Azure Portal を使用した VNet へのポイント対サイト接続の構成

ポイント対サイト (P2S) 構成では、個々のクライアント コンピューターから仮想ネットワークへのセキュリティで保護された接続を作成することができます。 P2S は、SSTP (Secure Socket トンネリング プロトコル) 経由の VPN 接続です。 ポイント対サイト接続は、自宅や会議室など、リモートの場所から VNet に接続する場合や、仮想ネットワークに接続する必要があるクライアントの数が少ない場合に便利です。 P2S 接続に VPN デバイスや公開 IP アドレスは必要ありません。 VPN 接続は、クライアント コンピューターから確立します。

この記事では、Azure Portal を使用して、ポイント対サイト接続を備えた VNet を作成する手順を説明します。 ポイント対サイト接続の詳細については、この記事の最後にある「ポイント対サイト接続に関してよく寄せられる質問」を参照してください。

P2S 接続のデプロイメント モデルとデプロイ方法

Azure は現在、2 つのデプロイメント モデル (Resource Manager とクラシック) で使用できます。 構成を開始する前に、作業するデプロイメント モデル用の手順を使用していることを確認します。 詳細については、デプロイメント モデルの概要に関するページを参照してください。

次の表は、2 つのデプロイメント モデルと、P2S 構成で使用可能なデプロイ方法を示しています。 構成手順を説明した記事が利用できるようになったら、表から直接リンクできるようにします。

デプロイメント モデル/方法 Azure ポータル クラシック ポータル PowerShell
クラシック 記事 サポートされています サポートされています
Resource Manager 記事 サポートされていません 記事

基本的なワークフロー

ポイント対サイトのダイアログ

値の例

  • 名前: VNet1
  • アドレス空間: 192.168.0.0/16
    この例では、1 つのアドレス空間のみを使用します。 VNet には、複数のアドレス空間を使用することができます。
  • サブネット名: FrontEnd
  • サブネットのアドレス範囲: 192.168.1.0/24
  • サブスクリプション: サブスクリプションが複数ある場合は、適切なサブスクリプションを使用していることを確認します。
  • リソース グループ: TestRG
  • 場所: 米国東部
  • GatewaySubnet: 192.168.200.0/24
  • 仮想ネットワーク ゲートウェイ名: VNet1GW
  • ゲートウェイの種類: VPN
  • VPN の種類: ルート ベース
  • パブリック IP アドレス: VNet1GWpip
  • 接続の種類: ポイント対サイト
  • クライアント アドレス プール: 172.16.201.0/24
    このポイント対サイト接続を利用して VNet に接続する VPN クライアントは、クライアント アドレス プールから IP アドレスを受け取ります。

パート 1 - 仮想ネットワークの作成

最初に Azure サブスクリプションを持っていることを確認します。 Azure サブスクリプションをまだお持ちでない場合は、MSDN サブスクライバーの特典を有効にするか、無料アカウントにサインアップしてください。 練習としてこの構成を作成する場合は、値の例を参照してください。

Azure Portal を使用して Resource Manager デプロイメント モデルで VNet を作成するには、次の手順に従います。 スクリーンショットは例として示されています。 サンプルの値は必ず実際の値に変更してください。 仮想ネットワークの操作の詳細については、「 仮想ネットワークの概要」を参照してください。

  1. ブラウザーから Azure Portal に移動します。必要であれば Azure アカウントでサインインします。
  2. [新規]をクリックします。 [Marketplace を検索] フィールドに「仮想ネットワーク」と入力します。 検索結果の一覧から [仮想ネットワーク] を探してクリックし、[仮想ネットワーク] ブレードを開きます。

    Locate Virtual Network resource blade

  3. [仮想ネットワーク] ブレードの下の方にある [デプロイ モデルの選択] の一覧で、[リソース マネージャー] を選択し、[作成] をクリックします。

    Select Resource Manager

  4. [仮想ネットワークの作成] ブレードで、VNet の設定を構成します。 フィールドへの入力時、文字が有効であれば、赤色の感嘆符が緑色のチェック マークに変わります。

