手順 3.Step 3. Always On VPN 用にリモート アクセス サーバーを構成するConfigure the Remote Access Server for Always On VPN

適用対象:Windows Server (半期チャネル)、Windows Server 2016、Windows Server 2012 R2、Windows 10Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016, Windows Server 2012 R2, Windows 10

RRAS は、さまざまな機能をサポートしているため、ルーターとリモートアクセスサーバーの両方として動作するように設計されています。RRAS is designed to perform well as both a router and a remote access server because it supports a wide array of features. この展開では、これらの機能のごく一部のみを必要とします。 IKEv2 VPN 接続と LAN ルーティングのサポートです。For the purposes of this deployment, you require only a small subset of these features: support for IKEv2 VPN connections and LAN routing.

IKEv2 は、「インターネット技術標準化委員会におけるコメント7296の要求」で説明されている VPN トンネリングプロトコルです。IKEv2 is a VPN tunneling protocol described in Internet Engineering Task Force Request for Comments 7296. IKEv2 の主な利点は、基になるネットワーク接続で許容が中断されることです。The primary advantage of IKEv2 is that it tolerates interruptions in the underlying network connection. たとえば、接続が一時的に失われた場合、またはユーザーがクライアントコンピューターをあるネットワークから別のネットワークに移動した場合、IKEv2 はネットワーク接続が再確立されたときに VPN 接続を自動的に復元します。ユーザーによる操作は必要ありません。For example, if the connection is temporarily lost or if a user moves a client computer from one network to another, IKEv2 automatically restores the VPN connection when the network connection is reestablished—all without user intervention.

使用されていないプロトコルを無効にして、IKEv2 接続をサポートするように RRAS サーバーを構成します。これにより、サーバーのセキュリティフットプリントが減少します。Configure the RRAS server to support IKEv2 connections while disabling unused protocols, which reduces the server's security footprint. さらに、静的アドレスプールから VPN クライアントにアドレスを割り当てるようにサーバーを構成します。Additionally, configure the server to assign addresses to VPN clients from a static address pool. Feasibly は、プールまたは DHCP サーバーからアドレスを割り当てることができます。ただし、DHCP サーバーを使用すると、設計の複雑さが増し、最小限のメリットが得られます。You can feasibly assign addresses from either a pool or a DHCP server; however, using a DHCP server adds complexity to the design and delivers minimal benefits.

重要

次のことを行うことが重要です。It is important to:

  • 物理サーバーに2つのイーサネットネットワークアダプターをインストールします。Install two Ethernet network adapters in the physical server. VPN サーバーを VM にインストールする場合は、物理ネットワークアダプターごとに1つずつ、2つの外部仮想スイッチを作成する必要があります。次に、各ネットワークアダプターを1つの仮想スイッチに接続して、VM 用に2つの仮想ネットワークアダプターを作成します。If you are installing the VPN server on a VM, you must create two External virtual switches, one for each physical network adapter; and then create two virtual network adapters for the VM, with each network adapter connected to one virtual switch.

  • エッジと内部ファイアウォールの間にサーバーを設置し、1つのネットワークアダプターを外部境界ネットワークに接続し、1つのネットワークアダプターを内部境界ネットワークに接続します。Install the server on your perimeter network between your edge and internal firewalls, with one network adapter connected to the External Perimeter Network, and one network adapter connected to the Internal Perimeter Network.

警告

作業を開始する前に、VPN サーバーで IPv6 が有効になっていることを確認してください。Before you get started, make sure to enable IPv6 on the VPN server. それ以外の場合、接続を確立できず、エラーメッセージが表示されます。Otherwise, a connection cannot be established and an error message displays.

RAS ゲートウェイ VPN サーバーとしてリモートアクセスをインストールするInstall Remote Access as a RAS Gateway VPN Server

この手順では、リモートアクセスの役割をシングルテナント RAS ゲートウェイ VPN サーバーとしてインストールします。In this procedure, you install the Remote Access role as a single tenant RAS Gateway VPN server. 詳細については、「リモート アクセス」を参照してください。For more information, see Remote Access.

