特集Windows 2000とは何か?(改訂新版)10.Windows 2000 Serverの概要(3)
|
|
|
Windows 2000 Serverにおける新しいネットワーク関連の機能やサービスとしては、以下のようなものがある。プロトコルスタックの機能強化やRouting and Remote Access Service(RRAS)機能の追加、セキュリティ機能の追加などが主な強化点である。
機能 |
内容 |
TCP/IPプロトコルスタックの機能強化 | 自動DHCPサーバ機能(DHCPクライアントとして動作しているときにDHCPサーバが見つからない場合、一時的にDHCPサーバになる。インターネット共有接続時に、クライアントにIPアドレスを割り当てるために使われる。Windows 98 Second Editionと同等の機能)。ラージTCPウィンドウサイズ。TCPの選択的アクノレッジ。DNSリゾルバにおけるDNSキャッシュ。NetBIOS over TCP/IPのディセーブル機能。PPPにおけるunnumbered接続 |
DHCPサービスの強化 | DHCP管理専用のユーザーアカウントの新設。スーパースコープ(NT 4.0用サービスパックで追加)やマルチキャスト用スコープ機能。RASクライアントやBOOTPクライアントなどを区別して取り扱うためのベンダ固有クラスID機能のサポート。ダイナミックDNSとの連携 |
ダイナミックDNS | Active DirectoryやDHCPサービスと連携するために、ダイナミックDNS機能がサポートされている |
高度なルーティング機能 | ポリシーやセキュリティフィルタ、RIP/OSPF、NAT、VPNなどのサポート。IGMPマルチキャストルーティング機能のサポート |
IP-in-IPトンネリング機能 | IPプロトコル中にIPパケットをカプセル化して運び、マルチキャストのルーティングがサポートされていないネットワークなどでもルーティングできるようにする機能 |
インターネット接続の共有 | 1台のダイヤルアップクライアントで、LAN上のすべてのノードがインターネットにアクセスできるようにする機能(Professional版、Windows 98 Second Editionでも利用可能) |
NAT機能 | IPアドレスやポート番号を変換して、1台のマシンや1つのルータを介して、複数台のノードを接続するための機能。VPNと組み合わせたNATも利用可 |
QoS | ポリシーに基づいたネットワークのQuality of Servicesの制御 |
IPSec、Kerberos | セキュアな通信を実現するための機能 |
コマンドラインベースの新しい管理ツール | pathping(IPルーティングトレースツール)、netsh(ネットワークのコンフィギュレーションを操作、取得、保存するためのツール)、mrinfo(IPマルチキャスト操作ツール) |
強化されたネットワーク機能 |
リモートアクセス関連では、Active Directoryと統合化されたセキュリティ機能やVPNなどを中心に機能強化が図られている。
機能 | 内容 |
ポリシー制御 | Active Directory内に格納されたポリシーによる、エンタープライズレベルの統合化されたリモートアクセスポリシーの制御。リモートアクセスを許可する時間帯やユーザー/グループ、使用する(可変)帯域幅、接続時間、認証方法、フィルタリングなどの通信条件などを、ドメインやサイトごとのポリシーに基づいて運用することができる |
インターネット認証サービス(IAS)/RADIUSクライアント機能 | インターネット認証サービス(IAS)による、ダイヤルアップ接続などのための中央集中的な認証やアカウンティングサービス。IASでは、総合的な認証サービスであるRADIUS(Remote Authentication Dial-In User Service)サービスをサポートしているし、外部のRADIUSサーバのクライアントとしても動作することができる |
MS-CHAP Version 2 | VPN向きに、より強化されたMS-CHAP認証プロトコル |
Extensible Authentication Protocolサポート | スマートカード(セキュリティ用のICカード)を使った、システム外部での認証方式などをサポートするための拡張用プロトコル |
帯域幅割り当てプロトコル | BAP(Bandwidth Allocation Protocol)やBACP(Bandwidth Allocation Control Protocol)を使った、可変帯域幅管理 |
VPN機能 | VPNの標準プロトコルであるPPTPとL2TPがサポートされており、VPNを介してTCP/IP、IPXを利用することができる。IPSecもサポートされている |
Macintoshクライアントからのダイヤルアップ | MacintoshのAppleTalkクライアントからのダイヤルアップ接続(ARA)のサポート |
IPマルチキャスト | IGMPルーティングプロトコルを使って、リモートアクセスクライアントに対してIPマルチキャスト機能を提供することができる |
アカウントのロックアウト | 一定回数ログオンに失敗したユーザーアカウントを、あらかじめ決められた期間だけロックアウトする機能(従来はNTドメインへのログオン認証にのみこのロックアウト機能が適用され、リモートアクセスにおける失敗には適用されなかった) |
