次の方法で共有

Windows Server 2003 で仮想プライベート ネットワーク サーバーをインストールして構成する方法

この記事では、仮想プライベート ネットワーク (VPN) をインストールする方法と、Windows Server 2003 を実行しているサーバーに新しい VPN 接続を作成する方法について説明します。

この記事の Microsoft Windows XP バージョンについては、 314076を参照してください。

適用対象: Windows Server 2003
元の KB 番号: 323441

まとめ

仮想プライベート ネットワークを使用すると、インターネットなどの別のネットワークを介してネットワーク コンポーネントを接続できます。 Windows Server 2003 ベースのコンピューターをリモート アクセス サーバーにして、他のユーザーが VPN を使用して接続し、ネットワークにログオンして共有リソースにアクセスできるようにすることができます。 VPN は、プライベート ネットワークと同じセキュリティと機能を提供する方法で、インターネットまたは別のパブリック ネットワークを介して "トンネリング" することでこれを行います。 データはルーティング インフラストラクチャを使用してパブリック ネットワーク経由で送信されますが、ユーザーには、データが専用のプライベート リンク経由で送信されているかのように見えます。

VPN の概要

仮想プライベート ネットワークは、パブリック ネットワーク (インターネットなど) を使用してプライベート ネットワーク (オフィス ネットワークなど) に接続する手段です。 VPN は、ダイヤルアップ サーバーへのダイヤルアップ接続の利点と、インターネット接続の容易さと柔軟性を兼ね備えています。 インターネット接続を使用すると、世界中を移動でき、ほとんどの場所で、最寄りのインターネット アクセス電話番号へのローカル通話でオフィスに接続できます。 コンピューターやオフィスで高速インターネット接続 (ケーブルや DSL など) を使用している場合は、アナログ モデムを使用するダイヤルアップ接続よりもはるかに高速なインターネット速度でオフィスと通信できます。 このテクノロジにより、企業は、セキュリティで保護された通信を維持しながら、パブリック ネットワーク経由でブランチ オフィスや他の企業に接続できます。 インターネット経由の VPN 接続は、専用のワイド エリア ネットワーク (WAN) リンクとして論理的に動作します。

仮想プライベート ネットワークでは、認証されたリンクを使用して、承認されたユーザーのみがネットワークに接続できることを確認します。 データがパブリック ネットワークを通過する際にセキュリティで保護されるようにするために、VPN 接続ではポイントツーポイント トンネリング プロトコル (PPTP) またはレイヤー 2 トンネリング プロトコル (L2TP) を使用してデータを暗号化します。

VPN のコンポーネント

Windows Server 2003 を実行するサーバーの VPN は、VPN サーバー、VPN クライアント、VPN 接続 (データが暗号化される接続のその部分)、トンネル (データがカプセル化された接続のその部分) で構成されます。 トンネリングは、Windows Server 2003 を実行しているサーバーに含まれているトンネリング プロトコルの 1 つを介して完了します。どちらもルーティングとリモート アクセスでインストールされます。 ルーティングとリモート アクセス サービスは、Windows Server 2003 のインストール中に自動的にインストールされます。 ただし、既定では、ルーティングとリモート アクセス サービスはオフになっています。

Windows に含まれる 2 つのトンネリング プロトコルは次のとおりです。

  • ポイントツーポイント トンネリング プロトコル (PPTP): Microsoft ポイントツーポイント暗号化を使用したデータ暗号化を提供します。
  • レイヤー 2 トンネリング プロトコル (L2TP): IPSec を使用してデータの暗号化、認証、整合性を提供します。

インターネットへの接続では、T1、分数 T1、フレーム リレーなどの専用回線を使用する必要があります。 WAN アダプターは、ドメインに割り当てられた IP アドレスとサブネット マスクで構成するか、インターネット サービス プロバイダー (ISP) によって提供される必要があります。 WAN アダプターは、ISP ルーターのデフォルト ゲートウェイとしても構成する必要があります。

