＠IT：＠ITハイブックス連携企画

マイクロソフト認定技術資格試験「MCP/MCSEラーニングブック」

70-293：Planning and Maintaining a Microsoft Windows Server 2003 Network Infrastructure 編

5-2．VPN（Virtual Private Network）

宮本寿夫／澤村孝太郎
2004/3/3

　本記事は、＠ITハイブックスシリーズ『マイクロソフト認定技術資格試験　MCP/MCSEラーニングブック－70-293：Planning and Maintaining a Microsoft Windows Server 2003 Network Infrastructure 編－』（技術評論社発行）より、一部の問題を許可を得て転載したものです。同書籍に関する詳しい情報については、「＠ITハイブックス」サイトでご覧いただけます。

ほかの問題へ
	問題　05-01-01　入力フィルタと出力フィルタ
	問題　05-01-02　インターネット接続ファイアウォール
	問題　05-01-03　IPセキュリティポリシー
	問題　05-02-01　トンネリングプロトコル
	問題　05-02-02　VPNセッションの管理

問題　05-02-02　VPNセッションの管理

　あなたは組織のネットワークの管理者です。社外で業務を行う営業などのユーザーが社内のリソースにアクセスできるようにWindows Server 2003でVPNサーバを構築しました。プロトコルにはPPTPを使用するようVPNサーバとすべてのクライアントコンピュータを構成しました。クライアントコンピュータはWindows XP Professionalです。

　あるとき、何人かの社外のユーザーから、

「時々VPNサーバにアクセスできないことがある」

との報告を受けました。調査したところ、組織には200人の営業のユーザーがおり、多くのユーザーがVPNサーバにアクセスしているときにこのような問題が起こっていることが分かりました。ユーザーによると、そのような時間帯でも日によってはアクセスできることもあるといいます。また、サーバのハードウェアリソースについては調査を行い、CPUやメモリ、ネットワークなどの負荷には問題がないことを確認しました。

　問題を解決するにはどうすればよいですか？以下から最も適切なものを選択してください。

（単一選択）

	VPNサーバとすべてのクライアントでL2TPを使用するように構成する。
	障害が発生している時間帯にサーバへのアクセスを許可するリモートアクセスポリシーを新規に追加する。
	WANミニポート（PPTP）の数を200以上の数に増やす。
	問題が発生しているユーザーのユーザーアカウントを設定し、ダイヤルインを許可するようにする。

　VPNの実装の形態は、大きくルータ間VPNとリモートアクセスVPNの2つに分けられます。ルータ間VPNは主に複数のネットワークを接続する目的で使用され、それぞれのネットワークにVPNサーバを設置し、ネットワーク間を流れるパケットをすべてVPNサーバで一括してカプセル化し、配送します。

　それに対してリモートアクセスVPNは、1台のコンピュータを組織のネットワークにアクセスさせる際などに使用します。組織のネットワークにVPNサーバを設置し、コンピュータはISPを介してVPNサーバにアクセスし、さらには組織内のリソースにアクセスします。

　リモートアクセスVPNを展開する場合、この問題のように1度に多数のユーザーがVPNサーバに接続してくることがあります。このような場合にはVPNサーバのポートの数に注意する必要があります。VPNサーバを構成すると、既定でPPTP接続に128、L2TP接続に128のポートが構成されます。

　現在のポートの構成については、管理ツールの「ルーティングとリモートアクセス」で確認できます（図5-17）。

図5-17 ポートの数（拡大）

　ユーザーの接続ごとに1つのポートが使用されるため、既定の構成のままでは128以上のユーザーは同時にVPNサーバに接続を行えません。128以上の接続を同時に行えるようにするにはポートの数を増やす必要があります。

　ポートの数の変更は「ルーティングとリモートアクセス」のポートのプロパティから行います（図5-18、図5-19）。

図5-18 ポートのプロパティ（拡大）

図5-19 ポート数の変更（拡大）

　Windows Server 2003では、PPTPとL2TPのポートをそれぞれ最大1,000まで増やすことができます。ただし、例外としてWindows Server 2003 Web Editionでは、ポートは1つしか使用できないため注意が必要です。

■POINT■

　この問題では、使用するプロトコルをPPTPからL2TPに変更しても、ポートの数を変えない以上問題は解決されません。また、ユーザーアカウントのプロパティやリモートアクセスポリシーが正しく構成されていない場合は、特定のユーザーは常に接続できなかったり、ある時間帯にすべての（あるいは特定のグループなどの）ユーザーが影響を受けることになったりするため、この問題の解決策としては適切ではありません。

■KEYWORD■

　Windows Server 2003 Web Edition

　Windows Server 2003の製品群の中でも、特にWebサーバやアプリケーションサーバに特化したものです。Windows Server 2003 Web Editionでは、VPNによる接続数のほかにもさまざまな制限があります。

　主な制限には、ドメインコントローラとして構成することができない、SMB接続は10接続まで、プリンタ共有ができない、証明書サービス、Windows Mediaサービス、インターネット認証サービス、リモートインストールサービスなどをサポートしないなどがあります。

正　解（05-02-02）
　C

前の問題へ

マイクロソフト認定技術資格試験「MCP/MCSEラーニングブック」

関連記事

VPNの実力を知る（前・後編）

インターネットVPNの導入メリット（前・後編）

検証 VPN実践導入講座

IT管理者のためのIPSec講座

FreeS/WANによるIPSecの導入と運用

書評：VPNの最新ソリューションを学ぼう！

5分で絶対に分かるVPN

Security&Trust記事一覧

Security&Trust フォーラム新着記事

Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ （2017/7/24）
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。
WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に （2017/7/11）
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。
Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは （2017/7/10）
　代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する
侵入されることを前提に考える――内部対策はログ管理から （2017/7/5）
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃（APT：Advanced Persistent Threat）対策の観点から考える。