証明書認証を使用した VNet へのポイント対サイト接続の構成: Azure Portal

この記事では、Azure Portal を使用して、ポイント対サイト接続を備えた VNet を Resource Manager デプロイメント モデルで作成する手順を説明します。 この構成では、証明書を使用して接続クライアントを認証します。 また、この構成の作成には、次のリストから別のオプションを選択して、別のデプロイ ツールまたはデプロイ モデルを使用することもできます。

ポイント対サイト (P2S) VPN ゲートウェイでは、個々のクライアント コンピューターから仮想ネットワークへの、セキュリティで保護された接続を作成することができます。 ポイント対サイト VPN 接続は、自宅や会議室でのテレワークなど、リモートの場所から VNet に接続する場合に便利です。 P2S VPN は、VNet への接続が必要なクライアントがごく少ない場合に、サイト対サイト VPN の代わりに使用するソリューションとしても便利です。

P2S は、Secure Socket トンネリング プロトコル (SSTP) を使用します。これは、SSL ベースの VPN プロトコルです。 P2S VPN 接続は、クライアント コンピューターから接続を開始することによって確立されます。

ポイント対サイトのダイアログ

ポイント対サイトの証明書認証接続には、以下のものが必要です。

  • RouteBased VPN ゲートウェイ。
  • Azure にアップロードされた、ルート証明書の公開キー (.cer ファイル)。 証明書をアップロードすると、その証明書は信頼された証明書と見なされ、認証に使用されます。
  • ルート証明書から生成され、VNet に接続する各クライアント コンピューターにインストールされたクライアント証明書。 この証明書はクライアントの認証に使用されます。
  • VPN クライアント構成パッケージ。 VPN クライアント構成パッケージには、クライアントが VNet に接続するために必要な情報が含まれています。 このパッケージを使用すると、Windows オペレーティング システムにネイティブな既存の VPN クライアントが構成されます。 接続する各クライアントは、構成パッケージを使用して構成する必要があります。

ポイント対サイト接続には、VPN デバイスやオンプレミスの公開 IP アドレスは必要ありません。 VPN 接続は、SSTP (Secure Socket トンネリング プロトコル) 経由で作成されます。 サーバー側でのサポート対象の SSTP バージョンは、1.0、1.1、1.2 です。 使用するバージョンはクライアントによって決まります。 Windows 8.1 以降の場合、SSTP では既定で 1.2 が使用されます。

ポイント対サイト接続の詳細については、この記事の最後にある「ポイント対サイト接続に関してよく寄せられる質問」を参照してください。

値の例

次の値を使用して、テスト環境を作成できます。また、この値を参考にしながら、この記事の例を確認していくこともできます。

  • VNet 名: VNet1
  • アドレス空間: 192.168.0.0/16
    この例では、1 つのアドレス空間のみを使用します。 VNet には、複数のアドレス空間を使用することができます。
  • サブネット名: FrontEnd
  • サブネットのアドレス範囲: 192.168.1.0/24
  • サブスクリプション: サブスクリプションが複数ある場合は、適切なサブスクリプションを使用していることを確認します。
  • リソース グループ: TestRG
  • 場所: 米国東部
  • GatewaySubnet: 192.168.200.0/24
  • DNS サーバー: (オプション) 名前解決に利用する DNS サーバーの IP アドレス。
  • 仮想ネットワーク ゲートウェイ名: VNet1GW
  • ゲートウェイの種類: VPN
  • VPN の種類: ルート ベース
  • パブリック IP アドレス名: VNet1GWpip
  • 接続の種類: ポイント対サイト
  • クライアント アドレス プール: 172.16.201.0/24
    このポイント対サイト接続を利用して VNet に接続する VPN クライアントは、クライアント アドレス プールから IP アドレスを受け取ります。

1.仮想ネットワークの作成

最初に Azure サブスクリプションを持っていることを確認します。 Azure サブスクリプションをまだお持ちでない場合は、MSDN サブスクライバーの特典を有効にするか、無料アカウントにサインアップしてください。

Azure Portal を使用して Resource Manager デプロイメント モデルで VNet を作成するには、次の手順に従います。 スクリーンショットは例として示されています。 サンプルの値は必ず実際の値に変更してください。 仮想ネットワークの操作の詳細については、「 仮想ネットワークの概要」を参照してください。