    Field validation

  5. [仮想ネットワークの作成] ブレードは、次のようになっています。 自動的に入力される値もあります。 そのような値については、実際の値に変更してください。

    仮想ネットワーク ブレードの作成

  6. [名前]: 仮想ネットワークの名前を入力します。
  7. [アドレス空間]: アドレス空間を入力します。 追加するアドレス空間が複数ある場合は、1 つ目のアドレス空間を追加してください。 その他のアドレス空間は後で、VNet を作成した後に追加できます。
  8. [サブネット名]: サブネットの名前とアドレス範囲を追加します。 その他のサブネットは後で、VNet を作成した後に追加できます。
  9. [サブスクリプション]: 一覧表示されているサブスクリプションが正しいことを確認します。 ドロップダウンを使用して、サブスクリプションを変更できます。
  10. [リソース グループ]: 既存のリソース グループを選択するか、新しいリソース グループの名前を入力して新しく作成します。 新しいグループを作成する場合は、計画した構成値に基づいて、リソース グループに名前を付けます。 リソース グループの詳細については、「 Azure リソース マネージャーの概要」を参照してください。
  11. [場所]: VNet の場所を選択します。 この場所の設定によって、この VNet にデプロイしたリソースの配置先が決まります。
  12. ダッシュボードで VNet を簡単に検索できるようにするには、[ダッシュボードにピン留めする] を選択します。その後、[作成] をクリックします。

    Pin to dashboard

  13. [作成] をクリックした後で、VNet の進捗状況を反映するタイルがダッシュボードに表示されます。 タイルは、VNet の作成が進むに従って変化します。

    仮想ネットワーク タイルの作成

パート 2 - アドレス空間とサブネットの指定

VNet が作成されたら、アドレス空間とサブネットをさらに追加できます。

アドレス空間を追加するには

  1. アドレス空間を追加するには、[仮想ネットワーク] ブレードの [設定] セクションで [アドレス空間] をクリックして、[アドレス空間] ブレードを開きます。
  2. アドレス空間を追加し、ブレードの上部にある [保存] をクリックします。

    Add address space

サブネットを作成するには

  1. サブネットを作成するには、[仮想ネットワーク] ブレードの [設定] セクションで [サブネット] をクリックして、[サブネット] ブレードを開きます。
  2. [サブネット] ブレードで [+サブネット] をクリックして、[サブネットの追加] ブレードを開きます。 新しいサブネットに名前を付け、アドレス範囲を指定します。

    サブネット設定

  3. ブレード下部の [OK] をクリックして、変更を保存します。

    サブネット設定

パート 3 - ゲートウェイ サブネットの追加

仮想ネットワークをゲートウェイに接続する前に、まず、接続先の仮想ネットワークのゲートウェイ サブネットを作成する必要があります。 ゲートウェイ サービスでは、ゲートウェイ サブネット内に指定された IP アドレスを使用します。 将来的な構成要件も見越して十分な IP アドレスを確保するために、可能であれば、/28 または /27 の CIDR ブロックを使用してゲートウェイ サブネットを作成します。

このセクションのスクリーンショットは、参照用の例です。 構成に必要な値に対応する GatewaySubnet アドレス範囲を使用するようにしてください。

ゲートウェイ サブネットを作成するには

  1. ポータルで、仮想ネットワーク ゲートウェイを作成する Resource Manager 仮想ネットワークに移動します。
  2. VNet のブレードの [設定] セクションで、[サブネット] をクリックして [サブネット] ブレードを展開します。
  3. [サブネット] ブレードで [+ゲートウェイ サブネット] をクリックして、[サブネットの追加] ブレードを開きます。

    ゲートウェイ サブネットの追加

  4. サブネットの [名前] には、"GatewaySubnet" という値が自動的に入力されます。 この値は、Azure がゲートウェイ サブネットとしてこのサブネットを認識するために必要になります。 自動入力される [アドレス範囲] の値は、実際の構成要件に合わせて調整してください。

    サブネットの追加

  5. サブネットを作成するには、ブレード下部の [OK] をクリックします。

パート 4 - DNS サーバーの指定 (省略可能)