インターネット接続の共有とNAT | LANでもリモートアクセスでも、ほぼ同機能の接続共有やNAT機能、通信帯域制御などが利用できる |
リモートアクセスの新機 |
強化されたネットワーク機能
Windows NTのネットワーク機能は、NT 4.0以降で出荷されたOption Packや各種のオプション/ベータ版ソフトウェアなどで随時機能強化が図られてきている。特にNT 4.0へのアドオンとして提供されていたRouting and Remote Access Service(RRAS)は、Windows 2000のネットワーク機能を先行的に公開していたものであり、NT Serverを本格的なルータとして機能させるための数々の機能を備えている。Windows 2000ではこれとほぼ同じものが実装されている。Windows NT 4.0のネットワーク機能と比較すると、各プロトコルスタック機能の強化のほか、ルーティング/RASサービスの機能強化のほか、VPN(Virtual Private Network)/NAT(Network Address Translation)/トンネリング/マルチキャスト/QoS(Quality of Services)管理/セキュリティフィルタリング/IP-in-IPトンネルなどの機能が強化されている。
IP-in-IPトンネルとは、IPパケットをさらに別のIPパケットでカプセル化してルーティングするための機能であり、たとえばマルチキャストのルーティングに対応していないようなネットワークでも、マルチキャストで通信を行いたい場合に使うことができる。この場合、ルータでIPマルチキャストパケットをカプセル化して送信し、最終目的地のネットワークのルータ(IP-in-IPに対応したWindows 2000 Serverによるルータ)で中のパケットを取り出して、そこで改めてマルチキャストで送信し直す。これにより、経路途中のルータがマルチキャストに対応しているかどうかにかかわらず、マルチキャスト通信を行うことができる。
「ルーティングとリモート アクセス」管理ツール |
ネットワーク関係の設定を行うためのツール。インターフェイスやプロトコル、ルーティング、NATなどの設定を行う。 |
リモートアクセス機能の強化
リモートアクセス関係の機能強化点としては、インターネット認証サービス(Internet Authentication Service、IAS)やNAT/インターネット接続の共有/VPN機能などがある。IASは、リモートアクセスにおける集中的なユーザーアカウントの認証/アカウンティングを行うためのサービスで、広く普及しているRADIUS(Remote Authentication Dial-In User Service)サービスを実装している(Option PackのInternet Connection Services for Microsoft RASの後継機能)。また、外部のRADIUSサーバへ認証やアカウンティング(アクセスログの記録)を委譲することもできる。これにより、組織内にある各種の認証システム(特にダイヤルアップルータなど)を、すべてIAS/RADIUSサーバを使ったシステムに統合することが容易になる。
インターネット認証サービス管理ツール |
「インターネット認証サービス」ツールで、ダイヤルインのポリシーを設定しているところ |
コマンドラインベースの管理ツール
Windows 2000では、新たにコマンドライン版のネットワーク管理ツールが用意されている。これによりGUIベースでは面倒であった、ネットワーク設定の保存や一斉設定などの作業を簡単に済ませることができる。特にnetsh.exeは、ネットワークインターフェイスやサービスの有効化/無効化/状態表示などが行えるほか、現在の設定状態をテキスト形式で表示、保管しておくことができる。設定を保存しておいて、後で設定を簡単に戻したり、多数のマシンのネットワーク設定を簡単に済ませたりすることができる。
|
|
コマンドラインインターフェイスnetsh.exeの使用例 |
「インターネット接続の共有」と「NAT(Network Address Translation)」
1台のマシンやルータを介して、LAN上の複数台のマシンを相手先へ接続する機能として、Windows 2000 Serverには「インターネット接続の共有」と「NAT(Network Address Translation)」機能の2つが実装されている(前者はWindows 2000 Professionalでも利用できる)。いずれもIPアドレスやTCP/UDPのポート番号を変換する点は同じだが(いわゆるIPマスカレード機能に相当)、「インターネット接続の共有」は主にインターネット接続にのみ限定した機能を持つのに対し、「NAT」のほうはより汎用性が高く、LAN-to-LANの接続やVPNなどでも利用できる。
インターネット接続の共有 | NAT | |
用途 | 単一のLANのインターネットへの接続 | 汎用的なアドレス/ポート変換機能 |
グローバルアドレス | 1つのみ | 複数対応可 |
サーバのローカルアドレス | 192.168.0.1に固定 | 自由 |
クライアントアドレス | DHCPで192.168.0.0/24の範囲内に固定 | 自由 |
Proxy | DNS | DNS/WINS |
「インターネット接続の共有」と「NAT」 |
特集 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
|
|