仮想プライベート ネットワーク サーバーをインストールして構成する方法 (Windows Server 2003)

この記事では、仮想プライベート ネットワーク (VPN) をインストールする方法と、Windows Server 2003 を実行しているサーバーに新しい VPN 接続を作成する方法について説明します。

この記事の Microsoft Windows XP バージョンについては、「314076」を参照してください

適用対象:  WindowsServer 2003
元の KB 番号:   323441

概要

仮想プライベート ネットワークを使用すると、インターネットなどの別のネットワークを介してネットワーク コンポーネントを接続できます。 Windows Server 2003 ベースのコンピューターをリモート アクセス サーバーにすることで、他のユーザーが VPN を使用して接続し、ネットワークにログオンして共有リソースにアクセスできます。 VPN は、プライベート ネットワークと同じセキュリティと機能を提供する方法で、インターネットまたは別のパブリック ネットワークを介して "トンネリング" することでこれを行います。 データは、ルーティング インフラストラクチャを使用してパブリック ネットワークを通して送信されますが、ユーザーには、専用のプライベート リンクを使用してデータが送信される場合と同様に表示されます。

VPN の概要

仮想プライベート ネットワークは、パブリック ネットワーク (インターネットなど) を使用してプライベート ネットワーク (オフィス ネットワークなど) に接続する手段です。 VPN は、ダイヤルアップ サーバーへのダイヤルアップ接続の機能と、インターネット接続の容易さと柔軟性を組み合わせたものになります。 インターネット接続を使用すると、世界中を移動し、ほとんどの場所で、最寄りのインターネット アクセス電話番号へのローカル通話でオフィスに接続できます。 コンピューターとオフィスで高速インターネット接続 (ケーブルや DSL など) がある場合は、アナログ モデムを使用するダイヤルアップ接続よりもはるかに高速なインターネット速度でオフィスと通信できます。 このテクノロジにより、企業は、セキュリティで保護された通信を維持しながら、パブリック ネットワークを使用してブランチ オフィスや他の企業に接続できます。 インターネット上の VPN 接続は、専用のワイド エリア ネットワーク (WAN) リンクとして論理的に動作します。

仮想プライベート ネットワークでは、認証されたリンクを使用して、承認されたユーザーのみがネットワークに接続できます。 パブリック ネットワーク上を移動するデータが安全に保護される場合、VPN 接続では、ポイントツーポイント トンネリング プロトコル (PPTP) またはレイヤー 2 トンネリング プロトコル (L2TP) を使用してデータを暗号化します。

VPN のコンポーネント

Windows Server 2003 を実行しているサーバーの VPN は、VPN サーバー、VPN クライアント、VPN 接続 (データが暗号化される接続のその部分)、およびトンネル (データがカプセル化される接続のその部分) で構成されます。 トンネリングは、Windows Server 2003 を実行しているサーバーに含まれるトンネリング プロトコルの 1 つを介して完了します。どちらもルーティングとリモート アクセスと共にインストールされます。 ルーティング サービスとリモート アクセス サービスは、サーバー 2003 のインストール中にWindowsインストールされます。 ただし、既定では、ルーティング サービスとリモート アクセス サービスはオフになっています。

次に示す 2 つのトンネリング プロトコルWindowsします。

  • ポイント間トンネリング プロトコル (PPTP): Microsoft Point-to-Point Encryption を使用したデータ暗号化を提供します。
  • レイヤー 2 トンネリング プロトコル (L2TP): IPSec を使用してデータの暗号化、認証、および整合性を提供します。

インターネットへの接続では、T1、フラクショナル T1、フレーム リレーなどの専用回線を使用する必要があります。 WAN アダプターは、ドメインに割り当てられている IP アドレスとサブネット マスクを使用して構成するか、インターネット サービス プロバイダー (ISP) によって提供される必要があります。 WAN アダプターは、ISP ルーターの既定のゲートウェイとして構成する必要があります。

注意

VPN を有効にするには、管理者権限を持つアカウントを使用してログオンする必要があります。

VPN サーバーをインストールして有効にする方法

VPN サーバーをインストールして有効にするには、次の手順を実行します。

  1. [ スタート] ボタン をクリックし、[ 管理ツール] を ポイントし、[ルーティングとリモート アクセス ] をクリックします

  2. コンソールの左側のウィンドウで、ローカル サーバー名に一致するサーバー アイコンをクリックします。 アイコンの左下隅に赤い円が表示されている場合、ルーティング サービスとリモート アクセス サービスは有効になっていない。 アイコンの左下隅を示す緑色の矢印が表示されている場合は、ルーティング サービスとリモート アクセス サービスが有効です。 ルーティング サービスとリモート アクセス サービスが以前に有効にされている場合は、サーバーを再構成できます。 サーバーを再構成するには、次のコマンドを実行します。

