ネイティブ Azure 証明書認証を使用した VNet へのポイント対サイト接続の構成: Azure Portal

この記事では、PowerShell を使用して、ポイント対サイト接続を備えた VNet を Resource Manager デプロイメント モデルで作成する手順を説明します。 この構成では、認証に証明書を使用します。 この構成では、RADIUS サーバーではなく Azure VPN ゲートウェイが証明書の検証を担当します。 また、この構成の作成には、次のリストから別のオプションを選択して、別のデプロイ ツールまたはデプロイ モデルを使用することもできます。

ポイント対サイト (P2S) VPN ゲートウェイでは、個々のクライアント コンピューターから仮想ネットワークへの、セキュリティで保護された接続を作成することができます。 ポイント対サイト VPN 接続は、自宅や会議室でのテレワークなど、リモートの場所から VNet に接続する場合に便利です。 P2S VPN は、VNet への接続が必要なクライアントがごく少ない場合に、サイト対サイト VPN の代わりに使用するソリューションとしても便利です。 P2S VPN 接続は、Windows デバイスと Mac デバイスから開始されます。

接続するクライアントでは、次の認証方法を使用できます。

  • RADIUS サーバー - 現在プレビューの段階です。
  • VPN Gateway のネイティブ Azure 証明書認証

この記事は、P2S 構成にネイティブ Azure 証明書認証を使った認証を構成する際に役立ちます。 接続するユーザーを RADIUS を使って認証する場合には、RADIUS 認証を使った P2S に関するページを参照してください。

コンピューターを Azure VNet に接続する - ポイント対サイト接続の図

ポイント対サイト接続に、VPN デバイスや公開 IP アドレスは必要ありません。 P2S により、SSTP (Secure Socket トンネリング プロトコル) または IKEv2 経由の VPN 接続が作成されます。

  • SSTP は、Windows クライアント プラットフォームでのみサポートされる SSL ベースの VPN トンネルです。 ファイアウォールを通過できるため、接続元の場所を問わず Azure に接続する際の理想的なオプションとなっています。 サーバー側でのサポート対象の SSTP バージョンは、1.0、1.1、1.2 です。 使用するバージョンはクライアントによって決まります。 Windows 8.1 以降の場合、SSTP では既定で 1.2 が使用されます。

  • IKEv2 VPN。これは、標準ベースの IPsec VPN ソリューションです。 IKEv2 VPN は、Mac デバイス (OSX バージョン 10.11 以上) から接続する際に使用できます。 IKEv2 は現在プレビューの段階です。

ポイント対サイトのネイティブ Azure 証明書認証接続には、以下のものが必要です。

  • RouteBased VPN ゲートウェイ。
  • Azure にアップロードされた、ルート証明書の公開キー (.cer ファイル)。 証明書をアップロードすると、その証明書は信頼された証明書と見なされ、認証に使用されます。
  • ルート証明書から生成され、VNet に接続する各クライアント コンピューターにインストールされたクライアント証明書。 この証明書はクライアントの認証に使用されます。
  • VPN クライアント構成。 VPN クライアント構成ファイルには、クライアントが VNet に接続するために必要な情報が含まれています。 このファイルを使用すると、オペレーティング システムにネイティブな既存の VPN クライアントが構成されます。 接続する各クライアントは、構成ファイルの設定を使って構成する必要があります。

ポイント対サイト接続について詳しくは、ポイント対サイト接続に関するページを参照してください。

値の例

次の値を使用して、テスト環境を作成できます。また、この値を参考にしながら、この記事の例を確認していくこともできます。

  • VNet 名: VNet1
  • アドレス空間: 192.168.0.0/16
    この例では、1 つのアドレス空間のみを使用します。 VNet には、複数のアドレス空間を使用することができます。
  • サブネット名: FrontEnd
  • サブネットのアドレス範囲: 192.168.1.0/24
  • サブスクリプション: サブスクリプションが複数ある場合は、適切なサブスクリプションを使用していることを確認します。
  • リソース グループ: TestRG
  • 場所: 米国東部
  • GatewaySubnet: 192.168.200.0/24
  • DNS サーバー: (オプション) 名前解決に利用する DNS サーバーの IP アドレス。
  • 仮想ネットワーク ゲートウェイ名: VNet1GW
  • ゲートウェイの種類: VPN
  • VPN の種類: ルート ベース
  • パブリック IP アドレス名: VNet1GWpip
  • 接続の種類: ポイント対サイト
  • クライアント アドレス プール: 172.16.201.0/24
    このポイント対サイト接続を利用して VNet に接続する VPN クライアントは、クライアント アドレス プールから IP アドレスを受け取ります。

