Always On VPN は、企業ネットワークへのリモート ユーザーにシームレスで安全な接続を提供する Windows Server のリモート アクセス ソリューションです。 高度な認証方法をサポートし、既存のインフラストラクチャと統合し、従来の VPN ソリューションの最新の代替手段を提供します。 このチュートリアルでは、サンプル環境で Always On VPN をデプロイするシリーズを開始します。
このチュートリアルでは、リモート ドメインに参加している Windows クライアント コンピューター用の Always On VPN 接続用のサンプル インフラストラクチャを展開する方法について説明します。 サンプル インフラストラクチャを作成するには、次の手順を実行します。
- Active Directory ドメイン コントローラーを作成します。
- 証明書の自動登録用にグループ ポリシーを構成します。
- ネットワーク ポリシー サーバー (NPS) サーバーを作成します。
- VPN サーバーを作成します。
- VPN ユーザーとグループを作成します。
- VPN サーバーを RADIUS クライアントとして構成します。
- NPS サーバーを RADIUS サーバーとして構成します。
サポートされている統合、セキュリティ、接続機能など、Always On VPN の詳細については、「 Always On VPN の概要」を参照してください。
前提条件
このチュートリアルの手順を完了するには、次の前提条件を満たす必要があります。
サポートされているバージョンの Windows Server を実行している 3 台のサーバー (物理または仮想)。 これらのサーバーは、ドメイン コントローラー、NPS サーバー、および VPN サーバーです。
NPS サーバーに使用するサーバーには、2 つの物理ネットワーク アダプターがインストールされている必要があります。1 つはインターネットに接続し、1 つはドメイン コントローラーが配置されているネットワークに接続するアダプターです。
すべてのコンピューター上のユーザーアカウントで、ローカルAdministratorsセキュリティグループまたはそれと同等のグループのメンバーであるもの。
重要
Microsoft Azure でのリモート アクセスの使用はサポートされていません。 詳細については、 Microsoft Azure 仮想マシンに対する Microsoft サーバー ソフトウェアのサポートに関するページを参照してください。
ドメイン コントローラーを作成する
ドメイン コントローラーにするサーバーに、 Active Directory Domain Services (AD DS) をインストールします。 AD DS のインストール方法の詳細については、「 Active Directory Domain Services のインストール」を参照してください。
Windows Server をドメイン コントローラーに昇格させます。 このチュートリアルでは、新しいフォレストとその新しいフォレストへのドメインを作成します。 ドメイン コントローラーをインストールする方法の詳細については、「 AD DS のインストール」を参照してください。
ドメイン コントローラーに証明機関 (CA) をインストールして構成します。 CA をインストールする方法の詳細については、「 証明機関のインストール」を参照してください。
証明書の自動登録用にグループ ポリシーを構成する
このセクションでは、ドメイン メンバーがユーザー証明書とコンピューター証明書を自動的に要求できるように、ドメイン コントローラーにグループ ポリシーを作成します。 この構成により、VPN ユーザーは VPN 接続を自動的に認証するユーザー証明書を要求および取得できます。 このポリシーによって、NPS サーバーはサーバー認証証明書を自動的に要求することもできます。
ドメイン コントローラーで、グループ ポリシー管理コンソールを開きます。
左側のウィンドウで、ドメインを右クリックします (たとえば、
corp.contoso.com)。 [ このドメインに GPO を作成する] を選択し、ここにリンクします。[ 新しい GPO ] ダイアログ ボックスの [名前] に「 自動登録ポリシー」と入力します。 [ OK] を選択します。
左側のウィンドウで、[ 自動登録ポリシー] を右クリックします。 [ 編集] を 選択して 、グループ ポリシー管理エディターを開きます。
