実行します。

内部ルート パスを検索するデマンドダイヤル ルーターを構成するには

1. アカウント NOAM\Administrator を使用してログオンします。

2. [スタート] メニューから、[ファイル名を指定して実行] をクリックします。

3. [ファイル名を指定して実行] ダイアログ ボックスで、[名前] ボックスに cmd と入力し、[OK] をクリックします。

4. コマンド プロンプトで、route add 172.16.0.0 mask 255.255.0.0 172.16.40.1 と入力し、ENTER キーを押します。

5. コマンド プロンプトを閉じます。

   注意
   SEA-NA-RAS-01 のデフォルト ゲートウェイは、境界ルーター SEA-RKE-CISCO-01 です。したがって SEA-NA-RAS-01 は、Seattle プライベート ネットワーク内のすべてのサブネットを検索する方法を把握していません。この静的なルートによって、SEA-NA-RAS-01 で一時的にすべての内部ルートを検索することを可能にします。OSPF の構成後の手順で、この静的ルートは削除します。

SEA-NA-RAS-01 上で以下の手順を実行します。

RADIUS 認証のためにルーティングとリモート アクセス サービスを構成して有効にするには

1. アカウント NOAM\Administrator を使用してログオンします。

2. [スタート] メニューから [プログラム] をポイントし、[管理ツール] をポイントし、[ルーティングとリモート アクセス] をクリックします。

3. コンソール ツリーで、[SEA-NA-RAS-01 (ローカル)] を右クリックし、[ルーティングとリモート アクセスの構成と有効化] をクリックします。

4. ルーティングとリモート アクセス サーバーのセットアップ ウィザードで、[次へ] をクリックします。

5. [標準的な構成] ページで、[手動で構成したサーバー] をクリックし、[次へ] をクリックします。

6. [完了] をクリックします。

7. ルーティングとリモート アクセス サービスを開始するか尋ねるメッセージが表示されたら、[はい] をクリックします。

8. コンソール ツリーで、[SEA-NA-RAS-01 (ローカル)] を右クリックして、[プロパティ] をクリックします。

9. [SEA-NA-RAS-01 (ローカル) のプロパティ] ダイアログ ボックスの [セキュリティ] タブで、[認証プロバイダ] から [RADIUS 認証] を選択し、[構成] をクリックします。

10. [RADIUS 認証] ダイアログ ボックスで、[追加] をクリックします。

11. [RADIUS サーバーの追加] ダイアログ ボックスで、[サーバー名] ボックスに SEA-NA-IAS-01 と入力し (図 2 を参照) 、[変更] をクリックします。

12. [シークレットの変更] ダイアログ ボックスで、[新しいシークレット] と [新しいシークレットの確認入力] ボックスに s(5%jkw#Q9d$mP4 と入力し、[OK] をクリックします。

13. [RADIUS サーバーの追加] ダイアログ ボックスで、[常にデジタル署名を使う] チェック ボックスをオンにして、[OK] をクリックします。

14. [RADIUS 認証] ダイアログ ボックスで、[OK] をクリックします。

15. 新しい RADIUS パラメータを有効にするには、ルーティングとリモート アクセス サービスを再開する必要があることを通知するメッセージが表示されたら、[OK] をクリックします。

    

    図 2: RADIUS 認証用の RADIUS サーバーとして Seattle IAS サーバーを構成

16. [SEA-NA-RAS-01 (ローカル) のプロパティ] ダイアログ ボックスの [セキュリティ] タブで、[アカウンティング プロバイダ] ボックスから [RADIUS アカウンティング] を選択し、[構成] をクリックします。

17. [RADIUS アカウンティング] ダイアログ ボックスで、[追加] をクリックします。

18. [RADIUS サーバーの追加] ダイアログ ボックスで、[サーバー名] ボックスに SEA-NA-IAS-01 と入力します (図 3 を参照)。

19. [変更] をクリックします。

20. [シークレットの変更] ダイアログ ボックスで、 [新しいシークレット] と [新しいシークレットの確認入力] ボックスに s(5%jkw#Q9d$mP4 と入力し、[OK] をクリックします。

21. [RADIUS アカウンティングのオン/オフのメッセージを送信する] チェック ボックスをオンにして、[OK] をクリックします。

22. [RADIUS アカウンティング] ダイアログ ボックスで、[OK] をクリックします。

23. 新しい RADIUS パラメータを有効にするには、ルーティングとリモート アクセス サービスを再開する必要があることを通知するメッセージが表示されたら、[OK] をクリックします。

