手順 5.Step 5. DNS とファイアウォールの設定を構成するConfigure DNS and firewall settings

適用対象:Windows Server (半期チャネル)、Windows Server 2016、Windows Server 2012 R2、Windows 10Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016, Windows Server 2012 R2, Windows 10

この手順では、VPN 接続用の DNS とファイアウォールの設定を構成します。In this step, you configure DNS and Firewall settings for VPN connectivity.

DNS 名前解決の構成Configure DNS name resolution

リモート VPN クライアントは、接続するときに、内部のクライアントが使用しているのと同じ DNS サーバーを使用します。これにより、内部ワークステーションの他の部分と同じ方法で名前を解決できます。When remote VPN clients connect, they use the same DNS servers that your internal clients use, which allows them to resolve names in the same manner as the rest of your internal workstations.

このため、外部クライアントが VPN サーバーへの接続に使用するコンピューター名が、VPN サーバーに発行された証明書で定義されているサブジェクトの別名と一致していることを確認する必要があります。Because of this, you must ensure that the computer name that external clients use to connect to the VPN server matches the subject alternative name defined in certificates issued to the VPN server.

リモートクライアントが VPN サーバーに接続できるようにするには、外部 DNS ゾーンに DNS A (ホスト) レコードを作成します。To ensure that remote clients can connect to your VPN server, you can create a DNS A (Host) record in your external DNS zone. A レコードは、VPN サーバーの証明書のサブジェクト代替名を使用する必要があります。The A record should use the certificate subject alternative name for the VPN server.

ホスト (A または AAAA) リソースレコードをゾーンに追加するにはTo add a host (A or AAAA) resource record to a zone

  1. DNS サーバーの サーバーマネージャーで、 [ツール] を選択し、 [dns] を選択します。On a DNS server, in Server Manager, select Tools, and then select DNS. DNS マネージャーが開きます。DNS Manager opens.
  2. DNS マネージャーコンソールツリーで、管理するサーバーを選択します。In the DNS Manager console tree, select the server that you want to manage.
  3. 詳細ウィンドウの [名前] で、 [前方参照ゾーン] をダブルクリックして、ビューを展開します。In the details pane, in Name, double-click Forward Lookup Zones to expand the view.
  4. [前方参照ゾーン] の詳細 で、レコードを追加する前方参照ゾーンを右クリックし、 [新しいホスト (a または AAAA)] を選択します。In Forward Lookup Zones details, right-click the forward lookup zone to which you want to add a record, and then select New Host (A or AAAA). [新しいホスト] ダイアログボックスが表示されます。The New Host dialog box opens.
  5. [新しいホスト][名前] に、VPN サーバーの証明書のサブジェクト代替名を入力します。In New Host, in Name, enter the certificate subject alternative name for the VPN server.
  6. [IP アドレス] に、VPN サーバーの IP アドレスを入力します。In IP address, enter the IP address for the VPN server. IP version 4 (IPv4) 形式でアドレスを入力して、ホスト (A) リソースレコードまたは IP バージョン 6 (IPv6) 形式を追加し、ホスト (AAAA) リソースレコードを追加することができます。You can enter the address in IP version 4 (IPv4) format to add a host (A) resource record, or IP version 6 (IPv6) format to add a host (AAAA) resource record.
  7. 入力した IP アドレスを含め、IP アドレスの範囲に対して逆引き参照ゾーンを作成した場合は、[関連付けられたポインター (PTR) レコードを作成する] チェックボックスをオンにします。If you created a reverse lookup zone for a range of IP addresses, including the IP address that you entered, then select the Create associated pointer (PTR) record check box. このオプションを選択すると、 [名前][IP アドレス] に入力した情報に基づいて、このホストの逆引きゾーンに追加のポインター (PTR) リソースレコードが作成されます。Selecting this option creates an additional pointer (PTR) resource record in a reverse zone for this host, based on the information you entered in Name and IP address.
  8. [ホストの追加] を選択します。Select Add Host.

エッジファイアウォールを構成するConfigure the Edge Firewall

エッジファイアウォールは、外部境界ネットワークをパブリックインターネットから分離します。The Edge Firewall separates the External Perimeter Network from the Public Internet. この分離を視覚的に表現するには、「 VPN テクノロジの概要」のトピックの図を参照してください Always On。For a visual representation of this separation, see the illustration in the topic Always On VPN Technology Overview.

エッジファイアウォールは、特定のポートを VPN サーバーに許可および転送する必要があります。Your Edge Firewall must allow and forward specific ports to your VPN server. エッジファイアウォールでネットワークアドレス変換 (NAT) を使用する場合は、ユーザーデータグラムプロトコル (UDP) ポート500および4500のポートフォワーディングを有効にすることが必要になる場合があります。If you use Network Address Translation (NAT) on your edge firewall, you might need to enable port forwarding for User Datagram Protocol (UDP) ports 500 and 4500. これらのポートは、VPN サーバーの外部インターフェイスに割り当てられている IP アドレスに転送します。Forward these ports to the IP address that is assigned to the external interface of your VPN server.

受信トラフィックをルーティングし、VPN サーバーで NAT を実行する場合は、ファイアウォール規則を開いて、VPN サーバーのパブリックインターフェイスに適用されている外部 IP アドレスに対して受信する UDP ポート500および4500を許可する必要があります。If you're routing traffic inbound and performing NAT at or behind the VPN server, then you must open your firewall rules to allow UDP ports 500 and 4500 inbound to the external IP address applied to the public interface on the VPN server.