ポイント対サイト接続に DNS は不要です。 ただし仮想ネットワークにデプロイされたリソースで名前解決を使用する場合は、DNS サーバーを指定する必要があります。 この設定では、この仮想ネットワークの名前解決に使用する DNS サーバーを指定することができます。 この設定で、DNS サーバーは作成されません。

  1. 仮想ネットワークの [設定] ページで、[DNS サーバー] に移動し、クリックして [DNS サーバー] ブレードを開きます。
  2. [DNS サーバー] ページの [DNS サーバー] で、[カスタム] を選択します。
  3. [DNS サーバー] フィールドの [DNS サーバーの追加] ボックスで、名前解決に使用する DNS サーバー名の IP アドレスを入力します。 DNS サーバーを追加し終わったら、ブレードの上部の [保存] をクリックして構成内容を保存します。

    [カスタム DNS]

パート 5 - 仮想ネットワーク ゲートウェイの作成

ポイント対サイト接続では、以下の設定が必要です。

  • ゲートウェイの種類: VPN
  • VPN の種類: ルート ベース

仮想ネットワーク ゲートウェイを作成するには

  1. ポータルで、左側の [+] をクリックし、検索ボックスに「Virtual Network ゲートウェイ」と入力します。 検索結果で "仮想ネットワーク ゲートウェイ" を探してその項目をクリックします。 [Virtual Network ゲートウェイ] ブレードで、下部にある [作成] をクリックします。 [仮想ネットワーク ゲートウェイの作成] ブレードが開きます。
  2. [Virtual Network ゲートウェイの作成] ブレードで、Virtual Network ゲートウェイの値を入力します。

    [Virtual Network ゲートウェイの作成] ブレードのフィールド

  3. [名前]: ゲートウェイに名前を付けます。 これは、ゲートウェイ サブネットの名前付けと同じではありません。 作成するゲートウェイ オブジェクトの名前です。
  4. [ゲートウェイの種類]: [VPN] を選択します。 VPN Gateway では、仮想ネットワーク ゲートウェイの種類として VPN を使用します。
  5. [VPN の種類]: 構成に指定されている VPN の種類を選択します。 ほとんどの構成で [VPN の種類] は [ルート ベース] にする必要があります。
  6. [SKU]: ゲートウェイの SKU をドロップダウン リストから選択します。 ドロップダウン リストに表示される SKU は、選択した VPN の種類によって異なります。
  7. [場所]: 仮想ネットワークの場所を指すように、[場所] フィールドを調整します。 対象の仮想ネットワークが存在するリージョンをこの場所が指していない場合、仮想ネットワークは [仮想ネットワークの選択] ボックスの一覧に表示されません。
  8. このゲートウェイの追加先の仮想ネットワークを選択します。 [仮想ネットワーク] をクリックして [仮想ネットワークの選択] ブレードを開きます。 VNet を選択します。 VNet が表示されない場合は、実際の仮想ネットワークがあるリージョンが [場所] フィールドに指定されていることを確認してください。
  9. パブリック IP アドレスを選択します。 [パブリック IP アドレス] をクリックして、[パブリック IP アドレスの選択] ブレードを開きます。 [+新規作成] をクリックして、[パブリック IP アドレスの作成] ブレードを開きます。 パブリック IP アドレスの名前を入力します。 このブレードで、パブリック IP アドレス オブジェクトが作成されます。このオブジェクトにパブリック IP アドレスが動的に割り当てられます。 [OK] をクリックして、このブレードへの変更を保存します。
  10. [サブスクリプション]: 正しいサブスクリプションが選択されていることを確認します。
  11. [リソース グループ]: この設定は、選択した Virtual Network によって決定されます。
  12. 上記の設定を指定した後に [場所] を調整しないでください。
  13. 設定を確認します。 ゲートウェイをダッシュボードに表示する場合は、ブレードの下部にある [ダッシュボードにピン留めする] を選択します。
  14. [作成] をクリックして、ゲートウェイの作成を開始します。 設定が検証されて、ゲートウェイが作動します。 ゲートウェイの作成には、最大で 45 分かかる場合があります。
  15. ゲートウェイの作成後は、ポータルの仮想ネットワークを調べることで、ゲートウェイに割り当てられている IP アドレスを確認できます。 ゲートウェイは、接続されたデバイスとして表示されます。 詳細を表示するには、接続したデバイス (仮想ネットワーク ゲートウェイ) をクリックします。