    1. サーバー オブジェクトを右クリックし、[ルーティングとリモート アクセスの 無効化] をクリックします。 情報 メッセージが 表示されたら、[はい] をクリックして続行します。
    2. サーバー アイコンを右クリックし、[ルーティングとリモート アクセスの構成と有効化] をクリックして、ルーティングとリモート アクセス サーバーのセットアップ ウィザードを開始します。 続行するには、[次へ] をクリックします。
    3. [ リモート アクセス (ダイヤルアップまたは VPN)] をクリックして、リモート コンピューターを有効にし、インターネットを介してこのネットワークにダイヤルインまたは接続します。 続行するには、[次へ] をクリックします。
  3. このサーバーに割り当 てる 役割に応じて 、[VPN] または [ダイヤルアップ] をクリックして選択します。

  4. [VPN 接続 ] ウィンドウで 、インターネットに接続されているネットワーク インターフェイスをクリックし、[次へ] を クリックします

  5. [IP アドレス の割り当て] ウィンドウで、[DHCP サーバーを使用してリモート クライアントにアドレスを割り当てる場合は自動的に] をクリックし、リモート クライアントに事前に定義されたプールからのアドレスのみを指定する必要がある場合は、[指定した範囲のアドレスから] をクリックします。 ほとんどの場合、DHCP オプションの方が管理が簡単です。 ただし、DHCP を使用できない場合は、静的アドレスの範囲を指定する必要があります。 続行するには、[次へ] をクリックします。

  6. [指定した範囲の アドレスから] をクリックすると、[ アドレス範囲の り当て] ダイアログ ボックスが開きます。 [新規作成] をクリックします。 [IP アドレスの開始] ボックスに、使用するアドレスの範囲に最初の IP アドレスを入力 します。 [終了 IP アドレス] ボックスの範囲に最後の IP アドレスを入力 します。 Windowsアドレスの数が自動的に計算されます。 [OK] を クリックして、[アドレス範囲の 割り当て] ウィンドウに戻 ります。 続行するには、[次へ] をクリックします。

  7. 既定の設定の [いいえ] を受け入れ、ルーティングとリモート アクセスを使用して接続要求を認証し、[次へ] をクリック して続行します 。 [ 完了] をクリックしてルーティング サービスとリモート アクセス サービスを有効にし、サーバーをリモート アクセス サーバーとして構成します。

VPN サーバーを構成する方法

必要に応じて VPN サーバーの構成を続行するには、次の手順を実行します。

リモート アクセス サーバーをルーターとして構成する方法

リモート アクセス サーバーがネットワーク内でトラフィックを適切に転送するには、イントラネット内のすべての場所にリモート アクセス サーバーから到達可能な静的ルートまたはルーティング プロトコルを使用してルーターとして構成する必要があります。

サーバーをルーターとして構成するには、次の手順を実行します。

  1. [ スタート] ボタン をクリックし、[ 管理ツール] を ポイントし、[ルーティングとリモート アクセス ] をクリックします
  2. サーバー名を右クリックし、[プロパティ] を クリックします
  3. [全般] タブを クリックし、[このコンピューターを有効にする] の下の [ルーター ] をクリックして選択します
  4. [LAN とデマンド ダイヤル ルーティング] をクリックし 、[OK] をクリックして [プロパティ] ダイアログ ボックスを閉じます。

同時接続の数を変更する方法

ダイヤルアップ モデム接続の数は、サーバーにインストールされているモデムの数によって異なります。 たとえば、サーバーにインストールされているモデムが 1 つのみである場合は、一度に 1 つのモデム接続のみを使用できます。

ダイヤルアップ VPN 接続の数は、同時に許可するユーザーの数によって異なります。 既定では、この記事で説明する手順を実行すると、128 の接続が許可されます。 同時接続の数を変更するには、次の手順を実行します。