24. [セキュリティ] タブで [認証方法] をクリックします。

25. [認証方法] ダイアログ ボックスで、以下の表に従ってダイアログ ボックスの設定を行います。表に指定のない項目は、既定の設定を使用します。

    ダイアログ ボックスのフィールド	設定操作
    拡張認証プロトコル (EAP)	オンにします。
    Microsoft 暗号化認証バージョン 2 (MS-CHAP v2)	オフにします。
    Microsoft 暗号化認証 (MS-CHAP)	オフにします。

26. [認証方法] ダイアログ ボックスで、[OK] をクリックします。

27. [SEA-NA-RAS-01 (ローカル) のプロパティ] ダイアログ ボックスの [IP] タブの [アダプタ] リストで、[SeattleSubnet] インターフェイス (Seattle イントラネットに接続したインターフェイス) を選択します。

28. [IP] タブの [IP アドレスの割り当て] で、[静的アドレス プールを使う] をクリックし、[追加] をクリックします。

29. [新しいアドレス範囲] ダイアログ ボックスで、以下の表に従ってダイアログ ボックスの設定を行います。表に指定のない項目は、既定の設定を使用します。

    ダイアログ ボックスのフィールド	設定操作
    開始 IP アドレス	172.31.0.1 と入力します。
    終了 IP アドレス	172.31.0.128 と入力します。

30. [新しいアドレス範囲] ダイアログ ボックスで、[OK] をクリックします。

31. [SEA-NA-RAS-01 (ローカル) のプロパティ] ダイアログ ボックスで、[OK] をクリックします。

32. この変更を有効にするためには、新しい認証プロバイダを使用して、 ルーティングとリモート アクセス サービスを再開する必要があることを通知されたら、[はい] をクリックします。

    

    図 3: RADIUS アカウンティング用の RADIUS サーバーとして Seattle IAS サーバーを構成

33. コンソール ツリーで、[SEA-NA-RAS-01] を右クリックし、[すべてのタスク] をポイントして、[再起動] をクリックしてルーティングとリモート アクセス サービスを再開します。

34. [ルーティングとリモート アクセス] スナップインを閉じます。

PPTP ポートの構成

リモート アクセス ユーザーおよびデマンド ダイヤル ルーターからの同時 PPTP 接続数を最大で 300 までサポートするように SEA-NA-RAS-01 を構成する必要があります。

SEA-NA-RAS-01 上で以下の手順を実行します。

最大で 300 までの接続数を許容するように PPTP ポートを構成するには

1. アカウント NOAM\Administrator を使用してログオンします。

2. [スタート] メニューから [プログラム] をポイントし、[管理ツール] をポイントして、[ルーティングとリモート アクセス] をクリックします。

3. コンソール ツリーで、[SEA-NA-RAS-01 (ローカル)] を展開し、[ポート] を右クリックし、[プロパティ] をクリックします。

4. [ポートのプロパティ] ダイアログ ボックスで、[WAN ミニポート (PPTP)] を選択し、[構成] をクリックします。

5. [デバイスの構成 - WAN ミニポート (PPTP)] ダイアログ ボックスで (図 4 を参照)、[ポートの最大数] ボックスに 300 と入力し、[OK] をクリックします。

6. [ポートのプロパティ] ダイアログ ボックスで、[OK] をクリックします。

7. [ルーティングとリモート アクセス] スナップインを閉じます。

   

   図 4: WAN ミニポート (PPTP) デバイスのポート数を 300 に構成

デマンドダイヤル インターフェイスの構成

Supplier ルーターによって開始された接続を Seattle ルーターでデマンドダイヤル接続として認識するために、デマンドダイヤル インターフェイスが必要です。さらに、Supplier ルーターからエクストラネット ネットワーク セグメントへのトラフィックを制限するパケット フィルタを構成します。

SEA-NA-RAS-01 上で以下の手順を実行します。

Supplier ルーターに対するデマンドダイヤル インターフェイスを作成するには

1. アカウント NOAM\Administrator を使用してログオンします。

2. [スタート] メニューから [プログラム] をポイントし、[管理ツール] をポイントし、[ルーティングとリモート アクセス] をクリックします。

3. コンソール ツリーで、[SEA-NA-RAS-01 (ローカル)] を展開し、[ルーティング インターフェイス] を右クリックし、[新しいデマンドダイヤル インターフェイス] をクリックします。