  1. ブラウザーから Azure Portal に移動します。必要であれば Azure アカウントでサインインします。
  2. ページの下部にある +」の説明に従って、アプリケーションにシングル サインオンできるようになります。 [Marketplace を検索] フィールドに「仮想ネットワーク」と入力します。 検索結果の一覧から [仮想ネットワーク] を探してクリックし、[仮想ネットワーク] ページを開きます。

    仮想ネットワーク リソース ページの検索

  3. [仮想ネットワーク] ページの下の方にある [デプロイ モデルの選択] の一覧で、[リソース マネージャー] を選択し、[作成] をクリックします。

    [リソース マネージャー] を選択

  4. [仮想ネットワークの作成] ページで、VNet の設定を構成します。 フィールドへの入力時、入力された文字が有効であれば、赤色の感嘆符が緑色のチェック マークに変わります。 自動的に入力される値もあります。 そのような値については、実際の値に変更してください。 [仮想ネットワークの作成] ページは、次のようになっています。

    フィールドの検証

  5. [名前]: 仮想ネットワークの名前を入力します。
  6. [アドレス空間]: アドレス空間を入力します。 追加するアドレス空間が複数ある場合は、1 つ目のアドレス空間を追加してください。 その他のアドレス空間は後で、VNet を作成した後に追加できます。
  7. [サブネット名]: サブネットの名前とアドレス範囲を追加します。 その他のサブネットは後で、VNet を作成した後に追加できます。
  8. [サブスクリプション]: 一覧表示されているサブスクリプションが正しいことを確認します。 ドロップダウンを使用して、サブスクリプションを変更できます。
  9. [リソース グループ]: 既存のリソース グループを選択するか、新しいリソース グループの名前を入力して新しく作成します。 新しいグループを作成する場合は、計画した構成値に基づいて、リソース グループに名前を付けます。 リソース グループの詳細については、「 Azure リソース マネージャーの概要」を参照してください。
  10. [場所]: VNet の場所を選択します。 この場所の設定によって、この VNet にデプロイしたリソースの配置先が決まります。
  11. ダッシュボードで VNet を簡単に検索できるようにするには、[ダッシュボードにピン留めする] を選択します。その後、[作成] をクリックします。

    ダッシュボードにピン留めする

  12. [作成] をクリックした後で、VNet の進捗状況を反映するタイルがダッシュボードに表示されます。 タイルは、VNet の作成が進むに従って変化します。

    仮想ネットワークの作成タイル

2.ゲートウェイ サブネットの追加

仮想ネットワークをゲートウェイに接続する前に、まず、接続先の仮想ネットワークのゲートウェイ サブネットを作成する必要があります。 ゲートウェイ サービスでは、ゲートウェイ サブネット内に指定された IP アドレスを使用します。 将来的な構成要件も見越して十分な IP アドレスを確保するために、可能であれば、/28 または /27 の CIDR ブロックを使用してゲートウェイ サブネットを作成します。

  1. ポータルで、仮想ネットワーク ゲートウェイを作成する Resource Manager 仮想ネットワークに移動します。
  2. VNet のページの [設定] セクションで、[サブネット] をクリックして [サブネット] ページを展開します。
  3. [サブネット] ページで [+ゲートウェイ サブネット] をクリックして、[サブネットの追加] ページを開きます。

    ゲートウェイ サブネットの追加

  4. サブネットの [名前] には、"GatewaySubnet" という値が自動的に入力されます。 この値は、Azure がゲートウェイ サブネットとしてこのサブネットを認識するために必要になります。 自動入力される [アドレス範囲] の値を実際の構成要件に合わせて調整し、ページの下部にある [OK] をクリックしてサブネットを作成します。

    サブネットの追加

3.DNS サーバーの指定 (省略可能)

仮想ネットワークを作成した後は、名前解決を処理するために、DNS サーバーの IP アドレスを追加できます。 DNS サーバーはこの構成ではオプションですが、名前解決が必要な場合は必須になります。 値を指定しても新しい DNS サーバーは作成されません。 指定する DNS サーバーの IP アドレスは、接続先のリソースの名前を解決できる DNS サーバーの IP アドレスである必要があります。 この例ではプライベート IP アドレスを使用していますが、これはおそらく実際の DNS サーバーの IP アドレスと一致しません。 実際には独自の値を使用してください。