  1. [ スタート] ボタン をクリックし、[ 管理ツール] を ポイントし、[ルーティングとリモート アクセス ] をクリックします
  2. サーバー オブジェクトをダブルクリックし、[ポート] を右クリック 、[プロパティ] を クリックします
  3. [ポートの プロパティ] ダイアログ ボックスで 、[WAN ミニポート (PPTP) の構成] を > クリックします
  4. [最大 ポート数] ボックスに、許可する VPN 接続の数を入力します。
  5. [OK] > をクリック し、[ルーティング] と [リモート Acces s] を閉 じます。

アドレスとネーム サーバーを管理する方法

VPN サーバーには、接続プロセスの IP 制御プロトコル (IPCP) ネゴシエーション フェーズ中に、VPN サーバーの仮想インターフェイスと VPN クライアントに割り当て可能な IP アドレスが必要です。 VPN クライアントに割り当てられた IP アドレスは、VPN クライアントの仮想インターフェイスに割り当てられます。

サーバー 2003 Windowsベースの VPN サーバーの場合、VPN クライアントに割り当てられた IP アドレスは、既定で DHCP を介して取得されます。 静的 IP アドレス プールを構成できます。 また、IPCP ネゴシエーション中に VPN クライアントに割り当てるには、名前解決サーバー (通常は DNS、WINS サーバー アドレス) を使用して VPN サーバーを構成する必要があります。

アクセスを管理する方法

ダイヤルアップ ネットワークと VPN 接続のアクセスを管理するために、ユーザー アカウントとリモート アクセス ポリシーのダイヤルイン プロパティを構成します。

注意

既定では、ユーザーはダイヤルアップ ネットワークへのアクセスを拒否されます。

ユーザー アカウントによるアクセス

ユーザーベースでリモート アクセスを管理している場合は、ユーザー アカウントへのダイヤルイン アクセスを許可するには、次の手順を実行します。

  1. [ スタート] ボタンをクリックして [ 管理ツール] をポイントし、[ Active Directory ユーザーとコンピューター] をクリックします。
  2. ユーザー アカウントを右クリックし、[プロパティ] を クリックします
  3. [ダイヤル イン] タブをクリック します。
  4. [アクセス を許可する] をクリックして、ダイヤルインするアクセス許可をユーザーに付与します。 [OK] をクリックします。

グループ メンバーシップによるアクセス

グループ単位でリモート アクセスを管理する場合は、次の手順を実行します。

  1. VPN 接続を作成できるメンバーを含むグループを作成します。
  2. [ スタート] ボタン をクリックし、[ 管理ツール] を ポイントし、[ルーティングとリモート アクセス ] をクリックします
  3. コンソール ツリーで、[ルーティングとリモート アクセス] を展開 し、サーバー名を展開し、[リモート アクセス ポリシー] をクリックします
  4. 右ウィンドウの任意の場所を右クリックし、[新規] をポイントし、[リモート アクセス ポリシー]をクリックします
  5. [ 次へ] をクリックし、ポリシー名を入力し、[次へ] を クリックします
  6. [VPN for Virtual Private Access access method] をクリックするか、[ ダイヤルアップ ] をクリックしてダイヤルアップ アクセスを行い、[次へ] を クリックします
  7. [ 追加] をクリックし、手順 1 で作成したグループの名前を入力し、[次へ] を クリックします
  8. 画面の指示に従ってウィザードを完了します。

VPN サーバーが既にダイヤルアップ ネットワーク リモート アクセス サービスを許可している場合は、既定のポリシーを削除しません。 代わりに、最後に評価するポリシーとして移動します。

クライアント コンピューターから VPN 接続を構成する方法

VPN への接続を設定するには、次の手順を実行します。 仮想プライベート ネットワーク アクセス用にクライアントをセットアップするには、クライアント ワークステーションで次の手順を実行します。

注意

これらの手順を実行するには、Administrators グループのメンバーとしてログオンする必要があります。

Microsoft アプリケーションには複数のバージョンWindows、コンピューター上で次の手順が異なる場合があります。 これらの手順を実行するには、製品のドキュメントを参照してください。

  1. クライアント コンピューターで、インターネットへの接続が正しく構成されていることを確認します。

  2. [コントロール パネル > ネットワーク接続の > 開始] をクリックします。 [ネットワーク タスク] の [新しい接続 の作成] をクリックし、[次へ] を クリックします