Note

VPN を有効にするには、管理者権限を持つアカウントを使用してログオンする必要があります。

VPN サーバーをインストールして有効にする方法

VPN サーバーをインストールして有効にするには、次の手順に従います。

  1. [ 開始] をクリックし、[ 管理者ツール] をポイントし、[ ルーティングとリモート アクセス] をクリックします

  2. コンソールの左側のウィンドウで、ローカル サーバー名と一致するサーバー アイコンをクリックします。 アイコンの左下隅に赤い円がある場合、ルーティングとリモート アクセス サービスは有効になっていません。 アイコンの左下隅に緑色の矢印が表示されている場合は、ルーティングとリモート アクセス サービスが有効になっています。 ルーティングとリモート アクセス サービスが以前に有効になっていた場合は、サーバーを再構成できます。 サーバーを再構成するには:

    1. サーバー オブジェクトを右クリックし、[ ルーティングとリモート アクセス をクリックします。 情報メッセージが表示されたら、[ Yes をクリックして続行します。
    2. サーバー アイコンを右クリックし、[ 構成] をクリックし、[ルーティングとリモート アクセスを有効にする] をクリックして ルーティングとリモート アクセス サーバーのセットアップ ウィザードを開始します。 [次へ] をクリックして次に進みます。
    3. [ リモート アクセス (ダイヤルアップまたは VPN) をクリックして、インターネット経由でこのネットワークにダイヤルインまたは接続するリモート コンピューターを有効にします。 [次へ] をクリックして次に進みます。

  3. このサーバーに割り当てるロールに応じてVPNまたはをクリックして選択します。

  4. [ VPN 接続 ] ウィンドウで、インターネットに接続されているネットワーク インターフェイスをクリックし、[次へ ] をクリック

  5. [ IP アドレスの割り当て ] ウィンドウで、DHCP サーバーを使用してリモート クライアントにアドレスを割り当てる場合は [ 自動 をクリックします。または リモート クライアントに定義済みのプールからのアドレスのみを指定する必要がある場合は をクリックします。 ほとんどの場合、DHCP オプションは管理が簡単です。 ただし、DHCP を使用できない場合は、静的アドレスの範囲を指定する必要があります。 [次へ] をクリックして次に進みます。

  6. アドレスの指定した範囲からをクリックした場合、アドレス範囲の割り当て ダイアログ ボックスが開きます。 新規 をクリックします。 [ 開始 IP アドレス ボックスに、使用するアドレスの範囲内の最初の IP アドレスを入力します。 [エンド IP アドレス]ボックスに、範囲内の最後の IP アドレス入力します。 Windows では、アドレスの数が自動的に計算されます。 OKをクリックしてアドレス範囲の割り当てウィンドウに戻ります。 [次へ] をクリックして次に進みます。

  7. No の既定の設定をそのまま使用し、ルーティングとリモート アクセスを使用して接続要求を認証し次へ をクリックして続行します。 [ Finish をクリックしてルーティングとリモート アクセス サービスを有効にし、サーバーをリモート アクセス サーバーとして構成します。

VPN サーバーを構成する方法

必要に応じて VPN サーバーを引き続き構成するには、次の手順に従います。

リモート アクセス サーバーをルーターとして構成する方法

リモート アクセス サーバーがネットワーク内でトラフィックを適切に転送するには、イントラネット内のすべての場所にリモート アクセス サーバーから到達できるように、静的ルートまたはルーティング プロトコルを使用してルーターとして構成する必要があります。

サーバーをルーターとして構成するには:

  1. [ 開始] をクリックし、[ 管理者ツール] をポイントし、[ ルーティングとリモート アクセス] をクリックします
  2. サーバー名を右クリックし、 Properties をクリックします。
  3. [General] タブをクリックし、[このコンピューターを aRouterを選択します。
  4. [ LAN およびデマンド ダイヤル ルーティング] をクリックし[ OK をクリックして [プロパティ] ダイアログ ボックスを閉じます。

同時接続の数を変更する方法

ダイヤルアップ モデム接続の数は、サーバーにインストールされているモデムの数によって異なります。 たとえば、サーバーにインストールされているモデムが 1 つだけの場合、一度に接続できるモデムは 1 つだけです。

ダイヤルアップ VPN 接続の数は、許可する同時ユーザーの数によって異なります。 既定では、この記事で説明されている手順を実行すると、128 の接続が許可されます。 同時接続の数を変更するには、次の手順に従います。