  1. 仮想ネットワークの [設定] ページで、[DNS サーバー] に移動し、クリックして [DNS サーバー] ブレードを開きます。

    DNS サーバーの追加

    • DNS サーバー: [カスタム] を選択します。
    • DNS サーバーの追加: 名前解決に利用する DNS サーバーの IP アドレスを入力します。
  2. DNS サーバーを追加し終わったら、ブレードの上部の [保存] をクリックします。

4.仮想ネットワーク ゲートウェイの作成

  1. ポータルで、左側の [+] をクリックし、検索ボックスに「Virtual Network ゲートウェイ」と入力します。 検索結果で "仮想ネットワーク ゲートウェイ" を探してその項目をクリックします。 [仮想ネットワーク ゲートウェイ] ページで、ページ下部の [作成] をクリックして [仮想ネットワーク ゲートウェイの作成] ページを開きます。
  2. [仮想ネットワーク ゲートウェイの作成] ページで、仮想ネットワーク ゲートウェイの値を入力します。

    [仮想ネットワーク ゲートウェイの作成] ページのフィールド

  3. [名前]: ゲートウェイに名前を付けます。 ゲートウェイの名前付けは、ゲートウェイ サブネットの名前付けと同じではありません。 作成するゲートウェイ オブジェクトの名前です。
  4. [ゲートウェイの種類]: [VPN] を選択します。 VPN Gateway では、仮想ネットワーク ゲートウェイの種類として VPN を使用します。
  5. [VPN の種類]: 構成に指定されている VPN の種類を選択します。 ほとんどの構成で [VPN の種類] は [ルート ベース] にする必要があります。
  6. [SKU]: ゲートウェイの SKU をドロップダウン リストから選択します。 ドロップダウン リストに表示される SKU は、選択した VPN の種類によって異なります。
  7. [場所]: 仮想ネットワークの場所を指すように、[場所] フィールドを調整します。 対象の仮想ネットワークが存在するリージョンをこの場所が指していない場合、仮想ネットワークは [仮想ネットワークの選択] ボックスの一覧に表示されません。
  8. ゲートウェイの追加先の仮想ネットワークを選択します。 [仮想ネットワーク] をクリックして [仮想ネットワークの選択] ページを開きます。 VNet を選択します。 VNet が表示されない場合は、実際の仮想ネットワークがあるリージョンが [場所] フィールドに指定されていることを確認してください。
  9. [パブリック IP アドレス]: パブリック IP アドレス オブジェクトが作成されます。このオブジェクトにパブリック IP アドレスが動的に割り当てられます。 [パブリック IP アドレス] をクリックして、[パブリック IP アドレスの選択] ページを開きます。 [+新規作成] をクリックして、[パブリック IP アドレスの作成] ページを開きます。 パブリック IP アドレスの名前を入力します。 [OK] をクリックして変更を保存します。 IP アドレスは、VPN ゲートウェイの作成時に動的に割り当てられます。 VPN Gateway では現在、パブリック IP アドレスの "動的" 割り当てのみサポートしています。 もっとも、VPN ゲートウェイに割り当てられた IP アドレスが後から変わることは基本的にありません。 パブリック IP アドレスが変わるのは、ゲートウェイが削除され、再度作成されたときのみです。 VPN ゲートウェイのサイズ変更、リセット、その他の内部メンテナンス/アップグレードでは、IP アドレスは変わりません。
  10. [サブスクリプション]: 正しいサブスクリプションが選択されていることを確認します。
  11. [リソース グループ]: この設定は、選択した Virtual Network によって決定されます。
  12. 上記の設定を指定した後に [場所] を調整しないでください。
  13. 設定を確認します。 ゲートウェイをダッシュボードに表示する場合は、ページの下部にある [Pin to dashboard](ダッシュボードにピン留めする) を選択します。
  14. [作成] をクリックして、ゲートウェイの作成を開始します。 設定が検証されて、ゲートウェイが作動します。 ゲートウェイの作成には、最大で 45 分かかる場合があります。

ゲートウェイの作成後は、仮想ネットワークを調べることで、ゲートウェイに割り当てられている IP アドレスを確認できます。 ゲートウェイは、接続されたデバイスとして表示されます。 詳細を表示するには、接続したデバイス (仮想ネットワーク ゲートウェイ) をクリックします。

5.証明書の生成

証明書は、ポイント対サイト VPN 接続を介して VNet に接続するクライアントを認証するために、Azure によって使用されます。 ルート証明書を取得したら、公開キー情報を Azure にアップロードします。 ルート証明書は、Azure によって "信頼された" と見なされ、P2S 経由での仮想ネットワークへの接続に使用されます。 また、信頼されたルート証明書からクライアント証明書を生成し、それを各クライアント コンピューターにインストールします。 クライアント証明書は、クライアントで VNet への接続を開始するときに、そのクライアントを認証するために使用されます。