パート 6 - 証明書の生成

証明書は、ポイント対サイト VPN の VPN クライアントを認証するために、Azure によって使用されます。 ルート証明書の作成後、(秘密キーではなく) 公開証明書データを、Base-64 でエンコードされた X.509 .cer ファイルとしてエクスポートします。 その後、公開証明書データをルート証明書から Azure にアップロードします。

ポイント対サイトで VNet に接続するすべてのクライアント コンピューターには、クライアント証明書がインストールされている必要があります。 クライアント証明書はルート証明書から生成され、各クライアント コンピューターにインストールされます。 有効なクライアント証明書がインストールされていない状態でクライアントが VNet に接続した場合、認証に失敗します。

手順 1 - ルート証明書の .cer ファイルの取得

エンタープライズ証明書

エンタープライズ ソリューションを使用している場合、既存の証明書チェーンを使うことができます。 使用するルート証明書の .cer ファイルを取得します。

自己署名ルート証明書

エンタープライズ証明書ソリューションを使用していない場合は、自己署名ルート証明書を作成する必要があります。 P2S 認証に必要なフィールドを含む自己署名ルート証明書は、PowerShell を使用して作成できます。 自己署名ルート証明書の作成手順については、「Create a self-signed root certificate for Point-to-Site connections using PowerShell (PowerShell を使ったポイント対サイト接続用自己署名ルート証明書の作成)」で確認できます。

メモ

以前は、自己署名ルート証明書を作成してポイント対サイト接続用のクライアント証明書を生成する手段として makecert が推奨されていました。 現在は、PowerShell を使用してそれらの証明書を作成できるようになっています。 PowerShell を使う利点は、SHA-2 証明書を作成できることです。 必要な値については、「Create a self-signed root certificate for Point-to-Site connections using PowerShell (PowerShell を使ったポイント対サイト接続用自己署名ルート証明書の作成)」を参照してください。

自己署名ルート証明書用の公開キーをエクスポートするには

ポイント対サイト接続では、公開キー (.cer) が Azure にアップロードされている必要があります。 次の手順で、自己署名ルート証明書の .cer ファイルをエクスポートしてください。

  1. 証明書から .cer ファイルを取得するには、[ユーザー証明書の管理] を開きます。
  2. "Current User\Personal\Certificates" から "P2SRootCert" という自己署名ルート証明書を探して右クリックします。 [すべてのタスク] をクリックし、[エクスポート] をクリックして [証明書のエクスポート ウィザード] を開きます。
  3. ウィザードで [次へ] をクリックします。 [いいえ、秘密キーをエクスポートしません] を選択して、[次へ] をクリックします。
  4. [エクスポート ファイルの形式] ページで [Base-64 encoded X.509 (.CER)] を選択し、[次へ] をクリックします。
  5. [エクスポートするファイル] ページで "C:" ドライブに移動し、"cert" というサブディレクトリを作成して選択します。 証明書ファイルに "P2SRootCert.cer" という名前を付けて [保存] をクリックします。
  6. [次へ] をクリックし、[完了] をクリックして証明書をエクスポートします。 エクスポートに成功しましたというメッセージが表示されます。 [OK] をクリックしてウィザードを閉じます。

手順 2 - クライアント証明書の生成

クライアントごとに一意の証明書を生成することも、複数のクライアントに同じ証明書を使用することもできます。 一意のクライアント証明書を生成する利点は、1 つの証明書を失効させることができる点です。 そうでなければ、すべてのユーザーが同じクライアント証明書を使用していて、その証明書を失効させる必要がある場合は、認証にその証明書を使用するすべてのクライアントに新しい証明書を生成してインストールする必要があります。

エンタープライズ証明書

  • エンタープライズ証明書ソリューションを使用している場合は、"domain name\username" 形式ではなく、共通名の値の形式 "name@yourdomain.com" を使用してクライアント証明書を生成します。
  • クライアント証明書が、使用リストの最初の項目としてスマート カード ログオンなどではなく "クライアント認証" が指定されている "ユーザー" 証明書テンプレートに基づいていることを確認します。証明書を確認するには、クライアント証明書をダブルクリックし、[詳細]、[拡張キー使用法] の順に選択して表示します。