  3. [Connect]をクリックして、ダイヤルアップ接続を作成します。 続行するには、[次へ] をクリックします。

  4. [ 仮想プライベート ネットワーク接続] をクリック し、[次へ] を クリックします

  5. [会社名] ダイアログ ボックスにこの接続のわかりやすい名前 を入力し 、[次へ] を クリックします

  6. コンピューター がインターネットに完全に接続されている 場合は、[初期接続をダイヤルしない] をクリックします。 コンピューターがインターネット サービス プロバイダー (ISP) を介してインターネットに接続する場合は、[この初期接続を自動的にダイヤルする] をクリックし、ISP への接続名をクリックします。 [次へ] をクリックします。

  7. VPN サーバー コンピューターの IP アドレスまたはホスト名を入力します (たとえば、VPNServer.SampleDomain.com)。

  8. ワークステーション にログオンするユーザーに このダイヤルアップ接続へのアクセスを許可する場合は、[すべてのユーザーの使用] をクリックします。 現在 ログオンしているユーザーだけが この接続を使用できる場合にのみ、[自分の使用] をクリックします。 [次へ] をクリックします。

  9. [ 完了] を クリックして接続を保存します。

  10. [コントロール パネル > ネットワーク接続の > 開始] をクリックします

  11. 新しい接続をダブルクリックします。

  12. [プロパティ] をクリックして、接続のオプションを構成します。 接続のオプションの構成を続行するには、次の手順を実行します。

    • ドメインに接続する場合は、[オプション] タブをクリックし、[Windows ログオン ドメインを含める] チェック ボックスをオンにして、接続を試みる前に Windows Server 2003 ログオン ドメイン情報を要求するかどうかを指定します。
    • 線がドロップされた場合に接続を再び表示する場合は、[オプション]タブをクリックし、[線がドロップされた場合に Redial] チェック ボックスをオンにします。

接続を使用するには、次の手順を実行します。

  1. [スタート] ボタンをクリックし 、Connectをポイント し、新しい接続をクリックします。

  2. 現在インターネットに接続されていない場合は、インターネットWindowsを提供する必要があります。

  3. インターネットへの接続が確立されたら、VPN サーバーからユーザー名とパスワードの入力を求めるメッセージが表示されます。 ユーザー名とパスワードを入力し、[パスワード] を Connect。 ネットワーク リソースは、ネットワークに直接接続する場合と同じ方法で利用できる必要があります。

    注意

    VPN から切断するには、接続アイコンを右クリックし、[切断] を クリックします

トラブルシューティング

リモート アクセス VPN のトラブルシューティング

リモート アクセス VPN 接続を確立できない

  • 原因: クライアント コンピューターの名前は、ネットワーク上の別のコンピューターの名前と同じです。

    解決策: ネットワーク上のすべてのコンピューターの名前と、ネットワークに接続しているコンピューターの名前が一意のコンピューター名を使用している場合を確認します。

  • 原因: VPN サーバーでルーティング サービスとリモート アクセス サービスが開始されません。

    解決策: VPN サーバー上のルーティング サービスとリモート アクセス サービスの状態を確認します。

    ルーティング サービスとリモート アクセス サービスを監視する方法、およびルーティング サービスとリモート アクセス サービスを開始および停止する方法の詳細については、「Windows Server 2003 Help and Support Center」を参照してください。 [スタート] を クリックして、Windows Server 2003 ヘルプ とサポート センターにアクセスします。

  • 原因: VPN サーバーでリモート アクセスが有効にされていない。

    解決策: VPN サーバーでリモート アクセスを有効にします。

    リモート アクセス サーバーを有効にする方法の詳細については、「Windows Server 2003 ヘルプ とサポート センター」を参照してください。 [スタート] を クリックして、Windows Server 2003 ヘルプ とサポート センターにアクセスします。

  • 原因: PPTP ポートまたは L2TP ポートは、受信リモート アクセス要求に対してオンにしません。

    解決策: 受信リモート アクセス要求に対して PPTP ポートまたは L2TP ポート、または両方を有効にします。

    リモート アクセス用にポートを構成する方法の詳細については、「Windows Server 2003 ヘルプ とサポート センター」を参照してください。 [スタート] を クリックして、Windows Server 2003 ヘルプ とサポート センターにアクセスします。