1.ルート証明書の .cer ファイルの取得

エンタープライズ ソリューション (推奨) を使って生成されたルート証明書を使用するか、または自己署名証明書を生成してください。 ルート証明書の作成後、(秘密キーではなく) 公開証明書データを、Base-64 でエンコードされた X.509 .cer ファイルとしてエクスポートし、公開証明書データを Azure にアップロードします。

  • エンタープライズ証明書: エンタープライズ ソリューションを使用している場合、既存の証明書チェーンを使うことができます。 使用するルート証明書の .cer ファイルを取得します。
  • 自己署名ルート証明書: エンタープライズ証明書ソリューションを使用していない場合は、自己署名ルート証明書を作成する必要があります。 P2S 証明書に関する以下のいずれかの記事の手順に従うことが重要です。 そうしないと、作成する証明書と P2S 接続との互換性がなくなり、クライアントが接続しようとすると接続エラー メッセージを受信します。 以下のどの記事の手順でも、互換性のある証明書が生成されます。

    • Windows 10 PowerShell の手順: これらの手順で証明書を生成するには、Windows 10 および PowerShell が必要です。 ルート証明書から生成されるクライアント証明書は、サポートされている任意の P2S クライアントにインストールすることができます。
    • MakeCert の手順: 証明書を生成するために使用する Windows 10 コンピューターにアクセスできない場合は、MakeCert を使用します。 MakeCert は非推奨になりましたが、まだ MakeCert を使用して証明書を生成することができます。 ルート証明書から生成されるクライアント証明書は、サポートされている任意の P2S クライアントにインストールすることができます。

2.クライアント証明書を生成

ポイント対サイトで VNet に接続するすべてのクライアント コンピューターには、クライアント証明書がインストールされている必要があります。 クライアント証明書はルート証明書から生成され、各クライアント コンピューターにインストールされます。 有効なクライアント証明書がインストールされていない状態でクライアントが VNet に接続した場合、認証に失敗します。

クライアントごとに一意の証明書を生成することも、複数のクライアントに同じ証明書を使用することもできます。 一意のクライアント証明書を生成する利点は、1 つの証明書を失効させることができる点です。 そうでなければ、複数のクライアントが同じクライアント証明書を使用していて、その証明書を失効させる必要がある場合は、認証にその証明書を使用するすべてのクライアントに新しい証明書を生成してインストールする必要があります。

クライアント証明書は、次の方法で生成できます。

  • エンタープライズ証明書:

    • エンタープライズ証明書ソリューションを使用している場合は、"domain name\username" 形式ではなく、共通名の値の形式 "name@yourdomain.com" を使用してクライアント証明書を生成します。
    • クライアント証明書が、使用リストの最初の項目としてスマート カード ログオンなどではなく "クライアント認証" が指定されている "ユーザー" 証明書テンプレートに基づいていることを確認します。証明書を確認するには、クライアント証明書をダブルクリックし、[詳細]、[拡張キー使用法] の順に選択して表示します。
  • 自己署名ルート証明書: P2S 証明書に関する以下のいずれかの記事の手順に従うことが重要です。 そうしないと、作成するクライアント証明書と P2S 接続との互換性がなくなり、クライアントが接続しようとするとエラー メッセージを受信します。 以下のどの記事の手順でも、互換性のあるクライアント証明書が生成されます。

    • Windows 10 PowerShell の手順: これらの手順で証明書を生成するには、Windows 10 および PowerShell が必要です。 生成される証明書は、サポートされている任意の P2S クライアントにインストールすることができます。
    • MakeCert の手順: 証明書を生成するために使用する Windows 10 コンピューターにアクセスできない場合は、MakeCert を使用します。 MakeCert は非推奨になりましたが、まだ MakeCert を使用して証明書を生成することができます。 生成される証明書は、サポートされている任意の P2S クライアントにインストールすることができます。

    上記の手順で自己署名ルート証明書からクライアント証明書を生成した場合、その作業に使用したコンピューターに自動的にクライアント証明書がインストールされます。 クライアント証明書を別のクライアント コンピューターにインストールする場合は、その証明書を .pfx として、証明書チェーン全体と共にエクスポートする必要があります。 そうすることで、クライアントが正常に認証されるために必要なルート証明書情報が含まれている .pfx ファイルが作成されます。 証明書をエクスポートする手順については、クライアント証明書のエクスポートに関するページを参照してください。