Windows PowerShell を使用してリモートアクセスの役割をインストールするInstall the Remote Access role by using Windows PowerShell

  1. 管理者として Windows PowerShell を開きます。Open Windows PowerShell as Administrator.

  2. 次のコマンドレットを入力して実行します。Enter and run the following cmdlet:

    Install-WindowsFeature DirectAccess-VPN -IncludeManagementTools
    

    インストールが完了すると、Windows PowerShell に次のメッセージが表示されます。After installation completes, the following message appears in Windows PowerShell.

    | Success | Restart Needed | Exit Code |               Feature Result               |
    |---------|----------------|-----------|--------------------------------------------|
    |  True   |       No       |  Success  | {RAS Connection Manager Administration Kit |
    

を使用してリモートアクセスの役割をインストールサーバーマネージャーInstall the Remote Access role by using Server Manager

サーバーマネージャーを使用してリモートアクセスの役割をインストールするには、次の手順を実行します。You can use the following procedure to install the Remote Access role using Server Manager.

  1. VPN サーバーのサーバーマネージャーで、 [管理] を選択し、 [役割と機能の追加] を選択します。On the VPN server, in Server Manager, select Manage and select Add Roles and Features.

    役割と機能の追加ウィザードが起動されます。The Add Roles and Features Wizard opens.

  2. 開始する前に ページで、次へ を選択します。On the Before you begin page, select Next.

  3. インストールの種類の選択 ページで、役割ベースまたは機能ベースのインストール オプションを選択し、次へ を選択します。On the Select Installation Type page, select the Role-Based or feature-based installation option and select Next.

  4. [対象サーバーの選択] ページで、[サーバープールからサーバーを選択する] オプションを選択します。On the Select destination server page, select the Select a server from the server pool option.

  5. サーバープール でローカルコンピューターを選択し、次へ を選択します。Under Server Pool, select the local computer and select Next.

  6. サーバーの役割の選択 ページの 役割 で、リモートアクセス を選択し、次へ をクリックします。On the Select server roles page, in Roles, select Remote Access, then Next.

  7. 機能の選択 ページで、次へ を選択します。On the Select features page, select Next.

  8. リモートアクセス ページで、次へ を選択します。On the Remote Access page, select Next.

  9. 役割サービスの選択 ページの 役割サービス で、DirectAccess および VPN (RAS) を選択します。On the Select role service page, in Role services, select DirectAccess and VPN (RAS).

追加の役割と機能ウィザード ダイアログ ボックスが表示されます。The Add Roles and Features Wizard dialog box opens.

  1. 役割と機能の追加 ダイアログで、機能の追加 を選択し、次へ を選択します。On the Add Roles and Features dialog, select Add Features then select Next.

  2. Web サーバーの役割 (IIS) ページで、次へ を選択します。On the Web Server Role (IIS) page, select Next.

  3. 役割サービスの選択 ページで、次へ を選択します。On the Select role services page, select Next.

  4. インストールオプションの確認 ページで、選択内容を確認し、インストール を選択します。On the Confirm installation selections page, review your choices, then select Install.

  5. インストールが完了したら、 [閉じる] を選択します。When the installation is complete, select Close.

リモートアクセスを VPN サーバーとして構成するConfigure Remote Access as a VPN Server

このセクションでは、IKEv2 VPN 接続を許可するようにリモートアクセス VPN を構成し、他の VPN プロトコルからの接続を拒否し、IP アドレスの発行用に静的 IP アドレスプールを割り当てて、承認された VPN クライアントに接続することができます。In this section, you can configure Remote Access VPN to allow IKEv2 VPN connections, deny connections from other VPN protocols, and assign a static IP address pool for the issuance of IP addresses to connecting authorized VPN clients.

  1. VPN サーバーのサーバーマネージャーで、 [通知] フラグを選択します。On the VPN server, in Server Manager, select the Notifications flag.

  2. [タスク] メニューの [はじめにウィザードを開く] を選択します。In the Tasks menu, select Open the Getting Started Wizard

    リモートアクセスの構成ウィザードが開きます。The Configure Remote Access wizard opens.

