Azure Portal を使用した VNet へのポイント対サイト接続の構成

この記事では、Azure Portal を使用して、ポイント対サイト接続を備えた VNet を Resource Manager デプロイメント モデルで作成する手順を説明します。 また、この構成の作成には、次のリストから別のオプションを選択して、別のデプロイ ツールまたはデプロイ モデルを使用することもできます。

ポイント対サイト (P2S) 構成では、個々のクライアント コンピューターから仮想ネットワークへのセキュリティで保護された接続を作成することができます。 ポイント対サイト接続は、自宅や会議室など、リモートの場所から VNet に接続する場合や、仮想ネットワークに接続する必要があるクライアントの数が少ない場合に便利です。 P2S VPN 接続は、クライアント コンピューターからネイティブ Windows VPN クライアントを使用して開始されます。 クライアントの接続には、認証のために証明書が使用されます。

ポイント対サイトのダイアログ

ポイント対サイト接続に、VPN デバイスや公開 IP アドレスは必要ありません。 P2S により、SSTP (Secure Socket トンネリング プロトコル) 経由での VPN 接続が作成されます。 サーバー側でのサポート対象の SSTP バージョンは、1.0、1.1、1.2 です。 使用するバージョンはクライアントによって決まります。 Windows 8.1 以降の場合、SSTP では既定で 1.2 が使用されます。 ポイント対サイト接続の詳細については、この記事の最後にある「ポイント対サイト接続に関してよく寄せられる質問」を参照してください。

P2S 接続には、以下のものが必要です。

  • RouteBased VPN ゲートウェイ。
  • Azure にアップロードされた、ルート証明書の公開キー (.cer ファイル)。 これは信頼された証明書と見なされ、認証に使用されます。
  • ルート証明書から生成され、接続する各クライアント コンピューターにインストールされたクライアント証明書。 この証明書はクライアントの認証に使用されます。
  • VPN クライアント構成パッケージが生成され、接続するすべてのクライアント コンピューターにインストールされていること。 このクライアント構成パッケージによって構成されるのは、既にオペレーティング システム上で動作し、VNet への接続に必要な情報を備えているネイティブ VPN クライアントです。

値の例

次の値を使用して、テスト環境を作成できます。また、この値を参考にしながら、この記事の例を確認していくこともできます。

  • 名前: VNet1
  • アドレス空間: 192.168.0.0/16
    この例では、1 つのアドレス空間のみを使用します。 VNet には、複数のアドレス空間を使用することができます。
  • サブネット名: FrontEnd
  • サブネットのアドレス範囲: 192.168.1.0/24
  • サブスクリプション: サブスクリプションが複数ある場合は、適切なサブスクリプションを使用していることを確認します。
  • リソース グループ: TestRG
  • 場所: 米国東部
  • GatewaySubnet: 192.168.200.0/24
  • 仮想ネットワーク ゲートウェイ名: VNet1GW
  • ゲートウェイの種類: VPN
  • VPN の種類: ルート ベース
  • パブリック IP アドレス: VNet1GWpip
  • 接続の種類: ポイント対サイト
  • クライアント アドレス プール: 172.16.201.0/24
    このポイント対サイト接続を利用して VNet に接続する VPN クライアントは、クライアント アドレス プールから IP アドレスを受け取ります。

1 - 仮想ネットワークの作成

最初に Azure サブスクリプションを持っていることを確認します。 Azure サブスクリプションをまだお持ちでない場合は、MSDN サブスクライバーの特典を有効にするか、無料アカウントにサインアップしてください。 練習としてこの構成を作成する場合は、値の例を参照してください。

Azure Portal を使用して Resource Manager デプロイメント モデルで VNet を作成するには、次の手順に従います。 スクリーンショットは例として示されています。 サンプルの値は必ず実際の値に変更してください。 仮想ネットワークの操作の詳細については、「 仮想ネットワークの概要」を参照してください。

  1. ブラウザーから Azure Portal に移動します。必要であれば Azure アカウントでサインインします。
  2. [新規]をクリックします。 [Marketplace を検索] フィールドに「仮想ネットワーク」と入力します。 検索結果の一覧から [仮想ネットワーク] を探してクリックし、[仮想ネットワーク] ブレードを開きます。

    Locate Virtual Network resource blade

  3. [仮想ネットワーク] ブレードの下の方にある [デプロイ モデルの選択] の一覧で、[リソース マネージャー] を選択し、[作成] をクリックします。

    Select Resource Manager

  4. [仮想ネットワークの作成] ブレードで、VNet の設定を構成します。 フィールドへの入力時、文字が有効であれば、赤色の感嘆符が緑色のチェック マークに変わります。