6.クライアント アドレス プールの追加

クライアント アドレス プールとは、指定するプライベート IP アドレスの範囲です。 ポイント対サイト VPN 経由で接続するクライアントは、この範囲内の IP アドレスを受け取ります。 接続元であるオンプレミスの場所、または接続先とする VNet と重複しないプライベート IP アドレス範囲を使用してください。

  1. 仮想ネットワーク ゲートウェイが作成されたら、[仮想ネットワーク ゲートウェイ] ページの [設定] セクションに移動します。 [設定] セクションで [ポイント対サイトの構成] をクリックして、[ポイント対サイトの構成] ページを開きます。

    ポイント対サイトのページ

  2. [ポイント対サイトの構成] ページでは、自動入力される範囲を削除し、使用するプライベート IP アドレス範囲を追加することができます。 設定を確認して保存するには、[保存] をクリックします。

    クライアント アドレス プール

7.ルート証明書の公開証明書データのアップロード

ゲートウェイが作成された後で、ルート証明書の公開キー情報を Azure にアップロードします。 公開証明書データがアップロードされたら、Azure でそれを使用し、信頼されたルート証明書から生成されたクライアント証明書がインストールされているクライアントを認証できます。 その後は、最大で合計 20 個まで、信頼されたルート証明書を追加でアップロードできます。

  1. 証明書は、[ルート証明書] セクションの [ポイント対サイトの構成] ページで追加します。
  2. ルート証明書を Base 64 でエンコードされた X.509 (.cer) ファイルとしてエクスポートしたことを確認してください。 証明書をテキスト エディターで開くことができるように、この形式でエクスポートする必要があります。
  3. 証明書をメモ帳などのテキスト エディターで開きます。 証明書データをコピーするときはに、必ず、テキストを復帰や改行のない 1 つの連続した行としてコピーしてください。 復帰や改行を確認するには、テキスト エディターのビューを "記号を表示する/すべての文字を表示する" ように変更することが必要になる場合があります。 次のセクションのみを 1 つの連続した行としてコピーします。

    証明書データ

  4. [公開証明書データ] フィールドに証明書データを貼り付けます。 証明書に名前を付けて、[保存] をクリックします。 最大 20 個の信頼されたルート証明書を追加できます。

    証明書のアップロード

8.VPN クライアント構成パッケージの生成とインストール

ポイント対サイト VPN を使用して VNet に接続するには、仮想ネットワークに接続するために必要な設定とファイルを使用してネイティブ VPN クライアントを構成するクライアント構成パッケージを各クライアントにインストールする必要があります。 VPN クライアント構成パッケージは、ネイティブ Windows VPN クライアントを構成するもので、新規または別の VPN クライアントをインストールするものではありません。

バージョンがクライアントのアーキテクチャと一致すれば、各クライアント コンピューターで同じ VPN クライアント構成パッケージを使用できます。 サポートされているクライアント オペレーティング システムの一覧については、この記事の最後にある「ポイント対サイト接続に関してよく寄せられる質問」を参照してください。

1.クライアント構成パッケージを生成およびダウンロードする

  1. [ポイント対サイトの構成] ページで [VPN クライアントのダウンロード] をクリックして、[VPN クライアントのダウンロード] ページを開きます。 パッケージの生成には 1 ~ 2 分かかります。

    VPN クライアントのダウンロード 1

  2. クライアント用の適切なパッケージを選択して、[ダウンロード] をクリックします。 構成パッケージ ファイルを保存します。 この VPN クライアント構成パッケージは、仮想ネットワークに接続する各クライアント コンピューターにインストールします。

    VPN クライアントのダウンロード 2

2.クライアント構成パッケージをインストールする

  1. 仮想ネットワークに接続するコンピューターのローカルに構成ファイルをコピーします。
  2. .exe ファイルをダブルクリックしてパッケージをクライアント コンピューターにインストールします。 構成パッケージを作成したのは皆さん自身であり、署名されていないために警告が表示されることがあります。 Windows SmartScreen ポップアップが表示された場合は、[詳細] (左側)、[実行] の順にクリックして、パッケージをインストールします。
  3. パッケージをクライアント コンピューターにインストールします。 Windows SmartScreen ポップアップが表示された場合は、[詳細] (左側)、[実行] の順にクリックして、パッケージをインストールします。
  4. クライアント コンピューターで [ネットワークの設定] に移動し、[VPN] をクリックします。 VPN 接続により、その接続先の仮想ネットワークの名前が表示されます。

