特集
Windows 2000とは何か ?

10.Windows 2000 Serverの概要(3)
ネットワークとリモートアクセスサービス

デジタルアドバンテージ
1999/10/26


 Windows 2000 Serverにおける新しいネットワーク関連の機能やサービスとしては、以下のようなものがある。プロトコルスタックの機能強化やRouting and Remote Access Service(RRAS)機能の追加、セキュリティ機能の追加などが主な強化点である。

機能

内容

TCP/IPプロトコルスタックの機能強化 自動DHCPサーバ機能(DHCPクライアントとして動作しているときにDHCPサーバが見つからない場合、一時的にDHCPサーバになる。インターネット共有接続時に、クライアントにIPアドレスを割り当てるために使われる。Windows 98 Second Editionと同等の機能)。ラージTCPウィンドウサイズ。TCPの選択的アクノレッジ。DNSリゾルバにおけるDNSキャッシュ。NetBIOS over TCP/IPのディセーブル機能。PPPにおけるunnumbered接続
DHCPサービスの強化 DHCP管理専用のユーザーアカウントの新設。スーパースコープ(NT 4.0用サービスパックで追加)やマルチキャスト用スコープ機能。RASクライアントやBOOTPクライアントなどを区別して取り扱うためのベンダ固有クラスID機能のサポート。ダイナミックDNSとの連携。
ダイナミックDNS Active DirectoryやDHCPサービスと連携するために、ダイナミックDNS機能がサポートされている
高度なルーティング機能 ポリシーやセキュリティフィルタ、RIP/OSPF、NATVPNなどのサポート。IGMPマルチキャストルーティング機能のサポート
IP-in-IPトンネリング機能 IPプロトコル中にIPパケットをカプセル化して運び、マルチキャストのルーティングがサポートされていないネットワークなどでもルーティングできるようにする機能
インターネット接続の共有 1台のダイヤルアップクライアントで、LAN上のすべてのノードがインターネットにアクセスできるようにする機能(Professional版、Windows 98 Second Editionでも利用可能)
NAT機能 IPアドレスやポート番号を変換して、1台のマシンや1つのルータを介して、複数台のノードを接続するための機能。VPNと組み合わせたNATも利用可
QoS ポリシーに基づいたネットワークのQuality of Servicesの制御
IPSec、Kerberos セキュアな通信を実現するための機能
コマンドラインベースの新しい管理ツール pathping(IPルーティングトレースツール)、netsh(ネットワークのコンフィギュレーションを操作、取得、保存するためのツール)、mrinfo(IPマルチキャスト操作ツール)
強化されたネットワーク機能

 リモートアクセス関連では、Active Directoryと統合化されたセキュリティ機能やVPNなどを中心に機能強化が図られている。

機能 内容
ポリシー制御 Active Directory内に格納されたポリシーによる、エンタープライズレベルの統合化されたリモートアクセスポリシーの制御。リモートアクセスを許可する時間帯やユーザー/グループ、使用する(可変)帯域幅、接続時間、認証方法、フィルタリングなどの通信条件などを、ドメインやサイトごとのポリシーに基づいて運用することができる
インターネット認証サービス(IAS)/RADIUSクライアント機能 インターネット認証サービス(IAS)による、ダイヤルアップ接続などのための中央集中的な認証やアカウンティングサービス。IASでは、総合的な認証サービスであるRADIUS(Remote Authentication Dial-In User Service)サービスをサポートしているし、外部のRADIUSサーバのクライアントとしても動作することができる
MS-CHAP Version 2 VPN向きに、より強化されたMS-CHAP認証プロトコル
Extensible Authentication Protocolサポート スマートカード(セキュリティ用のICカード)を使った、システム外部での認証方式などをサポートするための拡張用プロトコル
帯域幅割り当てプロトコル BAP(Bandwidth Allocation Protocol)やBACP(Bandwidth Allocation Control Protocol)を使った、可変帯域幅管理
VPN機能 VPNの標準プロトコルであるPPTPとL2TPがサポートされており、VPNを介してTCP/IP、IPXを利用することができる。IPSecもサポートされている
Macintoshクライアントからのダイヤルアップ MacintoshのAppleTalkクライアントからのダイヤルアップ接続(ARA)のサポート
IPマルチキャスト IGMPルーティングプロトコルを使って、リモートアクセスクライアントに対してIPマルチキャスト機能を提供することができる
アカウントのロックアウト 一定回数ログオンに失敗したユーザーアカウントを、あらかじめ決められた期間だけロックアウトする機能(従来はNTドメインへのログオン認証にのみこのロックアウト機能が適用され、リモートアクセスにおける失敗には適用されなかった)
インターネット接続の共有とNAT LANでもリモートアクセスでも、ほぼ同機能の接続共有やNAT機能、通信帯域制御などが利用できる
リモートアクセスの新機能