    Field validation

  5. [仮想ネットワークの作成] ブレードは、次のようになっています。 自動的に入力される値もあります。 そのような値については、実際の値に変更してください。

    仮想ネットワーク ブレードの作成

  6. [名前]: 仮想ネットワークの名前を入力します。
  7. [アドレス空間]: アドレス空間を入力します。 追加するアドレス空間が複数ある場合は、1 つ目のアドレス空間を追加してください。 その他のアドレス空間は後で、VNet を作成した後に追加できます。
  8. [サブネット名]: サブネットの名前とアドレス範囲を追加します。 その他のサブネットは後で、VNet を作成した後に追加できます。
  9. [サブスクリプション]: 一覧表示されているサブスクリプションが正しいことを確認します。 ドロップダウンを使用して、サブスクリプションを変更できます。
  10. [リソース グループ]: 既存のリソース グループを選択するか、新しいリソース グループの名前を入力して新しく作成します。 新しいグループを作成する場合は、計画した構成値に基づいて、リソース グループに名前を付けます。 リソース グループの詳細については、「 Azure リソース マネージャーの概要」を参照してください。
  11. [場所]: VNet の場所を選択します。 この場所の設定によって、この VNet にデプロイしたリソースの配置先が決まります。
  12. ダッシュボードで VNet を簡単に検索できるようにするには、[ダッシュボードにピン留めする] を選択します。その後、[作成] をクリックします。

    Pin to dashboard

  13. [作成] をクリックした後で、VNet の進捗状況を反映するタイルがダッシュボードに表示されます。 タイルは、VNet の作成が進むに従って変化します。

    仮想ネットワーク タイルの作成

2 - アドレス空間とサブネットの指定

VNet が作成されたら、アドレス空間とサブネットをさらに追加できます。

アドレス空間を追加するには

  1. アドレス空間を追加するには、[仮想ネットワーク] ブレードの [設定] セクションで [アドレス空間] をクリックして、[アドレス空間] ブレードを開きます。
  2. アドレス空間を追加し、ブレードの上部にある [保存] をクリックします。

    Add address space

サブネットを作成するには

  1. サブネットを作成するには、[仮想ネットワーク] ブレードの [設定] セクションで [サブネット] をクリックして、[サブネット] ブレードを開きます。
  2. [サブネット] ブレードで [+サブネット] をクリックして、[サブネットの追加] ブレードを開きます。 新しいサブネットに名前を付け、アドレス範囲を指定します。

    サブネット設定

  3. ブレード下部の [OK] をクリックして、変更を保存します。

    サブネット設定

3 - ゲートウェイ サブネットの追加

仮想ネットワークをゲートウェイに接続する前に、まず、接続先の仮想ネットワークのゲートウェイ サブネットを作成する必要があります。 ゲートウェイ サービスでは、ゲートウェイ サブネット内に指定された IP アドレスを使用します。 将来的な構成要件も見越して十分な IP アドレスを確保するために、可能であれば、/28 または /27 の CIDR ブロックを使用してゲートウェイ サブネットを作成します。

このセクションのスクリーンショットは、参照用の例です。 構成に必要な値に対応する GatewaySubnet アドレス範囲を使用するようにしてください。

ゲートウェイ サブネットを作成するには

  1. ポータルで、仮想ネットワーク ゲートウェイを作成する Resource Manager 仮想ネットワークに移動します。
  2. VNet のブレードの [設定] セクションで、[サブネット] をクリックして [サブネット] ブレードを展開します。
  3. [サブネット] ブレードで [+ゲートウェイ サブネット] をクリックして、[サブネットの追加] ブレードを開きます。

    ゲートウェイ サブネットの追加

  4. サブネットの [名前] には、"GatewaySubnet" という値が自動的に入力されます。 この値は、Azure がゲートウェイ サブネットとしてこのサブネットを認識するために必要になります。 自動入力される [アドレス範囲] の値は、実際の構成要件に合わせて調整してください。

    サブネットの追加

  5. サブネットを作成するには、ブレード下部の [OK] をクリックします。

4 - DNS サーバーの指定 (省略可能)

