チュートリアル: Always On VPN を展開する - Always On VPN のインフラストラクチャを設定する

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows 10、Windows 11

このチュートリアルでは、リモート ドメインに参加している Windows クライアント コンピューター用に Always On VPN 接続を展開する方法について学習します。 Always On VPN 接続プロセスを実装する方法を示すサンプル インフラストラクチャを作成します。 このプロセスは、次の手順で構成されます。

  1. Windows VPN クライアントでは、パブリック DNS サーバーを使用して、VPN ゲートウェイの IP アドレスに対する名前解決クエリを実行します。

  2. VPN クライアントは、DNS によって返された IP アドレスを使用して、VPN ゲートウェイに接続要求を送信します。

  3. VPN サーバーは、リモート認証ダイヤルイン ユーザー サービス (RADIUS) クライアントとしても構成されます。VPN RADIUS クライアントは、接続要求の処理のために NPS サーバーに接続要求を送信します。

  4. NPS サーバーは、承認と認証の実行などの接続要求を処理し、接続要求を許可するか拒否するかを決定します。

  5. NPS サーバーは、Access-Accept または Access-Deny の応答を VPN サーバーに転送します。

  6. 接続は、NPS サーバーから VPN サーバーが受信した応答に基づいて開始または終了されます。

前提条件

このチュートリアルの手順を完了するには、次のことが必要です。

  • 4 台の物理コンピューターまたは仮想マシン (VM) にアクセスする必要があります。

  • すべてのマシンのユーザー アカウントが管理者または同等のメンバーであることを確認します。

重要

リモート アクセス VPN と DirectAccess の両方を含め、Microsoft Azure でのリモート アクセスの使用はサポートされていません。 詳細については、「Microsoft Azure の仮想マシンに対する Microsoft サーバー ソフトウェアのサポート」を参照してください。

ドメイン コントローラーを作成する

  1. ドメイン コントローラーを実行するコンピューターに Windows Server をインストールします。

  2. Active Directory Domain Services (AD DS) をインストールします。 AD DS のインストール方法の詳細については、「Active Directory Domain Servicesのインストール」を参照してください。

  3. Windows Server をドメイン コントローラーに昇格させます。 このチュートリアルでは、新しいフォレストとその新しいフォレストへのドメインを作成します。 ドメイン コントローラーをインストールする方法の詳細については、AD DS のインストールに関するページを参照してください。

  4. ドメイン コントローラーに証明機関 (CA) をインストールして構成します。 CA のインストール方法の詳細については、「証明機関のインストール」を参照してください。

Active Directory グループ ポリシーを作成する

このセクションでは、ドメイン メンバーがユーザーとコンピューターの証明書を自動的に要求するように、ドメイン コントローラーでグループ ポリシーを作成します。 この構成により、VPN ユーザーは、VPN 接続を自動的に認証するユーザー証明書を要求および取得できます。 このポリシーによって、NPS サーバーはサーバー認証証明書を自動的に要求することもできます。

  1. ドメイン コントローラーで、グループ ポリシーの管理を開きます。

  2. 左側のウィンドウで、ドメインを右クリックします (たとえば、corp.contoso.com)。 [このドメインに GPO を作成し、このコンテナーにリンクする] を選択します。