1.仮想ネットワークの作成

最初に Azure サブスクリプションを持っていることを確認します。 Azure サブスクリプションをまだお持ちでない場合は、MSDN サブスクライバーの特典を有効にするか、無料アカウントにサインアップしてください。

Azure Portal を使用して Resource Manager デプロイメント モデルで VNet を作成するには、次の手順に従います。 スクリーンショットは例として示されています。 サンプルの値は必ず実際の値に変更してください。 仮想ネットワークの操作の詳細については、「 仮想ネットワークの概要」を参照してください。

  1. ブラウザーから Azure Portal に移動します。必要であれば Azure アカウントでサインインします。
  2. ページの下部にある +」の説明に従って、アプリケーションにシングル サインオンできるようになります。 [Marketplace を検索] フィールドに「仮想ネットワーク」と入力します。 検索結果の一覧から [仮想ネットワーク] を探してクリックし、[仮想ネットワーク] ページを開きます。

    仮想ネットワーク リソース ページの検索

  3. [仮想ネットワーク] ページの下の方にある [デプロイ モデルの選択] の一覧で、[リソース マネージャー] を選択し、[作成] をクリックします。

    [リソース マネージャー] を選択

  4. [仮想ネットワークの作成] ページで、VNet の設定を構成します。 フィールドへの入力時、入力された文字が有効であれば、赤色の感嘆符が緑色のチェック マークに変わります。 自動的に入力される値もあります。 そのような値については、実際の値に変更してください。 [仮想ネットワークの作成] ページは、次のようになっています。

    フィールドの検証

  5. [名前]: 仮想ネットワークの名前を入力します。
  6. [アドレス空間]: アドレス空間を入力します。 追加するアドレス空間が複数ある場合は、1 つ目のアドレス空間を追加してください。 その他のアドレス空間は後で、VNet を作成した後に追加できます。
  7. [サブネット名]: サブネットの名前とアドレス範囲を追加します。 その他のサブネットは後で、VNet を作成した後に追加できます。
  8. [サブスクリプション]: 一覧表示されているサブスクリプションが正しいことを確認します。 ドロップダウンを使用して、サブスクリプションを変更できます。
  9. [リソース グループ]: 既存のリソース グループを選択するか、新しいリソース グループの名前を入力して新しく作成します。 新しいグループを作成する場合は、計画した構成値に基づいて、リソース グループに名前を付けます。 リソース グループの詳細については、「 Azure リソース マネージャーの概要」を参照してください。
  10. [場所]: VNet の場所を選択します。 この場所の設定によって、この VNet にデプロイしたリソースの配置先が決まります。
  11. ダッシュボードで VNet を簡単に検索できるようにするには、[ダッシュボードにピン留めする] を選択します。その後、[作成] をクリックします。

    ダッシュボードにピン留めする

  12. [作成] をクリックした後で、VNet の進捗状況を反映するタイルがダッシュボードに表示されます。 タイルは、VNet の作成が進むに従って変化します。

    仮想ネットワークの作成タイル

2.ゲートウェイ サブネットの追加

仮想ネットワークをゲートウェイに接続する前に、まず、接続先の仮想ネットワークのゲートウェイ サブネットを作成する必要があります。 ゲートウェイ サービスでは、ゲートウェイ サブネット内に指定された IP アドレスを使用します。 将来的な構成要件も見越して十分な IP アドレスを確保するために、可能であれば、/28 または /27 の CIDR ブロックを使用してゲートウェイ サブネットを作成します。

  1. ポータルで、仮想ネットワーク ゲートウェイを作成する Resource Manager 仮想ネットワークに移動します。
  2. VNet のページの [設定] セクションで、[サブネット] をクリックして [サブネット] ページを展開します。
  3. [サブネット] ページで [+ゲートウェイ サブネット] をクリックして、[サブネットの追加] ページを開きます。

    ゲートウェイ サブネットの追加

  4. サブネットの [名前] には、"GatewaySubnet" という値が自動的に入力されます。 この値は、Azure がゲートウェイ サブネットとしてこのサブネットを認識するために必要になります。 自動入力される [アドレス範囲] の値を実際の構成要件に合わせて調整し、ページの下部にある [OK] をクリックしてサブネットを作成します。

    サブネットの追加

3.DNS サーバーの指定 (省略可能)

仮想ネットワークを作成した後は、名前解決を処理するために、DNS サーバーの IP アドレスを追加できます。 DNS サーバーはこの構成ではオプションですが、名前解決が必要な場合は必須になります。 値を指定しても新しい DNS サーバーは作成されません。 指定する DNS サーバーの IP アドレスは、接続先のリソースの名前を解決できる DNS サーバーの IP アドレスである必要があります。 この例ではプライベート IP アドレスを使用していますが、これはおそらく実際の DNS サーバーの IP アドレスと一致しません。 実際には独自の値を使用してください。 指定された値は、P2S 接続や VPN のクライアントではなく、VNet にデプロイするリソースが使用します。