9.エクスポートしたクライアント証明書のインストール

クライアント証明書の生成に使用したクライアント コンピューター以外から P2S 接続を作成する場合は、クライアント証明書をインストールする必要があります。 クライアント証明書をインストールするときに、クライアント証明書のエクスポート時に作成されたパスワードが必要になります。 通常は、証明書をダブルクリックするだけでインストールできます。

クライアント証明書が証明書チェーン全体と一緒に .pfx としてエクスポートされている (既定値) ことを確認します。 そうでないと、ルート証明書情報がクライアント コンピューターに存在せず、クライアントは正しく認証されません。 詳細については、「エクスポートしたクライアント証明書のインストール」を参照してください。

10.Azure への接続

  1. VNet に接続するには、クライアント コンピューターで [VPN 接続] に移動し、作成した VPN 接続を見つけます。 仮想ネットワークと同じ名前が付いています。 [接続]をクリックします。 証明書を使用することを示すポップアップ メッセージが表示される場合があります。 [続行] をクリックして、昇格された特権を使用します。

  2. 接続の状態ページで、[接続] をクリックして接続を開始します。 [証明書の選択] 画面が表示された場合は、表示されているクライアント証明書が接続に使用する証明書であることを確認します。 そうでない場合は、ドロップダウン矢印を使用して適切な証明書を選択し、 [OK]をクリックします。

    Azure への VPN クライアントの接続

  3. 接続が確立されました。

    確立された接続

P2S 接続のトラブルシューティング

接続に問題がある場合は、次の点を確認してください。

  • クライアント証明書をエクスポートしている場合は、既定値の [証明のパスにある証明書を可能であればすべて含む] を使用してクライアント証明書を .pfx ファイルとしてエクスポートしていることを確認してください。 この値を使用してクライアント証明書をエクスポートすると、ルート証明書情報もエクスポートされます。 証明書がクライアント コンピューターにインストールされると、.pfx ファイルに含まれているルート証明書もクライアント コンピューターにインストールされます。 クライアント コンピューターには、ルート証明書情報がインストールされている必要があります。 これを調べるには、[ユーザー証明書の管理] を開き、[信頼されたルート証明機関] の [証明書] に移動します。 ルート証明書が表示されていることを確認します。 認証が正しく機能するためには、ルート証明書が存在している必要があります。

  • エンタープライズ CA ソリューションを使用して発行した証明書を使用している場合に認証の問題が発生したときは、クライアント証明書の認証の順序を確認します。 認証の一覧の順序を確認するには、クライアント証明書をダブルクリックし、[詳細]、[拡張キー使用法] の順に選択します。 一覧の最初の項目として "クライアント認証" が表示されていることを確認します。 表示されていない場合は、一覧の最初の項目が "クライアント認証" であるユーザー テンプレートに基づいたクライアント証明書を発行する必要があります。

  • P2S のトラブルシューティングの補足情報については、P2S 接続のトラブルシューティングに関するページを参照してください。

11.接続を確認する

  1. VPN 接続がアクティブであることを確認するには、管理者特権でのコマンド プロンプトを開いて、 ipconfig/allを実行します。
  2. 結果を表示します。 受信した IP アドレスが、構成に指定したポイント対サイト VPN クライアント アドレス プール内のアドレスのいずれかであることに注意してください。 結果は次の例のようになります。

    PPP adapter VNet1:
       Connection-specific DNS Suffix .:
       Description.....................: VNet1
       Physical Address................:
       DHCP Enabled....................: No
       Autoconfiguration Enabled.......: Yes
       IPv4 Address....................: 172.16.201.3(Preferred)
       Subnet Mask.....................: 255.255.255.255
       Default Gateway.................:
       NetBIOS over Tcpip..............: Enabled
    

仮想マシンへの接続

リモート デスクトップ接続を作成すると、VNet にデプロイされている VM に接続できます。 VM に接続できるかどうかを初めて確認する際に最も良い方法は、その VM のコンピューター名ではなく、プライベート IP アドレスを使って接続してみることです。 この方法であれば、名前の解決が適切に構成されているかではなく、VM に接続できるかどうかをテストすることができます。