グループ ポリシー管理エディターで、次の手順を実行して、コンピューター証明書の自動登録を構成します。
コンピューターの構成>ポリシー>Windows の設定>セキュリティ設定>パブリック キー ポリシーに移動します。
詳細ウィンドウで、 証明書サービス クライアント - 自動登録を右クリックします。 [プロパティ] を選択します。
[ 証明書サービス クライアント - 自動登録のプロパティ ] ダイアログ ボックスで、[ 構成モデル] で [ 有効] を選択します。
[期限切れの証明書の更新]、[保留中の証明書の更新]、[失効した証明書の削除]、[証明書テンプレートを使用する証明書の更新] の順に選択します。
[ OK] を選択します。
グループ ポリシー管理エディターで、次の手順を実行して、ユーザー証明書の自動登録を構成します。
ユーザー構成>ポリシー>Windows 設定>セキュリティ設定>パブリック キー ポリシーに移動します。
詳細ウィンドウで、[ Certificate Services Client – Auto-Enrollment ] を右クリックし、[ プロパティ] を選択します。
[ 証明書サービス クライアント - 自動登録のプロパティ ] ダイアログ ボックスの [構成モデル] で、[ 有効] を選択します。
[期限切れの証明書の更新]、[保留中の証明書の更新]、[失効した証明書の削除]、[証明書テンプレートを使用する証明書の更新] の順に選択します。
[ OK] を選択します。
グループ ポリシー管理エディターを閉じます。
グループ ポリシーをドメイン内のユーザーとコンピューターに適用します。
グループ ポリシー管理コンソールを閉じます。
NPS サーバーを作成する
NPS サーバーにするサーバーに、 ネットワーク ポリシーとアクセス サービス (NPS) の役割をインストールします。 NPS をインストールする方法の詳細については、「 ネットワーク ポリシー サーバーのインストール」を参照してください。
Active Directory に NPS サーバーを登録します。 Active Directory に NPS サーバーを登録する方法については、「Active Directory ドメインに NPS を登録する」を参照してください。
VPN と RADIUS 通信の両方が正常に機能するために必要なトラフィックがファイアウォールによって許可されていることを確認します。 詳細については、「 RADIUS トラフィック用のファイアウォールの構成」を参照してください。
NPS のサーバー グループを作成します。
1. ドメイン コントローラーで、Active Directory ユーザーとコンピューターを開きます。
ドメインで、[ コンピューター] を右クリックします。 [ 新規] を選択し、[ グループ] を選択します。
[グループ名] に「NPS サーバー」と入力し、[OK] を選択します。
NPS サーバーを右クリックし、[プロパティ] を選択します。
[NPS サーバーのプロパティ] ダイアログ ボックスの [ メンバー ] タブで、[ 追加] を選択します。
[オブジェクトの種類] を選択し、[コンピューター] チェック ボックスをオンにして、[OK] を選択します。
選択 するオブジェクト名を入力し、NPS サーバーのホスト名を入力します。 [ OK] を選択します。
[Active Directory ユーザーとコンピューター] を閉じます。
VPN サーバーを作成する
VPN サーバーを実行するサーバーの場合は、コンピューターに 2 つの物理ネットワーク アダプターがインストールされていることを確認します。1 つはインターネットに接続し、1 つはドメイン コントローラーが配置されているネットワークに接続します。
インターネットに接続するネットワーク アダプターと、ドメインに接続するネットワーク アダプターを特定します。 インターネットに接続するアダプターはパブリック IP アドレスを使用して構成し、イントラネットに接続するアダプターはローカル ネットワークの IP アドレスを使用して構成します。
ドメインに接続するネットワーク アダプターの場合は、DNS 優先 IP アドレスをドメイン コントローラーの IP アドレスに設定します。
VPN サーバーをドメインに参加させます。 サーバーをドメインに参加させる方法については、「サーバーをドメイン に参加させる方法」を参照してください。