  3. [新しい GPO] ダイアログボックスの [名前] で、[自動登録ポリシー] に入力します。 [OK] を選択します。

  4. 左側のウィンドウで、[自動登録ポリシー] を右クリックします。 [編集] を選択して、グループ ポリシー管理エディターを開きます。

  5. グループ ポリシー管理エディターで、次の手順を実行して、コンピューター証明書の自動登録を構成します。

    1. 左側のウィンドウで、コンピューターの構成>ポリシー>Windows の設定>セキュリティの設定>公開キーのポリシー に移動します。

    2. 詳細ウィンドウで、 [証明書サービス クライアント – 自動登録] を右クリックします。 [プロパティ] を選択します。

    3. [証明書サービスクライアント - 自動登録] の [プロパティ] ダイアログボックスの [構成モデル] で、[有効] を選択します。

    4. [有効期限が切れた証明書を更新、保留中の証明書を更新、および破棄された証明書を削除する][証明書テンプレートを使用する証明書を更新する] を選択します。

    5. [OK] を選択します。

  6. グループ ポリシー管理エディターで、次の手順を実行して、ユーザー証明書の自動登録を構成します。

    1. 左側のウィンドウで、ユーザーの構成>ポリシー>Windows の設定>セキュリティの設定>公開キーのポリシー に移動します。

    2. 詳細ウィンドウで [証明書サービス クライアント - 自動登録] を右クリックして [プロパティ] を選択します。

    3. [証明書サービスクライアント - 自動登録] の [プロパティ] ダイアログボックスの [構成モデル] で、[有効] を選択します。

    4. [有効期限が切れた証明書を更新、保留中の証明書を更新、および破棄された証明書を削除する][証明書テンプレートを使用する証明書を更新する] を選択します。

    5. [OK] を選択します。

    6. グループ ポリシー管理エディターを閉じます。

  7. [グループ ポリシーの管理] を閉じます。

NPS サーバーを作成する

  1. NPS サーバーを実行するコンピューターに Windows Server をインストールします。

  2. NPS サーバーで、ネットワーク ポリシーとアクセス サービス (NPS) の役割をインストールします。 NSP をインストールする方法の詳細については、「ネットワーク ポリシー サーバーをインストールする」を参照してください。

  3. Active Directory に NPS サーバーを登録します。 Active Directory に NPS サーバーを登録する方法については、「Active Directory ドメインに NPS を登録する」を参照してください。

  4. VPN と RADIUS 通信の両方が正常に機能するために必要なトラフィックがファイアウォールによって許可されていることを確認します。 詳細については、「RADIUS トラフィック用にファイアウォールを構成する」を参照してください。

  5. NPS のサーバー グループを作成します。

    1. 1. ドメイン コントローラーで、Active Directory ユーザーとコンピューターを開きます。

    2. 自分のドメインの下にある [コンピューター] を右クリックします。 [新規作成] を選択し、[グループ] を選択します。

    3. [グループ名] に「NPS Servers」と入力し、[OK] を選択します。

    4. [NPS Servers] を右クリックし、[プロパティ] を選択します。

    5. [NPS Servers のプロパティ] ダイアログボックスの [メンバー] タブで、[追加] を選択します。

    6. [オブジェクトの種類] をクリックし、 [コンピューター] チェック ボックスをオンにして、 [OK]をクリックします。

    7. [選択するオブジェクト名を入力してください] に、NPS サーバーのコンピューター名を入力します。 [OK] を選択します。

    8. [Active Directory ユーザーとコンピューター] を閉じます。

VPN サーバーを作成する

  1. VPN サーバーを実行するコンピューターに Windows Server をインストールします。 コンピューターに 2 つの物理ネットワーク アダプターが取り付けられていることを確認します。1 つはインターネットに接続し、もう 1 つはドメイン コントローラーが配置されているネットワークに接続します。

  2. インターネットに接続するネットワーク アダプターと、ドメインに接続するネットワーク アダプターを特定します。 インターネットに接続するアダプターはパブリック IP アドレスを使用して構成し、イントラネットに接続するアダプターはローカル ネットワークの IP アドレスを使用して構成します。

  3. ドメインに接続するネットワーク アダプターの場合は、DNS 優先 IP アドレスをドメイン コントローラーの IP アドレスに設定します。

  4. VPN サーバーをドメインに参加させます。 サーバーをドメインに参加させる方法については、「サーバーをドメイン に参加させるには」を参照してください。

  5. ファイアウォール規則を開き、VPN サーバー上のパブリック インターフェイスに適用される外部 IP アドレスに、UDP ポート 500 および 4500 の受信を許可します。