  1. プライベート IP アドレスを特定します。 VM のプライベート IP アドレスは、Azure Portal で VM のプロパティを表示するか、PowerShell を使うと確認できます。

    • Azure Portal を使用する場合: Azure Portal で仮想マシンを探します。 VM のプロパティを表示すると、 プライベート IP アドレスが表示されます。

    • PowerShell を使用する場合: 以下の例に示したコマンドを使用すると、リソース グループに含まれる VM とプライベート IP アドレスの一覧が表示されます。 このコマンドは、使用前に変更を加える必要はありません。

      $VMs = Get-AzureRmVM
      $Nics = Get-AzureRmNetworkInterface | Where VirtualMachine -ne $null
      
      foreach($Nic in $Nics)
      {
       $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
       $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
       $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
       Write-Output "$($VM.Name): $Prv,$Alloc"
      }
      
  2. ポイント対サイト VPN 接続を使って VNet に接続していることを確認します。

  3. タスク バーの検索ボックスに「RDP」または「リモート デスクトップ接続」と入力してリモート デスクトップ接続を開き、リモート デスクトップ接続を選択します。 このほか、PowerShell で "mstsc" コマンドを使ってリモート デスクトップ接続を開くこともできます。
  4. リモート デスクトップ接続で、VM のプライベート IP アドレスを入力します。 必要に応じて [オプションの表示] をクリックして追加の設定を済ませたら、接続します。

VM に対する RDP 接続をトラブルシューティングするには

VPN 接続を使って仮想マシンに接続する際に問題が発生した場合には、次のことを確認してください。

  • VPN 接続が成功したことを確認します。
  • VM のプライベート IP アドレスに接続できていることを確認します。
  • 接続元のコンピューターのイーサネット アダプターに割り当てられている IPv4 アドレスを "ipconfig" でチェックします。 その IP アドレスが、接続先の VNet のアドレス範囲内または VPNClientAddressPool のアドレス範囲内にある場合、これを "アドレス空間の重複" といいます。 アドレス空間がこのように重複していると、ネットワーク トラフィックが Azure に到達せずローカル ネットワーク上に留まることになります。
  • プライベート IP アドレスを使って VM に接続できるものの、コンピューター名では接続できない場合には、DNS が正しく構成されているかどうかを確認します。 VM の名前解決の動作について詳しくは、VM の名前解決に関するページを参照してください。
  • VNet に対して DNS サーバーの IP アドレスが指定された後に VPN クライアント構成パッケージが生成されたことを確認します。 DNS サーバーの IP アドレスを更新した場合は、新しい VPN クライアント構成パッケージを生成してインストールしてください。
  • 詳細については、VM に対するリモート デスクトップ接続のトラブルシューティングに関するページを参照してください。

信頼されたルート証明書を追加または削除する

信頼されたルート証明書を Azure に追加したり、Azure から削除したりできます。 ルート証明書を削除すると、そのルートから証明書を生成したクライアントは認証が無効となり、接続できなくなります。 クライアントの認証と接続を正常に実行できるようにするには、Azure に信頼されている (Azure にアップロードされている) ルート証明書から生成した新しいクライアント証明書をインストールする必要があります。

信頼されたルート証明書を追加するには

信頼されたルート証明書 .cer ファイルを最大 20 個まで Azure に追加できます。 手順については、この記事の信頼されたルート証明書のアップロードに関するセクションを参照してください。

信頼されたルート証明書を削除するには

  1. 信頼されたルート証明書を削除するには、仮想ネットワーク ゲートウェイの [ポイント対サイトの構成] ページに移動します。
  2. ページの [ルート証明書] セクションで、削除する証明書を見つけます。
  3. 証明書の横にある省略記号をクリックし、[削除] をクリックします。

クライアント証明書の失効

クライアント証明書は失効させることができます。 証明書失効リストを使用すると、個々のクライアント証明書に基づくポイント対サイト接続を選択して拒否することができます。 これは、信頼されたルート証明書を削除することとは異なります。 信頼されたルート証明書 .cer を Azure から削除すると、失効したルート証明書によって生成または署名されたすべてのクライアント証明書のアクセス権が取り消されます。 ルート証明書ではなくクライアント証明書を失効させることで、ルート証明書から生成されたその他の証明書は、その後も認証に使用できます。