4. デマンドダイヤル インターフェイス ウィザードで、以下の表の設定を指定します。表に指定のない項目は、既定の設定を使用します。

   ウィザードのページ	設定操作
   インターフェイスの名前	[インターフェイス名] ボックスに SupplierRouter と入力します。
   接続の種類	[仮想プライベート ネットワーク (VPN) を使って接続する] をオンにします。
   VPN の種類	[Point-to-Point トンネリング プロトコル (PPTP)] をクリックします。
   接続先のアドレス	[ホスト名または IP アドレス] ボックスに 192.168.1.253 と入力します。
   ダイヤル アウトのアカウント情報	[ユーザー名] ボックスに SeattleRouter と入力します。 そして [ドメイン] ボックスに PARTNER と入力します。 [パスワード] ボックスと [パスワードの確認入力] ボックスに =sR84k,3;mw49 と入力します。

5. ウィザードの設定が完了したら、[完了] をクリックします。

   重要 デマンドダイヤル インターフェイス (SupplierRouter) のユーザー名は、Seattle ルーターによって認証される San Jose ルーターのユーザー名と一致する必要があります。そうでない場合、San Jose ルーターからの要求の受信時に、Seattle 内でデマンドダイヤル インターフェイスがアクティブになりません。

6. 詳細ペインで、[SupplierRouter] を右クリックし、[プロパティ] をクリックします。

7. [SupplierRouter] ダイアログ ボックスの [オプション] タブで、[デマンド ダイヤル] をクリックします。

8. [切断するまでの待ち時間] で、[10 分] を選択します。

9. [ネットワーク] タブで、 [呼び出す VPN サーバーの種類] から [Point-to-Point トンネリング プロトコル] を選択し、[OK] をクリックします。

10. コンソール ツリーで、[IP ルーティング] を展開し、[全般] をクリックします。

11. 詳細ペインで、[SupplierRouter] を右クリックし、[プロパティ] をクリックします。

12. [SupplierRouter のプロパティ] ダイアログ ボックスの [全般] タブで、[入力フィルタ] をクリックします。

13. [入力フィルタ] ダイアログ ボックスで、[追加] をクリックします。

14. [IP フィルタの追加] ダイアログ ボックスで、以下の表に従ってダイアログ ボックスの設定を行います。表に指定のない項目は、既定の設定を使用します。

    ダイアログ ボックスのフィールド	設定操作
    宛先ネットワーク	オンにします。
    IP アドレス	131.107.1.160 と入力します。
    サブネット マスク	255.255.255.224 と入力します。

    メモ IP 入力フィルタによって、エクストラネット ネットワーク セグメント (131.107.1.160/27) 宛てのトラフィックの転送のみが許容されます。

15. [IP フィルタの追加] ダイアログ ボックスで、[OK] をクリックします。

16. [入力フィルタ] ダイアログ ボックスで、[下の条件に一致するパケットを除いたすべてのパケットを破棄する] をオンにして、[OK] をクリックします。

17. [SupplierRouter のプロパティ] ダイアログ ボックスの [全般] タブで、[出力フィルタ] をクリックします。

18. [出力フィルタ] ダイアログ ボックスで、[追加] をクリックします。

19. [IP フィルタの追加] ダイアログ ボックスで、以下の表に従ってダイアログ ボックスの設定を行います。表に指定のない項目は、既定の設定を使用します。

    ダイアログ ボックスのフィールド	設定操作
    発信元ネットワーク	オンにします。
    IP アドレス	131.107.1.160 と入力します。
    サブネット マスク	255.255.255.224 と入力します。

    メモ IP 出力フィルタによって、エクストラネット ネットワーク セグメント (131.107.1.160/27) から送信されたトラフィックの転送のみが許容されます。

20. [IP フィルタの追加] ダイアログ ボックスで、[OK] をクリックします。

21. [出力フィルタ] ダイアログ ボックスで、[下の条件に一致するパケットを除いたすべてのパケットを破棄する] をオンにして、[OK] をクリックします。

22. [SupplierRouter のプロパティ] ダイアログ ボックスで、[OK] をクリックします。

23. [ルーティングとリモート アクセス] スナップインを閉じます。

OSPF の構成

Seattle デマンドダイヤル ルーター (SEA-NA-RAS-01) をすべてのプライベート ネットワーク セグメントと通信するように構成する必要があります。ResKit.com では OSPF を使用して内部ルーティング情報を更新するので、Seattle デマンドダイヤル ルーターは OSPF を使用して内部ルーティング情報を認識する必要があります。