    注意

    リモートアクセスの構成ウィザードがサーバーマネージャーの背後で開かれる場合があります。The Configure Remote Access wizard might open behind Server Manager. ウィザードが時間がかかりすぎて開けないと思われる場合は、サーバーマネージャーを移動または最小化して、ウィザードが背後にあるかどうかを確認します。If you think the wizard is taking too long to open, move or minimize Server Manager to find out whether the wizard is behind it. それ以外の場合は、ウィザードが初期化されるのを待ちます。If not, wait for the wizard to initialize.

  3. [ VPN のみを展開する] を選択します。Select Deploy VPN only.

    Microsoft 管理コンソール (MMC) の [ルーティングとリモートアクセス] が開きます。The Routing and Remote Access Microsoft Management Console (MMC) opens.

  4. VPN サーバーを右クリックし、 [ルーティングとリモートアクセスの構成と有効化] を選択します。Right-click the VPN server, then select Configure and Enable Routing and Remote Access.

    ルーティングとリモートアクセスサーバーのセットアップウィザードが開きます。The Routing and Remote Access Server Setup Wizard opens.

  5. ルーティングとリモートアクセスサーバーのセットアップウィザードの開始 で、次へ を選択します。In the Welcome to the Routing and Remote Access Server Setup Wizard, select Next.

  6. [構成][カスタム構成] を選択し、 [次へ] を選択します。In Configuration, select Custom Configuration, and then select Next.

  7. [カスタム構成] で、 [VPN アクセス] を選択し、 [次へ] を選択します。In Custom Configuration, select VPN access, and then select Next.

    [ルーティングとリモートアクセスサーバーのセットアップウィザードの完了] が開きます。The Completing the Routing and Remote Access Server Setup Wizard opens.

  8. [完了] を選択してウィザードを終了し、 [OK] を選択して [ルーティングとリモートアクセス] ダイアログボックスを閉じます。Select Finish to close the wizard, then select OK to close the Routing and Remote Access dialog box.

  9. [サービスの開始] を選択して、リモートアクセスを開始します。Select Start service to start Remote Access.

  10. リモートアクセス MMC で、VPN サーバーを右クリックし、 [プロパティ] を選択します。In the Remote Access MMC, right-click the VPN server, then select Properties.

  11. プロパティ で、セキュリティ タブを選択し、次の操作を行います。In Properties, select the Security tab and do:

    a.a. [認証プロバイダー] を選択し、 [RADIUS 認証] を選択します。Select Authentication provider and select RADIUS Authentication.

    b.b. [構成] を選択します。Select Configure.

    [RADIUS 認証] ダイアログボックスが開きます。The RADIUS Authentication dialog box opens.

    c.c. [追加] をクリックします。Select Add.

    [RADIUS サーバーの追加] ダイアログボックスが表示されます。The Add RADIUS Server dialog box opens.

    d.d. [サーバー名] に、組織または企業ネットワーク上の NPS サーバーの完全修飾ドメイン名 (FQDN) を入力します。In Server name, enter the Fully Qualified Domain Name (FQDN) of the NPS server on your Organization/Corporate network.

    たとえば、NPS サーバーの NetBIOS 名が NPS1 で、ドメイン名が corp.contoso.com の場合は、「 NPS1.corp.contoso.com」と入力します。For example, if the NetBIOS name of your NPS server is NPS1 and your domain name is corp.contoso.com, enter NPS1.corp.contoso.com.

    e.e. [共有シークレット] で、 [変更] を選択します。In Shared secret, select Change.

    [シークレットの変更] ダイアログボックスが表示されます。The Change Secret dialog box opens.

    f.f. [新しいシークレット] に、テキスト文字列を入力します。In New secret, enter a text string.

    g.g. [新しいシークレットの確認入力] に同じテキスト文字列を入力し、[ OK] を選択します。In Confirm new secret, enter the same text string, then select OK.

    重要

    このテキスト文字列を保存します。Save this text string. 組織または企業ネットワークで NPS サーバーを構成するときに、この VPN サーバーを RADIUS クライアントとして追加します。When you configure the NPS Server on your Organization/Corporate network, you will add this VPN Server as a RADIUS Client. このような構成では、NPS と VPN サーバーが通信できるように、これと同じ共有シークレットを使用します。During that configuration, you will use this same shared secret so that the NPS and VPN Servers can communicate.