  1. [ 開始] をクリックし、[ 管理者ツール] をポイントし、[ ルーティングとリモート アクセス] をクリックします
  2. サーバー オブジェクトをダブルクリックし、 Portsを右クリックし、 Propertiesをクリックします。
  3. [ポートのプロパティ] ダイアログ ボックスで、[WAN ミニポート (PPTP) >構成をクリック
  4. [ Maximum ポート ボックスに、許可する VPN 接続の数を入力します。
  5. [ OK>OK] をクリックし、 ルーティングとリモート アクセスを閉じます。

アドレスとネーム サーバーを管理する方法

VPN サーバーには、接続プロセスの IP 制御プロトコル (IPCP) ネゴシエーション フェーズ中に、VPN サーバーの仮想インターフェイスと VPN クライアントに割り当てるための IP アドレスが必要です。 VPN クライアントに割り当てられた IP アドレスは、VPN クライアントの仮想インターフェイスに割り当てられます。

Windows Server 2003 ベースの VPN サーバーの場合、VPN クライアントに割り当てられた IP アドレスは既定で DHCP 経由で取得されます。 静的 IP アドレス プールを構成することもできます。 また、IPCP ネゴシエーション中に VPN クライアントに割り当てるには、VPN サーバーに名前解決サーバー (通常は DNS と WINS サーバー アドレス) を構成する必要があります。

アクセスを管理する方法

ユーザー アカウントとリモート アクセス ポリシーのダイヤルイン プロパティを構成して、ダイヤルアップ ネットワークと VPN 接続のアクセスを管理します。

Note

既定では、ユーザーはダイヤルアップ ネットワークへのアクセスを拒否されます。

ユーザー アカウントによるアクセス

ユーザーベースでリモート アクセスを管理している場合に、ユーザー アカウントへのダイヤルイン アクセスを許可するには、次の手順に従います。

  1. [スタート] ボタンをクリックし、[管理ツール] をポイントして、[Active Directory ユーザーとコンピューター] をクリックします。
  2. ユーザー アカウントを右クリックし、 Properties をクリックします。
  3. [ダイヤルイン] タブをクリックします。
  4. [ Allow access をクリックして、ダイヤルインするアクセス許可をユーザーに付与します。 [OK] をクリックします。

グループ メンバーシップによるアクセス

グループ単位でリモート アクセスを管理する場合は、次の手順に従います。

  1. VPN 接続の作成が許可されているメンバーを含むグループを作成します。
  2. [ 開始] をクリックし、[ 管理者ツール] をポイントし、[ ルーティングとリモート アクセス] をクリックします
  3. コンソール ツリーで、[ ルーティングとリモート アクセス] を展開しサーバー名を展開し、[アクセス ポリシーの を変更する] をクリック
  4. 右側のウィンドウ内の任意の場所を右クリックし、 New をポイントし、[アクセス ポリシーの を変更する] をクリック
  5. [次へ ] をクリックしポリシー名を入力し、[次へ ] をクリック
  6. Virtual Private Access アクセス方法 VPN をクリックするか、ダイヤルアップ アクセスの場合は [ ダイヤルアップ ] をクリックし、[次へ ] をクリック
  7. [追加 ] をクリックし手順 1 で作成したグループの名前を入力し、[次へ ] をクリック
  8. 画面の指示に従ってウィザードを完了します。

VPN サーバーでダイヤルアップ ネットワーク リモート アクセス サービスが既に許可されている場合は、既定のポリシーを削除しないでください。 代わりに、最後に評価されるポリシーになるように移動します。

クライアント コンピューターから VPN 接続を構成する方法

VPN への接続を設定するには、次の手順に従います。 仮想プライベート ネットワーク アクセス用にクライアントを設定するには、クライアント ワークステーションで次の手順に従います。

Note

これらの手順に従うには、Administrators グループのメンバーとしてログオンする必要があります。

Microsoft Windows には複数のバージョンが存在するため、使用中のコンピューターによっては以下の手順が異なる場合があります。 この場合、製品のマニュアルを参照のうえ、手順を実行するようにしてください。

  1. クライアント コンピューターで、インターネットへの接続が正しく構成されていることを確認します。

  2. [開始>コントロール パネル>Network 接続] をクリックします。 [Network タスクの下にある [新しい接続作成] をクリックし、[次へ] をクリック