ファイアウォール規則を開き、VPN サーバー上のパブリック インターフェイスに適用される外部 IP アドレスに、UDP ポート 500 および 4500 の受信を許可します。 ドメインに接続するネットワーク アダプターの場合は、1812、1813、1645、1646 の UDP ポートを許可します。
VPN サーバー グループを作成します。
ドメイン コントローラーで、[Active Directory ユーザーとコンピューター] を開きます。
ドメインで、[ コンピューター] を右クリックします。 [ 新規] を選択し、[ グループ] を選択します。
[グループ名] に「VPN サーバー」と入力し、[OK] を選択します。
[VPN サーバー] を右クリックし、[プロパティ] を選択します。
[VPN サーバーのプロパティ] ダイアログ ボックスの [ メンバー ] タブで、[ 追加] を選択します。
[オブジェクトの種類] を選択し、[コンピューター] チェック ボックスをオンにして、[OK] を選択します。
選択 するオブジェクト名を入力し、VPN サーバーのホスト名を入力します。 [ OK] を選択します。
[Active Directory ユーザーとコンピューター] を閉じます。
VPN サーバーとしてリモート アクセスをインストールする手順に従って、VPN サーバーをインストールします。
サーバー マネージャーから ルーティングとリモート アクセス を開きます。
VPN サーバーの名前を右クリックし、[ プロパティ] を選択します。
[プロパティ] で、[セキュリティ] タブを選択し、次の操作を行います。
[ 認証プロバイダー ] を選択し、[ RADIUS 認証] を選択します。
[ 構成] を 選択して RADIUS 認証ダイアログを開きます。
[ 追加] を選択して [RADIUS サーバーの追加] ダイアログを開きます。
[サーバー名] に、NPS サーバーの完全修飾ドメイン名 (FQDN) を入力します。これは RADIUS サーバーでもあります。 たとえば、NPS サーバーとドメイン コントローラー サーバーの NetBIOS 名が
nps1で、ドメイン名がcorp.contoso.com場合は、「nps1.corp.contoso.com」と入力します。[共有シークレット] で [変更] を選択し、[シークレットの変更] ダイアログ ボックスを開きます。
[ 新しいシークレット] にテキスト文字列を入力します。
[ 新しいシークレットの確認] に同じテキスト文字列を入力し、[ OK] を選択します。
このシークレットを保存します。 このチュートリアルの後半で RADIUS クライアントとしてこの VPN サーバーを追加するときに必要になります。
[ OK] を 選択して [ RADIUS サーバーの追加 ] ダイアログを閉じます。
[ OK] を 選択して RADIUS 認証 ダイアログを閉じます。
[VPN サーバーのプロパティ] ダイアログで、[ 認証方法...] を選択します。
[ IKEv2 のマシン証明書認証を許可する] を選択します。
[ OK] を選択します。
会計プロバイダーの場合は、Windows 会計を選択します。
[ OK] を 選択して [プロパティ] ダイアログを閉じます。
サーバーの再起動を求めるダイアログが表示されます。 [ はい] を選択します。
VPN ユーザーとグループを作成する
次の手順を実行して VPN ユーザーを作成します。
- ドメイン コントローラーで、 Active Directory ユーザーとコンピューターコンソールを 開きます。
- ドメインの下で、[ ユーザー] を右クリックします。 [ 新規] を選択します。 [ ユーザー ログオン名] に任意の名前を入力します。 [ 次へ] を選択します。
- ユーザー用のパスワードを選択します。
- [ ユーザーは次回ログオン時にパスワードを変更する必要があります] の選択を解除します。 [ パスワードの有効期限なし] を選択します。
- [完了] を選択します。 [Active Directory ユーザーとコンピューター] は開いたままにします。
次の手順を実行して、VPN ユーザー グループを作成します。
- ドメインの下で、[ ユーザー] を右クリックします。 [ 新規] を選択し、[ グループ] を選択します。
- [グループ名] に「VPN Users」と入力し、[OK] を選択します。
- [VPN ユーザー] を右クリックし、[プロパティ] を選択します。