仮想ネットワークを作成した後は、名前解決を処理するために、DNS サーバーの IP アドレスを追加できます。 指定された DNS サーバーは、接続するリソースの名前を解決できる DNS サーバーである必要があります。 後続の手順で生成する VPN クライアント構成パッケージには、この設定で指定した DNS サーバーの IP アドレスが追加されます。 将来 DNS サーバーのリストを更新する必要が生じた場合は、その新しいリストを反映した新しい VPN クライアント構成パッケージを生成してインストールすることができます。

  1. 仮想ネットワークの [設定] ページで、[DNS サーバー] に移動し、クリックして [DNS サーバー] ブレードを開きます。

    DNS サーバーの追加

    • DNS サーバー: [カスタム] を選択します。
    • DNS サーバーの追加: 名前解決に利用する DNS サーバーの IP アドレスを入力します。
  2. DNS サーバーを追加し終わったら、ブレードの上部の [保存] をクリックします。

5 - 仮想ネットワーク ゲートウェイの作成

ポイント対サイト接続では、以下の設定が必要です。

  • ゲートウェイの種類: VPN
  • VPN の種類: ルート ベース

仮想ネットワーク ゲートウェイを作成するには

  1. ポータルで、左側の [+] をクリックし、検索ボックスに「Virtual Network ゲートウェイ」と入力します。 検索結果で "仮想ネットワーク ゲートウェイ" を探してその項目をクリックします。 [Virtual Network ゲートウェイ] ブレードで、下部にある [作成] をクリックします。 [仮想ネットワーク ゲートウェイの作成] ブレードが開きます。
  2. [Virtual Network ゲートウェイの作成] ブレードで、Virtual Network ゲートウェイの値を入力します。

    [Virtual Network ゲートウェイの作成] ブレードのフィールド

  3. [名前]: ゲートウェイに名前を付けます。 これは、ゲートウェイ サブネットの名前付けと同じではありません。 作成するゲートウェイ オブジェクトの名前です。
  4. [ゲートウェイの種類]: [VPN] を選択します。 VPN Gateway では、仮想ネットワーク ゲートウェイの種類として VPN を使用します。
  5. [VPN の種類]: 構成に指定されている VPN の種類を選択します。 ほとんどの構成で [VPN の種類] は [ルート ベース] にする必要があります。
  6. [SKU]: ゲートウェイの SKU をドロップダウン リストから選択します。 ドロップダウン リストに表示される SKU は、選択した VPN の種類によって異なります。
  7. [場所]: 仮想ネットワークの場所を指すように、[場所] フィールドを調整します。 対象の仮想ネットワークが存在するリージョンをこの場所が指していない場合、仮想ネットワークは [仮想ネットワークの選択] ボックスの一覧に表示されません。
  8. このゲートウェイの追加先の仮想ネットワークを選択します。 [仮想ネットワーク] をクリックして [仮想ネットワークの選択] ブレードを開きます。 VNet を選択します。 VNet が表示されない場合は、実際の仮想ネットワークがあるリージョンが [場所] フィールドに指定されていることを確認してください。
  9. [パブリック IP アドレス]: このブレードで、パブリック IP アドレス オブジェクトが作成されます。このオブジェクトにパブリック IP アドレスが動的に割り当てられます。 [パブリック IP アドレス] をクリックして、[パブリック IP アドレスの選択] ブレードを開きます。 [+新規作成] をクリックして、[パブリック IP アドレスの作成] ブレードを開きます。 パブリック IP アドレスの名前を入力します。 [OK] をクリックして、このブレードへの変更を保存します。 IP アドレスは、VPN ゲートウェイの作成時に動的に割り当てられます。 VPN Gateway では現在、パブリック IP アドレスの "動的" 割り当てのみサポートしています。 もっとも、VPN ゲートウェイに割り当てられた IP アドレスが後から変わることは基本的にありません。 パブリック IP アドレスが変わるのは、ゲートウェイが削除され、再度作成されたときのみです。 VPN ゲートウェイのサイズ変更、リセット、その他の内部メンテナンス/アップグレードでは、IP アドレスは変わりません。
  10. [サブスクリプション]: 正しいサブスクリプションが選択されていることを確認します。
  11. [リソース グループ]: この設定は、選択した Virtual Network によって決定されます。
  12. 上記の設定を指定した後に [場所] を調整しないでください。
  13. 設定を確認します。 ゲートウェイをダッシュボードに表示する場合は、ブレードの下部にある [ダッシュボードにピン留めする] を選択します。
  14. [作成] をクリックして、ゲートウェイの作成を開始します。 設定が検証されて、ゲートウェイが作動します。 ゲートウェイの作成には、最大で 45 分かかる場合があります。
  15. ゲートウェイの作成後は、ポータルの仮想ネットワークを調べることで、ゲートウェイに割り当てられている IP アドレスを確認できます。 ゲートウェイは、接続されたデバイスとして表示されます。 詳細を表示するには、接続したデバイス (仮想ネットワーク ゲートウェイ) をクリックします。