  12. [RADIUS サーバーの追加] で、次の既定の設定を確認します。In Add RADIUS Server, review the default settings for:

    • タイムアウトTime-out

    • 初期スコアInitial score

    • [ポート]Port

  13. 必要に応じて、環境の要件に合わせて値を変更し、[ OK] を選択します。If necessary, change the values to match the requirements for your environment and select OK.

    NAS は、大規模なネットワークに対して一定レベルのアクセスを提供するデバイスです。A NAS is a device that provides some level of access to a larger network. Radius インフラストラクチャを使用する NAS は、認証、承認、およびアカウンティングのために接続要求とアカウンティングメッセージを RADIUS サーバーに送信する RADIUS クライアントでもあります。A NAS using a RADIUS infrastructure is also a RADIUS client, sending connection requests and accounting messages to a RADIUS server for authentication, authorization, and accounting.

  14. アカウンティングプロバイダーの設定を確認します。Review the setting for Accounting provider:

    ...If you want the... 結果Then…
    リモートアクセスサーバーにログオンしたリモートアクセスアクティビティRemote Access activity logged on the Remote Access server Windows アカウンティングが選択されていることを確認します。Make sure that Windows Accounting is selected.
    VPN 用のアカウンティングサービスを実行するための NPSNPS to perform accounting services for VPN アカウンティングプロバイダRADIUS アカウンティングに変更してから、NPS をアカウンティングプロバイダとして構成します。Change Accounting provider to RADIUS Accounting and then configure the NPS as the accounting provider.
  15. [IPv4] タブを選択し、次の操作を行います。Select the IPv4 tab and do:

    a.a. [静的アドレスプール] を選択します。Select Static address pool.

    b.b. [追加] を選択して、IP アドレスプールを構成します。Select Add to configure an IP address pool.

    静的アドレスプールには、内部境界ネットワークからのアドレスが含まれている必要があります。The static address pool should contain addresses from the internal perimeter network. これらのアドレスは、企業ネットワークではなく、VPN サーバー上の内部ネットワーク接続上にあります。These addresses are on the internal-facing network connection on the VPN server, not the corporate network.

    c.c. [開始 ip アドレス] に、VPN クライアントに割り当てる範囲の開始 ip アドレスを入力します。In Start IP address, enter the starting IP address in the range you want to assign to VPN clients.

    d.d. [終了 ip アドレス] に、VPN クライアントに割り当てる範囲の終了 ip アドレスを入力するか、 [アドレス] 数 に、使用可能にするアドレスの番号を入力します。In End IP address, enter the ending IP address in the range you want to assign to VPN clients, or in Number of addresses, enter the number of the address you want to make available. このサブネットに DHCP を使用している場合は、DHCP サーバーで対応するアドレスの除外を構成してください。If you're using DHCP for this subnet, ensure that you configure a corresponding address exclusion on your DHCP servers.

    e.e. OptionalDHCP を使用している場合は、 [アダプター] を選択し、結果の一覧で、内部境界ネットワークに接続されているイーサネットアダプターを選択します。(Optional) If you are using DHCP, select Adapter, and in the list of results, select the Ethernet adapter connected to your internal perimeter network.

  16. OptionalVpn 接続の条件付きアクセスを構成する場合は、 [証明書] ドロップダウンリストの [SSL 証明書のバインド] で、VPN サーバー認証を選択します。(Optional) If you are configuring conditional access for VPN connectivity, from the Certificate drop-down list, under SSL Certificate Binding, select the VPN server authentication.