  1. 仮想ネットワークの [設定] ページで、[DNS サーバー] に移動し、クリックして [DNS サーバー] ブレードを開きます。

    DNS サーバーの追加

    • DNS サーバー: [カスタム] を選択します。
    • DNS サーバーの追加: 名前解決に利用する DNS サーバーの IP アドレスを入力します。
  2. DNS サーバーを追加し終わったら、ブレードの上部の [保存] をクリックします。

4.仮想ネットワーク ゲートウェイの作成

  1. ポータルで、左側の [+] をクリックし、検索ボックスに「Virtual Network ゲートウェイ」と入力します。 検索結果で "仮想ネットワーク ゲートウェイ" を探してその項目をクリックします。 [仮想ネットワーク ゲートウェイ] ページで、ページ下部の [作成] をクリックして [仮想ネットワーク ゲートウェイの作成] ページを開きます。
  2. [仮想ネットワーク ゲートウェイの作成] ページで、仮想ネットワーク ゲートウェイの値を入力します。

    [仮想ネットワーク ゲートウェイの作成] ページのフィールド

  3. [名前]: ゲートウェイに名前を付けます。 ゲートウェイの名前付けは、ゲートウェイ サブネットの名前付けと同じではありません。 作成するゲートウェイ オブジェクトの名前です。
  4. [ゲートウェイの種類]: [VPN] を選択します。 VPN Gateway では、仮想ネットワーク ゲートウェイの種類として VPN を使用します。
  5. [VPN の種類]: 構成に指定されている VPN の種類を選択します。 ほとんどの構成で [VPN の種類] は [ルート ベース] にする必要があります。
  6. [SKU]: ゲートウェイの SKU をドロップダウン リストから選択します。 ドロップダウン リストに表示される SKU は、選択した VPN の種類によって異なります。
  7. [場所]: 仮想ネットワークの場所を指すように、[場所] フィールドを調整します。 対象の仮想ネットワークが存在するリージョンをこの場所が指していない場合、仮想ネットワークは [仮想ネットワークの選択] ボックスの一覧に表示されません。
  8. ゲートウェイの追加先の仮想ネットワークを選択します。 [仮想ネットワーク] をクリックして [仮想ネットワークの選択] ページを開きます。 VNet を選択します。 VNet が表示されない場合は、実際の仮想ネットワークがあるリージョンが [場所] フィールドに指定されていることを確認してください。
  9. [パブリック IP アドレス]: パブリック IP アドレス オブジェクトが作成されます。このオブジェクトにパブリック IP アドレスが動的に割り当てられます。 [パブリック IP アドレス] をクリックして、[パブリック IP アドレスの選択] ページを開きます。 [+新規作成] をクリックして、[パブリック IP アドレスの作成] ページを開きます。 パブリック IP アドレスの名前を入力します。 [OK] をクリックして変更を保存します。 IP アドレスは、VPN ゲートウェイの作成時に動的に割り当てられます。 VPN Gateway では現在、パブリック IP アドレスの "動的" 割り当てのみサポートしています。 もっとも、VPN ゲートウェイに割り当てられた IP アドレスが後から変わることは基本的にありません。 パブリック IP アドレスが変わるのは、ゲートウェイが削除され、再度作成されたときのみです。 VPN ゲートウェイのサイズ変更、リセット、その他の内部メンテナンス/アップグレードでは、IP アドレスは変わりません。
  10. [サブスクリプション]: 正しいサブスクリプションが選択されていることを確認します。
  11. [リソース グループ]: この設定は、選択した Virtual Network によって決定されます。
  12. 上記の設定を指定した後に [場所] を調整しないでください。
  13. 設定を確認します。 ゲートウェイをダッシュボードに表示する場合は、ページの下部にある [Pin to dashboard](ダッシュボードにピン留めする) を選択します。
  14. [作成] をクリックして、ゲートウェイの作成を開始します。 設定が検証されて、ゲートウェイが作動します。 ゲートウェイの作成には、最大で 45 分かかる場合があります。

ゲートウェイの作成後は、仮想ネットワークを調べることで、ゲートウェイに割り当てられている IP アドレスを確認できます。 ゲートウェイは、接続されたデバイスとして表示されます。 詳細を表示するには、接続したデバイス (仮想ネットワーク ゲートウェイ) をクリックします。

