Windows Server 2003 で仮想プライベート ネットワーク サーバーをインストールして構成する方法

  • [アーティクル]

この記事では、仮想プライベート ネットワーク (VPN) をインストールする方法と、Windows Server 2003 を実行しているサーバーに新しい VPN 接続を作成する方法について説明します。

この記事の Microsoft Windows XP バージョンについては、「 314076」を参照してください。

適用対象: Windows Server 2003
元の KB 番号: 323441

概要

仮想プライベート ネットワークを使用すると、インターネットなどの別のネットワークを介してネットワーク コンポーネントを接続できます。 Windows Server 2003 ベースのコンピューターをリモート アクセス サーバーにして、他のユーザーが VPN を使用して接続し、ネットワークにログオンして共有リソースにアクセスできるようにします。 VPN は、プライベート ネットワークと同じセキュリティと機能を提供する方法で、インターネットまたは別のパブリック ネットワークを介して "トンネリング" することでこれを行います。 データはルーティング インフラストラクチャを使用してパブリック ネットワーク経由で送信されますが、ユーザーには、専用のプライベート リンク経由でデータが送信されるかのように見えます。

VPN の概要

仮想プライベート ネットワークは、パブリック ネットワーク (インターネットなど) を使用してプライベート ネットワーク (オフィス ネットワークなど) に接続する手段です。 VPN は、ダイヤルアップ サーバーへのダイヤルアップ接続の長所と、インターネット接続の容易さと柔軟性を兼ね備えています。 インターネット接続を使用すると、世界中を移動し、ほとんどの場所で、最寄りのインターネット アクセス電話番号へのローカル通話でオフィスに接続できます。 コンピューターやオフィスで高速インターネット接続 (ケーブルや DSL など) を使用している場合は、アナログ モデムを使用するダイヤルアップ接続よりもはるかに高速なインターネット速度でオフィスと通信できます。 このテクノロジを使用すると、企業は、セキュリティで保護された通信を維持しながら、パブリック ネットワーク経由でブランチ オフィスや他の企業に接続できます。 インターネット経由の VPN 接続は、専用のワイド エリア ネットワーク (WAN) リンクとして論理的に動作します。

仮想プライベート ネットワークでは、認証済みリンクを使用して、承認されたユーザーのみがネットワークに接続できることを確認します。 パブリック ネットワーク経由でデータが安全であることを確認するために、VPN 接続では、ポイントツーポイント トンネリング プロトコル (PPTP) またはレイヤー 2 トンネリング プロトコル (L2TP) を使用してデータを暗号化します。

VPN のコンポーネント

Windows Server 2003 を実行しているサーバーの VPN は、VPN サーバー、VPN クライアント、VPN 接続 (データが暗号化される接続のその部分)、トンネル (データがカプセル化された接続のその部分) で構成されます。 トンネリングは、Windows Server 2003 を実行しているサーバーに含まれるトンネリング プロトコルの 1 つを介して完了します。どちらもルーティングとリモート アクセスでインストールされます。 ルーティングとリモート アクセス サービスは、Windows Server 2003 のインストール中に自動的にインストールされます。 ただし、既定では、ルーティングとリモート アクセス サービスはオフになっています。

Windows に含まれる 2 つのトンネリング プロトコルは次のとおりです。

  • ポイントツーポイント トンネリング プロトコル (PPTP): Microsoft ポイントツーポイント暗号化を使用してデータ暗号化を提供します。
  • レイヤー 2 トンネリング プロトコル (L2TP): IPSec を使用してデータの暗号化、認証、整合性を提供します。

インターネットへの接続では、T1、フラクショナル T1、フレーム リレーなどの専用回線を使用する必要があります。 WAN アダプターは、ドメインに割り当てられた IP アドレスとサブネット マスクで構成するか、インターネット サービス プロバイダー (ISP) によって提供される必要があります。 WAN アダプターは、ISP ルーターの既定のゲートウェイとしても構成する必要があります。

注:

VPN を有効にするには、管理者権限を持つアカウントを使用してログオンする必要があります。

VPN サーバーをインストールして有効にする方法

VPN サーバーをインストールして有効にするには、次の手順に従います。

  1. [ スタート] をクリックし、[ 管理ツール] をポイントし、[ ルーティングとリモート アクセス] をクリックします。

  2. コンソールの左側のウィンドウで、ローカル サーバー名と一致するサーバー アイコンをクリックします。 アイコンの左下隅に赤い円がある場合、ルーティングとリモート アクセス サービスはオンになっていません。 アイコンの左下隅に緑色の矢印が表示されている場合は、ルーティングとリモート アクセス サービスが有効になっています。 ルーティングとリモート アクセス サービスが以前に有効になっていた場合は、サーバーを再構成できます。 サーバーを再構成するには:

    1. サーバー オブジェクトを右クリックし、[ ルーティングとリモート アクセスの無効化] をクリックします。 情報メッセージが表示されたら、[ はい ] をクリックして続行します。
    2. サーバー アイコンを右クリックし、[ ルーティングとリモート アクセスの構成と有効化 ] をクリックして、ルーティングとリモート アクセス サーバーのセットアップ ウィザードを開始します。 続行するには、[次へ] をクリックします。
    3. [ リモート アクセス (ダイヤルアップまたは VPN)] をクリックして、インターネット経由でこのネットワークにダイヤルインまたは接続するリモート コンピューターを有効にします。 続行するには、[次へ] をクリックします。

  3. このサーバーに割り当てるロールに応じて、[ VPN ] または [ ダイヤルアップ ] をクリックして選択します。

  4. [ VPN 接続 ] ウィンドウで、インターネットに接続されているネットワーク インターフェイスをクリックし、[ 次へ] をクリックします。

  5. [ IP アドレスの割り当て ] ウィンドウで、DHCP サーバーを使用してリモート クライアントにアドレスを割り当てる場合は [自動的] をクリックし、リモート クライアントに定義済みのプールからのアドレスのみを指定する必要がある場合は 、[ 指定した範囲のアドレス から] をクリックします。 ほとんどの場合、DHCP オプションは管理が簡単です。 ただし、DHCP を使用できない場合は、静的アドレスの範囲を指定する必要があります。 続行するには、[次へ] をクリックします。

  6. [指定したアドレス範囲から] をクリックすると、[アドレス範囲の割り当て] ダイアログ ボックスが開きます。 [新規作成] をクリックします。 [開始 IP アドレス] ボックスに、使用するアドレスの範囲に最初の IP アドレス を入力します。 [エンド IP アドレス] ボックスに、範囲内の最後の IP アドレスを 入力します。 Windows では、アドレスの数が自動的に計算されます。 [ OK] を クリックして、[ アドレス範囲の割り当て] ウィンドウに戻ります。 続行するには、[次へ] をクリックします。

  7. [いいえ] の既定の設定をそのまま 使用し、ルーティングとリモート アクセスを使用して接続要求を認証し、[ 次へ ] をクリックして続行します。 [ 完了] をクリックしてルーティングとリモート アクセス サービスを有効にし、サーバーをリモート アクセス サーバーとして構成します。

VPN サーバーを構成する方法

必要に応じて VPN サーバーの構成を続行するには、次の手順に従います。

リモート アクセス サーバーをルーターとして構成する方法

リモート アクセス サーバーがネットワーク内でトラフィックを適切に転送するには、イントラネット内のすべての場所にリモート アクセス サーバーから到達できるように、静的ルートまたはルーティング プロトコルを使用してルーターとして構成する必要があります。

サーバーをルーターとして構成するには:

  1. [ スタート] をクリックし、[ 管理ツール] をポイントし、[ ルーティングとリモート アクセス] をクリックします。
  2. サーバー名を右クリックし、[ プロパティ] をクリックします。
  3. [全般] タブをクリックし、[このコンピューターをとして有効にする] の下にある [ルーター] をクリックして選択します。
  4. [ LAN とデマンド ダイヤル ルーティング] をクリックし、[ OK] を クリックして [プロパティ] ダイアログ ボックスを閉じます。

同時接続の数を変更する方法

ダイヤルアップ モデム接続の数は、サーバーにインストールされているモデムの数によって異なります。 たとえば、サーバーにインストールされているモデムが 1 つだけの場合、一度に接続できるモデムは 1 つだけです。

ダイヤルアップ VPN 接続の数は、許可する同時ユーザーの数によって異なります。 既定では、この記事で説明されている手順を実行すると、128 の接続が許可されます。 同時接続の数を変更するには、次の手順に従います。