6 - 証明書の生成

証明書は、ポイント対サイト VPN の VPN クライアントを認証するために、Azure によって使用されます。 そのため、ルート証明書の公開キー情報を Azure にアップロードします。 その後、その公開キーは "信頼された" と見なされます。 信頼されたルート証明書からクライアント証明書を生成し、それを各クライアント コンピューターの [証明書 - 現在のユーザー] の [個人] 証明書ストアにインストールする必要があります。 この証明書は、クライアントで VNet への接続を開始するときに、そのクライアントを認証するために使用されます。

自己署名証明書を使用する場合は、特定のパラメーターを使って証明書を作成する必要があります。 自己署名証明書は、PowerShell と Windows 10 を使った手順のほか、MakeCert を使って作成することができます。 自己署名ルート証明書を扱うときや、自己署名ルート証明書からクライアント証明書を生成するときは、これらの説明に記載されている手順に従うことが大切です。 説明どおりに作成しないと、証明書が P2S 接続に適合せず、接続エラーが発生します。

手順 1 - ルート証明書の .cer ファイルの取得

エンタープライズ ソリューション (推奨) を使って生成されたルート証明書を使用するか、または自己署名証明書を生成してください。 自己署名証明書を使用する場合は、ポイント対サイト接続の自己署名ルート証明書の作成に関する記事の手順に従ってください。 これらの手順には、P2S に適合した証明書を生成するうえで必要な具体的な設定が書かれています。

ルート証明書の作成後、(秘密キーではなく) 公開証明書データを、Base-64 でエンコードされた X.509 .cer ファイルとしてエクスポートします。 その後、公開証明書データをルート証明書から Azure にアップロードします。

  • エンタープライズ証明書: エンタープライズ ソリューションを使用している場合、既存の証明書チェーンを使うことができます。 使用するルート証明書の .cer ファイルを取得します。
  • 自己署名ルート証明書: エンタープライズ証明書ソリューションを使用していない場合は、自己署名ルート証明書を作成する必要があります。 ポイント対サイト接続を使用するためには、ルート証明書に特定の値が格納されている必要があります。 その手順については、次の記事を参照してください。

手順 2 - クライアント証明書の生成

ポイント対サイトで VNet に接続するすべてのクライアント コンピューターには、クライアント証明書がインストールされている必要があります。 クライアント証明書はルート証明書から生成され、各クライアント コンピューターにインストールされます。 有効なクライアント証明書がインストールされていない状態でクライアントが VNet に接続した場合、認証に失敗します。

クライアントごとに一意の証明書を生成することも、複数のクライアントに同じ証明書を使用することもできます。 一意のクライアント証明書を生成する利点は、1 つの証明書を失効させることができる点です。 そうでなければ、複数のクライアントが同じクライアント証明書を使用していて、その証明書を失効させる必要がある場合は、認証にその証明書を使用するすべてのクライアントに新しい証明書を生成してインストールする必要があります。

クライアント証明書は、次の方法で生成できます。

  • エンタープライズ証明書:

    • エンタープライズ証明書ソリューションを使用している場合は、"domain name\username" 形式ではなく、共通名の値の形式 "name@yourdomain.com" を使用してクライアント証明書を生成します。
    • クライアント証明書が、使用リストの最初の項目としてスマート カード ログオンなどではなく "クライアント認証" が指定されている "ユーザー" 証明書テンプレートに基づいていることを確認します。証明書を確認するには、クライアント証明書をダブルクリックし、[詳細]、[拡張キー使用法] の順に選択して表示します。
  • 自己署名ルート証明書: PowerShell と Windows 10 を使ったクライアント証明書の生成に関するページの手順に従ってクライアント証明書を生成します。 この手順に、P2S に適合したクライアント証明書を作成するために必要なパラメーターが紹介されています。 クライアント証明書を生成すると、このクライアント証明書は、生成に使用したコンピューターに自動的にインストールされます。 クライアント証明書を別のクライアント コンピューターにインストールする場合は、その証明書を .pfx として、証明書チェーン全体と共にエクスポートする必要があります。 このようにして得た .pfx ファイルを、ルート証明書の情報を必要とするクライアント コンピューターにインストールすることができます。 クライアント証明書のエクスポートに関する手順に従ってください。