- [VPN ユーザーのプロパティ] ダイアログ ボックスの [ メンバー ] タブで、[ 追加] を選択します。
- [ユーザーの選択] ダイアログ ボックスで、作成した VPN ユーザーを追加し、[ OK] を選択します。
VPN サーバーを RADIUS クライアントとして構成する
NPS サーバーでファイアウォール規則を開き、WINDOWS ファイアウォールを含む UDP ポート 1812、1813、1645、1646 の受信を許可します。
ネットワーク ポリシー サーバー コンソールを開きます。
NPS コンソールで、[ RADIUS クライアントとサーバー] をダブルクリックします。
[RADIUS クライアント] を右クリックし、[新規] を選択して [新しい RADIUS クライアント] ダイアログ ボックスを開きます。
[この RADIUS クライアントを有効にする] チェック ボックスがオンになっていることを確認します。
[ フレンドリ名] に、VPN サーバーの表示名を入力します。
[ アドレス (IP または DNS)]に、VPN サーバーの IP アドレスまたは FQDN を入力します。
FQDN を入力する場合は、[ 名前 が正しいことを確認する場合は確認] を選択し、有効な IP アドレスにマップします。
共有シークレットの場合:
- [手動] が選択されていることを確認します。
- [ VPN サーバーの作成] セクションで作成したシークレットを入力します。
- [ 共有シークレットの確認] で、共有シークレットを再入力します。
[ OK] を選択します。 VPN サーバーが NPS サーバーで構成されている RADIUS クライアントのリストに表示されます。
NPS サーバーを RADIUS サーバーとして構成する
NPS サーバーのサーバー証明書を、「 PEAP および EAP 要件の証明書テンプレートの構成」の要件を満たす証明書を使用して登録します。 ネットワーク ポリシー サーバー (NPS) サーバーが証明機関 (CA) のサーバー証明書に登録されていることを確認するには、「 サーバー証明書のサーバー登録の確認」を参照してください。
NPS コンソールで、 NPS (ローカル) を選択します。
Standard Configuration で、ダイヤルアップ接続または VPN 接続用の RADIUS サーバーが選択されていることを確認します。
[ VPN の構成] または [ダイヤルアップ] を選択して、 VPN またはダイヤルアップの構成ウィザードを 開きます。
[ 仮想プライベート ネットワーク (VPN) 接続] を選択し、[ 次へ] を選択します。
[ ダイヤルアップまたは VPN サーバーの指定] で、 RADIUS クライアントで VPN サーバーの名前を選択します。
[ 次へ] を選択します。
[ 認証方法の構成] で、次の手順を実行します。
Microsoft Encrypted Authentication バージョン 2 (MS-CHAPv2) をクリアします。
[拡張認証プロトコル] を選択します。
[種類] で、[Microsoft: Protected EAP (PEAP)] を選択します。 次に、[ 構成 ] を選択して、[ 保護された EAP プロパティの編集 ] ダイアログ ボックスを開きます。
[ 削除] を選択して、セキュリティで保護されたパスワード (EAP-MSCHAP v2) EAP の種類を削除します。
追加を選択します。 [EAP の追加] ダイアログ ボックスが開きます。
[スマート カード] またはその他の証明書を選択し、[OK] を選択します。
[ OK] を 選択して[保護された EAP プロパティの編集]を閉じます。
[ 次へ] を選択します。
[ ユーザー グループの指定] で、次の手順を実行します。
追加を選択します。 [ ユーザー、コンピューター、サービス アカウント、またはグループの選択 ] ダイアログ ボックスが開きます。
「VPN ユーザー」と入力し、[OK] を選択します。
[ 次へ] を選択します。
[ IP フィルターの指定] で、[ 次へ] を選択します。
[ 暗号化設定の指定] で、[ 次へ] を選択します。 変更を加えないでください。
[ 領域名の指定] で、[ 次へ] を選択します。
[ 完了] を選択 してウィザードを閉じます。
次のステップ
サンプル インフラストラクチャを作成したら、証明機関の構成を開始する準備ができました。