  1. [ スタート] をクリックし、[ 管理ツール] をポイントし、[ ルーティングとリモート アクセス] をクリックします。
  2. サーバー オブジェクトをダブルクリックし、[ ポート] を右クリックし、[ プロパティ] をクリックします。
  3. [ ポートのプロパティ ] ダイアログ ボックスで、[ WAN ミニポート (PPTP)>構成] をクリックします。
  4. [ 最大ポート ] ボックスに、許可する VPN 接続の数を入力します。
  5. [OK] を>クリックし、ルーティングとリモート アクセスを閉じます。

アドレスとネーム サーバーを管理する方法

VPN サーバーには、接続プロセスの IP 制御プロトコル (IPCP) ネゴシエーション フェーズ中に、VPN サーバーの仮想インターフェイスと VPN クライアントに割り当てるために使用できる IP アドレスが必要です。 VPN クライアントに割り当てられた IP アドレスは、VPN クライアントの仮想インターフェイスに割り当てられます。

Windows Server 2003 ベースの VPN サーバーの場合、VPN クライアントに割り当てられた IP アドレスは既定で DHCP 経由で取得されます。 静的 IP アドレス プールを構成することもできます。 また、IPCP ネゴシエーション中に VPN クライアントに割り当てるには、名前解決サーバー (通常は DNS、WINS サーバー アドレス) を使用して VPN サーバーを構成する必要があります。

アクセスを管理する方法

ダイヤルアップ ネットワークと VPN 接続のアクセスを管理するために、ユーザー アカウントとリモート アクセス ポリシーのダイヤルイン プロパティを構成します。

注:

既定では、ユーザーはダイヤルアップ ネットワークへのアクセスを拒否されます。

ユーザー アカウントによるアクセス

ユーザーベースでリモート アクセスを管理している場合にユーザー アカウントにダイヤルイン アクセスを許可するには、次の手順に従います。

  1. [ スタート] ボタンをクリックして [ 管理ツール] をポイントし、[ Active Directory ユーザーとコンピューター] をクリックします。
  2. ユーザー アカウントを右クリックし、[ プロパティ] をクリックします。
  3. [ ダイヤルイン ] タブをクリックします。
  4. [ アクセスの許可] をクリックして、ダイヤルインするアクセス許可をユーザーに付与します。 [OK] をクリックします。

グループ メンバーシップによるアクセス

グループベースでリモート アクセスを管理する場合は、次の手順に従います。

  1. VPN 接続の作成を許可されているメンバーを含むグループを作成します。
  2. [ スタート] をクリックし、[ 管理ツール] をポイントし、[ ルーティングとリモート アクセス] をクリックします。
  3. コンソール ツリーで、[ ルーティングとリモート アクセス] を展開し、サーバー名を展開して、[ リモート アクセス ポリシー] をクリックします。
  4. 右側のウィンドウ内の任意の場所を右クリックし、[ 新規] をポイントし、[ リモート アクセス ポリシー] をクリックします。
  5. [ 次へ] をクリックし、ポリシー名を入力し、[ 次へ] をクリックします。
  6. [仮想プライベート アクセス方法] の [ VPN ] をクリックするか、 ダイヤルアップ アクセスの [ダイヤルアップ ] をクリックして、[ 次へ] をクリックします。
  7. [ 追加] をクリックし、手順 1 で作成したグループの名前を入力し、[ 次へ] をクリックします。
  8. 画面の指示に従ってウィザードを完了します。

VPN サーバーでダイヤルアップ ネットワーク リモート アクセス サービスが既に許可されている場合は、既定のポリシーを削除しないでください。 代わりに、最後に評価されるポリシーになるように移動します。

クライアント コンピューターから VPN 接続を構成する方法

VPN への接続を設定するには、次の手順に従います。 仮想プライベート ネットワーク アクセス用のクライアントを設定するには、クライアント ワークステーションで次の手順を実行します。

注:

これらの手順に従うには、Administrators グループのメンバーとしてログオンする必要があります。

Microsoft Windows には複数のバージョンが存在するため、使用中のコンピューターによっては以下の手順が異なる場合があります。 この場合、製品のマニュアルを参照のうえ、手順を実行するようにしてください。

  1. クライアント コンピューターで、インターネットへの接続が正しく構成されていることを確認します。

  2. [Startコントロール パネル>Network Connections] をクリックします>。 [ネットワーク タスク] の [新しい接続の作成] をクリックし、[次へ] をクリックします。