  3. [職場でネットワークに接続 をクリックして ダイヤルアップ接続を作成します。 [次へ] をクリックして次に進みます。

  4. [仮想プライベート ネットワーク接続] をクリックし、[次へ] をクリック

  5. [ 会社名 ] ダイアログ ボックスにこの接続のわかりやすい名前を入力し、[次へ ] をクリック

  6. コンピューターがインターネットに永続的に接続されている場合は[最初の接続をダイヤルしない] をクリックします。 コンピューターがインターネット サービス プロバイダー (ISP) 経由でインターネットに接続する場合は、[ この初期接続を自動的にダイヤルをクリックし、ISP への接続の名前をクリックします。 次へ をクリックします。

  7. VPN サーバー コンピューターの IP アドレスまたはホスト名を入力します (例: VPNServer.SampleDomain.com)。

  8. ワークステーションにログオンするすべてのユーザーにこのダイヤルアップ接続へのアクセスを許可する場合はAnyone の使用をクリックします。 現在ログオンしているユーザーのみがこの接続を使用できるようにする場合は[使用のみ]をクリックします。 次へ をクリックします。

  9. [ Finish をクリックして接続を保存します。

  10. [開始>コントロール パネル>Network 接続] をクリックします。

  11. 新しい接続をダブルクリックします。

  12. [プロパティ] をクリックして、接続のオプションを構成し続けます。 接続のオプションの構成を続行するには、次の手順に従います。

    • ドメインに接続する場合は、 Options タブをクリックし、 Windows ログオン ドメインを含む チェック ボックスをオンにして、接続を試みる前に Windows Server 2003 ログオン ドメイン情報を要求するかどうかを指定します。
    • 行が削除された場合に接続を再ダイヤルする場合は、[オプション] タブをクリックし、[行が削除された場合は Redial]< チェック ボックスをオンにします。

接続を使用するには、次の手順に従います。

  1. [開始をクリックし、接続先をポイントして、新しい接続をクリックします。

  2. 現在インターネットに接続していない場合、Windows はインターネットに接続することを提供します。

  3. インターネットへの接続が確立されると、VPN サーバーからユーザー名とパスワードの入力を求められます。 ユーザー名とパスワードを入力し、[ Connect] をクリックします。 ネットワーク リソースは、ネットワークに直接接続する場合と同じ方法で使用できる必要があります。

    Note

    VPN から切断するには、接続アイコンを右クリックし、 Disconnect をクリックします。

トラブルシューティング

リモート アクセス VPN のトラブルシューティング

リモート アクセス VPN 接続を確立できない

  • 原因: クライアント コンピューターの名前は、ネットワーク上の別のコンピューターの名前と同じです。

    解決策: ネットワーク上のすべてのコンピューターと、ネットワークに接続しているコンピューターの名前が一意のコンピューター名を使用していることを確認します。

  • 原因: VPN サーバーでルーティングとリモート アクセス サービスが開始されていません。

    解決策: VPN サーバー上のルーティングおよびリモート アクセス サービスの状態を確認します。

    ルーティングとリモート アクセス サービスを監視する方法、およびルーティングとリモート アクセス サービスを開始および停止する方法の詳細については、Windows Server 2003 のヘルプとサポート センターを参照してください。 [ Start をクリックして、Windows Server 2003 のヘルプとサポート センターにアクセスします。

  • 原因: VPN サーバーでリモート アクセスが有効になっていません。

    解決策: VPN サーバーでリモート アクセスを有効にします。

    リモート アクセス サーバーを有効にする方法の詳細については、Windows Server 2003 のヘルプとサポート センターを参照してください。 [ Start をクリックして、Windows Server 2003 のヘルプとサポート センターにアクセスします。

  • 原因: 受信リモート アクセス要求で PPTP または L2TP ポートが有効になっていません。

    解決策: 受信リモート アクセス要求に対して PPTP ポートまたは L2TP ポート、またはその両方を有効にします。

    リモート アクセス用にポートを構成する方法の詳細については、Windows Server 2003 のヘルプとサポート センターを参照してください。 [ Start をクリックして、Windows Server 2003 のヘルプとサポート センターにアクセスします。

  • 原因: VPN クライアントによって使用される LAN プロトコルが、VPN サーバー上のリモート アクセスに対して有効になっていません。

    解決策: VPN サーバーでリモート アクセスするために VPN クライアントによって使用される LAN プロトコルを有効にします。

    リモート アクセス サーバーのプロパティを表示する方法の詳細については、Windows Server 2003 のヘルプとサポート センターを参照してください。 [ Start をクリックして、Windows Server 2003 のヘルプとサポート センターにアクセスします。