自己署名ルート証明書

自己署名ルート証明書を使用する場合、PowerShell を使ったクライアント証明書の生成に関するページで、ポイント対サイト接続に合ったクライアント証明書を生成する手順を参照してください。

手順 3 - クライアント証明書のエクスポート

PowerShell を使った手順で自己署名ルート証明書からクライアント証明書を生成した場合、その作業に使用したコンピューターに自動的にクライアント証明書がインストールされます。 クライアント証明書を別のクライアント コンピューターにインストールする場合は、その証明書をエクスポートする必要があります。

  1. クライアント証明書をエクスポートするには、[ユーザー証明書の管理] を開きます。 エクスポートするクライアント証明書を右クリックして、[すべてのタスク][エクスポート] の順にクリックし、証明書のエクスポート ウィザードを開きます。
  2. ウィザードで [次へ] をクリックし、[はい、秘密キーをエクスポートします] を選択して、[次へ] をクリックします。
  3. [エクスポート ファイルの形式] ページでは、既定値をそのまま使用します。 必要なルート証明書の情報もエクスポートするには、[証明のパスにある証明書を可能であればすべて含む] を選択してください。 次に、 [次へ]をクリックします。
  4. [セキュリティ] ページでは、秘密キーを保護する必要があります。 パスワードを使用する場合は、この証明書に設定したパスワードを必ず記録しておくか、覚えておいてください。 次に、 [次へ]をクリックします。
  5. [エクスポートするファイル] で、[参照] をクリックして証明書をエクスポートする場所を選択します。 [ファイル名]に証明書ファイルの名前を指定します。 次に、 [次へ]をクリックします。
  6. [完了] をクリックして、証明書をエクスポートします。

パート 7 - クライアント アドレス プールの追加

  1. 仮想ネットワーク ゲートウェイが作成されたら、[仮想ネットワーク ゲートウェイ] ブレードの [設定] セクションに移動します。 [設定] セクションで [ポイント対サイトの構成] をクリックして、[構成] ブレードを開きます。

    ポイント対サイトのブレード

  2. アドレス プールは、接続するクライアントが受け取る IP アドレスのプールです。 アドレス プールを追加し、[保存] をクリックします。

    クライアント アドレス プール

パート 8 - ルート証明書 .cer ファイルのアップロード

ゲートウェイが作成されたら、信頼されたルート証明書の .cer ファイルを Azure にアップロードできます。 最大 20 個のルート証明書のファイルをアップロードすることができます。 ルート証明書の秘密キーは、Azure にアップロードしません。 .cer ファイルをアップロードすると、Azure は仮想ネットワークに接続するクライアントの認証にそれを使用します。

  1. 証明書は、[ルート証明書] セクションの [ポイント対サイトの構成] ブレードで追加します。
  2. ルート証明書を Base 64 でエンコードされた X.509 (.cer) ファイルとしてエクスポートしたことを確認してください。 証明書をテキスト エディターで開くことができるように、この形式でエクスポートする必要があります。
  3. 証明書をメモ帳などのテキスト エディターで開きます。 次のセクションのみを 1 つの連続した行としてコピーします。

    証明書データ

    メモ

    証明書データをコピーするときはに、必ず、テキストを復帰や改行のない 1 つの連続した行としてコピーしてください。 復帰や改行を確認するには、テキスト エディターのビューを "記号を表示する/すべての文字を表示する" ように変更することが必要になる場合があります。

  4. [公開証明書データ] フィールドに証明書データを貼り付けます。 証明書に名前を付けて、[保存] をクリックします。 最大 20 個の信頼されたルート証明書を追加できます。

    証明書のアップロード

パート 9 - VPN クライアント構成パッケージのダウンロードとインストール

P2S を使用して Azure に接続するクライアントには、クライアント証明書と VPN クライアント構成パッケージの両方がインストールされている必要があります。 Windows クライアントの場合、VPN クライアント構成パッケージが利用できます。