  3. [職場のネットワークに接続] をクリックして、ダイヤルアップ接続を作成します。 続行するには、[次へ] をクリックします。

  4. [ 仮想プライベート ネットワーク接続] をクリックし、[ 次へ] をクリックします。

  5. [会社名] ダイアログ ボックスにこの接続のわかりやすい 名前 を入力し、[ 次へ] をクリックします。

  6. コンピューターがインターネットに永続的に接続されている場合は、[ 最初の接続にダイヤルしない ] をクリックします。 コンピューターがインターネット サービス プロバイダー (ISP) を介してインターネットに接続する場合は、[ この初期接続を自動的にダイヤルする] をクリックし、ISP への接続の名前をクリックします。 [次へ] をクリックします。

  7. VPN サーバー コンピューターの IP アドレスまたはホスト名を入力します (たとえば、VPNServer.SampleDomain.com)。

  8. ワークステーションにログオンするすべてのユーザーにこのダイヤルアップ接続へのアクセスを許可する場合は、[すべてのユーザーの 使用 ] をクリックします。 この接続を現在ログオンしているユーザーのみが使用できるようにする場合は、[ マイユースのみ ] をクリックします。 [次へ] をクリックします。

  9. [ 完了] を クリックして接続を保存します。

  10. [Startコントロール パネル>Network Connections] をクリックします>。

  11. 新しい接続をダブルクリックします。

  12. [プロパティ] をクリックして、接続のオプションを構成し続けます。 接続のオプションの構成を続行するには、次の手順に従います。

    • ドメインに接続する場合は、[オプション] タブをクリックし、[Windows ログオン ドメインのチェックを含める] ボックスを選択して、接続を試みる前に Windows Server 2003 ログオン ドメイン情報を要求するかどうかを指定します。
    • 行が削除された場合に接続を再ダイヤルする場合は、[オプション] タブをクリックし、[行が削除された場合は再ダイヤル] ボックスチェッククリックして選択します。

接続を使用するには、次の手順に従います。

  1. [ スタート] をクリックし、[ 接続先] をポイントし、新しい接続をクリックします。

  2. 現在インターネットに接続していない場合、Windows はインターネットに接続することを提供します。

  3. インターネットへの接続が確立されると、VPN サーバーからユーザー名とパスワードの入力を求められます。 ユーザー名とパスワードを入力し、[ 接続] をクリックします。 ネットワーク リソースは、ネットワークに直接接続する場合と同じ方法で使用できる必要があります。

    注:

    VPN から切断するには、接続アイコンを右クリックし、[ 切断] をクリックします。

トラブルシューティング

リモート アクセス VPN のトラブルシューティング

リモート アクセス VPN 接続を確立できない

  • 原因: クライアント コンピューターの名前は、ネットワーク上の別のコンピューターの名前と同じです。

    解決策: ネットワーク上のすべてのコンピューターの名前と、ネットワークに接続しているコンピューターが一意のコンピューター名を使用していることを確認します。

  • 原因: ルーティングとリモート アクセス サービスが VPN サーバーで開始されていません。

    解決策: VPN サーバー上のルーティングおよびリモート アクセス サービスの状態を確認します。

    ルーティングとリモート アクセス サービスを監視する方法と、ルーティングとリモート アクセス サービスを開始および停止する方法の詳細については、「Windows Server 2003 ヘルプおよびサポート センター」を参照してください。 [ スタート] をクリックして、Windows Server 2003 のヘルプとサポート センターにアクセスします。

  • 原因: VPN サーバーでリモート アクセスが有効になっていません。

    解決策: VPN サーバーでリモート アクセスを有効にします。

    リモート アクセス サーバーを有効にする方法の詳細については、Windows Server 2003 のヘルプとサポート センターを参照してください。 [ スタート] をクリックして、Windows Server 2003 のヘルプとサポート センターにアクセスします。

  • 原因: PPTP または L2TP ポートは、受信リモート アクセス要求に対してオンになっていません。

    解決策: 受信リモート アクセス要求に対して PPTP ポートまたは L2TP ポート、またはその両方をオンにします。

    リモート アクセス用にポートを構成する方法の詳細については、Windows Server 2003 のヘルプとサポート センターを参照してください。 [ スタート] をクリックして、Windows Server 2003 のヘルプとサポート センターにアクセスします。