一般的な方法としては、ルート証明書を使用してチームまたは組織レベルでアクセスを管理し、失効したクライアント証明書を使用して、個々のユーザーの細かいアクセス制御を構成します。

クライアント証明書を失効させるには

失効リストに拇印を追加することで、クライアント証明書を失効させることができます。

  1. クライアント証明書の拇印を取得します。 詳細については、「方法: 証明書のサムプリントを取得する」を参照してください。
  2. 情報をテキスト エディターにコピーし、文字列が 1 つにつながるようにスペースをすべて削除します。
  3. 仮想ネットワーク ゲートウェイの [ポイント対サイトの構成] ページに移動します。 このページは、信頼されたルート証明書のアップロードに使用したものです。
  4. [失効した証明書] セクションで、証明書のフレンドリ名を入力します (証明書 CN にする必要はありません)。
  5. 拇印の文字列をコピーして [拇印] フィールドに貼り付けます。
  6. 拇印が検証され、自動的に失効リストに追加されます。 リストが更新されていることを示すメッセージが画面に表示されます。
  7. 更新が完了した後は、証明書を接続に使用することができなくなります。 この証明書を使用して接続を試みたクライアントには、証明書が無効になっていることを示すメッセージが表示されます。

ポイント対サイト接続に関してよく寄せられる質問

ポイント対サイト接続で使用できるクライアント オペレーティング システムを教えてください。

次のクライアント オペレーティング システムがサポートされています。

  • Windows 7 (32 ビットと 64 ビット)
  • Windows Server 2008 R2 (64 ビットのみ)
  • Windows 8 (32 ビットと 64 ビット)
  • Windows 8.1 (32 ビットと 64 ビット)
  • Windows Server 2012 (64 ビットのみ)
  • Windows Server 2012 R2 (64 ビットのみ)
  • Windows 10

SSTP をサポートしているポイント対サイト接続では、ソフトウェア VPN クライアントを使用できますか。

いいえ。 上記のバージョンの Windows オペレーティング システムのみがサポートされています。

ポイント対サイト構成で保持できる VPN クライアント エンドポイントの最大数を教えてください。

仮想ネットワークに同時に接続できる VPN クライアント数は、最大で 128 個です。

ポイント対サイト接続で自社の内部 PKI ルート CA を使用できますか。

はい。 以前は、自己署名ルート証明書のみを使用できました。 現在も 20 ルート証明書までアップロードできます。

プロキシやファイアウォールを経由してポイント対サイト接続の機能を使用できますか。

はい。 SSTP (Secure Socket トンネリング プロトコル) を使用してファイアウォール経由のトンネルが確立されます。 このトンネルは HTTPS 接続として表示されます。

ポイント対サイト接続用に構成されたクライアント コンピューターを再起動した場合、VPN は自動的に再接続されますか。

既定では、クライアント コンピューターの再起動時には VPN の自動再接続は行われません。

ポイント対サイトの自動再接続と VPN クライアントの DDNS はサポートされていますか。

ポイント対サイト VPN では、自動再接続と DDNS は現時点ではサポートされていません。

サイト間接続およびポイント対サイト接続の構成は、同一仮想ネットワークに共存させることはできますか。

はい。 ゲートウェイの VPN の種類が RouteBased の場合は、どちらのソリューションも機能します。 クラシック デプロイメント モデルの場合は、動的ゲートウェイが必要です。 静的ルーティング VPN ゲートウェイと、-VpnType PolicyBased コマンドレットを使用するゲートウェイでは、ポイント対サイト接続はサポートされません。

ポイント対サイト接続のクライアントを同時に複数の仮想ネットワークに接続するように構成することはできますか。

はい、できます。 ただし、仮想ネットワーク内で重複する IP プレフィックスを使用することはできません。また、ポイント対サイト接続のアドレス空間は仮想ネットワーク内で重複しないようにする必要があります。

サイト間接続またはポイント対サイト接続ではどの程度のスループットが得られますか。

VPN トンネルのスループットを正確に一定レベルに維持することは困難です。 IPsec と SSTP は、VPN プロトコルの中でも暗号化処理の負荷が高いものです。 また、スループットはオンプレミスとインターネットの間の待機時間や帯域幅によっても制限されます。

次のステップ

接続が完成したら、仮想ネットワークに仮想マシンを追加することができます。 詳細については、Virtual Machines に関するページを参照してください。 ネットワークと仮想マシンの詳細については、「Azure と Linux の VM ネットワークの概要」を参照してください。