VPN クライアント パッケージには、Windows に組み込まれている VPN クライアント ソフトウェアを構成するための情報が含まれています。 構成は、接続先の VPN に固有です。 このパッケージでは、追加のソフトウェアはインストールされません。

バージョンがクライアントのアーキテクチャと一致すれば、各クライアント コンピューターで同じ VPN クライアント構成パッケージを使用できます。

手順 1 - クライアント構成パッケージをダウンロードする

  1. [ポイント対サイトの構成] ブレードで [Download VPN client (VPN クライアントのダウンロード)] をクリックして、[Download VPN client (VPN クライアントのダウンロード)] ブレードを開きます。 パッケージの生成には 1 ~ 2 分かかります。

    VPN クライアントのダウンロード 1

  2. クライアント用の適切なパッケージを選択して、[ダウンロード] をクリックします。 構成パッケージ ファイルを保存します。 この VPN クライアント構成パッケージは、仮想ネットワークに接続する各クライアント コンピューターにインストールします。

    VPN クライアントのダウンロード 2

手順 2 - クライアント構成パッケージをインストールする

  1. 仮想ネットワークに接続するコンピューターのローカルに構成ファイルをコピーします。
  2. .exe ファイルをダブルクリックしてパッケージをクライアント コンピューターにインストールします。 構成パッケージを作成したのは皆さん自身であり、署名されていないために警告が表示されることがあります。 Windows SmartScreen ポップアップが表示された場合は、[詳細] (左側)、[実行] の順にクリックして、パッケージをインストールします。
  3. パッケージをクライアント コンピューターにインストールします。 Windows SmartScreen ポップアップが表示された場合は、[詳細] (左側)、[実行] の順にクリックして、パッケージをインストールします。
  4. クライアント コンピューターで [ネットワークの設定] に移動し、[VPN] をクリックします。 VPN 接続により、その接続先の仮想ネットワークの名前が表示されます。

パート 10: エクスポートしたクライアント証明書のインストール

クライアント証明書の生成に使用したクライアント コンピューター以外から P2S 接続を作成する場合は、クライアント証明書をインストールする必要があります。 クライアント証明書をインストールするときに、クライアント証明書のエクスポート時に作成されたパスワードが必要になります。

  1. .pfx ファイルを見つけ、クライアント コンピューターにコピーします。 クライアント コンピューターで、 .pfx ファイルをダブルクリックしてインストールします。 [ストアの場所][現在のユーザー] のままにしておき、[次へ] をクリックします。
  2. [インポートするファイル] ページでは、何も変更しないでください。 [次へ]をクリックします。
  3. [秘密キーの保護] ページで、証明書のパスワードを入力するか、セキュリティ プリンシパルが正しいことを確認し、[次へ] をクリックします。
  4. [証明書ストア] ページで、既定の場所をそのまま使用し、[次へ] をクリックします。
  5. [完了]をクリックします。 証明書のインストールの [セキュリティ警告][はい] をクリックします。 証明書を生成したので、[はい] をクリックしても問題ありません。 これで証明書がインポートされます。

パート 11 - Azure への接続

  1. VNet に接続するには、クライアント コンピューターで [VPN 接続] に移動し、作成した VPN 接続を見つけます。 仮想ネットワークと同じ名前が付いています。 [接続]をクリックします。 証明書を使用することを示すポップアップ メッセージが表示される場合があります。 [続行] をクリックして、昇格された特権を使用します。
  1. 接続の状態ページで、[接続] をクリックして接続を開始します。 [証明書の選択] 画面が表示された場合は、表示されているクライアント証明書が接続に使用する証明書であることを確認します。 そうでない場合は、ドロップダウン矢印を使用して適切な証明書を選択し、 [OK]をクリックします。

    Azure への VPN クライアントの接続

  2. 接続が確立されました。

    確立された接続

接続に問題がある場合は、次の点を確認してください。

  • [ユーザー証明書の管理] を開いて [Trusted Root Certification Authorities\Certificates] に移動します。 ルート証明書が表示されていることを確認します。 認証が正しく機能するためには、ルート証明書が存在している必要があります。 既定値の [証明のパスにある証明書を可能であればすべて含む] でクライアント証明書の .pfx をエクスポートすると、ルート証明書の情報もエクスポートされます。 クライアント証明書をインストールするときに、ルート証明書もクライアント コンピューターにインストールされます。