  • 原因: VPN クライアントで使用される LAN プロトコルは、VPN サーバー上のリモート アクセスに対してオンになっていません。

    解決策: VPN サーバー上のリモート アクセスのために VPN クライアントによって使用される LAN プロトコルを有効にします。

    リモート アクセス サーバーのプロパティを表示する方法の詳細については、Windows Server 2003 のヘルプとサポート センターを参照してください。 [ スタート] をクリックして、Windows Server 2003 のヘルプとサポート センターにアクセスします。

  • 原因: VPN サーバー上のすべての PPTP または L2TP ポートは、現在接続されているリモート アクセス クライアントまたはデマンド ダイヤル ルーターによって既に使用されています。

    解決策: VPN サーバー上のすべての PPTP または L2TP ポートが既に使用されていることを確認します。 これを行うには、[ルーティングとリモート アクセス] で [ ポート ] をクリックします。 許可される PPTP または L2TP ポートの数が十分に多くない場合は、PPTP または L2TP ポートの数を変更して、より多くの同時接続を許可します。

    PPTP または L2TP ポートを追加する方法の詳細については、Windows Server 2003 のヘルプとサポート センターを参照してください。 [ スタート] をクリックして、Windows Server 2003 のヘルプとサポート センターにアクセスします。

  • 原因: VPN サーバーは、VPN クライアントのトンネリング プロトコルをサポートしていません。

    既定では、Windows Server 2003 リモート アクセス VPN クライアントは[自動サーバーの種類] オプションを使用します。つまり、最初に IPSec ベースの VPN 接続経由で L2TP を確立し、PPTP ベースの VPN 接続を確立しようとします。 VPN クライアントがポイントツーポイント トンネリング プロトコル (PPTP) またはレイヤー 2 トンネリング プロトコル (L2TP) サーバーの種類オプションを使用する場合は、選択したトンネリング プロトコルが VPN サーバーでサポートされていることを確認します。

    既定では、Windows Server 2003 Server とルーティングおよびリモート アクセス サービスを実行しているコンピューターは、5 つの L2TP ポートと 5 つの PPTP ポートを備えた PPTP および L2TP サーバーです。 PPTP 専用サーバーを作成するには、L2TP ポートの数を 0 に設定します。 L2TP 専用サーバーを作成するには、PPTP ポートの数を 0 に設定します。

    解決策: PPTP または L2TP ポートの適切な数が構成されていることを確認します。

    PPTP または L2TP ポートを追加する方法の詳細については、Windows Server 2003 のヘルプとサポート センターを参照してください。 [ スタート] をクリックして、Windows Server 2003 のヘルプとサポート センターにアクセスします。

  • 原因: リモート アクセス ポリシーと組み合わせた VPN クライアントと VPN サーバーは、少なくとも 1 つの一般的な認証方法を使用するように構成されていません。

    解決策: 少なくとも 1 つの一般的な認証方法を使用するように、VPN クライアントと VPN サーバーをリモート アクセス ポリシーと組み合わせて構成します。

    認証を構成する方法の詳細については、Windows Server 2003 のヘルプとサポート センターを参照してください。 [ スタート] をクリックして、Windows Server 2003 のヘルプとサポート センターにアクセスします。

  • 原因: リモート アクセス ポリシーと組み合わせた VPN クライアントと VPN サーバーは、少なくとも 1 つの一般的な暗号化方法を使用するように構成されていません。

    解決策: 少なくとも 1 つの一般的な暗号化方法を使用するように、VPN クライアントと VPN サーバーをリモート アクセス ポリシーと組み合わせて構成します。

    暗号化を構成する方法の詳細については、Windows Server 2003 のヘルプとサポート センターを参照してください。 [ スタート] をクリックして、Windows Server 2003 のヘルプとサポート センターにアクセスします。

  • 原因: VPN 接続には、ユーザー アカウントとリモート アクセス ポリシーのダイヤルイン プロパティによる適切なアクセス許可がありません。

    解決策: VPN 接続に、ユーザー アカウントとリモート アクセス ポリシーのダイヤルイン プロパティを使用して適切なアクセス許可があることを確認します。 接続を確立するには、接続試行の設定を次のように行う必要があります。

    • 少なくとも 1 つのリモート アクセス ポリシーのすべての条件に一致します。
    • ユーザー アカウント ([ アクセスを許可] に設定) またはユーザー アカウント ([ リモート アクセス ポリシーを使用してアクセスを制御する] に設定) と、一致するリモート アクセス ポリシーのリモート アクセス許可 ([ リモート アクセス許可の付与] に設定) を使用して、リモート アクセス許可を付与します。
    • プロファイルのすべての設定と一致します。
    • ユーザー アカウントのダイヤルイン プロパティのすべての設定と一致します。