強化されたネットワーク機能

 Windows NTのネットワーク機能は、NT 4.0以降で出荷されたOption Packや各種のオプション/ベータ版ソフトウェアなどで随時機能強化が図られてきている。特にNT 4.0へのアドオンとして提供されていたRouting and Remote Access Service(RRAS)は、Windows 2000のネットワーク機能を先行的に公開していたものであり、NT Serverを本格的なルータとして機能させるための数々の機能を備えている。Windows 2000ではこれとほぼ同じものが実装されている。Windows NT 4.0のネットワーク機能と比較すると、各プロトコルスタック機能の強化のほか、ルーティング/RASサービスの機能強化のほか、VPN(Virtual Private Network)NAT(Network Address Translation)/トンネリング/マルチキャスト/QoS(Quality of Services)管理/セキュリティフィルタリング/IP-in-IPトンネルなどの機能が強化されている。

 IP-in-IPトンネルとは、IPパケットをさらに別のIPパケットでカプセル化してルーティングするための機能であり、たとえばマルチキャストのルーティングに対応していないようなネットワークでも、マルチキャストで通信を行いたい場合に使うことができる。この場合、ルータでIPマルチキャストパケットをカプセル化して送信し、最終目的地のネットワークのルータ(IP-in-IPに対応したWindows 2000 Serverによるルータ)で中のパケットを取り出して、そこで改めてマルチキャストで送信し直す。これにより、経路途中のルータがマルチキャストに対応しているかどうかにかかわらず、マルチキャスト通信を行うことができる。

クリックすると図が拡大表示されます
「ルーティングとリモート アクセス」管理ツール
ネットワーク関係の設定を行うためのツール。インターフェイスやプロトコル、ルーティング、NATなどの設定を行う。

リモートアクセス機能の強化

 リモートアクセス関係の機能強化点としては、インターネット認証サービス(Internet Authentication Service、IAS)やNAT/インターネット接続の共有/VPN機能などがある。IASは、リモートアクセスにおける集中的なユーザーアカウントの認証/アカウンティングを行うためのサービスで、広く普及しているRADIUS(Remote Authentication Dial-In User Service)サービスを実装している(Option PackのInternet Connection Services for Microsoft RASの後継機能)。また、外部のRADIUSサーバへ認証やアカウンティング(アクセスログの記録)を委譲することもできる。これにより、組織内にある各種の認証システム(特にダイヤルアップルータなど)を、すべてIAS/RADIUSサーバを使ったシステムに統合することが容易になる。

クリックすると図が拡大表示されます
インターネット認証サービス管理ツール
「インターネット認証サービス」ツールで、ダイヤルインのポリシーを設定しているところ。

コマンドラインベースの管理ツール

 Windows 2000では、新たにコマンドライン版のネットワーク管理ツールが用意されている。これによりGUIベースでは面倒であった、ネットワーク設定の保存や一斉設定などの作業を簡単に済ませることができる。特にnetsh.exeは、ネットワークインターフェイスやサービスの有効化/無効化/状態表示などが行えるほか、現在の設定状態をテキスト形式で表示、保管しておくことができる。設定を保存しておいて、後で設定を簡単に戻したり、多数のマシンのネットワーク設定を簡単に済ませたりすることができる。