  • エンタープライズ CA ソリューションを使用して発行した証明書を使用している場合に認証の問題が発生したときは、クライアント証明書の認証の順序を確認します。 認証の一覧の順序を確認するには、クライアント証明書をダブルクリックし、[詳細]、[拡張キー使用法] の順に選択します。 一覧の最初の項目として "クライアント認証" が表示されていることを確認します。 表示されていない場合は、一覧の最初の項目が "クライアント認証" であるユーザー テンプレートに基づいたクライアント証明書を発行する必要があります。

パート 12 - 接続の確認

  1. VPN 接続がアクティブであることを確認するには、管理者特権でのコマンド プロンプトを開いて、 ipconfig/allを実行します。
  2. 結果を表示します。 受信した IP アドレスが、構成に指定したポイント対サイト VPN クライアント アドレス プール内のアドレスのいずれかであることに注意してください。 結果は次の例のようになります。

     PPP adapter VNet1:
         Connection-specific DNS Suffix .:
         Description.....................: VNet1
         Physical Address................:
         DHCP Enabled....................: No
         Autoconfiguration Enabled.......: Yes
         IPv4 Address....................: 172.16.201.3(Preferred)
         Subnet Mask.....................: 255.255.255.255
         Default Gateway.................:
         NetBIOS over Tcpip..............: Enabled
    

P2S での仮想マシンへの接続に問題がある場合は、接続元のコンピューターのイーサネット アダプターに割り当てられている IPv4 アドレスを "ipconfig" でチェックします。 その IP アドレスが、接続先の VNet のアドレス範囲内または VPNClientAddressPool のアドレス範囲内にある場合、これを "アドレス空間の重複" といいます。 アドレス空間がこのように重複していると、ネットワーク トラフィックが Azure に到達せずローカル ネットワーク上に留まることになります。 ネットワーク アドレス空間が重複していないのに、VM に接続できない場合は、VM へのリモート デスクトップ接続のトラブルシューティングに関するページを参照してください。

信頼されたルート証明書を追加または削除する

信頼されたルート証明書を Azure に追加したり、Azure から削除したりできます。 信頼された証明書を削除すると、そのルート証明書から生成されたクライアント証明書は、ポイント対サイトを介して Azure に接続することができなくなります。 クライアントが接続できるようにするには、Azure で信頼されている証明書から生成された新しいクライアント証明書をインストールする必要があります。

信頼されたルート証明書を追加するには

信頼されたルート証明書 .cer ファイルを最大 20 個まで Azure に追加できます。 手順については、この記事の信頼されたルート証明書のアップロードに関するセクションを参照してください。

信頼されたルート証明書を削除するには

  1. 信頼されたルート証明書を削除するには、仮想ネットワーク ゲートウェイの [ポイント対サイトの構成] ブレードに移動します。
  2. ブレードの [ルート証明書] セクションで、削除する証明書を見つけます。
  3. 証明書の横にある省略記号をクリックし、[削除] をクリックします。

クライアント証明書の失効

クライアント証明書は失効させることができます。 証明書失効リストを使用すると、個々のクライアント証明書に基づくポイント対サイト接続を選択して拒否することができます。 これは、信頼されたルート証明書を削除する場合とは異なります。 信頼されたルート証明書 .cer を Azure から削除すると、失効したルート証明書によって生成または署名されたすべてのクライアント証明書のアクセス権が取り消されます。 ルート証明書ではなくクライアント証明書を失効させることで、ルート証明書から生成されたその他の証明書は、その後も認証に使用できます。

一般的な方法としては、ルート証明書を使用してチームまたは組織レベルでアクセスを管理し、失効したクライアント証明書を使用して、個々のユーザーの細かいアクセス制御を構成します。