    リモート アクセス ポリシーの概要と接続試行を受け入れる方法の詳細については、Windows Server 2003 のヘルプとサポート センターを参照してください。 [ スタート] をクリックして、Windows Server 2003 のヘルプとサポート センターにアクセスします。

  • 原因: リモート アクセス ポリシー プロファイルの設定が VPN サーバーのプロパティと競合しています。

    リモート アクセス ポリシー プロファイルのプロパティと VPN サーバーのプロパティには、どちらも次の設定が含まれています。

    • マルチリンク。
    • 帯域幅割り当てプロトコル (BAP)。
    • 認証プロトコル。

    一致するリモート アクセス ポリシーのプロファイルの設定が VPN サーバーの設定と競合している場合、接続試行は拒否されます。 たとえば、一致するリモート アクセス ポリシー プロファイルで、拡張認証プロトコル - トランスポート レベル セキュリティ (EAP-TLS) 認証プロトコルを使用する必要があり、EAP が VPN サーバーで有効になっていない場合、接続試行は拒否されます。

    解決策: リモート アクセス ポリシー プロファイルの設定が VPN サーバーのプロパティと競合していないことを確認します。

    マルチリンク、BAP、認証プロトコルの詳細については、Windows Server 2003 のヘルプとサポート センターを参照してください。 [ スタート] をクリックして、Windows Server 2003 のヘルプとサポート センターにアクセスします。

  • 原因: 応答ルーターは、呼び出し元ルーターの資格情報 (ユーザー名、パスワード、ドメイン名) を検証できません。

    解決策: VPN クライアントの資格情報 (ユーザー名、パスワード、ドメイン名) が正しく、VPN サーバーによって検証できることを確認します。

  • 原因: 静的 IP アドレス プールに十分なアドレスがありません。

    解決策: VPN サーバーが静的 IP アドレス プールで構成されている場合は、プールに十分なアドレスがあることを確認します。 静的プール内のすべてのアドレスが接続された VPN クライアントに割り当てられている場合、VPN サーバーは IP アドレスを割り当てることができず、接続試行は拒否されます。 静的プール内のすべてのアドレスが割り当てられている場合は、プールを変更します。

    TCP/IP とリモート アクセスの詳細、静的 IP アドレス プールを作成する方法については、Windows Server 2003 のヘルプとサポート センターを参照してください。 [ スタート] をクリックして、Windows Server 2003 のヘルプとサポート センターにアクセスします。

  • 原因: VPN クライアントは独自の IPX ノード番号を要求するように構成されており、IPX クライアントが独自の IPX ノード番号を要求できるように VPN サーバーが構成されていません。

    解決策: IPX クライアントが独自の IPX ノード番号を要求できるように VPN サーバーを構成します。

    IPX とリモート アクセスの詳細については、Windows Server 2003 のヘルプとサポート センターを参照してください。 [ スタート] をクリックして、Windows Server 2003 のヘルプとサポート センターにアクセスします。

  • 原因: VPN サーバーは、IPX ネットワーク上の他の場所で使用されている IPX ネットワーク番号の範囲で構成されています。

    解決策: IPX ネットワークに固有の IPX ネットワーク番号の範囲で VPN サーバーを構成します。

    IPX とリモート アクセスの詳細については、Windows Server 2003 のヘルプとサポート センターを参照してください。 [ スタート] をクリックして、Windows Server 2003 のヘルプとサポート センターにアクセスします。

  • 原因: VPN サーバーの認証プロバイダーが正しく構成されていません。

    解決策: 認証プロバイダーの構成を確認します。 VPN サーバーは、Windows Server 2003 またはリモート認証ダイヤルイン ユーザー サービス (RADIUS) を使用して VPN クライアントの資格情報を認証するように構成できます。

    認証プロバイダーとアカウンティング プロバイダーの詳細については、Windows Server 2003 のヘルプとサポート センター、および RADIUS 認証の使用方法に関するページを参照してください。 [ スタート] をクリックして、Windows Server 2003 のヘルプとサポート センターにアクセスします。