  • 原因: VPN クライアントで使用される LAN プロトコルは、VPN サーバー上のリモート アクセスに対して有効にされません。

    解決策: VPN サーバー上のリモート アクセスに VPN クライアントで使用される LAN プロトコルを有効にします。

    リモート アクセス サーバーのプロパティを表示する方法の詳細については、「Windows Server 2003 ヘルプ とサポート センター」を参照してください。 [スタート] を クリックして、Windows Server 2003 ヘルプ とサポート センターにアクセスします。

  • 原因: VPN サーバー上のすべての PPTP ポートまたは L2TP ポートは、現在接続されているリモート アクセス クライアントまたはデマンド ダイヤル ルーターによって既に使用されています。

    解決策: VPN サーバー上のすべての PPTP ポートまたは L2TP ポートが既に使用されているのを確認します。 これを行うには、[ルーティングとリモート アクセス] の [ポート] をクリックします。 許可される PPTP ポートまたは L2TP ポートの数が十分に高くなかった場合は、PPTP ポートまたは L2TP ポートの数を変更して、同時接続を増やします。

    PPTP ポートまたは L2TP ポートを追加する方法の詳細については、「Windows Server 2003 ヘルプ とサポート センター」を参照してください。 [スタート] を クリックして、Windows Server 2003 ヘルプ とサポート センターにアクセスします。

  • 原因: VPN サーバーは VPN クライアントのトンネリング プロトコルをサポートしません。

    既定では、Windows Server 2003 リモート アクセス VPN クライアントは[自動サーバーの種類] オプションを使用します。つまり、最初に IPSec ベースの VPN 接続を使用して L2TP を確立し、PPTP ベースの VPN 接続を確立しようとします。 VPN クライアントがポイント間トンネリング プロトコル (PPTP) またはレイヤー 2 トンネリング プロトコル (L2TP) サーバーの種類オプションを使用する場合は、選択したトンネリング プロトコルが VPN サーバーでサポートされているのを確認します。

    既定では、Windows Server 2003 Server とルーティング およびリモート アクセス サービスを実行しているコンピューターは、5 つの L2TP ポートと 5 つの PPTP ポートを持つ PPTP および L2TP サーバーです。 PPTP 専用サーバーを作成するには、L2TP ポートの数を 0 に設定します。 L2TP 専用サーバーを作成するには、PPTP ポートの数を 0 に設定します。

    解決策: 適切な数の PPTP ポートまたは L2TP ポートが構成されていることを確認します。

    PPTP ポートまたは L2TP ポートを追加する方法の詳細については、「Windows Server 2003 ヘルプ とサポート センター」を参照してください。 [スタート] を クリックして、Windows Server 2003 ヘルプ とサポート センターにアクセスします。

  • 原因: リモート アクセス ポリシーと組み合わせて VPN クライアントと VPN サーバーが、少なくとも 1 つの一般的な認証方法を使用するように構成されていません。

    解決策: VPN クライアントと VPN サーバーをリモート アクセス ポリシーと組み合わせて構成し、少なくとも 1 つの一般的な認証方法を使用します。

    認証を構成する方法の詳細については、「Windows Server 2003 ヘルプ とサポート センター」を参照してください。 [スタート] を クリックして、Windows Server 2003 ヘルプ とサポート センターにアクセスします。

  • 原因: リモート アクセス ポリシーと組み合わせて VPN クライアントと VPN サーバーが、少なくとも 1 つの一般的な暗号化方法を使用するように構成されていません。

    解決策: VPN クライアントと VPN サーバーをリモート アクセス ポリシーと組み合わせて構成し、少なくとも 1 つの一般的な暗号化方法を使用します。

    暗号化を構成する方法の詳細については、「Windows Server 2003 ヘルプ とサポート センター」を参照してください。 [スタート] を クリックして、Windows Server 2003 ヘルプ とサポート センターにアクセスします。

  • 原因: VPN 接続には、ユーザー アカウントのダイヤルイン プロパティとリモート アクセス ポリシーによる適切なアクセス許可が付与されません。

    解決策: ユーザー アカウントのダイヤルイン プロパティとリモート アクセス ポリシーを使用して、VPN 接続に適切なアクセス許可が付与されているのを確認します。 接続を確立するには、接続試行の設定を次に示す必要があります。

    • 少なくとも 1 つのリモート アクセス ポリシーのすべての条件に一致します。
    • ユーザー アカウント ([アクセスを許可する] に 設定) またはユーザー アカウント ([リモート アクセス ポリシーによるアクセスの制御] に 設定) と、一致するリモートアクセス ポリシーのリモート アクセス許可 ([リモート アクセス許可の付与] に設定) を介してリモート アクセス許可を付与されます。
    • プロファイルのすべての設定と一致します。
    • ユーザー アカウントのダイヤルイン プロパティのすべての設定と一致します。