  17. OptionalVPN 接続の条件付きアクセスを構成する場合は、NPS MMC で [ポリシー\] [ネットワークポリシー ] の順に展開し、次の操作を行います。(Optional) If you are configuring conditional access for VPN connectivity, in the NPS MMC, expand Policies\Network Policies and do:

    a.a. Microsoft ルーティングとリモートアクセスサーバーのネットワークポリシーへの接続を右クリックし、 [プロパティ] を選択します。Right-the Connections to Microsoft Routing and Remote Access Server network policy and select Properties.

    b.b. [アクセス権の付与] を選択します。接続要求がこのポリシーオプションに一致する場合にアクセスを許可します。Select the Grant access. Grant access if the connection request matches this policy option.

    c.c. ネットワークアクセスサーバーの種類 で、ドロップダウンから リモートアクセスサーバー (VPN ダイヤルアップ) を選択します。Under Type of network access server, select Remote Access Server (VPN-Dial up) from the drop-down.

  18. [ルーティングとリモートアクセス] MMC で、[ポート] を右クリックし、 [プロパティ] を選択します。In the Routing and Remote Access MMC, right-click Ports, and then select Properties.

    [ポートのプロパティ] ダイアログボックスが表示されます。The Ports Properties dialog box opens.

  19. [WAN ミニポート (SSTP)] を選択し、 [構成] を選択します。Select WAN Miniport (SSTP) and select Configure. [デバイス-WAN ミニポート (SSTP) の構成] ダイアログボックスが表示されます。The Configure Device - WAN Miniport (SSTP) dialog box opens.

    a.a. [リモートアクセス接続 (受信のみ)][デマンドダイヤルルーティング接続 (受信および送信)] チェックボックスをオフにします。Clear the Remote access connections (inbound only) and Demand-dial routing connections (inbound and outbound) check boxes.

    b.b. [OK] を選択します。Select OK.

  20. [WAN ミニポート (L2TP)] を選択し、 [構成] を選択します。Select WAN Miniport (L2TP) and select Configure. [デバイス-WAN ミニポート (L2TP) の構成] ダイアログボックスが表示されます。The Configure Device - WAN Miniport (L2TP) dialog box opens.

    a.a. [最大ポート数] に、サポートする同時 VPN 接続の最大数に一致するポートの数を入力します。In Maximum ports, enter the number of ports to match the maximum number of simultaneous VPN connections that you want to support.

    b.b. [OK] を選択します。Select OK.

  21. [WAN ミニポート (PPTP)] を選択し、 [構成] を選択します。Select WAN Miniport (PPTP) and select Configure. [デバイスの構成-WAN ミニポート (PPTP)] ダイアログボックスが開きます。The Configure Device - WAN Miniport (PPTP) dialog box opens.

    a.a. [最大ポート数] に、サポートする同時 VPN 接続の最大数に一致するポートの数を入力します。In Maximum ports, enter the number of ports to match the maximum number of simultaneous VPN connections that you want to support.

    b.b. [OK] を選択します。Select OK.

  22. [WAN ミニポート (IKEv2)] を選択し、 [構成] を選択します。Select WAN Miniport (IKEv2) and select Configure. [デバイス-WAN ミニポート (IKEv2) の構成] ダイアログボックスが表示されます。The Configure Device - WAN Miniport (IKEv2) dialog box opens.

    a.a. [最大ポート数] に、サポートする同時 VPN 接続の最大数に一致するポートの数を入力します。In Maximum ports, enter the number of ports to match the maximum number of simultaneous VPN connections that you want to support.

    b.b. [OK] を選択します。Select OK.

  23. メッセージが表示されたら、 [はい] を選択してサーバーの再起動を確認し、 [閉じる] を選択してサーバーを再起動します。If prompted, select Yes to confirm restarting the server and select Close to restart the server.

次の手順Next step

手順 4.ネットワークポリシーサーバー (NPS)をインストールして構成します。この手順では、Windows PowerShell またはサーバーマネージャーの役割と機能の追加ウィザードを使用して、ネットワークポリシーサーバー (NPS) をインストールします。Step 4. Install and configure the Network Policy Server (NPS): In this step, you install Network Policy Server (NPS) by using either Windows PowerShell or the Server Manager Add Roles and Features Wizard. また、NPS が VPN サーバーから受信する接続要求のすべての認証、承認、およびアカウンティングの各作業を処理するように構成します。You also configure NPS to handle all authentication, authorization, and accounting duties for connection requests that it receives from the VPN server.