  • 原因: VPN サーバー上のすべての PPTP または L2TP ポートが、現在接続されているリモート アクセス クライアントまたはデマンド ダイヤル ルーターによって既に使用されています。

    解決策: VPN サーバー上のすべての PPTP または L2TP ポートが既に使用されていることを確認します。 これを行うには、[ルーティングとリモート アクセス] の [ Ports をクリックします。 許可される PPTP または L2TP ポートの数が十分に多くない場合は、PPTP または L2TP ポートの数を変更して、より多くの同時接続を許可します。

    PPTP または L2TP ポートを追加する方法の詳細については、Windows Server 2003 のヘルプとサポート センターを参照してください。 [ Start をクリックして、Windows Server 2003 のヘルプとサポート センターにアクセスします。

  • 原因: VPN サーバーは VPN クライアントのトンネリング プロトコルをサポートしていません。

    既定では、Windows Server 2003 リモート アクセス VPN クライアントは自動サーバーの種類のオプションを使用します。つまり、最初に IPSec ベースの VPN 接続経由で L2TP を確立してから、PPTP ベースの VPN 接続を確立しようとします。 VPN クライアントでポイントツーポイント トンネリング プロトコル (PPTP) またはレイヤー 2 トンネリング プロトコル (L2TP) のいずれかのサーバー タイプ オプションを使用する場合は、選択したトンネリング プロトコルが VPN サーバーでサポートされていることを確認します。

    既定では、Windows Server 2003 Server とルーティングおよびリモート アクセス サービスを実行しているコンピューターは、5 つの L2TP ポートと 5 つの PPTP ポートを備えた PPTP および L2TP サーバーです。 PPTP 専用サーバーを作成するには、L2TP ポートの数をゼロに設定します。 L2TP 専用サーバーを作成するには、PPTP ポートの数を 0 に設定します。

    解決策: PPTP または L2TP ポートの適切な数が構成されていることを確認します。

    PPTP または L2TP ポートを追加する方法の詳細については、Windows Server 2003 のヘルプとサポート センターを参照してください。 [ Start をクリックして、Windows Server 2003 のヘルプとサポート センターにアクセスします。

  • 原因: VPN クライアントとリモート アクセス ポリシーと組み合わせた VPN サーバーが、少なくとも 1 つの一般的な認証方法を使用するように構成されていません。

    解決策: 少なくとも 1 つの一般的な認証方法を使用するように、VPN クライアントと VPN サーバーをリモート アクセス ポリシーと組み合わせて構成します。

    認証を構成する方法の詳細については、Windows Server 2003 のヘルプとサポート センターを参照してください。 [ Start をクリックして、Windows Server 2003 のヘルプとサポート センターにアクセスします。

  • 原因: VPN クライアントとリモート アクセス ポリシーと組み合わせた VPN サーバーが、少なくとも 1 つの一般的な暗号化方法を使用するように構成されていません。

    解決策: 少なくとも 1 つの一般的な暗号化方法を使用するように、VPN クライアントと VPN サーバーをリモート アクセス ポリシーと組み合わせて構成します。

    暗号化を構成する方法の詳細については、Windows Server 2003 のヘルプとサポート センターを参照してください。 [ Start をクリックして、Windows Server 2003 のヘルプとサポート センターにアクセスします。

  • 原因: VPN 接続には、ユーザー アカウントとリモート アクセス ポリシーのダイヤルイン プロパティによる適切なアクセス許可がありません。

    解決策: ユーザー アカウントとリモート アクセス ポリシーのダイヤルイン プロパティを使用して、VPN 接続に適切なアクセス許可があることを確認します。 接続を確立するには、接続試行の設定を次のようにする必要があります。

    • 少なくとも 1 つのリモート アクセス ポリシーのすべての条件に一致します。
    • ユーザー アカウント ( Allow アクセスに設定) またはユーザー アカウント ( リモート アクセス ポリシーを使用したアクセスの制御) と、一致するリモート アクセス ポリシーのリモート アクセス許可 ( [許可されたリモート アクセス許可]に設定) を介してリモート アクセス許可を付与します。
    • プロファイルのすべての設定と一致します。
    • ユーザー アカウントのダイヤルイン プロパティのすべての設定と一致します。