5.証明書の生成

証明書は、ポイント対サイト VPN 接続を介して VNet に接続するクライアントを認証するために、Azure によって使用されます。 ルート証明書を取得したら、公開キー情報を Azure にアップロードします。 ルート証明書は、Azure によって "信頼された" と見なされ、P2S 経由での仮想ネットワークへの接続に使用されます。 また、信頼されたルート証明書からクライアント証明書を生成し、それを各クライアント コンピューターにインストールします。 クライアント証明書は、クライアントで VNet への接続を開始するときに、そのクライアントを認証するために使用されます。

1.ルート証明書の .cer ファイルの取得

エンタープライズ ソリューション (推奨) を使って生成されたルート証明書を使用するか、または自己署名証明書を生成してください。 ルート証明書の作成後、(秘密キーではなく) 公開証明書データを、Base-64 でエンコードされた X.509 .cer ファイルとしてエクスポートし、公開証明書データを Azure にアップロードします。

  • エンタープライズ証明書: エンタープライズ ソリューションを使用している場合、既存の証明書チェーンを使うことができます。 使用するルート証明書の .cer ファイルを取得します。
  • 自己署名ルート証明書: エンタープライズ証明書ソリューションを使用していない場合は、自己署名ルート証明書を作成する必要があります。 P2S 証明書に関する以下のいずれかの記事の手順に従うことが重要です。 そうしないと、作成する証明書と P2S 接続との互換性がなくなり、クライアントが接続しようとすると接続エラー メッセージを受信します。 以下のどの記事の手順でも、互換性のある証明書が生成されます。

    • Windows 10 PowerShell の手順: これらの手順で証明書を生成するには、Windows 10 および PowerShell が必要です。 ルート証明書から生成されるクライアント証明書は、サポートされている任意の P2S クライアントにインストールすることができます。
    • MakeCert の手順: 証明書を生成するために使用する Windows 10 コンピューターにアクセスできない場合は、MakeCert を使用します。 MakeCert は非推奨になりましたが、まだ MakeCert を使用して証明書を生成することができます。 ルート証明書から生成されるクライアント証明書は、サポートされている任意の P2S クライアントにインストールすることができます。

2.クライアント証明書を生成

ポイント対サイトで VNet に接続するすべてのクライアント コンピューターには、クライアント証明書がインストールされている必要があります。 クライアント証明書はルート証明書から生成され、各クライアント コンピューターにインストールされます。 有効なクライアント証明書がインストールされていない状態でクライアントが VNet に接続した場合、認証に失敗します。

クライアントごとに一意の証明書を生成することも、複数のクライアントに同じ証明書を使用することもできます。 一意のクライアント証明書を生成する利点は、1 つの証明書を失効させることができる点です。 そうでなければ、複数のクライアントが同じクライアント証明書を使用していて、その証明書を失効させる必要がある場合は、認証にその証明書を使用するすべてのクライアントに新しい証明書を生成してインストールする必要があります。

クライアント証明書は、次の方法で生成できます。

  • エンタープライズ証明書:

    • エンタープライズ証明書ソリューションを使用している場合は、"domain name\username" 形式ではなく、共通名の値の形式 "name@yourdomain.com" を使用してクライアント証明書を生成します。
    • クライアント証明書が、使用リストの最初の項目としてスマート カード ログオンなどではなく "クライアント認証" が指定されている "ユーザー" 証明書テンプレートに基づいていることを確認します。証明書を確認するには、クライアント証明書をダブルクリックし、[詳細]、[拡張キー使用法] の順に選択して表示します。
  • 自己署名ルート証明書: P2S 証明書に関する以下のいずれかの記事の手順に従うことが重要です。 そうしないと、作成するクライアント証明書と P2S 接続との互換性がなくなり、クライアントが接続しようとするとエラー メッセージを受信します。 以下のどの記事の手順でも、互換性のあるクライアント証明書が生成されます。

    • Windows 10 PowerShell の手順: これらの手順で証明書を生成するには、Windows 10 および PowerShell が必要です。 生成される証明書は、サポートされている任意の P2S クライアントにインストールすることができます。
    • MakeCert の手順: 証明書を生成するために使用する Windows 10 コンピューターにアクセスできない場合は、MakeCert を使用します。 MakeCert は非推奨になりましたが、まだ MakeCert を使用して証明書を生成することができます。 生成される証明書は、サポートされている任意の P2S クライアントにインストールすることができます。

    上記の手順で自己署名ルート証明書からクライアント証明書を生成した場合、その作業に使用したコンピューターに自動的にクライアント証明書がインストールされます。 クライアント証明書を別のクライアント コンピューターにインストールする場合は、その証明書を .pfx として、証明書チェーン全体と共にエクスポートする必要があります。 そうすることで、クライアントが正常に認証されるために必要なルート証明書情報が含まれている .pfx ファイルが作成されます。 証明書をエクスポートする手順については、クライアント証明書のエクスポートに関するページを参照してください。