Seattle デマンドダイヤル ルーター SEA-NA-RAS-01 で以下の手順を実行します。

OSPF を使用するように Seattle デマンドダイヤル ルーターを構成するには

1. アカウント NOAM\Administrator を使用してログオンします。

2. [スタート] メニューから [プログラム] をポイントし、[管理ツール] をポイントし、[ルーティングとリモート アクセス] をクリックします。

3. コンソール ツリーで、[SEA-NA-RAS-01 (ローカル)] を展開し、[IPルーティング] を展開し、[全般] をクリックします。

4. コンソール ツリーで、[全般] を右クリックし、[新しいルーティング プロトコル] をクリックします。

5. [新しいルーティング プロトコル] ダイアログ ボックスで、[Open Shortest Path First (OSPF)] を選択し、[OK] をクリックします。

6. コンソール ツリーで、[OSPF] を右クリックし、[プロパティ] をクリックします。

7. [OSPF のプロパティ] ダイアログ ボックスの [領域] タブで、[0.0.0.0] を選択し、[編集] をクリックします。

8. [OSPF 領域の構成] ダイアログ ボックスの [全般] タブで、[普通のテキストのパスワードを有効にする] チェック ボックスをオンにします。

9. [範囲] タブで、[宛先] ボックスに 172.16.0.0 と入力し、[ネットワーク マスク] ボックスに 255.255.252.0 と入力し、[追加] をクリックして [OK] をクリックします。

10. [OSPF のプロパティ] ダイアログ ボックスで、[OK] をクリックします。

11. コンソール ツリーで、[OSPF] を右クリックし、[新しいインターフェイス] をクリックします。

12. [Open Shortest Path First (OSPF) の新しいインターフェイス] ダイアログ ボックスで、[SeattleSubnet] を選択し、[OK] をクリックします。

13. [OSPF プロパティ - SeattleSubnet のプロパティ] ダイアログ ボックスで、[OK] をクリックします。

14. [ルーティングとリモート アクセス] スナップインを閉じます。

Seattle デマンドダイヤル ルーター SEA-NA-RAS-01 で以下の手順を実行します。

OSPF を機能させた後、先に追加した静的ルートを削除するには

1. アカウント NOAM\Administrator を使用してログオンします。

2. [スタート] メニューから、[ファイル名を指定して実行] をクリックします。

3. [ファイル名を指定して実行] ダイアログ ボックスで、[名前] ボックスに cmd と入力し、[OK] をクリックします。

4. コマンド プロンプトで、route delete 172.16.0.0 と入力し、ENTER キーを押します。

5. コマンド プロンプトを閉じます。

静的ルートの構成

Seattle ネットワークおよび Supplier ネットワークでは、それぞれのプライベート ネットワーク内のルーティング情報を保持するために OSPF を使用しています。しかし、Seattle ルーターと Supplier ルーター間でルーティング情報が直接交換されることはありません。Seattle ルーター (SEA-NA-RAS-01) から Supplier ルーター (SJC-SP-RAS-01) に接続する場合に適切なルート パスを使用できるように、Seattle デマンドダイヤル ルーターに静的ルートを追加する必要があります。さらに、Seattle ルーターで Supplier プライベート ネットワーク内のネットワーク セグメントを認識するための静的ルートを Seattle デマンドダイヤル ルーターに追加することが必要です。

Seattle デマンドダイヤル ルーター SEA-NA-RAS-01 で以下の手順を実行します。

Seattle ルーターの静的ルートを構成するには

1. アカウント NOAM\Administrator を使用してログオンします。

2. [スタート] メニューから [プログラム] をポイントし、[管理ツール] をポイントして、[ルーティングとリモート アクセス] をクリックします。

3. コンソール ツリーで、[SEA-NA-RAS-01 (ローカル)] 、[IP ルーティング] を順に展開し、[静的ルート] を右クリックし、[新しい静的ルート] をクリックします。