    リモート アクセス ポリシーの概要と接続試行を受け入れる方法の詳細については、Windows Server 2003 のヘルプとサポート センターを参照してください。 [ Start をクリックして、Windows Server 2003 のヘルプとサポート センターにアクセスします。

  • 原因: リモート アクセス ポリシー プロファイルの設定が VPN サーバーのプロパティと競合しています。

    リモート アクセス ポリシー プロファイルのプロパティと VPN サーバーのプロパティの両方に、次の設定が含まれています。

    • マルチリンク。
    • 帯域幅割り当てプロトコル (BAP)。
    • 認証プロトコル。

    一致するリモート アクセス ポリシーのプロファイルの設定が VPN サーバーの設定と競合している場合、接続の試行は拒否されます。 たとえば、対応するリモート アクセス ポリシー プロファイルで、拡張認証プロトコル - トランスポート レベル セキュリティ (EAP-TLS) 認証プロトコルを使用する必要があり、VPN サーバーで EAP が有効になっていないことが指定されている場合、接続の試行は拒否されます。

    解決策: リモート アクセス ポリシー プロファイルの設定が VPN サーバーのプロパティと競合していないことを確認します。

    マルチリンク、BAP、認証プロトコルの詳細については、Windows Server 2003 のヘルプとサポート センターを参照してください。 [ Start をクリックして、Windows Server 2003 のヘルプとサポート センターにアクセスします。

  • 原因: 応答ルーターは、呼び出し元ルーターの資格情報 (ユーザー名、パスワード、ドメイン名) を検証できません。

    解決策: VPN クライアントの資格情報 (ユーザー名、パスワード、ドメイン名) が正しく、VPN サーバーによって検証できることを確認します。

  • 原因: 静的 IP アドレス プールに十分なアドレスがありません。

    解決策: VPN サーバーが静的 IP アドレス プールで構成されている場合は、プールに十分なアドレスがあることを確認します。 静的プール内のすべてのアドレスが接続された VPN クライアントに割り当てられている場合、VPN サーバーは IP アドレスを割り当てることができないので、接続の試行は拒否されます。 静的プール内のすべてのアドレスが割り当てられている場合は、プールを変更します。

    TCP/IP とリモート アクセスの詳細、および静的 IP アドレス プールを作成する方法については、Windows Server 2003 のヘルプとサポート センターを参照してください。 [ Start をクリックして、Windows Server 2003 のヘルプとサポート センターにアクセスします。

  • 原因: VPN クライアントは独自の IPX ノード番号を要求するように構成されており、VPN サーバーは、IPX クライアントが独自の IPX ノード番号を要求できるように構成されていません。

    解決策: IPX クライアントが独自の IPX ノード番号を要求できるように VPN サーバーを構成します。

    IPX とリモート アクセスの詳細については、Windows Server 2003 のヘルプとサポート センターを参照してください。 [ Start をクリックして、Windows Server 2003 のヘルプとサポート センターにアクセスします。

  • 原因: VPN サーバーは、IPX ネットワーク上の他の場所で使用されている IPX ネットワーク番号の範囲で構成されています。

    解決策: IPX ネットワークに固有の IPX ネットワーク番号の範囲で VPN サーバーを構成します。

    IPX とリモート アクセスの詳細については、Windows Server 2003 のヘルプとサポート センターを参照してください。 [ Start をクリックして、Windows Server 2003 のヘルプとサポート センターにアクセスします。

  • 原因: VPN サーバーの認証プロバイダーが正しく構成されていない。

    解決策: 認証プロバイダーの構成を確認します。 WINDOWS Server 2003 またはリモート認証ダイヤルイン ユーザー サービス (RADIUS) を使用して VPN クライアントの資格情報を認証するように VPN サーバーを構成できます。

    認証プロバイダーとアカウンティング プロバイダーの詳細については、Windows Server 2003 のヘルプとサポート センター、および RADIUS 認証の使用方法を参照してください。 [ Start をクリックして、Windows Server 2003 のヘルプとサポート センターにアクセスします。

  • 原因: VPN サーバーが Active Directory にアクセスできません。

    解決策: Windows Server 2003 認証用に構成されている混合モードまたはネイティブ モードの Windows Server 2003 ドメインのメンバー サーバーである VPN サーバーの場合は、次のことを確認します。

