企業のWAN接続は専用線から安価なブロードバンド・インターネットVPNへ。VPN環境におけるActive Directoryの構築とその検証。
遠隔地にある本社と支社、あるいは営業所などをネットワークで結ぶ方法として、VPN(Virtual Private Network)を利用する例が急速に増えている。
従来、このようなWANを構築するには、高価な専用線を契約するなどの必要があった。接続方法としては、高速だが非常に高価なFTTH(光ファイバ)から、低速ながら安価なISDN(64kbps)までを選択可能である。「専用線」は文字通り、契約者専用に敷設された通信回線であるから、基本的には利用可能な帯域全体を占有できるし、データ漏えいや攻撃などの危険も基本的にはない。しかしこれらは、接続2点間の距離に応じて通信料金が値上がりするしくみで、料金水準もかなり高い(低速な64kbpsのデジタル専用線の場合、距離が15kmまでで月額8万円弱。同15kmの6Mbpsのデジタル回線は月額70万円以上。NTT東日本「ディジタル専用サービス」調べ=2003年3月時点)。専用線よりも費用対効果の高いフレーム・リレー・サービス*1などもあるが、それとて手軽なものとはいえない。このため現実には、常時接続の希望があっても、公衆回線を利用したオンデマンド・ダイヤルアップで回避する場合などが少なくなかった。
*1フレーム・リレー(frame relay) エラー検出や再送などのエラー制御を上位プロトコルに任せて省略することで、低コストでのデータ通信を可能にするデータ伝送方式。OSI参照モデルでいうデータリンク層レベルの通信機能を提供する。国内ではNTTコミュニケーションズなどがフレーム・リレーを利用した通信サービスを提供している。
これに対し、FTTHやADSLなど、アクセス回線として急速に普及した安価で高速なインターネットのインフラを利用可能になったこと、OS(Windows)のVPN対応やVPN対応専用機器(VPN対応ルータなど)の低価格化が進んだことなどから、高価で遅い従来の専用線やフレーム・リレーなどからVPN接続に乗り換える企業や、ダイヤルアップ接続から常時接続VPN環境に移行する企業が急増しているというわけだ。
しかしVPNへの移行では、単に通信速度が上がって利用コストが下がるだけでなく、遠隔地にある事業所が比較的高速なネットワークで常時接続されることから、社内リソースの再配置(共有データなどの配置)やネットワーク管理(ユーザー管理、共有資源管理など)の見直し、情報セキュリティ体制の再構築などが求められることが多い。Windowsネットワークで具体的にいえば、Active Directoryの構成(フォレストやドメイン、サイトなど)をどうするのがネットワーク的に効率がよく、確実かつ手間の少ない運用管理が可能かを検討しなければならない。また一口にVPNといっても、接続方法にはPPTP(Point to Point Tunneling Protocol)とL2TP(+IPSec)の2種類がある。両者の違いと特徴を踏まえて、最適な接続を選択しなければならない。
そこで本稿では、企業情報システムの評価・検証施設であるDigital Advantage Lab(DA Lab)内に仮想的な本社と支社に相当するWindowsネットワークを実際に構築し、Windows 2000 ServerのVPN機能を利用して、FTTHとADSLのインターネット・アクセス回線を利用したネットワーク環境を構築してみる。そしてこの過程で得られた具体的な構築の手順や注意点について解説する。また同時に、幾つかのActive Directory構成とネットワーク・スループットの関係、それらに伴うネットワーク管理の実際などについて検証する。DA Labの詳細については「DA Labとは?」を参照されたい。
読者のネットワーク環境にとって、最適なWAN構築の一助になれば幸いである。
Copyright© Digital Advantage Corp. All Rights Reserved.