E:\WINNT>netsh
netsh>routing ip
routing ip>show ?
使用できるコマンドは次のとおりです:
このコンテキストのコマンド:
show boundary - 構成されているマルチキャスト スコープの境界を表示し
ます。
show boundarystats - IP マルチキャストの境界を表示します。
show filter - パケット フィルタ情報を表示します。
show helper - IP の下のヘルパーをすべて表示します。
show interface - インターフェイス情報を表示します。
show loglevel - グローバル ログ レベルを表示します。
show mfe - マルチキャスト転送エントリを表示します。
show mfestats - マルチキャスト転送エントリの統計情報を表示します。
show persistentroutes - 固定ルートを表示します。
show preferenceforprotocol - すべてのプロトコルの優先レベルを設定し
ます。
show protocol - 実行されている IP プロトコルをすべて表示します。
show rtmdestinations - ルーティング テーブルの宛先を表示します。
show rtmroutes - ルーティング テーブルのルートを表示します。
show scope - このコンピュータで構成されているマルチキャスト スコープ
を表示します。
routing ip>show mfe
Group Source Prot In/Out Interface UpstrmNbr/NHOP
------------------ ------------------ ------ ------------------
---------------
224.0.1.24/32 192.168.1.11/32 IGMP ローカル エリア接続 0.0.0.0
routing ip>show rtmdestinations
Prefix Protocol Prf Met Gateway Vw Interface
------------------ ---------- --- --- --------------- -- -----------
-----
0.0.0.0/0 NetMgmt 10 1 192.168.1.1 UM ローカル エリア接続
127.0.0.0/8 Local 1 1 127.0.0.1 U ループバック
127.0.0.1/32 Local 1 1 127.0.0.1 U ループバック
192.168.1.0/24 Local 1 1 192.168.1.191 UM ローカル エリア接続
192.168.1.191/32 Local 1 1 127.0.0.1 U ループバック
224.0.0.0/4 Local 1 1 192.168.1.191 U ローカル エリア接続
255.255.255.255/32 Local 1 1 192.168.1.191 U ローカル エリア接続

コマンドラインインターフェイスnetsh.exeの使用例

「インターネット接続の共有」と「NAT(Network Address Translation)」

 1台のマシンやルータを介して、LAN上の複数台のマシンを相手先へ接続する機能として、Windows 2000 Serverには「インターネット接続の共有」と「NAT(Network Address Translation)」機能の2つが実装されている(前者はWindows 2000 Professionalでも利用できる)。いずれもIPアドレスやTCP/UDPのポート番号を変換する点は同じだが(いわゆるIPマスカレード機能に相当)、「インターネット接続の共有」は主にインターネット接続にのみ限定した機能を持つのに対し、「NAT」のほうはより汎用性が高く、LAN-to-LANの接続やVPNなどでも利用できる。

  インターネット接続の共有 NAT
用途 単一のLANのインターネットへの接続 汎用的なアドレス/ポート変換機能
グローバルアドレス 1つのみ 複数対応可
サーバのローカルアドレス 192.168.0.1に固定 自由
クライアントアドレス DHCPで192.168.0.0/24の範囲内に固定 自由
Proxy DNS DNS/WINS
「インターネット接続の共有」と「NAT」

 
     
 INDEX
  [特集]Windows 2000とは何か?
  1. イントロダクション
    コラム:Windows 2000ベータ3パッケージの内容
  2. マイクロソフトのWindows2000戦略
    コラム:Windows NTの歴史
    コラム:コンシューマ向けWindowsの今後のロードマップ(1)
    コラム:コンシューマ向けWindowsの今後のロードマップ(2)
  3. Windows 2000 Professionalの概要(1) インストール/セットアップ
  4. Windows 2000 Professionalの概要(2) ユーザーインターフェイスの改良
  5. Windows 2000 Professionalの概要(3) デバイスサポート/電源管理機能
  6. Windows 2000 Professionalの概要(4) システムの強化
  7. Windows 2000 Professionalの概要(5) ネットワーク機能の強化
  8. Windows 2000 Serverの概要(1) 管理ツールとActive Directoryサービス
  9. Windows 2000 Serverの概要(2) ファイル/プリンタ共有サービス
10. Windows 2000 Serverの概要(3) ネットワークとリモートアクセスサービス
  11. Windows 2000 Serverの概要(4) アプリケーションサービスとAdvanced Server
 
 特集


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間