  6. ドメインに接続しているネットワーク アダプターで、UDP1812、UDP1813、UDP1645、UDP1646 の各ポートを有効にします。

  7. VPN サーバー グループを作成します。

    1. 1. ドメイン コントローラーで、Active Directory ユーザーとコンピューターを開きます。

    2. 自分のドメインの下にある [コンピューター] を右クリックします。 [新規作成] を選択し、[グループ] を選択します。

    3. [グループ名] に「VPN Users」と入力し、[OK] をクリックします。

    4. [VPN サーバー] を右クリックし、[プロパティ] を選択します。

    5. [VPN サーバーのプロパティ] ダイアログボックスの [メンバー] タブで、[追加] を選択します。

    6. [オブジェクトの種類] をクリックし、 [コンピューター] チェック ボックスをオンにして、 [OK]をクリックします。

    7. [選択するオブジェクト名を入力してください] に、VPN サーバーのコンピューター名を入力します。 [OK] を選択します。

    8. [Active Directory ユーザーとコンピューター] を閉じます。

  8. VPN サーバーとしてリモート アクセスをインストールする」の手順に従って、VPN サーバーをインストールします。

  9. サーバー マネージャーから [ルーティングとリモート アクセス] ツールを開きます。

  10. VPN サーバーを右クリックし、[プロパティ] を選択します。

  11. [プロパティ] で、[セキュリティ] タブを選択し、次の手順を行います。

    1. [認証プロバイダー] を選択し、[RADIUS 認証] を選択します。

    2. [構成] を選択して [RADIUS 認証] ダイアログを開きます。

    3. [追加] を選択して [RADIUS サーバーの追加] ダイアログを開きます。

      1. [サーバー名] に、NPS サーバーの完全修飾ドメイン名 (FQDN) を入力します。 このチュートリアルでは、NPS サーバーはドメイン コントローラー サーバーです。 たとえば、NPS およびドメイン コントローラー サーバーの NetBIOS 名が dc1 で、ドメイン名が corp.contoso.com の場合は、「dc1.corp.contoso.com」と入力します。

      2. [共有シークレット] で、[変更] を選択して [シークレットの変更] ダイアログ ボックスを開きます。

      3. [新しいシークレット] にテキスト文字列を入力します。

      4. [新しいシークレットの確認] に同じテキスト文字列を入力し、[OK] を選択します。

      5. このシークレットを保存します。 これはこのチュートリアルの後半で、この VPN サーバーを RADIUS クライアントとして追加する場合に必要になります。

    4. [OK] を選択して [RADIUS サーバーの追加] ダイアログを閉じます。

    5. [OK] を選択して [RADIUS 認証] ダイアログを閉じます。

  12. VPN サーバーの [プロパティ] ダイアログで、[認証方法...] を選択します。

  13. [コンピューターによる IKEv2 の証明書認証を許可する] を選択します。

  14. [OK] を選択します。

  15. [アカウンティング プロバイダー] で、[Windows アカウンティング] を選択します。

  16. [OK] を選択して、[プロパティ] ダイアログを閉じます。

  17. サーバーの再起動を求めるダイアログが表示されます。 [はい] を選択します。

VPN Windows クライアントを作成する

  1. VPN クライアントとなるマシンに Windows 10 以降をインストールします。

  2. この VPN クライアントをドメインに参加させます。 コンピューターをドメインに参加させる方法については、「コンピューターをドメインに参加させるには」を参照してください。

VPN ユーザーとグループを作成する

  1. 次の手順に従って VPN ユーザーを作成します。

    1. 1. ドメイン コントローラーで、Active Directory ユーザーとコンピューターを開きます。

    2. 自分のドメインの下にある [ユーザー] を右クリックします。 [新規] を選択します。 [ユーザー ログオン名] に、任意のログオン名を入力します。 [次へ] を選びます。