    リモート アクセス ポリシーの概要と、接続の試行を受け入れる方法の詳細については、「Windows Server 2003 ヘルプ とサポート センター」を参照してください。 [スタート] を クリックして、Windows Server 2003 ヘルプ とサポート センターにアクセスします。

  • 原因: リモート アクセス ポリシー プロファイルの設定が VPN サーバーのプロパティと競合しています。

    リモート アクセス ポリシー プロファイルのプロパティと VPN サーバーのプロパティには、次の設定が含まれる。

    • マルチリンク。
    • 帯域幅割り当てプロトコル (BAP)。
    • 認証プロトコル。

    一致するリモート アクセス ポリシーのプロファイルの設定が VPN サーバーの設定と競合している場合、接続の試行は拒否されます。 たとえば、一致するリモート アクセス ポリシー プロファイルで、拡張認証プロトコル - トランスポート レベル セキュリティ (EAP-TLS) 認証プロトコルを使用する必要があり、VPN サーバーで EAP が有効になっていないと指定されている場合、接続の試行は拒否されます。

    解決策: リモート アクセス ポリシー プロファイルの設定が VPN サーバーのプロパティと競合していないか確認します。

    マルチリンク、BAP、および認証プロトコルの詳細については、「Windows Server 2003 ヘルプ とサポート センター」を参照してください。 [スタート] を クリックして、Windows Server 2003 ヘルプ とサポート センターにアクセスします。

  • 原因: 応答ルーターは、呼び出し元のルーターの資格情報 (ユーザー名、パスワード、およびドメイン名) を検証できません。

    解決策: VPN クライアントの資格情報 (ユーザー名、パスワード、およびドメイン名) が正しく、VPN サーバーによって検証可能である必要があります。

  • 原因: 静的 IP アドレス プールに十分なアドレスが含めなされていない。

    解決策: VPN サーバーが静的 IP アドレス プールで構成されている場合は、プールに十分なアドレスが含されていることを確認します。 静的プール内のすべてのアドレスが接続された VPN クライアントに割り当てられている場合、VPN サーバーは IP アドレスを割り当て、接続の試行は拒否されます。 静的プール内のすべてのアドレスが割り当てられている場合は、プールを変更します。

    TCP/IP とリモート アクセス、および静的 IP アドレス プールを作成する方法の詳細については、「Windows Server 2003 ヘルプ とサポート センター」を参照してください。 [スタート] を クリックして、Windows Server 2003 ヘルプ とサポート センターにアクセスします。

  • 原因: VPN クライアントは独自の IPX ノード番号を要求するように構成され、VPN サーバーは IPX クライアントが独自の IPX ノード番号を要求するように構成されていません。

    解決策: IPX クライアントが独自の IPX ノード番号を要求できる VPN サーバーを構成します。

    IPX とリモート アクセスの詳細については、「Windows Server 2003 ヘルプ とサポート センター」を参照してください。 [スタート] を クリックして、Windows Server 2003 ヘルプ とサポート センターにアクセスします。

  • 原因: VPN サーバーは、IPX ネットワーク上の他の場所で使用されている IPX ネットワーク番号の範囲で構成されています。

    解決策: IPX ネットワークに固有の IPX ネットワーク番号の範囲で VPN サーバーを構成します。

    IPX とリモート アクセスの詳細については、「Windows Server 2003 ヘルプ とサポート センター」を参照してください。 [スタート] を クリックして、Windows Server 2003 ヘルプ とサポート センターにアクセスします。

  • 原因: VPN サーバーの認証プロバイダーが正しく構成されていません。

    解決策: 認証プロバイダーの構成を確認します。 VPN サーバーを構成して、Windows Server 2003 またはリモート認証ダイヤルイン ユーザー サービス (RADIUS) を使用して VPN クライアントの資格情報を認証できます。

    認証および会計プロバイダーの詳細については、「Windows Server 2003 ヘルプ とサポート センター」および「RADIUS 認証を使用する方法」を参照してください。 [スタート] を クリックして、Windows Server 2003 ヘルプ とサポート センターにアクセスします。