    • RAS および IAS サーバーセキュリティ グループが存在します。 そうでない場合は、グループを作成し、グループの種類を [セキュリティ] に設定し、グループ スコープを [ドメイン ローカル] に設定します。

    • RAS および IAS サーバー セキュリティ グループには、RAS および IAS サーバー アクセス チェック オブジェクトに対する読み取りアクセス許可があります。

    • VPN サーバー コンピューターのコンピューター アカウントは、 RAS および IAS サーバー セキュリティ グループのメンバーです。 netsh ras show registeredserver コマンドを使用して、現在の登録を表示できます。 netsh ras add registeredserver コマンドを使用して、指定したドメインにサーバーを登録できます。

      RAS および IAS Server セキュリティ グループに VPN サーバー コンピューターを追加 (または削除) しても、変更はすぐには有効になりません (Windows Server 2003 が Active Directory 情報をキャッシュする方法のため)。 この変更をすぐに反映するには、VPN サーバー コンピューターを再起動します。

    • VPN サーバーはドメインのメンバーです。

    グループを追加する方法、RAS および IAS セキュリティ グループのアクセス許可を確認する方法、リモート アクセス用の netsh コマンドの詳細については、Windows Server 2003 のヘルプとサポート センターを参照してください。 [ Start をクリックして、Windows Server 2003 のヘルプとサポート センターにアクセスします。

  • 原因: Windows NT 4.0 ベースの VPN サーバーで接続要求を検証できません。

    解決策: WINDOWS SERVER 2003 混合モード ドメインのメンバーである Windows NT 4.0 を実行している VPN サーバーに VPN クライアントがダイヤルインしている場合は、次のコマンドを使用して、Everyone グループが Pre-Windows 2000 互換アクセス グループに追加されていることを確認します。

    "net localgroup "Pre-Windows 2000 Compatible Access""

    そうでない場合は、ドメイン コントローラー コンピューターのコマンド プロンプトで次のコマンドを入力し、ドメイン コントローラー コンピューターを再起動します。

    net localgroup "Pre-Windows 2000 Compatible Access" everyone /add

    Windows Server 2003 ドメイン内の Windows NT 4.0 リモート アクセス サーバーの詳細については、Windows Server 2003 のヘルプとサポート センターを参照してください。 [ Start をクリックして、Windows Server 2003 のヘルプとサポート センターにアクセスします。

  • 原因: VPN サーバーが、構成された RADIUS サーバーと通信できません。

    解決策: インターネット インターフェイスを介してのみ RADIUS サーバーに到達できる場合は、次のいずれかの操作を行います。

    • UDP ポート 1812 のインターネット インターフェイスに入力フィルターと出力フィルターを追加します (RFC 2138 "リモート認証ダイヤルイン ユーザー サービス (RADIUS)" に基づく)。 または
    • 入力フィルターと出力フィルターを、UDP ポート 1645 (古い RADIUS サーバーの場合) のインターネット インターフェイスに追加し、RADIUS 認証と UDP ポート 1813 (RFC 2139 に基づく"RADIUS アカウンティング") に追加します。 または
    • または、RADIUS アカウンティング用の UDP ポート 1646 (古い RADIUS サーバーの場合) のインターネット インターフェイスに入力フィルターと出力フィルターを追加します。

    パケット フィルターを追加する方法の詳細については、Windows Server 2003 のヘルプとサポート センターを参照してください。 [ Start をクリックして、Windows Server 2003 のヘルプとサポート センターにアクセスします。

  • 原因: Ping.exe ユーティリティを使用してインターネット経由で VPN サーバーに接続できません。

    解決策: VPN サーバーのインターネット インターフェイスで構成されている PPTP および L2TP over IPSec パケット フィルタリングにより、ping コマンドで使用されるインターネット制御メッセージ プロトコル (ICMP) パケットが除外されます。VPN サーバーを有効にして ICMP (ping) パケットに応答するには、IP プロトコル 1 (ICMP トラフィック) のトラフィックを許可する入力フィルターと出力フィルターを追加します。

    パケット フィルターを追加する方法の詳細については、Windows Server 2003 のヘルプとサポート センターを参照してください。 [ Start をクリックして、Windows Server 2003 のヘルプとサポート センターにアクセスします。