7 - クライアント アドレス プールの追加

クライアント アドレス プールとは、指定するプライベート IP アドレスの範囲です。 P2S 経由で接続するクライアントは、この範囲内の IP アドレスを受け取ります。 接続元であるオンプレミスの場所、または接続先とする VNet と重複しないプライベート IP アドレス範囲を使用してください。

  1. 仮想ネットワーク ゲートウェイが作成されたら、[仮想ネットワーク ゲートウェイ] ブレードの [設定] セクションに移動します。 [設定] セクションで [ポイント対サイトの構成] をクリックして、[構成] ブレードを開きます。

    ポイント対サイトのブレード

  2. 自動入力される範囲は削除してから、使用するプライベート IP アドレス範囲を追加することができます。 設定を確認して保存するには、[保存] をクリックします。

    クライアント アドレス プール

8 - ルート証明書 .cer ファイルのアップロード

ゲートウェイが作成された後は、信頼されたルート証明書の .cer ファイル (公開キー情報を含むもの) を Azure にアップロードできます。 .cer ファイルがアップロードされると、Azure ではそれを使用し、信頼されたルート証明書から生成されたクライアント証明書がインストールされているクライアントを認証できます。 その後は必要に応じて、最大で合計 20 個になるまで信頼されたルート証明書を追加でアップロードできます。

  1. 証明書は、[ルート証明書] セクションの [ポイント対サイトの構成] ブレードで追加します。
  2. ルート証明書を Base 64 でエンコードされた X.509 (.cer) ファイルとしてエクスポートしたことを確認してください。 証明書をテキスト エディターで開くことができるように、この形式でエクスポートする必要があります。
  3. 証明書をメモ帳などのテキスト エディターで開きます。 証明書データをコピーするときはに、必ず、テキストを復帰や改行のない 1 つの連続した行としてコピーしてください。 復帰や改行を確認するには、テキスト エディターのビューを "記号を表示する/すべての文字を表示する" ように変更することが必要になる場合があります。 次のセクションのみを 1 つの連続した行としてコピーします。

    証明書データ

  4. [公開証明書データ] フィールドに証明書データを貼り付けます。 証明書に名前を付けて、[保存] をクリックします。 最大 20 個の信頼されたルート証明書を追加できます。

    証明書のアップロード

9 - VPN クライアント構成パッケージのインストール

ポイント対サイト VPN を使って VNet に接続するには、ネイティブ Windows VPN クライアントを構成するためのパッケージをクライアントごとにインストールする必要があります。 構成パッケージは、仮想ネットワークへの接続に必要な設定を使ってネイティブ Windows VPN クライアントを構成します。したがって VNet の DNS サーバーを指定した場合、クライアントの名前解決に使用される DNS サーバーの IP アドレスが構成パッケージに追加されます。 指定した DNS サーバーを後から、クライアント構成パッケージの生成後に変更する場合は、必ず新しいクライアント構成パッケージを生成してクライアント コンピューターにインストールしてください。

バージョンがクライアントのアーキテクチャと一致すれば、各クライアント コンピューターで同じ VPN クライアント構成パッケージを使用できます。 サポートされているクライアント オペレーティング システムの一覧については、この記事の最後にある「ポイント対サイト接続に関してよく寄せられる質問」を参照してください。

手順 1 - クライアント構成パッケージをダウンロードする

  1. [ポイント対サイトの構成] ブレードで [Download VPN client (VPN クライアントのダウンロード)] をクリックして、[Download VPN client (VPN クライアントのダウンロード)] ブレードを開きます。 パッケージの生成には 1 ~ 2 分かかります。

    VPN クライアントのダウンロード 1

  2. クライアント用の適切なパッケージを選択して、[ダウンロード] をクリックします。 構成パッケージ ファイルを保存します。 この VPN クライアント構成パッケージは、仮想ネットワークに接続する各クライアント コンピューターにインストールします。