  • 原因: VPN サーバーは Active Directory にアクセスできません。

    解決策: Windows Server 2003 認証用に構成されている混在モードまたはネイティブ モードの Windows Server 2003 ドメインのメンバー サーバーである VPN サーバーの場合は、次の点を確認します。

    • RAS および IAS サーバーのセキュリティ グループが存在します。 グループを作成しない場合は、グループの種類を [セキュリティ] に設定し、グループ スコープを [ドメイン ローカル] に設定します。

    • RAS および IAS サーバーのセキュリティ グループには、RAS および IAS サーバー アクセス チェック オブジェクトに対する読み 取りアクセス 許可があります。

    • VPN サーバー コンピューターのコンピューター アカウントは、RAS および IAS Server セキュリティ グループのメンバーです。 コマンドを使用して netsh ras show registeredserver 、現在の登録を表示できます。 このコマンドを使用 netsh ras add registeredserver して、指定したドメインにサーバーを登録できます。

      VPN サーバー コンピューターを RAS および IAS Server セキュリティ グループに追加 (または削除) した場合、変更はすぐには有効にされません (Windows Server 2003 が Active Directory 情報をキャッシュする方法のため)。 この変更を直ちに有効にするには、VPN サーバー コンピューターを再起動します。

    • VPN サーバーは、ドメインのメンバーです。

    グループを追加する方法、RAS および IAS セキュリティ グループのアクセス許可を確認する方法、およびリモート アクセス用のコマンドの詳細については netsh 、「Windows Server 2003 Help and Support Center」を参照してください。 [スタート] を クリックして、Windows Server 2003 ヘルプ とサポート センターにアクセスします。

  • 原因: Windows NT 4.0 ベースの VPN サーバーでは、接続要求を検証できません。

    解決策: vpn クライアントが Windows Server 2003 混合モード ドメインのメンバーである Windows NT 4.0 を実行している VPN サーバーにダイヤルインする場合は、次のコマンドを使用して、Everyone グループが pre-Windows 2000 互換アクセス グループに追加されるのを確認します。

    "net localgroup "Pre-Windows 2000 Compatible Access""
    

    指定しない場合は、ドメイン コントローラー コンピューターのコマンド プロンプトで次のコマンドを入力し、ドメイン コントローラー コンピューターを再起動します。

    net localgroup "Pre-Windows 2000 Compatible Access" everyone /add
    

    Windows Server 2003 ドメイン内の Windows NT 4.0 リモート アクセス サーバーの詳細については、「Windows Server 2003 ヘルプ とサポート センター」を参照してください。 [スタート] を クリックして、Windows Server 2003 ヘルプ とサポート センターにアクセスします。

  • 原因: VPN サーバーが構成済みの RADIUS サーバーと通信できません。

    解決策: インターネット インターフェイス経由でのみ RADIUS サーバーにアクセスできる場合は、次のいずれかを実行します。

    • UDP ポート 1812 のインターネット インターフェイスに入力フィルターと出力フィルターを追加します (RFC 2138"リモート認証ダイヤルイン ユーザー サービス (RADIUS)"に基づく)。 または
    • RADIUS 認証および UDP ポート 1813 用の UDP ポート 1645 (古い RADIUS サーバーの場合) のインターネット インターフェイスに入力フィルターと出力フィルターを追加します (RFC 2139"RADIUS アカウンティング"に基づく)。 または
    • -or- RADIUS アカウンティング用の UDP ポート 1646 (古い RADIUS サーバーの場合) のインターネット インターフェイスに入力フィルターと出力フィルターを追加します。

    パケット フィルターを追加する方法の詳細については、「Windows Server 2003 ヘルプ とサポート センター」を参照してください。 [スタート] を クリックして、Windows Server 2003 ヘルプ とサポート センターにアクセスします。

  • 原因: ネットワーク ユーティリティを使用してインターネットを使用して VPN サーバーPing.exeできません。

    解決策: VPN サーバーのインターネット インターフェイスで構成されている IPSec パケット フィルター処理の PPTP と L2TP のため、ping コマンドで使用されるインターネット制御メッセージ プロトコル (ICMP) パケットがフィルター処理されます。VPN サーバーをオンにし、ICMP (ping) パケットに応答するには、IP プロトコル 1 (ICMP トラフィック) のトラフィックを許可する入力フィルターと出力フィルターを追加します。