データの送受信ができない

  • 原因: ルーティングされるプロトコルに適切なデマンド ダイヤル インターフェイスが追加されていません。

    解決策: ルーティングされるプロトコルに適切なデマンド ダイヤル インターフェイスを追加します。

    ルーティング インターフェイスを追加する方法の詳細については、Windows Server 2003 のヘルプとサポート センターを参照してください。 [ Start をクリックして、Windows Server 2003 のヘルプとサポート センターにアクセスします。

  • 原因: 双方向のトラフィック交換をサポートするルーター間 VPN 接続の両側にルートがありません。

    解決策: リモート アクセス VPN 接続とは異なり、ルーター間 VPN 接続では既定のルートが自動的に作成されません。 ルーター間 VPN 接続の両側にルートを作成して、ルーター間 VPN 接続の反対側との間でトラフィックをルーティングできるようにします。

    ルーティング テーブルに静的ルートを手動で追加することも、ルーティング プロトコルを使用して静的ルートを追加することもできます。 永続的な VPN 接続の場合は、VPN 接続全体で Open Shortest Path First (OSPF) またはルーティング情報プロトコル (RIP) を有効にすることができます。 オンデマンド VPN 接続の場合は、自動静的 RIP 更新を使用してルートを自動的に更新できます。 IP ルーティング プロトコルを追加する方法、静的ルートを追加する方法、および自動静的更新を実行する方法の詳細については、Windows Server 2003 オンライン ヘルプを参照してください。 [ Start をクリックして、Windows Server 2003 のヘルプとサポート センターにアクセスします。

  • 原因: 双方向で開始された応答ルーターがリモート アクセス接続として、ルーター間 VPN 接続を解釈しています。

    解決策: 呼び出し元ルーターの資格情報のユーザー名がルーティングとリモート アクセスの [ ダイヤルイン クライアント に表示される場合、応答ルーターは呼び出し元ルーターをリモート アクセス クライアントとして解釈できます。 呼び出し元ルーターの資格情報のユーザー名が、応答ルーターのデマンド ダイヤル インターフェイスの名前と一致することを確認します。 着信発信者がルータの場合、コールが受信されたポートは Active のステータスを示し、対応するデマンド ダイヤル インターフェイスは Connected 状態です。

    応答ルーターのポートの状態を確認する方法と、デマンド ダイヤル インターフェイスの状態を確認する方法の詳細については、Windows Server 2003 オンライン ヘルプを参照してください。 [ Start をクリックして、Windows Server 2003 のヘルプとサポート センターにアクセスします。

  • 原因: 発信ルータおよび応答ルータのデマンド ダイヤル インターフェイスのパケット フィルタがトラフィックの流れを妨げている。

    解決策: 呼び出し元ルーターと応答ルーターのデマンド ダイヤル インターフェイスに、トラフィックの送受信を妨げるパケット フィルターがないことを確認します。 IP および IPX 入出力フィルターを使用して各デマンド ダイヤル インターフェイスを構成して、需要ダイヤル インターフェイスとの間で許可される TCP/IP トラフィックと IPX トラフィックの正確な性質を制御できます。

    パケット フィルターを管理する方法の詳細については、Windows Server 2003 オンライン ヘルプを参照してください。 [ Start をクリックして、Windows Server 2003 のヘルプとサポート センターにアクセスします。

  • 原因: リモート アクセス ポリシー プロファイルのパケット フィルターによって IP トラフィックのフローが妨げられます。

    解決策: TCP/IP トラフィックの送受信を妨げている、VPN サーバー (またはインターネット認証サービスが使用されている場合は RADIUS サーバー) のリモート アクセス ポリシーのプロファイル プロパティに TCP/IP パケット フィルターが構成されていないことを確認します。 リモート アクセス ポリシーを使用して、VPN 接続で許可される TCP/IP トラフィックの正確な性質を制御する TCP/IP 入力および出力パケット フィルターを構成できます。 プロファイル TCP/IP パケット フィルターがトラフィックのフローを妨げていることを確認します。

    IP オプションを構成する方法の詳細については、Windows Server 2003 オンライン ヘルプを参照してください。 [ Start をクリックして、Windows Server 2003 のヘルプとサポート センターにアクセスします。