| |
|
特集
Windows 2000とは何か ?
10.Windows 2000 Serverの概要(3)
ネットワークとリモートアクセスサービス
デジタルアドバンテージ
1999/10/26
|
|
Windows 2000 Serverにおける新しいネットワーク関連の機能やサービスとしては、以下のようなものがある。プロトコルスタックの機能強化やRouting
and Remote Access Service(RRAS)機能の追加、セキュリティ機能の追加などが主な強化点である。
| 機能 |
内容
|
| TCP/IPプロトコルスタックの機能強化
|
自動DHCPサーバ機能(DHCPクライアントとして動作しているときにDHCPサーバが見つからない場合、一時的にDHCPサーバになる。インターネット共有接続時に、クライアントにIPアドレスを割り当てるために使われる。Windows
98 Second Editionと同等の機能)。ラージTCPウィンドウサイズ。TCPの選択的アクノレッジ。DNSリゾルバにおけるDNSキャッシュ。NetBIOS
over TCP/IPのディセーブル機能。PPPにおけるunnumbered接続 |
| DHCPサービスの強化
|
DHCP管理専用のユーザーアカウントの新設。スーパースコープ(NT
4.0用サービスパックで追加)やマルチキャスト用スコープ機能。RASクライアントやBOOTPクライアントなどを区別して取り扱うためのベンダ固有クラスID機能のサポート。ダイナミックDNSとの連携。
|
| ダイナミックDNS
|
Active DirectoryやDHCPサービスと連携するために、ダイナミックDNS機能がサポートされている
|
| 高度なルーティング機能
|
ポリシーやセキュリティフィルタ、RIP/OSPF、NAT、VPNなどのサポート。IGMPマルチキャストルーティング機能のサポート
|
| IP-in-IPトンネリング機能
|
IPプロトコル中にIPパケットをカプセル化して運び、マルチキャストのルーティングがサポートされていないネットワークなどでもルーティングできるようにする機能
|
| インターネット接続の共有
|
1台のダイヤルアップクライアントで、LAN上のすべてのノードがインターネットにアクセスできるようにする機能(Professional版、Windows
98 Second Editionでも利用可能) |
| NAT機能
|
IPアドレスやポート番号を変換して、1台のマシンや1つのルータを介して、複数台のノードを接続するための機能。VPNと組み合わせたNATも利用可
|
| QoS |
ポリシーに基づいたネットワークのQuality
of Servicesの制御 |
| IPSec、Kerberos
|
セキュアな通信を実現するための機能 |
| コマンドラインベースの新しい管理ツール
|
pathping(IPルーティングトレースツール)、netsh(ネットワークのコンフィギュレーションを操作、取得、保存するためのツール)、mrinfo(IPマルチキャスト操作ツール)
|
 |
| 強化されたネットワーク機能 |
リモートアクセス関連では、Active Directoryと統合化されたセキュリティ機能やVPNなどを中心に機能強化が図られている。
| 機能 |
内容 |
| ポリシー制御 |
Active Directory内に格納されたポリシーによる、エンタープライズレベルの統合化されたリモートアクセスポリシーの制御。リモートアクセスを許可する時間帯やユーザー/グループ、使用する(可変)帯域幅、接続時間、認証方法、フィルタリングなどの通信条件などを、ドメインやサイトごとのポリシーに基づいて運用することができる
|
| インターネット認証サービス(IAS)/RADIUSクライアント機能
|
インターネット認証サービス(IAS)による、ダイヤルアップ接続などのための中央集中的な認証やアカウンティングサービス。IASでは、総合的な認証サービスであるRADIUS(Remote
Authentication Dial-In User Service)サービスをサポートしているし、外部のRADIUSサーバのクライアントとしても動作することができる
|
| MS-CHAP Version
2 |
VPN向きに、より強化されたMS-CHAP認証プロトコル
|
| Extensible
Authentication Protocolサポート |
スマートカード(セキュリティ用のICカード)を使った、システム外部での認証方式などをサポートするための拡張用プロトコル
|
| 帯域幅割り当てプロトコル
|
BAP(Bandwidth Allocation
Protocol)やBACP(Bandwidth Allocation Control Protocol)を使った、可変帯域幅管理 |
| VPN機能
|