    VPN クライアントのダウンロード 2

手順 2 - クライアント構成パッケージをインストールする

  1. 仮想ネットワークに接続するコンピューターのローカルに構成ファイルをコピーします。
  2. .exe ファイルをダブルクリックしてパッケージをクライアント コンピューターにインストールします。 構成パッケージを作成したのは皆さん自身であり、署名されていないために警告が表示されることがあります。 Windows SmartScreen ポップアップが表示された場合は、[詳細] (左側)、[実行] の順にクリックして、パッケージをインストールします。
  3. パッケージをクライアント コンピューターにインストールします。 Windows SmartScreen ポップアップが表示された場合は、[詳細] (左側)、[実行] の順にクリックして、パッケージをインストールします。
  4. クライアント コンピューターで [ネットワークの設定] に移動し、[VPN] をクリックします。 VPN 接続により、その接続先の仮想ネットワークの名前が表示されます。

10 - クライアント証明書のインストール

クライアント証明書の生成に使用したクライアント コンピューター以外から P2S 接続を作成する場合は、クライアント証明書をインストールする必要があります。 クライアント証明書をインストールするときに、クライアント証明書のエクスポート時に作成されたパスワードが必要になります。 通常は、証明書をダブルクリックするだけでインストールできます。 詳細については、「エクスポートしたクライアント証明書のインストール」を参照してください。

11 - Azure への接続

  1. VNet に接続するには、クライアント コンピューターで [VPN 接続] に移動し、作成した VPN 接続を見つけます。 仮想ネットワークと同じ名前が付いています。 [接続]をクリックします。 証明書を使用することを示すポップアップ メッセージが表示される場合があります。 [続行] をクリックして、昇格された特権を使用します。

  2. 接続の状態ページで、[接続] をクリックして接続を開始します。 [証明書の選択] 画面が表示された場合は、表示されているクライアント証明書が接続に使用する証明書であることを確認します。 そうでない場合は、ドロップダウン矢印を使用して適切な証明書を選択し、 [OK]をクリックします。

    Azure への VPN クライアントの接続

  3. 接続が確立されました。

    確立された接続

接続に問題がある場合は、次の点を確認してください。

  • [ユーザー証明書の管理] を開いて [Trusted Root Certification Authorities\Certificates] に移動します。 ルート証明書が表示されていることを確認します。 認証が正しく機能するためには、ルート証明書が存在している必要があります。 既定値の [証明のパスにある証明書を可能であればすべて含む] でクライアント証明書の .pfx をエクスポートすると、ルート証明書の情報もエクスポートされます。 クライアント証明書をインストールするときに、ルート証明書もクライアント コンピューターにインストールされます。

  • エンタープライズ CA ソリューションを使用して発行した証明書を使用している場合に認証の問題が発生したときは、クライアント証明書の認証の順序を確認します。 認証の一覧の順序を確認するには、クライアント証明書をダブルクリックし、[詳細]、[拡張キー使用法] の順に選択します。 一覧の最初の項目として "クライアント認証" が表示されていることを確認します。 表示されていない場合は、一覧の最初の項目が "クライアント認証" であるユーザー テンプレートに基づいたクライアント証明書を発行する必要があります。

12 - 接続を確認する

  1. VPN 接続がアクティブであることを確認するには、管理者特権でのコマンド プロンプトを開いて、 ipconfig/allを実行します。
  2. 結果を表示します。 受信した IP アドレスが、構成に指定したポイント対サイト VPN クライアント アドレス プール内のアドレスのいずれかであることに注意してください。 結果は次の例のようになります。

     PPP adapter VNet1:
         Connection-specific DNS Suffix .:
         Description.....................: VNet1
         Physical Address................:
         DHCP Enabled....................: No
         Autoconfiguration Enabled.......: Yes
         IPv4 Address....................: 172.16.201.3(Preferred)
         Subnet Mask.....................: 255.255.255.255
         Default Gateway.................:
         NetBIOS over Tcpip..............: Enabled
    

P2S での仮想マシンへの接続に問題がある場合は、接続元のコンピューターのイーサネット アダプターに割り当てられている IPv4 アドレスを "ipconfig" でチェックします。 その IP アドレスが、接続先の VNet のアドレス範囲内または VPNClientAddressPool のアドレス範囲内にある場合、これを "アドレス空間の重複" といいます。 アドレス空間がこのように重複していると、ネットワーク トラフィックが Azure に到達せずローカル ネットワーク上に留まることになります。 ネットワーク アドレス空間が重複していないのに、VM に接続できない場合は、VM へのリモート デスクトップ接続のトラブルシューティングに関するページを参照してください。

仮想マシンへの接続

リモート デスクトップ接続を作成すると、VNet にデプロイされている VM に接続できます。 VM に接続できるかどうかを初めて確認する際に最も良い方法は、その VM のコンピューター名ではなく、プライベート IP アドレスを使って接続してみることです。 この方法であれば、名前の解決が適切に構成されているかではなく、VM に接続できるかどうかをテストすることができます。