  • 原因: VPN サーバーが Active Directory にアクセスできません。

    解決策: Windows Server 2003 認証用に構成されている混合モードまたはネイティブ モードの Windows Server 2003 ドメインのメンバー サーバーである VPN サーバーの場合は、次のことを確認します。

    • RAS と IAS サーバーのセキュリティ グループが存在します。 作成されていない場合は、グループを作成し、グループの種類を [セキュリティ] に設定し、グループ スコープを [ドメイン ローカル] に設定します。

    • RAS および IAS サーバー セキュリティ グループには、RAS および IAS サーバー アクセス チェック オブジェクトに対する読み取りアクセス許可があります。

    • VPN サーバー コンピューターのコンピューター アカウントは、 RAS および IAS サーバー セキュリティ グループのメンバーです。 コマンドを netsh ras show registeredserver 使用して、現在の登録を表示できます。 コマンドを netsh ras add registeredserver 使用して、指定したドメインにサーバーを登録できます。

      VPN サーバー コンピューターを RAS および IAS サーバー セキュリティ グループに追加 (または削除) した場合、変更はすぐには有効になりません (Windows Server 2003 が Active Directory 情報をキャッシュする方法が原因)。 この変更をすぐに有効にするには、VPN サーバー コンピューターを再起動します。

    • VPN サーバーはドメインのメンバーです。

    グループを追加する方法、RAS および IAS セキュリティ グループのアクセス許可を確認する方法、およびリモート アクセスのコマンドの詳細 netsh については、Windows Server 2003 のヘルプとサポート センターを参照してください。 [ スタート] をクリックして、Windows Server 2003 のヘルプとサポート センターにアクセスします。

  • 原因: Windows NT 4.0 ベースの VPN サーバーで接続要求を検証できません。

    解決策: WINDOWS Server 2003 混合モード ドメインのメンバーである Windows NT 4.0 を実行している VPN サーバーに VPN クライアントがダイヤルインしている場合は、次のコマンドを使用して、Everyone グループが Windows 2000 互換アクセス前グループに追加されていることを確認します。

    "net localgroup "Pre-Windows 2000 Compatible Access""

    そうでない場合は、ドメイン コントローラー コンピューターのコマンド プロンプトで次のコマンドを入力し、ドメイン コントローラー コンピューターを再起動します。

    net localgroup "Pre-Windows 2000 Compatible Access" everyone /add

    Windows Server 2003 ドメインWindows NT 4.0 リモート アクセス サーバーの詳細については、Windows Server 2003 のヘルプとサポート センターを参照してください。 [ スタート] をクリックして、Windows Server 2003 のヘルプとサポート センターにアクセスします。

  • 原因: VPN サーバーは、構成された RADIUS サーバーと通信できません。

    解決策: インターネット インターフェイスを介してのみ RADIUS サーバーに到達できる場合は、次のいずれかの操作を行います。

    • UDP ポート 1812 のインターネット インターフェイスに入力フィルターと出力フィルターを追加します (RFC 2138「リモート認証ダイヤルイン ユーザー サービス (RADIUS)」に基づいています)。 または
    • RADIUS 認証と UDP ポート 1813 の UDP ポート 1645 (以前の RADIUS サーバーの場合) のインターネット インターフェイスに入力フィルターと出力フィルターを追加します (RFC 2139 の "RADIUS アカウンティング" に基づく)。 または
    • または、入力フィルターと出力フィルターを、RADIUS アカウンティング用の UDP ポート 1646 (古い RADIUS サーバーの場合) のインターネット インターフェイスに追加します。

    パケット フィルターを追加する方法の詳細については、Windows Server 2003 のヘルプとサポート センターを参照してください。 [ スタート] をクリックして、Windows Server 2003 のヘルプとサポート センターにアクセスします。

  • 原因: Ping.exe ユーティリティを使用してインターネット経由で VPN サーバーに接続できません。

    解決策: VPN サーバーのインターネット インターフェイスで構成されている PPTP および L2TP over IPSec パケット フィルタリングにより、ping コマンドで使用されるインターネット制御メッセージ プロトコル (ICMP) パケットが除外されます。ICMP (ping) パケットに応答するように VPN サーバーを有効にするには、IP プロトコル 1 (ICMP トラフィック) のトラフィックを許可する入力フィルターと出力フィルターを追加します。

    パケット フィルターを追加する方法の詳細については、Windows Server 2003 のヘルプとサポート センターを参照してください。 [ スタート] をクリックして、Windows Server 2003 のヘルプとサポート センターにアクセスします。