    3. ユーザー用のパスワードを選択します。

    4. [ユーザーは次回ログオン時にパスワードの変更が必要] を選択解除します。 [パスワードを無期限にする] を選択します。

    5. [完了] を選択します。 [Active Directory ユーザーとコンピューター] は開いたままにします。

  2. 次の手順に従って VPN ユーザー グループを作成します。

    1. 自分のドメインの下にある [ユーザー] を右クリックします。 [新規作成] を選択し、[グループ] を選択します。

    2. [グループ名] に「VPN Users」と入力し、[OK] をクリックします。

    3. [VPN ユーザー] を右クリックし、[プロパティ] を選択します。

    4. [VPN ユーザーのプロパティ] ダイアログボックスの [メンバー] タブで、[追加] を選択します。

    5. [ユーザーの選択] ダイアログ ボックスで、作成した VPN ユーザーを追加し、[OK] を選択します。

VPN サーバーを RADIUS クライアントとして構成する

  1. NPS サーバーでファイアウォール規則を開き、UDP ポート 1812、1813、1645、および 1646 の受信を許可します。

  2. NPS コンソールで、[RADIUS クライアントと サーバー] をダブルクリックします。

  3. [RADIUS クライアント] を右クリックし、[新規] を選択して [新しい RADIUS クライアント] ダイアログ ボックスを開きます。

  4. [この RADIUS クライアントを有効にする] チェック ボックスがオンになっていることを確認します。

  5. [フレンドリ名] に、VPN サーバーの表示名を入力します。

  6. [アドレス (IP または DNS)] に、VPN サーバーの IP アドレスまたは FQDN を入力します。

    FQDN を入力する場合、名前が正しく、有効な IP アドレスにマップされていることを確認するには、[確認] をクリックします。

  7. [共有シークレット] で、次の操作を行います。

    1. 手動」が選択されていることを確認します。

    2. VPN サーバーを作成する」のセクションで作成したシークレットを入力します。

    3. [共有シークレットを確認する] に、共有シークレットを再度入力します。

  8. [OK] を選択します。 VPN サーバーが NPS サーバーで構成されている RADIUS クライアントのリストに表示されます。

NPS サーバーを RADIUS サーバーとして構成する

注意

このチュートリアルでは、NPS サーバーが、CA 役割を持つドメイン コントローラーにインストールされます。また、別の NPS サーバー証明書を登録する必要はありません。 ただし、NPS サーバーが別のサーバーにインストールされている環境では、これらの手順を実行する前に NPS サーバー証明書を登録する必要があります。

  1. NPS コンソールで、[NPS (ローカル)] を選択します。

  2. 標準構成で、[ダイヤルアップ接続または VPN 接続用の RADIUS サーバー] が選択されていることを確認します。

  3. [VPN またはダイヤルアップの構成] を選択して、[VPN またはダイヤルアップの構成] ウィザードを開きます。

  4. [仮想プライベート ネットワーク (VPN) 接続] を選択し、[次へ] を 選択します。

  5. [ダイヤルアップまたは VPN サーバーの指定] の RADIUS クライアントで、VPN サーバー名を選択します。

  6. [次へ] を選択します。

  7. [認証方法の構成] で、次の手順を実行します。

    1. [Microsoft 暗号化認証バージョン 2 (MS-CHAPv2)] をオフにします。

    2. [拡張認証プロトコル] を選択します。

    3. [種類] で、[Microsoft: 保護された EAP (PEAP)] を選択します。 次に、[構成] を選択して、[保護された EAP プロパティの編集] ダイアログ ボックスを開きます。

    4. [削除] を選択して、[セキュリティで保護されたパスワード (EAP-MSCHAP v2) EAP の種類] を削除します。

    5. [追加] を選択します。 [EAP の追加] ダイアログ ボックスが開きます。

    6. [スマート カードまたは他の証明書] を選択し、[OK] を選択します。

    7. [OK] を 選択して、[保護された EAP プロパティの編集] を閉じます。

  8. [次へ] を選択します。

  9. [ユーザー グループの指定] で、次の手順を実行します。

    1. [追加] を選択します。 [ユーザー、コンピューター、サービス アカウントまたはグループの選択] ダイアログ ボックスが開きます。

    2. VPN ユーザー」と入力し、[OK] を選択します。

    3. [次へ] を選択します。

  10. [IP フィルターの指定] で、[次へ] を選択します。

  11. [暗号化設定の指定][次へ] を選択します。 変更を加えないでください。

  12. [領域名の指定][次へ] を選択します。

  13. [完了] を選択して、ウィザードを終了します。

次のステップ

これで、サンプル インフラストラクチャを作成したので、証明機関を構成する準備ができました。