VPNの標準プロトコルであるPPTPとL2TPがサポートされており、VPNを介してTCP/IP、IPXを利用することができる。IPSecもサポートされている
|
| Macintoshクライアントからのダイヤルアップ
|
MacintoshのAppleTalkクライアントからのダイヤルアップ接続(ARA)のサポート
|
| IPマルチキャスト
|
IGMPルーティングプロトコルを使って、リモートアクセスクライアントに対してIPマルチキャスト機能を提供することができる
|
| アカウントのロックアウト
|
一定回数ログオンに失敗したユーザーアカウントを、あらかじめ決められた期間だけロックアウトする機能(従来はNTドメインへのログオン認証にのみこのロックアウト機能が適用され、リモートアクセスにおける失敗には適用されなかった)
|
| インターネット接続の共有とNAT
|
LANでもリモートアクセスでも、ほぼ同機能の接続共有やNAT機能、通信帯域制御などが利用できる
|
|
| リモートアクセスの新機能 |
強化されたネットワーク機能
Windows NTのネットワーク機能は、NT 4.0以降で出荷されたOption Packや各種のオプション/ベータ版ソフトウェアなどで随時機能強化が図られてきている。特にNT
4.0へのアドオンとして提供されていたRouting and Remote Access Service(RRAS)は、Windows
2000のネットワーク機能を先行的に公開していたものであり、NT Serverを本格的なルータとして機能させるための数々の機能を備えている。Windows
2000ではこれとほぼ同じものが実装されている。Windows NT 4.0のネットワーク機能と比較すると、各プロトコルスタック機能の強化のほか、ルーティング/RASサービスの機能強化のほか、VPN(Virtual
Private Network)/NAT(Network Address
Translation)/トンネリング/マルチキャスト/QoS(Quality
of Services)管理/セキュリティフィルタリング/IP-in-IPトンネルなどの機能が強化されている。
IP-in-IPトンネルとは、IPパケットをさらに別のIPパケットでカプセル化してルーティングするための機能であり、たとえばマルチキャストのルーティングに対応していないようなネットワークでも、マルチキャストで通信を行いたい場合に使うことができる。この場合、ルータでIPマルチキャストパケットをカプセル化して送信し、最終目的地のネットワークのルータ(IP-in-IPに対応したWindows
2000 Serverによるルータ)で中のパケットを取り出して、そこで改めてマルチキャストで送信し直す。これにより、経路途中のルータがマルチキャストに対応しているかどうかにかかわらず、マルチキャスト通信を行うことができる。
 |
|
「ルーティングとリモート アクセス」管理ツール |
| ネットワーク関係の設定を行うためのツール。インターフェイスやプロトコル、ルーティング、NATなどの設定を行う。
|
リモートアクセス機能の強化
リモートアクセス関係の機能強化点としては、インターネット認証サービス(Internet Authentication Service、IAS)やNAT/インターネット接続の共有/VPN機能などがある。IASは、リモートアクセスにおける集中的なユーザーアカウントの認証/アカウンティングを行うためのサービスで、広く普及しているRADIUS(Remote
Authentication Dial-In User Service)サービスを実装している(Option PackのInternet Connection
Services for Microsoft RASの後継機能)。また、外部のRADIUSサーバへ認証やアカウンティング(アクセスログの記録)を委譲することもできる。これにより、組織内にある各種の認証システム(特にダイヤルアップルータなど)を、すべてIAS/RADIUSサーバを使ったシステムに統合することが容易になる。
 |
|
インターネット認証サービス管理ツール |
| 「インターネット認証サービス」ツールで、ダイヤルインのポリシーを設定しているところ。 |
コマンドラインベースの管理ツール
Windows 2000では、新たにコマンドライン版のネットワーク管理ツールが用意されている。これによりGUIベースでは面倒であった、ネットワーク設定の保存や一斉設定などの作業を簡単に済ませることができる。特にnetsh.exeは、ネットワークインターフェイスやサービスの有効化/無効化/状態表示などが行えるほか、現在の設定状態をテキスト形式で表示、保管しておくことができる。設定を保存しておいて、後で設定を簡単に戻したり、多数のマシンのネットワーク設定を簡単に済ませたりすることができる。
E:\WINNT>netsh
netsh>routing ip
routing ip>show ?