6.クライアント アドレス プールの追加

クライアント アドレス プールとは、指定するプライベート IP アドレスの範囲です。 ポイント対サイト VPN 経由で接続するクライアントは、この範囲内の IP アドレスを受け取ります。 接続元であるオンプレミスの場所、または接続先とする VNet と重複しないプライベート IP アドレス範囲を使用してください。

  1. 仮想ネットワーク ゲートウェイが作成されたら、[仮想ネットワーク ゲートウェイ] ページの [設定] セクションに移動します。 [設定] セクションで [ポイント対サイトの構成] をクリックして、[ポイント対サイトの構成] ページを開きます。

    ポイント対サイトのページ

  2. [ポイント対サイトの構成] ページでは、自動入力される範囲を削除し、使用するプライベート IP アドレス範囲を追加することができます。 設定を確認して保存するには、[保存] をクリックします。

    クライアント アドレス プール

7.ルート証明書の公開証明書データのアップロード

ゲートウェイが作成された後で、ルート証明書の公開キー情報を Azure にアップロードします。 公開証明書データがアップロードされたら、Azure でそれを使用し、信頼されたルート証明書から生成されたクライアント証明書がインストールされているクライアントを認証できます。 その後は、最大で合計 20 個まで、信頼されたルート証明書を追加でアップロードできます。

  1. 証明書は、[ルート証明書] セクションの [ポイント対サイトの構成] ページで追加します。
  2. ルート証明書を Base 64 でエンコードされた X.509 (.cer) ファイルとしてエクスポートしたことを確認してください。 証明書をテキスト エディターで開くことができるように、この形式でエクスポートする必要があります。
  3. 証明書をメモ帳などのテキスト エディターで開きます。 証明書データをコピーするときはに、必ず、テキストを復帰や改行のない 1 つの連続した行としてコピーしてください。 復帰や改行を確認するには、テキスト エディターのビューを "記号を表示する/すべての文字を表示する" ように変更することが必要になる場合があります。 次のセクションのみを 1 つの連続した行としてコピーします。

    証明書データ

  4. [公開証明書データ] フィールドに証明書データを貼り付けます。 証明書に名前を付けて、[保存] をクリックします。 最大 20 個の信頼されたルート証明書を追加できます。

    証明書のアップロード

8.エクスポートしたクライアント証明書のインストール

クライアント証明書の生成に使用したクライアント コンピューター以外から P2S 接続を作成する場合は、クライアント証明書をインストールする必要があります。 クライアント証明書をインストールするときに、クライアント証明書のエクスポート時に作成されたパスワードが必要になります。

クライアント証明書が証明書チェーン全体と一緒に .pfx としてエクスポートされている (既定値) ことを確認します。 そうでないと、ルート証明書情報がクライアント コンピューターに存在せず、クライアントは正しく認証されません。

インストールの手順については、クライアント証明書のインストールに関するページを参照してください。

9.VPN クライアント構成パッケージの生成とインストール

VPN クライアント構成ファイルには、P2S 接続を使って VNet に接続できるようにデバイスを構成するための設定が含まれています。 VPN クライアント構成ファイルの生成とインストールに関する手順については、「ネイティブ Azure 証明書認証の P2S 構成のための VPN クライアント構成ファイルを作成およびインストールする」を参照してください。

10.Azure への接続

Windows VPN クライアントから接続するには

  1. VNet に接続するには、クライアント コンピューターで [VPN 接続] に移動し、作成した VPN 接続を見つけます。 仮想ネットワークと同じ名前が付いています。 [接続]をクリックします。 証明書を使用することを示すポップアップ メッセージが表示される場合があります。 [続行] をクリックして、昇格された特権を使用します。

  2. 接続の状態ページで、[接続] をクリックして接続を開始します。 [証明書の選択] 画面が表示された場合は、表示されているクライアント証明書が接続に使用する証明書であることを確認します。 そうでない場合は、ドロップダウン矢印を使用して適切な証明書を選択し、 [OK]をクリックします。

