この記事では、VPN接続のための設定については解説するが、Active Directoryの導入手順については特に触れない。以上のような構成のActive Directory(本社側のルート・ドメイン)の導入はすでに終わっているものとして話を進める。DNSサーバやDHCPサーバなども導入して、ドメインが正しく機能していることを確認しておいて欲しい。具体的なActive Directoryの導入方法などについては、連載「管理者のためのActive Directory入門」などを参照していただきたい。
Windows 2000 ServerやWindows Server 2003のRRAS機能を使ってVPN接続を実現する場合、最初にVPN接続用(支社側からのダイヤルアップ用)のアカウントを用意する。VPNサーバのローカル・ユーザー・アカウントとして用意することも可能であるが、Active Directoryを導入しているのならドメインのアカウントを使って一元的に管理した方がよい。またこの場合、VPNサーバ自身もActive Directoryの「RAS and IAS Servers」というセキュリティ・グループに登録しておく必要がある。VPN接続のためのセキュリティ・ポリシーの設定などで、このグループが参照されるからだ。
Windows 2000 ServerやWindows Server 2003では、各ユーザー・アカウントのプロパティに[ダイヤルイン]という設定項目がある。この中に、VPN/ダイヤルイン接続時に自動的にルーティング情報を追加するという項目がある。このアカウントを使ってVPNやダイヤルアップ接続を行うと、その先にあるネットワークのアドレスを追加することができるのである。VPN接続が終了(切断)すると、ルーティング情報は自動的に削除されるので、LAN上のクライアントはVPN接続を意識することなく、利用することができる。
それでは具体的な手順について見ていくことにする。最初に行うのは、VPN接続用のアカウントの作成と[ダイヤルイン]プロパティの設定である。
今回は、支社側から本社へダイヤルアップするために「VPN_from_KOBE」というアカウントを作成した。また、VPNユーザーおよびVPNのクライアント・コンピュータを認証するために(VPNとは関係のないユーザーやコンピュータからのアクセスを拒否させるため)、さらに「VPN_Dialup_Machines」と「VPN_Dialup_Users」というセキュリティ・グループを用意している。これらのグループに事前に設定されたVPNユーザー・アカウントやVPNのクライアント・コンピュータを登録しておく。
ユーザーとグループの設定
今回はVPN専用のユーザー・アカウントとセキュリティ・グループを用意している。これを使うことにより、ルーティングの設定を行ったり、不正なVPNサーバへのアクセスを防いだりできる。
(1)VPNサーバとして利用するサーバは、このデフォルトのセキュリティ・グループに登録しておく。
(2)新しく作成したVPNのクライアント・マシンを登録しておくセキュリティ・グループ。VPNサービスへのアクセス制御に利用する。このグループに、VPN接続を許可したいVPNアカウントを登録しておくこと(VPN接続はこのグループにのみ許可する)。今回の場合は以下のVPN_from_KOBEを加えておく。
(3)新しく作成したVPNの接続用ユーザー・アカウントを登録しておくセキュリティ・グループ。VPNサービスへのアクセス制御に利用する。
(4)各支社からのVPN接続用ユーザー・アカウント。必要なVPNの接続ごと(支社ごと)に1つずつアカウントを用意すること。そして(2)のVPN_DialUP_Machinesグループにも追加しておく。
次にVPN接続用のアカウント「VPN_from_KOBE」の設定を見てみよう。[ダイヤルイン]タブにVPNの設定のための項目がまとめられている。ここで大事なのは、一番下の[静的ルートを適用]という項目である。
VPN属性の設定
各支社からのダイヤルアップ接続ごとにこのようなユーザー・アカウントを作成し、そこでVPNのためのルーティングなどの設定を行う。
(1)VPN接続の許可や不許可をポリシーで制御する場合はこれを選択する。すぐ上の[アクセスを許可]を選ぶと、ポリシーには関係なく、常にVPN接続が可能になるが、一元管理が難しくなる。
(2)VPNクライアントのIPアドレスを制限するための指定。ここでIPアドレスを指定しておくと、それ以外のVPNクライアントからの接続が不可能になる。セキュリティを確保したい場合に使用する。
(3)クライアント側のIPアドレスを1.2.3.4などのように指定する。クライアント側のグローバルIPアドレス(ADSLなどで割り当てられる、インターネット側のIPアドレスのこと)を指定すること。
(4)VPN接続では、モデムなどと違ってコールバックはしない。
(5)クライアント側に割り当てる、ローカルのIPアドレス。普通は指定しなくても、DHCPサーバなどから自動的に割り当てられる。このIPアドレスは、本社側のVPNのためのIPアドレス・プールの一部(つまり本社側の内部LANアドレスの一部)にする。
(6)このアカウントで接続してきた場合に、自動的にルーティング・テーブルを設定するためのオプション。LAN-to-LANのVPN接続の場合は、このオプションを利用する。
(7)これをクリックすると、実際のルーティング・テーブルの設定画面が表示される。
上の画面で、(7)のボタンをクリックすると、静的に追加されるルートを設定することができる。
静的ルートの追加
VPN用アカウントごとに、このような静的ルートを追加すること。この場合は、神戸支社の社内LANアドレスである「10.101.2.0/24」を設定している。こうしておくと、このアカウントでVPNサーバに接続した場合に、VPNサーバのルーティング・テーブルにここで指定したエントリが追加され、適切にルーティングされるようになる。
(1)あて先のネットワーク・アドレス。これは支社側のネットワーク・アドレスを表している。
(2)複数のLANが存在する場合は、これをクリックしてさらに静的なルートを追加することができる。
(3)余分なルートを削除するにはこれをクリックする。
次はVPN用アカウントのグループ設定を行う。VPN接続用アカウントは、単一のセキュリティ・グループ「VPN_DialUp_Machines」に追加しておく。このグループだけにVPNサーバへの接続を許可することにより、Active Directoryで一元管理することができる。
VPN用グループへの登録
VPNの接続用アカウントを専用のセキュリティ・グループに所属させ、VPNの有効化や無効化などを一元的に管理する。ここで所属させたグループのみにVPN接続の許可を与える。
(1)新たに追加する所属グループ。このグループごとにVPN接続の許可/不許可を設定すると、VPN全体を統一して管理することができる。
次はVPNサーバをそのものを、VPN接続を許可するサーバとして「RAS and IAS Servers」グループに登録する(これはActive Directory環境に存在するグループ)。デフォルトでは、このグループに属しているマシンのみがVPNサーバとしてActive Directoryへアクセスできるようになっている。
RAS and IAS Serversグループへの登録
VPNサーバをRAS and IAS Serversセキュリティ・グループへ登録しておかないと、VPNサーバとして機能しない(VPNサーバがActive Directoryへアクセスすることができない)ことがある。
(1)追加したVPNサーバ。SYS-SV02は、本社側のVPNサーバの名称。