  1. プライベート IP アドレスを特定します。 VM のプライベート IP アドレスは、Azure Portal で VM のプロパティを表示するか、PowerShell を使うと確認できます。

    • Azure Portal を使用する場合: Azure Portal で仮想マシンを探します。 VM のプロパティを表示すると、 プライベート IP アドレスが表示されます。

    • PowerShell を使用する場合: 以下の例に示したコマンドを使用すると、リソース グループに含まれる VM とプライベート IP アドレスの一覧が表示されます。 このコマンドは、使用前に変更を加える必要はありません。

      $VMs = Get-AzureRmVM
      $Nics = Get-AzureRmNetworkInterface | Where VirtualMachine -ne $null
      
      foreach($Nic in $Nics)
      {
       $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
       $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
       $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
       Write-Output "$($VM.Name): $Prv,$Alloc"
      }
      
  2. ポイント対サイト VPN 接続を使って VNet に接続していることを確認します。

  3. タスク バーの検索ボックスに「RDP」または「リモート デスクトップ接続」と入力してリモート デスクトップ接続を開き、リモート デスクトップ接続を選択します。 このほか、PowerShell で "mstsc" コマンドを使ってリモート デスクトップ接続を開くこともできます。
  4. リモート デスクトップ接続で、VM のプライベート IP アドレスを入力します。 必要に応じて [オプションの表示] をクリックして追加の設定を済ませたら、接続します。

VM に対する RDP 接続をトラブルシューティングするには

VPN 接続を使って仮想マシンに接続する際に問題が発生した場合には、次のことを確認してください。

  • VPN 接続が成功したことを確認します。
  • VM のプライベート IP アドレスに接続できていることを確認します。
  • 接続元のコンピューターのイーサネット アダプターに割り当てられている IPv4 アドレスを "ipconfig" でチェックします。 その IP アドレスが、接続先の VNet のアドレス範囲内または VPNClientAddressPool のアドレス範囲内にある場合、これを "アドレス空間の重複" といいます。 アドレス空間がこのように重複していると、ネットワーク トラフィックが Azure に到達せずローカル ネットワーク上に留まることになります。
  • プライベート IP アドレスを使って VM に接続できるものの、コンピューター名では接続できない場合には、DNS が正しく構成されているかどうかを確認します。 VM の名前解決の動作について詳しくは、VM の名前解決に関するページを参照してください。
  • VNet に対して DNS サーバーの IP アドレスが指定された後に VPN クライアント構成パッケージが生成されたことを確認します。 DNS サーバーの IP アドレスを更新した場合は、新しい VPN クライアント構成パッケージを生成してインストールしてください。
  • 詳細については、VM に対するリモート デスクトップ接続のトラブルシューティングに関するページを参照してください。

信頼されたルート証明書を追加または削除する

信頼されたルート証明書を Azure に追加したり、Azure から削除したりできます。 ルート証明書を削除すると、そのルートから証明書を生成したクライアントは認証が無効となり、接続できなくなります。 クライアントの認証と接続を正常に実行できるようにするには、Azure に信頼されている (Azure にアップロードされている) ルート証明書から生成した新しいクライアント証明書をインストールする必要があります。

信頼されたルート証明書を追加するには

信頼されたルート証明書 .cer ファイルを最大 20 個まで Azure に追加できます。 手順については、この記事の信頼されたルート証明書のアップロードに関するセクションを参照してください。

信頼されたルート証明書を削除するには

  1. 信頼されたルート証明書を削除するには、仮想ネットワーク ゲートウェイの [ポイント対サイトの構成] ブレードに移動します。
  2. ブレードの [ルート証明書] セクションで、削除する証明書を見つけます。
  3. 証明書の横にある省略記号をクリックし、[削除] をクリックします。

クライアント証明書の失効

クライアント証明書は失効させることができます。 証明書失効リストを使用すると、個々のクライアント証明書に基づくポイント対サイト接続を選択して拒否することができます。 これは、信頼されたルート証明書を削除する場合とは異なります。 信頼されたルート証明書 .cer を Azure から削除すると、失効したルート証明書によって生成または署名されたすべてのクライアント証明書のアクセス権が取り消されます。 ルート証明書ではなくクライアント証明書を失効させることで、ルート証明書から生成されたその他の証明書は、その後も認証に使用できます。