クライアント証明書を失効させるには

失効リストに拇印を追加することで、クライアント証明書を失効させることができます。

  1. クライアント証明書の拇印を取得します。 詳細については、「方法: 証明書のサムプリントを取得する」を参照してください。
  2. 情報をテキスト エディターにコピーし、文字列が 1 つにつながるようにスペースをすべて削除します。
  3. 仮想ネットワーク ゲートウェイの [ポイント対サイトの構成] ブレードに移動します。 このブレードは、信頼されたルート証明書のアップロードに使用したものです。
  4. [失効した証明書] セクションで、証明書のフレンドリ名を入力します (証明書 CN にする必要はありません)。
  5. 拇印の文字列をコピーして [拇印] フィールドに貼り付けます。
  6. 拇印が検証され、自動的に失効リストに追加されます。 リストが更新されていることを示すメッセージが画面に表示されます。
  7. 更新が完了した後は、証明書を接続に使用することができなくなります。 この証明書を使用して接続を試みたクライアントには、証明書が無効になっていることを示すメッセージが表示されます。

ポイント対サイト接続に関してよく寄せられる質問

ポイント対サイト接続で使用できるオペレーティング システムを教えてください。

次のクライアント オペレーティング システムがサポートされています。

  • Windows 7 (32 ビットと 64 ビット)
  • Windows Server 2008 R2 (64 ビットのみ)
  • Windows 8 (32 ビットと 64 ビット)
  • Windows 8.1 (32 ビットと 64 ビット)
  • Windows Server 2012 (64 ビットのみ)
  • Windows Server 2012 R2 (64 ビットのみ)
  • Windows 10

SSTP をサポートしているポイント対サイト接続では、ソフトウェア VPN クライアントを使用できますか。

いいえ。 上記のバージョンの Windows オペレーティング システムのみがサポートされています。

ポイント対サイト構成で保持できる VPN クライアント エンドポイントの最大数を教えてください。

仮想ネットワークに同時に接続できる VPN クライアント数は、最大で 128 個です。

ポイント対サイト接続で自社の内部 PKI ルート CA を使用できますか。

はい。 以前は、自己署名ルート証明書のみを使用できました。 現在も 20 ルート証明書までアップロードできます。

プロキシやファイアウォールを経由してポイント対サイト接続の機能を使用できますか。

はい。 SSTP (Secure Socket トンネリング プロトコル) を使用してファイアウォール経由のトンネルが確立されます。 このトンネルは HTTPS 接続として表示されます。

ポイント対サイト接続用に構成されたクライアント コンピューターを再起動した場合、VPN は自動的に再接続されますか。

既定では、クライアント コンピューターの再起動時には VPN の自動再接続は行われません。

ポイント対サイトの自動再接続と VPN クライアントの DDNS はサポートされていますか。

ポイント対サイト VPN では、自動再接続と DDNS は現時点ではサポートされていません。

サイト間接続およびポイント対サイト接続の構成は、同一仮想ネットワークに共存させることはできますか。

はい。 ゲートウェイの VPN の種類が RouteBased の場合は、どちらのソリューションも機能します。 クラシック デプロイメント モデルの場合は、動的ゲートウェイが必要です。 静的ルーティング VPN ゲートウェイと、-VpnType PolicyBased コマンドレットを使用するゲートウェイでは、ポイント対サイト接続はサポートされません。

ポイント対サイト接続のクライアントを同時に複数の仮想ネットワークに接続するように構成することはできますか。

はい、できます。 ただし、仮想ネットワーク内で重複する IP プレフィックスを使用することはできません。また、ポイント対サイト接続のアドレス空間は仮想ネットワーク内で重複しないようにする必要があります。

サイト間接続またはポイント対サイト接続ではどの程度のスループットが得られますか。

VPN トンネルのスループットを正確に一定レベルに維持することは困難です。 IPsec と SSTP は、VPN プロトコルの中でも暗号化処理の負荷が高いものです。 また、スループットはオンプレミスとインターネットの間の待機時間や帯域幅によっても制限されます。

次のステップ

接続が完成したら、仮想ネットワークに仮想マシンを追加することができます。 詳細については、Virtual Machines に関するページを参照してください。 ネットワークと仮想マシンの詳細については、「Azure と Linux の VM ネットワークの概要」を参照してください。