使用できるコマンドは次のとおりです:
このコンテキストのコマンド:
show boundary - 構成されているマルチキャスト スコープの境界を表示し
ます。
show boundarystats - IP マルチキャストの境界を表示します。
show filter - パケット フィルタ情報を表示します。
show helper - IP の下のヘルパーをすべて表示します。
show interface - インターフェイス情報を表示します。
show loglevel - グローバル ログ レベルを表示します。
show mfe - マルチキャスト転送エントリを表示します。
show mfestats - マルチキャスト転送エントリの統計情報を表示します。
show persistentroutes - 固定ルートを表示します。
show preferenceforprotocol - すべてのプロトコルの優先レベルを設定し
ます。
show protocol - 実行されている IP プロトコルをすべて表示します。
show rtmdestinations - ルーティング テーブルの宛先を表示します。
show rtmroutes - ルーティング テーブルのルートを表示します。
show scope - このコンピュータで構成されているマルチキャスト スコープ
を表示します。
routing ip>show mfe
Group Source Prot In/Out Interface UpstrmNbr/NHOP
------------------ ------------------ ------ ------------------
---------------
224.0.1.24/32 192.168.1.11/32 IGMP ローカル エリア接続 0.0.0.0
routing ip>show rtmdestinations
Prefix Protocol Prf Met Gateway Vw Interface
------------------ ---------- --- --- --------------- -- -----------
-----
0.0.0.0/0 NetMgmt 10 1 192.168.1.1 UM ローカル エリア接続
127.0.0.0/8 Local 1 1 127.0.0.1 U ループバック
127.0.0.1/32 Local 1 1 127.0.0.1 U ループバック
192.168.1.0/24 Local 1 1 192.168.1.191 UM ローカル エリア接続
192.168.1.191/32 Local 1 1 127.0.0.1 U ループバック
224.0.0.0/4 Local 1 1 192.168.1.191 U ローカル エリア接続
255.255.255.255/32 Local 1 1 192.168.1.191 U ローカル エリア接続 |
|
|
コマンドラインインターフェイスnetsh.exeの使用例
|
「インターネット接続の共有」と「NAT(Network Address Translation)」
1台のマシンやルータを介して、LAN上の複数台のマシンを相手先へ接続する機能として、Windows 2000 Serverには「インターネット接続の共有」と「NAT(Network
Address Translation)」機能の2つが実装されている(前者はWindows 2000 Professionalでも利用できる)。いずれもIPアドレスやTCP/UDPのポート番号を変換する点は同じだが(いわゆるIPマスカレード機能に相当)、「インターネット接続の共有」は主にインターネット接続にのみ限定した機能を持つのに対し、「NAT」のほうはより汎用性が高く、LAN-to-LANの接続やVPNなどでも利用できる。
| |
インターネット接続の共有 |
NAT |
| 用途 |
単一のLANのインターネットへの接続 |
汎用的なアドレス/ポート変換機能 |
| グローバルアドレス |
1つのみ |
複数対応可 |
| サーバのローカルアドレス |
192.168.0.1に固定 |
自由 |
| クライアントアドレス |
DHCPで192.168.0.0/24の範囲内に固定
|
自由 |
| Proxy |
DNS |
DNS/WINS |
|
| 「インターネット接続の共有」と「NAT」 |
Windows Server Insider フォーラム 新着記事
Windows Server Insider 記事ランキング
本日
月間