    Azure への VPN クライアントの接続

  3. 接続が確立されました。

    確立された接続

Windows の P2S 接続のトラブルシューティング

接続に問題がある場合は、次の点を確認してください。

  • クライアント証明書をエクスポートしている場合は、既定値の [証明のパスにある証明書を可能であればすべて含む] を使用してクライアント証明書を .pfx ファイルとしてエクスポートしていることを確認してください。 この値を使用してクライアント証明書をエクスポートすると、ルート証明書情報もエクスポートされます。 証明書がクライアント コンピューターにインストールされると、.pfx ファイルに含まれているルート証明書もクライアント コンピューターにインストールされます。 クライアント コンピューターには、ルート証明書情報がインストールされている必要があります。 これを調べるには、[ユーザー証明書の管理] を開き、[信頼されたルート証明機関] の [証明書] に移動します。 ルート証明書が表示されていることを確認します。 認証が正しく機能するためには、ルート証明書が存在している必要があります。

  • エンタープライズ CA ソリューションを使用して発行した証明書を使用している場合に認証の問題が発生したときは、クライアント証明書の認証の順序を確認します。 認証の一覧の順序を確認するには、クライアント証明書をダブルクリックし、[詳細]、[拡張キー使用法] の順に選択します。 一覧の最初の項目として "クライアント認証" が表示されていることを確認します。 表示されていない場合は、一覧の最初の項目が "クライアント認証" であるユーザー テンプレートに基づいたクライアント証明書を発行する必要があります。

  • P2S のトラブルシューティングの補足情報については、P2S 接続のトラブルシューティングに関するページを参照してください。

Mac の VPN クライアントから接続するには

[ネットワーク] ダイアログ ボックスで使用するクライアント プロファイルを探し、[接続] をクリックします。

Mac の接続

接続を確認するには

ここで紹介する手順は、Windows クライアントに適用されます。

  1. VPN 接続がアクティブであることを確認するには、管理者特権でのコマンド プロンプトを開いて、 ipconfig/allを実行します。
  2. 結果を表示します。 受信した IP アドレスが、構成に指定したポイント対サイト VPN クライアント アドレス プール内のアドレスのいずれかであることに注意してください。 結果は次の例のようになります。

    PPP adapter VNet1:
       Connection-specific DNS Suffix .:
       Description.....................: VNet1
       Physical Address................:
       DHCP Enabled....................: No
       Autoconfiguration Enabled.......: Yes
       IPv4 Address....................: 172.16.201.3(Preferred)
       Subnet Mask.....................: 255.255.255.255
       Default Gateway.................:
       NetBIOS over Tcpip..............: Enabled
    

仮想マシンに接続するには

ここで紹介する手順は、Windows クライアントに適用されます。

リモート デスクトップ接続を作成すると、VNet にデプロイされている VM に接続できます。 VM に接続できるかどうかを初めて確認する際に最も良い方法は、その VM のコンピューター名ではなく、プライベート IP アドレスを使って接続してみることです。 この方法であれば、名前の解決が適切に構成されているかではなく、VM に接続できるかどうかをテストすることができます。

  1. プライベート IP アドレスを特定します。 VM のプライベート IP アドレスは、Azure Portal で VM のプロパティを表示するか、PowerShell を使うと確認できます。

    • Azure Portal を使用する場合: Azure Portal で仮想マシンを探します。 VM のプロパティを表示すると、 プライベート IP アドレスが表示されます。

    • PowerShell を使用する場合: 以下の例に示したコマンドを使用すると、リソース グループに含まれる VM とプライベート IP アドレスの一覧が表示されます。 このコマンドは、使用前に変更を加える必要はありません。

      $VMs = Get-AzureRmVM
      $Nics = Get-AzureRmNetworkInterface | Where VirtualMachine -ne $null
      
      foreach($Nic in $Nics)
      {
       $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
       $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
       $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
       Write-Output "$($VM.Name): $Prv,$Alloc"
      }
      
  2. ポイント対サイト VPN 接続を使って VNet に接続していることを確認します。

  3. タスク バーの検索ボックスに「RDP」または「リモート デスクトップ接続」と入力してリモート デスクトップ接続を開き、リモート デスクトップ接続を選択します。 このほか、PowerShell で "mstsc" コマンドを使ってリモート デスクトップ接続を開くこともできます。
  4. リモート デスクトップ接続で、VM のプライベート IP アドレスを入力します。 必要に応じて [オプションの表示] をクリックして追加の設定を済ませたら、接続します。