    パケット フィルターを追加する方法の詳細については、「Windows Server 2003 ヘルプ とサポート センター」を参照してください。 [スタート] を クリックして、Windows Server 2003 ヘルプ とサポート センターにアクセスします。

データの送受信ができない

  • 原因: ルーティングされるプロトコルに適切な需要ダイヤル インターフェイスが追加されていない。

    解決策: ルーティングされるプロトコルに適切な需要ダイヤル インターフェイスを追加します。

    ルーティング インターフェイスを追加する方法の詳細については、「Windows Server 2003 ヘルプ とサポート センター」を参照してください。 [スタート] を クリックして、Windows Server 2003 ヘルプ とサポート センターにアクセスします。

  • 原因: トラフィックの 2 ウェイ交換をサポートするルーター間 VPN 接続の両側にルートはありません。

    解決策: リモート アクセス VPN 接続とは異なり、ルーター間 VPN 接続は自動的に既定のルートを作成しない。 ルーター間 VPN 接続の両側にルートを作成し、ルーター間 VPN 接続の反対側との間でトラフィックをルーティングできます。

    ルーティング テーブルに静的ルートを手動で追加するか、ルーティング プロトコルを介して静的ルートを追加できます。 永続的な VPN 接続の場合は、VPN 接続全体で Open Shortest Path First (OSPF) またはルーティング情報プロトコル (RIP) を有効にできます。 オンデマンド VPN 接続の場合は、自動静的 RIP 更新を介してルートを自動的に更新できます。 IP ルーティング プロトコルを追加する方法、静的ルートを追加する方法、および自動静的更新を実行する方法の詳細については、「Windows Server 2003 online Help」を参照してください。 [スタート] を クリックして、Windows Server 2003 ヘルプ とサポート センターにアクセスします。

  • 原因: 2 つの方法で開始された、応答ルーターをリモート アクセス接続として使用すると、ルーター間 VPN 接続が解釈されます。

    解決策: 通話ルーターの資格情報のユーザー名が [ルーティングとリモートアクセスのダイヤルイン クライアント] の下に表示される場合、応答側ルーターは呼び出し元のルーターをリモート アクセス クライアントと解釈する場合があります。 呼び出し元のルーターの資格情報のユーザー名が、応答ルーターのデマンド ダイヤル インターフェイスの名前と一致する必要があります。 着信発信者がルーターの場合、呼び出しが受信されたポートは Active の状態を示し、対応する需要ダイヤル インターフェイスは 接続 状態になります。

    応答ルーターのポートの状態を確認する方法、およびデマンド ダイヤル インターフェイスの状態を確認する方法の詳細については、「Windows Server 2003 online Help」を参照してください。 [スタート] を クリックして、Windows Server 2003 ヘルプ とサポート センターにアクセスします。

  • 原因: 呼び出し元ルーターと応答ルーターの需要ダイヤル インターフェイスのパケット フィルターによって、トラフィックの流れが妨がっています。

    解決策: トラフィックの送受信を妨げる発信側ルーターと応答ルーターのデマンド ダイヤル インターフェイスにパケット フィルターが含か確認します。 IP および IPX 入力および出力フィルターを使用して各需要ダイヤル インターフェイスを構成して、需要ダイヤル インターフェイスとの間で許可される TCP/IP トラフィックと IPX トラフィックの正確な性質を制御できます。

    パケット フィルターを管理する方法の詳細については、「Windows Server 2003 online Help」を参照してください。 [スタート] を クリックして、Windows Server 2003 ヘルプ とサポート センターにアクセスします。

  • 原因: リモート アクセス ポリシー プロファイルのパケット フィルターが IP トラフィックのフローを妨げている。

    解決策: TCP/IP トラフィックの送受信を妨げている VPN サーバー (またはインターネット認証サービスが使用されている場合は RADIUS サーバー) のリモート アクセス ポリシーのプロファイル プロパティに TCP/IP パケット フィルターが構成されていないか確認します。 リモート アクセス ポリシーを使用して、VPN 接続で許可される TCP/IP トラフィックの正確な性質を制御する TCP/IP 入力および出力パケット フィルターを構成できます。 プロファイル TCP/IP パケット フィルターがトラフィックのフローを妨げているのを確認します。

    IP オプションを構成する方法の詳細については、「Windows Server 2003 online Help」を参照してください。 [スタート] を クリックして、Windows Server 2003 ヘルプ とサポート センターにアクセスします。