4. [静的ルート] ダイアログ ボックスで、以下の表に従ってダイアログ ボックスの設定を行います。表に指定のない項目は、既定の設定を使用します。

   ダイアログ ボックスのフィールド	設定操作
   インターフェイス	[DMZ] を選択します。
   宛先	192.168.1.253 と入力します。
   ネットワーク マスク	255.255.255.255 と入力します。
   ゲートウェイ	131.107.1.1 と入力します。

   メモ 静的ルートによって、Supplier ルーター (192.168.1.253) に接続する方法が Seattle ルーター (131.107.1.131) に通知されます。

5. [静的ルート] ダイアログ ボックスで、[OK] をクリックします。

6. コンソール ツリーで、[静的ルート] を右クリックし、[新しい静的ルート] をクリックします。

7. [静的ルート] ダイアログ ボックスで、以下の表に従ってダイアログ ボックスの設定を行います。表に指定のない項目は、既定の設定を使用します。

   ダイアログ ボックスのフィールド	設定操作
   インターフェイス	[SupplierRouter] を選択します。
   宛先	192.168.0.0 と入力します。
   ネットワーク マスク	255.255.0.0 と入力します。
   このルートを使ってデマンドダイヤル接続を開始する	オフにします。

   メモ 静的ルートによって、Supplier ネットワーク (192.168.0.0) 宛てのパケットを SupplierRouter デマンドダイヤル インターフェイス経由でルーティングするように Seattle ルーターに指示します。

8. [静的ルート] ダイアログ ボックスで、[OK] をクリックします。

9. [ルーティングとリモート アクセス] スナップインを閉じます。

PPTP パケット フィルタの構成

SEA-NA-RAS-01 での未承認のインターネット トラフィックの送受信を抑止するために、SEA-NA-RAS-01 のインターネット インターフェイスに対して IP 入出力フィルタを構成する必要があります。IP 入出力フィルタを使用しない場合、インターネット インターフェイスで受信されたすべてのトラフィックが転送されます。

注意
このシナリオで使用した IP 入出力フィルタでは、協力企業ルーターからの PPTP トラフィックに対してのみ、SEA-NA-RAS-01 を経由する転送を許容します。それぞれの組織では、セキュリティ要件に応じて、その他の IP 入出力フィルタを構成する必要があります。

Seattle デマンドダイヤル ルーター SEA-NA-RAS-01 で以下の手順を実行します。

Seattle デマンドダイヤル ルーターのインターネット インターフェイスに対する PPTP パケット フィルタを構成するには

1. アカウント NOAM\Administrator を使用してログオンします。

2. [スタート] メニューから [プログラム] をポイントし、[管理ツール] をポイントして、[ルーティングとリモート アクセス] をクリックします。

3. コンソール ツリーで、[SEA-NA-RAS-01 (ローカル)] 、[IP ルーティング] を順に展開し、[全般] をクリックします。

4. 詳細ペインで、[DMZ] (Seattle サイトの中立ゾーンに接続する LAN 接続) を右クリックし、[プロパティ] をクリックします。

5. [DMZ のプロパティ] ダイアログ ボックスの [全般] タブで、[入力フィルタ] をクリックします。

6. [入力フィルタ] ダイアログ ボックス (図 5 を参照) で、[追加] をクリックします。

7. [IP フィルタの追加] ダイアログ ボックスで、以下の表に従ってダイアログ ボックスの設定を行います。表に指定のない項目は、既定の設定を使用します。

   ダイアログ ボックスのフィールド	設定操作
   宛先ネットワーク	オンにします。
   IP アドレス	131.107.1.131 と入力します。
   サブネット マスク	255.255.255.255 と入力します。
   プロトコル	[その他] を選択します。
   プロトコル番号	47 と入力します。

8. [IP フィルタの追加] ダイアログ ボックスで、[OK] をクリックします。

9. [入力フィルタ] ダイアログ ボックスで、[追加] をクリックします。

10. [IP フィルタの追加] ダイアログ ボックスで、以下の表に従ってダイアログ ボックスの設定を行います。表に指定のない項目は、既定の設定を使用します。

    ダイアログ ボックスのフィールド	設定操作
    宛先ネットワーク	オンにします。
    IP アドレス	131.107.1.131 と入力します。
    サブネット マスク	255.255.255.255 と入力します。
    プロトコル	[TCP] を選択します。
    宛先ポート	1723 と入力します。