VM に対する RDP 接続をトラブルシューティングするには

VPN 接続を使って仮想マシンに接続する際に問題が発生した場合には、次のことを確認してください。

  • VPN 接続が成功したことを確認します。
  • VM のプライベート IP アドレスに接続できていることを確認します。
  • 接続元のコンピューターのイーサネット アダプターに割り当てられている IPv4 アドレスを "ipconfig" でチェックします。 その IP アドレスが、接続先の VNet のアドレス範囲内または VPNClientAddressPool のアドレス範囲内にある場合、これを "アドレス空間の重複" といいます。 アドレス空間がこのように重複していると、ネットワーク トラフィックが Azure に到達せずローカル ネットワーク上に留まることになります。
  • プライベート IP アドレスを使って VM に接続できるものの、コンピューター名では接続できない場合には、DNS が正しく構成されているかどうかを確認します。 VM の名前解決の動作について詳しくは、VM の名前解決に関するページを参照してください。
  • VNet に対して DNS サーバーの IP アドレスが指定された後に VPN クライアント構成パッケージが生成されたことを確認します。 DNS サーバーの IP アドレスを更新した場合は、新しい VPN クライアント構成パッケージを生成してインストールしてください。
  • 詳細については、VM に対するリモート デスクトップ接続のトラブルシューティングに関するページを参照してください。

信頼されたルート証明書を追加または削除するには

信頼されたルート証明書を Azure に追加したり、Azure から削除したりできます。 ルート証明書を削除すると、そのルートから証明書を生成したクライアントは認証が無効となり、接続できなくなります。 クライアントの認証と接続を正常に実行できるようにするには、Azure に信頼されている (Azure にアップロードされている) ルート証明書から生成した新しいクライアント証明書をインストールする必要があります。

信頼されたルート証明書を追加するには

信頼されたルート証明書 .cer ファイルを最大 20 個まで Azure に追加できます。 手順については、この記事の信頼されたルート証明書のアップロードに関するセクションを参照してください。

信頼されたルート証明書を削除するには

  1. 信頼されたルート証明書を削除するには、仮想ネットワーク ゲートウェイの [ポイント対サイトの構成] ページに移動します。
  2. ページの [ルート証明書] セクションで、削除する証明書を見つけます。
  3. 証明書の横にある省略記号をクリックし、削除をクリックします。

クライアント証明書を失効させるには

クライアント証明書は失効させることができます。 証明書失効リストを使用すると、個々のクライアント証明書に基づくポイント対サイト接続を選択して拒否することができます。 これは、信頼されたルート証明書を削除することとは異なります。 信頼されたルート証明書 .cer を Azure から削除すると、失効したルート証明書によって生成または署名されたすべてのクライアント証明書のアクセス権が取り消されます。 ルート証明書ではなくクライアント証明書を失効させることで、ルート証明書から生成されたその他の証明書は、その後も認証に使用できます。

一般的な方法としては、ルート証明書を使用してチームまたは組織レベルでアクセスを管理し、失効したクライアント証明書を使用して、個々のユーザーの細かいアクセス制御を構成します。

クライアント証明書の失効

失効リストに拇印を追加することで、クライアント証明書を失効させることができます。

  1. クライアント証明書の拇印を取得します。 詳細については、「方法: 証明書のサムプリントを取得する」を参照してください。
  2. 情報をテキスト エディターにコピーし、文字列が 1 つにつながるようにスペースをすべて削除します。
  3. 仮想ネットワーク ゲートウェイの [ポイント対サイトの構成] ページに移動します。 このページは、信頼されたルート証明書のアップロードに使用したものです。
  4. [失効した証明書] セクションで、証明書のフレンドリ名を入力します (証明書 CN にする必要はありません)。
  5. 拇印の文字列をコピーして [拇印] フィールドに貼り付けます。
  6. 拇印が検証され、自動的に失効リストに追加されます。 リストが更新されていることを示すメッセージが画面に表示されます。
  7. 更新が完了した後は、証明書を接続に使用することができなくなります。 この証明書を使用して接続を試みたクライアントには、証明書が無効になっていることを示すメッセージが表示されます。

ポイント対サイト接続に関してよく寄せられる質問

ポイント対サイト接続で使用できるクライアント オペレーティング システムを教えてください。

次のクライアント オペレーティング システムがサポートされています。

  • Windows 7 (32 ビットと 64 ビット)
  • Windows Server 2008 R2 (64 ビットのみ)
  • Windows 8 (32 ビットと 64 ビット)
  • Windows 8.1 (32 ビットと 64 ビット)
  • Windows Server 2012 (64 ビットのみ)
  • Windows Server 2012 R2 (64 ビットのみ)
  • Windows Server 2016 (64 ビットのみ)
  • Windows 10
  • Mac 用 OSX バージョン 10.11 (El Capitan)
  • Mac 用 macOS バージョン 10.12 (Sierra)

ポイント対サイト構成で保持できる VPN クライアント エンドポイントの最大数を教えてください。

仮想ネットワークに同時に接続できる VPN クライアント数は、最大で 128 個です。

プロキシやファイアウォールを経由してポイント対サイト接続の機能を使用できますか。

Azure では、ポイント対サイト VPN のオプションを 2 種類サポートしています:

