特集
|
 |
|
|
|
VPN接続プロファイルのインストール
作成された接続プロファイルの実行ファイル(vpnconn.exe)をクライアント・コンピュータ上で実行すると、自動的に新しい接続用の設定ファイルがシステムにコピー、展開される。例えばWindows XP上では次のようになる。
 |
|||
| Windows XP上にインストールされた接続プロファイル | |||
| プログラムを実行すると、このような接続プロファイルが自動的に作成される。 | |||
|
VPNサービスへのダイヤルアップ接続
作成されたVPN接続プロファイルをダブルクリックすると、VPN接続するためのダイアログが表示される。ユーザー名とパスワード、ドメイン名を指定する。ただしVPNサーバのローカル・アカウントでログオンするなら、ドメイン名ではなくVPNサーバのコンピュータ名を指定する。
 |
|||||||||
| VPNサーバへの接続 | |||||||||
| 接続プロファイルをダブルクリックして、VPNサーバへ接続してみる。 | |||||||||
|
[接続]をクリックすれば、VPNサーバに接続後、検疫用のプログラム(この例ではquarantine.cmd)が実行され、チェック項目にパスしていれば、検疫状態が解除されているはずである。
もし検疫の検査に合格しなければ、内部ネットワークへのアクセスは制限されている。例えば次のようになるであろう。
 |
||||||
| 検疫中のpingの実行例 | ||||||
| 検疫モードでは、リモート・アクセス・ポリシーで許可した特別なコンピュータ(検疫リソース)しかアクセスできない。 | ||||||
|
この例では、同じローカルのネットワーク・セグメント上に存在する2台のコンピュータへpingを行っている。上側の「10.20.1.11」は検疫モードでもアクセス可能なコンピュータ(検疫の入力フィルタで明示的に許可されているコンピュータ)であり、下側の「10.20.1.12」は許可されていないコンピュータなので、このような結果になっている。
またこのモードでは接続可能な時間に制限があり、120秒経つと、次のように切断されてしまう。
 |
|||
| 検疫モードの猶予時間が終了した場合のダイアログ | |||
| VPN接続後、検疫にパスしなければ、このように強制的にVPNサーバ側から切断されてしまう。 | |||
|
検疫用のスクリプト・プログラムの例
いままでの例では、quarantine.cmdというプログラム(スクリプト)ファイルで検査と検疫モードからの解除を行っていた。この中で何を実行するかは、環境に応じて大きく変わる。非常に厳密でセキュアな環境を要求する組織では、例えばウイルス・チェックやOSのバージョン、パッチの適用状況、ファイアウォールの設定状態など、細かく検査するだろう。逆にあまり厳格でない組織ならば、OSのバージョンやService Packなどの状態を調べる程度かもしれない。
ただ、検査内容がどうであれ、最後には必ず、検疫サーバ(検疫サービス)に対して、検査の結果がパスしたか、そうでないかという状態を返す必要がある(何も返さない場合は、失敗したものとみなされる)。そのために利用されるのがrqc.exeというクライアント側のプログラムである。
次のリストは、最も単純なスクリプトの例である(これしか実行しないのでは検疫の意味がないが)。
※最もシンプルなquarantine.cmdの例 |
「/sig "RASQuarantineConfigPassed"」は、照合用の文字列である。デフォルトではこの「RASQuarantineConfigPassed」という文字列が検疫サービスのレジストリに登録されており、それと同じ文字列を返さない限り検疫にはパスしない。必要ならばレジストリをカスタマイズして、組織ごとの文字列にしたり、プロファイルごとに異なる文字列を定義して、接続環境を使い分けたりすることができる(レジストリはHKLM\SYSTEM\CurrentControlSet の Services\rqs\AllowedSet)。
より複雑なスクリプトの例については、Windows Server 2003 SP1のドキュメントやISA Server 2004のドキュメントなどを参照していただきたい。なお、このスクリプトは、接続マネージャ管理キットによって自動的にパッケージ化され、配布されることからも分かるように、もしスクリプトを変更すると、接続プロファイルの再パッケージ化と再配布、再インストールが必要になる。これが面倒ならば、例えばスクリプトから検疫リソース上のスクリプトを呼び出すようにしておき、変更する場合は検疫リソース上に配置したスクリプトだけを変更するなどの工夫が必要になるだろう。
また実用的にするには、例えば検疫に失敗した場合は、検疫リソース上のWebサーバに誘導し、失敗の通知と可能な対処方法などをまとめたページを表示させたりするべきであろう。
※サンプルとして付属しているスクリプトの例 |
 |
 |
| INDEX | ||
| [特集]Windows Server 2003 SP1レビュー | ||
| 第2回 リモート・アクセス検疫機能 | ||
| 1.「リモート・アクセス検疫サービス」とは | ||
| 2.検疫サービスのインストール | ||
| 3.検疫ネットワーク用のリモート・アクセス・ポリシーの作成 | ||
| 4.接続マネージャによる接続用設定のプロファイルの作成 | ||
 |
5.VPN接続と検疫スクリプト | |
 |
||
 |
「特集」 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
 |
|
|
|
|
注目のテーマ
Windows Server Insider 記事ランキング
転職/派遣情報を探す