データの送受信ができない

  • 原因: ルーティングされるプロトコルに適切なデマンド ダイヤル インターフェイスが追加されていません。

    解決策: ルーティングされるプロトコルに適切なデマンド ダイヤル インターフェイスを追加します。

    ルーティング インターフェイスを追加する方法の詳細については、Windows Server 2003 のヘルプとサポート センターを参照してください。 [ スタート] をクリックして、Windows Server 2003 のヘルプとサポート センターにアクセスします。

  • 原因: トラフィックの双方向交換をサポートするルータ間 VPN 接続の両側にルートがありません。

    解決策: リモート アクセス VPN 接続とは異なり、ルーター間 VPN 接続では、既定のルートが自動的に作成されません。 ルーター間 VPN 接続の両側にルートを作成して、ルーター間 VPN 接続の反対側との間でトラフィックをルーティングできるようにします。

    ルーティング テーブルに静的ルートを手動で追加することも、ルーティング プロトコルを使用して静的ルートを追加することもできます。 永続的な VPN 接続の場合は、VPN 接続全体で Open Shortest Path First (OSPF) またはルーティング情報プロトコル (RIP) を有効にすることができます。 オンデマンド VPN 接続の場合は、自動静的 RIP 更新を使用してルートを自動的に更新できます。 IP ルーティング プロトコルを追加する方法、静的ルートを追加する方法、および自動静的更新プログラムを実行する方法の詳細については、Windows Server 2003 オンライン ヘルプを参照してください。 [ スタート] をクリックして、Windows Server 2003 のヘルプとサポート センターにアクセスします。

  • 原因: 双方向で開始され、リモート アクセス接続としての応答ルーターがルーター間 VPN 接続を解釈しています。

    解決策: 発信ルータの資格情報のユーザ名がルーティングおよびリモート アクセスの ダイヤルイン クライアント の下に表示される場合応答ルータはリモート アクセス クライアントとして発信ルータを解釈するかもしれません。 呼び出し元ルーターの資格情報のユーザー名が、応答ルーターのデマンド ダイヤル インターフェイスの名前と一致することを確認します。 着信発信者がルータである場合、コールが受信されたポートは アクティブ の状態を示し、対応するデマンド ダイヤル インターフェイスは 接続 状態にあります。

    応答ルーターでポートの状態をチェックする方法と、デマンド ダイヤル インターフェイスの状態をチェックする方法の詳細については、「Windows Server 2003 オンライン ヘルプ」を参照してください。 [ スタート] をクリックして、Windows Server 2003 のヘルプとサポート センターにアクセスします。

  • 原因: 発信ルータおよび応答ルータのデマンド ダイヤル インターフェイスのパケット フィルタはトラフィックの流れを妨げている。

    解決策: 呼び出し元ルーターと応答ルーターのデマンド ダイヤル インターフェイスに、トラフィックの送受信を妨げるパケット フィルターがないことを確認します。 IP および IPX の入出力フィルターを使用して各デマンド ダイヤル インターフェイスを構成して、デマンド ダイヤル インターフェイスとの間で許可される TCP/IP および IPX トラフィックの正確な性質を制御できます。

    パケット フィルターを管理する方法の詳細については、「Windows Server 2003 オンライン ヘルプ」を参照してください。 [ スタート] をクリックして、Windows Server 2003 のヘルプとサポート センターにアクセスします。

  • 原因: リモート アクセス ポリシー プロファイルのパケット フィルターによって、IP トラフィックのフローが妨げられます。

    解決策: TCP/IP トラフィックの送受信を妨げている、VPN サーバー (またはインターネット認証サービスが使用されている場合は RADIUS サーバー) のリモート アクセス ポリシーのプロファイル プロパティに TCP/IP パケット フィルターが構成されていないことを確認します。 リモート アクセス ポリシーを使用して、VPN 接続で許可される TCP/IP トラフィックの正確な性質を制御する TCP/IP 入力および出力パケット フィルターを構成できます。 プロファイル TCP/IP パケット フィルターがトラフィックのフローを妨げていることを確認します。

    IP オプションを構成する方法の詳細については、「Windows Server 2003 オンライン ヘルプ」を参照してください。 [ スタート] をクリックして、Windows Server 2003 のヘルプとサポート センターにアクセスします。