  • Secure Socket Tunneling Protocol (SSTP)。 SSTP は Microsoft 独自の SSL ベースのソリューションです。このソリューションは、ほとんどのファイアウォールが 443 SSL で使用する TCP ポートを開いていることを利用し、ファイアウォールを通過することができるようになっています。

  • IKEv2 VPN。 IKEv2 VPN は、標準ベースの IPsec VPN ソリューションであり、UDP ポート 500 と 4500 のほか、IP プロトコル番号 50 を使用しています。 ファイアウォールでここに挙げたポートが必ずしも開いているとは限りません。このため、IKEv2 VPN ではプロキシとファイアウォールを通過できないことがあります。

ポイント対サイト接続用に構成されたクライアント コンピューターを再起動した場合、VPN は自動的に再接続されますか。

既定では、クライアント コンピューターの再起動時には VPN の自動再接続は行われません。

ポイント対サイトの自動再接続と VPN クライアントの DDNS はサポートされていますか。

ポイント対サイト VPN では、自動再接続と DDNS は現時点ではサポートされていません。

サイト間接続およびポイント対サイト接続の構成は、同一仮想ネットワークに共存させることはできますか。

はい。 Resource Manager デプロイメント モデルの場合には、ゲートウェイにルートベースの VPN が必要になります。 クラシック デプロイメント モデルの場合は、動的ゲートウェイが必要です。 静的ルーティング VPN ゲートウェイと、ポリシーベースの VPN ゲートウェイでは、ポイント対サイト接続はサポートされません。

ポイント対サイト接続のクライアントを同時に複数の仮想ネットワークに接続するように構成することはできますか。

いいえ。 ポイント対サイト接続のクライアントは、仮想ネットワーク ゲートウェイが存在する VNet にあるリソースに接続できるにとどまります。

サイト間接続またはポイント対サイト接続ではどの程度のスループットが得られますか。

VPN トンネルのスループットを正確に一定レベルに維持することは困難です。 IPsec と SSTP は、VPN プロトコルの中でも暗号化処理の負荷が高いものです。 また、スループットはオンプレミスとインターネットの間の待機時間や帯域幅によっても制限されます。 IKEv2 ポイント対サイト VPN 接続のみを使用する VPN ゲートウェイでは、期待できるスループットの総量がゲートウェイの SKU に応じて変わります。 スループットの詳細については、「ゲートウェイの SKU」を参照してください。

SSTP や IKEv2 をサポートしているポイント対サイト接続では、ソフトウェア VPN クライアントを使用できますか。

いいえ。 SSTP については Windows のネイティブ VPN クライアント、IKEv2 については Mac のネイティブ VPN クライアントのみ使用できます。 サポートされているクライアント オペレーティング システムの一覧を参照してください。

Azure は、Windows で IKEv2 VPN をサポートしていますか。

ユーザーは、IKEv2 をサポートしている組み込みの Windows VPN クライアントを使用して Azure に接続できます。 ただし、次のシナリオでは、Windows デバイスからの IKEv2 接続は機能しません。

ユーザーのデバイスに多くの信頼されたルート証明書が含まれていると、インターネット キー交換中のメッセージ ペイロードのサイズが大きくなり、IP レイヤーの断片化が発生します。 フラグメントは Azure エンドで拒否されるため、接続の失敗につながります。 この問題を引き起こす証明書の正確な数は、予測が困難です。 その結果、Windows デバイスからの IKEv2 接続が機能するかは保証されません。 Windows デバイスと Mac デバイスが混在する環境で SSTP と IKEv2 の両方を構成すると、Windows VPN プロファイルは必ず最初に IKEv2 トンネルを試行します。 これがここで説明した問題が原因で失敗すると、SSTP にフォールバックします。

Windows と Mac 以外に、Azure が P2S VPN 向けにサポートしている他のプラットフォームはありますか。

Azure P2S VPN 向けにサポートしているのは、Windows と Mac だけです。

Azure VPN Gateway を既にデプロイしています。 ここで RADIUS または IKEv2 VPN または両方を有効にできますか。

はい、PowerShell と Azure Portal の両方を通じて、デプロイ済みのゲートウェイでこれらの新機能を有効にできます。

ポイント対サイト接続で自社の内部 PKI ルート CA を使用できますか。

はい。 以前は、自己署名ルート証明書のみを使用できました。 現在も 20 ルート証明書までアップロードできます。

次のステップ

接続が完成したら、仮想ネットワークに仮想マシンを追加することができます。 詳細については、Virtual Machines に関するページを参照してください。 ネットワークと仮想マシンの詳細については、「Azure と Linux の VM ネットワークの概要」を参照してください。