一般的な方法としては、ルート証明書を使用してチームまたは組織レベルでアクセスを管理し、失効したクライアント証明書を使用して、個々のユーザーの細かいアクセス制御を構成します。

クライアント証明書を失効させるには

失効リストに拇印を追加することで、クライアント証明書を失効させることができます。

  1. クライアント証明書の拇印を取得します。 詳細については、「方法: 証明書のサムプリントを取得する」を参照してください。
  2. 情報をテキスト エディターにコピーし、文字列が 1 つにつながるようにスペースをすべて削除します。
  3. 仮想ネットワーク ゲートウェイの [ポイント対サイトの構成] ブレードに移動します。 このブレードは、信頼されたルート証明書のアップロードに使用したものです。
  4. [失効した証明書] セクションで、証明書のフレンドリ名を入力します (証明書 CN にする必要はありません)。
  5. 拇印の文字列をコピーして [拇印] フィールドに貼り付けます。
  6. 拇印が検証され、自動的に失効リストに追加されます。 リストが更新されていることを示すメッセージが画面に表示されます。
  7. 更新が完了した後は、証明書を接続に使用することができなくなります。 この証明書を使用して接続を試みたクライアントには、証明書が無効になっていることを示すメッセージが表示されます。

ポイント対サイト接続に関してよく寄せられる質問

ポイント対サイト接続で使用できるクライアント オペレーティング システムを教えてください。

次のクライアント オペレーティング システムがサポートされています。

  • Windows 7 (32 ビットと 64 ビット)
  • Windows Server 2008 R2 (64 ビットのみ)
  • Windows 8 (32 ビットと 64 ビット)
  • Windows 8.1 (32 ビットと 64 ビット)
  • Windows Server 2012 (64 ビットのみ)
  • Windows Server 2012 R2 (64 ビットのみ)
  • Windows 10

SSTP をサポートしているポイント対サイト接続では、ソフトウェア VPN クライアントを使用できますか。

いいえ。 上記のバージョンの Windows オペレーティング システムのみがサポートされています。

ポイント対サイト構成で保持できる VPN クライアント エンドポイントの最大数を教えてください。

仮想ネットワークに同時に接続できる VPN クライアント数は、最大で 128 個です。

ポイント対サイト接続で自社の内部 PKI ルート CA を使用できますか。

はい。 以前は、自己署名ルート証明書のみを使用できました。 現在も 20 ルート証明書までアップロードできます。

プロキシやファイアウォールを経由してポイント対サイト接続の機能を使用できますか。

はい。 SSTP (Secure Socket トンネリング プロトコル) を使用してファイアウォール経由のトンネルが確立されます。 このトンネルは HTTPS 接続として表示されます。

ポイント対サイト接続用に構成されたクライアント コンピューターを再起動した場合、VPN は自動的に再接続されますか。

既定では、クライアント コンピューターの再起動時には VPN の自動再接続は行われません。

ポイント対サイトの自動再接続と VPN クライアントの DDNS はサポートされていますか。

ポイント対サイト VPN では、自動再接続と DDNS は現時点ではサポートされていません。

サイト間接続およびポイント対サイト接続の構成は、同一仮想ネットワークに共存させることはできますか。

はい。 ゲートウェイの VPN の種類が RouteBased の場合は、どちらのソリューションも機能します。 クラシック デプロイメント モデルの場合は、動的ゲートウェイが必要です。 静的ルーティング VPN ゲートウェイと、-VpnType PolicyBased コマンドレットを使用するゲートウェイでは、ポイント対サイト接続はサポートされません。

ポイント対サイト接続のクライアントを同時に複数の仮想ネットワークに接続するように構成することはできますか。

はい、できます。 ただし、仮想ネットワーク内で重複する IP プレフィックスを使用することはできません。また、ポイント対サイト接続のアドレス空間は仮想ネットワーク内で重複しないようにする必要があります。

サイト間接続またはポイント対サイト接続ではどの程度のスループットが得られますか。

VPN トンネルのスループットを正確に一定レベルに維持することは困難です。 IPsec と SSTP は、VPN プロトコルの中でも暗号化処理の負荷が高いものです。 また、スループットはオンプレミスとインターネットの間の待機時間や帯域幅によっても制限されます。

次のステップ

接続が完成したら、仮想ネットワークに仮想マシンを追加することができます。 詳細については、Virtual Machines に関するページを参照してください。 ネットワークと仮想マシンの詳細については、「Azure と Linux の VM ネットワークの概要」を参照してください。