11. [IP フィルタの追加] ダイアログ ボックスで、[OK] をクリックします。

12. [入力フィルタ] ダイアログ ボックスで、[追加] をクリックします。

13. [IP フィルタの追加] ダイアログ ボックスで、以下の表に従ってダイアログ ボックスの設定を行います。表に指定のない項目は、既定の設定を使用します。

    ダイアログ ボックスのフィールド	設定操作
    宛先ネットワーク	オンにします。
    IP アドレス	131.107.1.131 と入力します。
    サブネット マスク	255.255.255.255 と入力します。
    プロトコル	[TCP (確立済み)] を選択します。
    発信元ポート	1723 と入力します。

14. [IP フィルタの追加] ダイアログ ボックスで、[OK] をクリックします。

15. [入力フィルタ] ダイアログ ボックスで (図 5 を参照)、[下の条件に一致するパケットを除いたすべてのパケットを破棄する] をオンにして、[OK] をクリックします。

    

    図 5: PPTP 入力フィルタの構成

16. [DMZ のプロパティ] ダイアログ ボックスの [全般] タブで、[出力フィルタ] をクリックします。

17. [出力フィルタ] ダイアログ ボックスで、[追加] をクリックします。

18. [IP フィルタの追加] ダイアログ ボックスで、以下の表に従ってダイアログ ボックスの設定を行います。表に指定のない項目は、既定の設定を使用します。

    ダイアログ ボックスのフィールド	設定操作
    発信元ネットワーク	オンにします。
    IP アドレス	131.107.1.131 と入力します。
    サブネット マスク	255.255.255.255 と入力します。
    プロトコル	[その他] を選択します。
    プロトコル番号	47 と入力します。

19. [IP フィルタの追加] ダイアログ ボックスで、[OK] をクリックします。

20. [出力フィルタ] ダイアログ ボックスで、[追加] をクリックします。

21. [IP フィルタの追加] ダイアログ ボックスで、以下の表に従ってダイアログ ボックスの設定を行います。表に指定のない項目は、既定の設定を使用します。

    ダイアログ ボックスのフィールド	設定操作
    発信元ネットワーク	オンにします。
    IP アドレス	131.107.1.131 と入力します。
    サブネット マスク	255.255.255.255 と入力します。
    プロトコル	[TCP] を選択します。
    発信元ポート	1723 と入力します。

22. [IP フィルタの追加] ダイアログ ボックスで、[OK] をクリックします。

23. [出力フィルタ] ダイアログ ボックスで、[追加] をクリックします。

24. [IP フィルタの追加] ダイアログ ボックスで、以下の表に従ってダイアログ ボックスの設定を行います。表に指定のない項目は、既定の設定を使用します。

    ダイアログ ボックスのフィールド	設定操作
    発信元ネットワーク	オンにします。
    IP アドレス	131.107.1.131 と入力します。
    サブネット マスク	255.255.255.255 と入力します。
    プロトコル	[TCP (確立済み)] を選択します。
    宛先ポート	1723 と入力します。

25. [IP フィルタの追加] ダイアログ ボックスで、[OK] をクリックします。

26. [出力フィルタ] ダイアログ ボックスで (図 6 を参照)、[下の条件に一致するパケットを除いたすべてのパケットを破棄する] をオンにして、[OK] をクリックします。

27. [DMZ のプロパティ] ダイアログ ボックスで、[OK] をクリックします。

28. [ルーティングとリモート アクセス] スナップインを閉じます。

    

    図 6: PPTP 出力フィルタの構成

関連するセットアップ手順

• ドメイン コントローラの構成

• インターネット認証サービス (IAS) サーバーの構成

• Seattle ルーターの構成

• Supplier ルーターの構成

• Supplier と Seattle 間での通信の検証

関連資料

• Windows 2000 Server リソース キット 購入ページ

• Windows 2000 Professional リソース キット 購入ページ

• Windows 2000 リソース キットの詳細については、こちらを参照してください。

注意
このシナリオにおいて、コンピュータおよびデバイスを構成するために使用した手続きは、サンプルとして紹介したものです。実際のネットワークでは、類似したコンピュータおよびデバイスを構成する場合でも、必要になる手順はそれぞれのケースで異なります。さらに各シナリオでは、目的とする機能を実現するために必要な手順だけを示しています。運用ネットワークにおいて必要になる、その他の手順については取り上げていません。すべてのシナリオは、特に表記しない限り Windows 2000 を使用してテストされています。また、ブラウザとして Microsoft Internet Explorer 5 以上を推奨します。