どちらの場合でも、ファイアウォールでディープパケットインスペクションがサポートされており、クライアント接続を確立することが困難な場合は、IKE セッションのディープパケットインスペクションを緩和または無効にする必要があります。In either case, if your firewall supports deep packet inspection and you have difficulty establishing client connections, you should attempt to relax or disable deep packet inspection for IKE sessions.

これらの構成変更を行う方法については、ファイアウォールのドキュメントを参照してください。For information on how to make these configuration changes, see your firewall documentation.

内部境界ネットワークファイアウォールを構成するConfigure the Internal Perimeter Network Firewall

内部境界ネットワークファイアウォールによって、組織/企業ネットワークが内部境界ネットワークから切り離されます。The Internal Perimeter Network Firewall separates the Organization/Corporate Network from the Internal Perimeter Network. この分離を視覚的に表現するには、「 VPN テクノロジの概要」のトピックの図を参照してください Always On。For a visual representation of this separation, see the illustration in the topic Always On VPN Technology Overview.

この展開では、境界ネットワーク上のリモートアクセス VPN サーバーは RADIUS クライアントとして構成されます。In this deployment, the Remote Access VPN server on the perimeter network is configured as a RADIUS client. VPN サーバーは、企業ネットワーク上の NPS に RADIUS トラフィックを送信し、NPS から RADIUS トラフィックも受信します。The VPN server sends RADIUS traffic to the NPS on the corporate network and also receives RADIUS traffic from the NPS.

双方向での RADIUS トラフィックのフローを許可するようにファイアウォールを構成します。Configure the firewall to allow RADIUS traffic to flow in both directions.

注意

組織または企業ネットワーク上の NPS サーバーは、RADIUS クライアントである VPN サーバーの RADIUS サーバーとして機能します。The NPS server on the Organization/Corporate network functions as a RADIUS Server for the VPN Server, which is a RADIUS Client. RADIUS インフラストラクチャの詳細については、「ネットワークポリシーサーバー (NPS)」を参照してください。For more information about the RADIUS infrastructure, see Network Policy Server (NPS).

VPN サーバーと NPS サーバー上の RADIUS トラフィックポートRADIUS Traffic Ports on the VPN Server and NPS Server

既定では、NPS と VPN は、インストールされているすべてのネットワークアダプター上で、ポート1812、1813、1645、および1646の RADIUS トラフィックをリッスンします。By default, NPS and VPN listen for RADIUS traffic on ports 1812, 1813, 1645, and 1646 on all installed network adapters. NPS をインストールするときに、セキュリティが強化された Windows ファイアウォールを有効にすると、これらのポートに対するファイアウォールの例外が、IPv6 トラフィックと IPv4 トラフィックの両方のインストールプロセス中に自動的に作成されます。If you enable Windows Firewall with Advanced Security when installing NPS, firewall exceptions for these ports get created automatically during the installation process for both IPv6 and IPv4 traffic.

重要

ネットワークアクセスサーバーが、これらの既定以外のポートを使用して RADIUS トラフィックを送信するように構成されている場合は、「セキュリティが強化された Windows ファイアウォール」で作成した例外を NPS のインストール時に削除し、に使用するポートに対して例外を作成します。RADIUS トラフィック。If your network access servers are configured to send RADIUS traffic over ports other than these defaults, remove the exceptions created in Windows Firewall with Advanced Security during NPS installation, and create exceptions for the ports that you do use for RADIUS traffic.

内部境界ネットワークファイアウォール構成に同じ RADIUS ポートを使用するUse the Same RADIUS Ports for the Internal Perimeter Network Firewall Configuration

VPN サーバーと NPS サーバーで既定の RADIUS ポート構成を使用する場合は、内部境界ネットワークファイアウォールで次のポートを開いていることを確認してください。If you use the default RADIUS port configuration on the VPN Server and the NPS Server, make sure that you open the following ports on the Internal Perimeter Network Firewall:

  • ポート UDP1812、UDP1813、UDP1645、および UDP1646Ports UDP1812, UDP1813, UDP1645, and UDP1646

NPS の展開で既定の RADIUS ポートを使用していない場合は、使用しているポートで RADIUS トラフィックを許可するようにファイアウォールを構成する必要があります。If you are not using the default RADIUS ports in your NPS deployment, you must configure the firewall to allow RADIUS traffic on the ports that you are using. 詳細については、「 Configure firewall FOR RADIUS Traffic」を参照してください。For more information, see Configure Firewalls for RADIUS Traffic.

次の手順Next steps

手順 6.Windows 10 クライアント Always On VPN 接続を構成します。この手順では、VPN 接続を使用して、そのインフラストラクチャと通信するように Windows 10 クライアントコンピューターを構成します。Step 6. Configure Windows 10 Client Always On VPN Connections: In this step, you configure the Windows 10 client computers to communicate with that infrastructure with a VPN connection. Windows PowerShell、System Center Configuration Manager、Intune など、いくつかのテクノロジを使用して Windows 10 VPN クライアントを構成できます。You can use several technologies to configure Windows 10 VPN clients, including Windows PowerShell, System Center Configuration Manager, and Intune. 3つすべてに、適切な VPN 設定を構成するための XML VPN プロファイルが必要です。All three require an XML VPN profile to configure the appropriate VPN settings.