手順 2.Step 2. サーバーインフラストラクチャの構成Configure the server infrastructure

適用対象:Windows Server (半期チャネル)、Windows Server 2016、Windows Server 2012 R2、Windows 10Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016, Windows Server 2012 R2, Windows 10

この手順では、VPN をサポートするために必要なサーバー側コンポーネントをインストールして構成します。In this step, you'll install and configure the server-side components necessary to support the VPN. サーバー側のコンポーネントには、ユーザー、VPN サーバー、および NPS サーバーによって使用される証明書を配布するように PKI を構成することが含まれます。The server-side components include configuring PKI to distribute the certificates used by users, the VPN server, and the NPS server. また、IKEv2 接続をサポートするように RRAS を構成し、VPN 接続の承認を実行するために NPS サーバーを構成します。You also configure RRAS to support IKEv2 connections and the NPS server to perform authorization for the VPN connections.

グループポリシーで証明書の自動登録を構成するConfigure certificate autoenrollment in Group Policy

この手順では、ドメインメンバーがユーザーとコンピューターの証明書を自動的に要求するように、ドメインコントローラーでグループポリシーを構成します。In this procedure, you configure Group Policy on the domain controller so that domain members automatically request user and computer certificates. これにより、vpn ユーザーは VPN 接続を自動的に認証するユーザー証明書を要求および取得できます。Doing so allows VPN users to request and retrieve user certificates that authenticate VPN connections automatically. 同様に、このポリシーにより、NPS サーバーはサーバー認証証明書を自動的に要求することができます。Likewise, this policy allows NPS servers to request server authentication certificates automatically.

VPN サーバーに証明書を手動で登録します。You manually enroll certificates on VPN servers.

ヒント

ドメインに参加していないコンピューターについては、「ドメインに参加していないコンピューターの CA 構成」を参照してください。For non-domained joined computers, see CA configuration for non-domain joined computers. RRAS サーバーはドメインに参加していないため、自動登録を使用して VPN ゲートウェイ証明書を登録することはできません。Since the RRAS server is not domain joined, autoenrollment cannot be used to enroll the VPN gateway certificate. そのため、オフライン証明書の要求手順を使用します。Therefore, use an offline certificate request procedure.

  1. ドメインコントローラーで、[グループポリシー管理] を開きます。On a domain controller, open Group Policy Management.

  2. ナビゲーションウィンドウで、ドメイン (たとえば、corp.contoso.com) を右クリックし、[このドメインに GPO を作成し、この場所にリンクします] を選択します。In the navigation pane, right-click your domain (for example, corp.contoso.com), then select Create a GPO in this domain, and Link it here.

  3. [新しい GPO] ダイアログボックスで、「自動登録ポリシー」と入力し、[ OK] を選択します。On the New GPO dialog box, enter Autoenrollment Policy, then select OK.

  4. ナビゲーションウィンドウで、 [自動登録ポリシー] を右クリックし、 [編集] を選択します。In the navigation pane, right-click Autoenrollment Policy, then select Edit.

  5. グループポリシー管理エディターで、次の手順を実行して、コンピューター証明書の自動登録を構成します。In the Group Policy Management Editor, complete the following steps to configure computer certificate autoenrollment:

    1. ナビゲーションウィンドウで、[コンピューターの構成 > ] [ポリシー > ] [Windows の設定 > ] [セキュリティ設定 > ] [公開キーのポリシー] に移動します。In the navigation pane, go to Computer Configuration > Policies > Windows Settings > Security Settings > Public Key Policies.

    2. 詳細ウィンドウで、 [証明書サービスクライアント–自動登録] を右クリックし、 [プロパティ] を選択します。In the details pane, right-click Certificate Services Client – Auto-Enrollment, then select Properties.

    3. 証明書サービスクライアント-自動登録のプロパティ ダイアログボックスの 構成モデル で、有効 を選択します。On the Certificate Services Client – Auto-Enrollment Properties dialog box, in Configuration Model, select Enabled.

    4. [有効期限が切れた証明書を更新、保留中の証明書を更新、および破棄された証明書を削除する][証明書テンプレートを使用する証明書を更新する] を選択します。Select Renew expired certificates, update pending certificates, and remove revoked certificates and Update certificates that use certificate templates.

    5. [OK] を選択します。Select OK.

  6. グループポリシー管理エディターで、次の手順を実行して、ユーザー証明書の自動登録を構成します。In the Group Policy Management Editor, complete the following steps to Configure user certificate autoenrollment:

    1. ナビゲーションウィンドウで、[ユーザー構成 > ポリシー > ] [Windows 設定 > ] [セキュリティ設定 > ] [公開キーポリシー] の順番に移動します。In the navigation pane, go to User Configuration > Policies > Windows Settings > Security Settings > Public Key Policies.

    2. 詳細ウィンドウで [証明書サービス クライアント - 自動登録] を右クリックして [プロパティ] を選択します。In the details pane, right-click Certificate Services Client – Auto-Enrollment and select Properties.

    3. 証明書サービスクライアント-自動登録のプロパティ ダイアログボックスの 構成モデル で、有効 を選択します。On the Certificate Services Client – Auto-Enrollment Properties dialog box, in Configuration Model, select Enabled.

    4. [有効期限が切れた証明書を更新、保留中の証明書を更新、および破棄された証明書を削除する][証明書テンプレートを使用する証明書を更新する] を選択します。Select Renew expired certificates, update pending certificates, and remove revoked certificates and Update certificates that use certificate templates.

    5. [OK] を選択します。Select OK.

    6. グループ ポリシー管理エディターを閉じます。Close the Group Policy Management Editor.

  7. [グループ ポリシーの管理] を閉じます。Close Group Policy Management.

ドメインに参加していないコンピューターの CA 構成CA configuration for non-domain joined computers

RRAS サーバーはドメインに参加していないため、自動登録を使用して VPN ゲートウェイ証明書を登録することはできません。Since the RRAS server is not domain joined, autoenrollment cannot be used to enroll the VPN gateway certificate. そのため、オフライン証明書の要求手順を使用します。Therefore, use an offline certificate request procedure.

  1. RRAS サーバーで、「付録 A (セクション 0)」で提供されている証明書ポリシー要求例に基づいて、 Vpngatewayという名前のファイルを生成し、次のエントリをカスタマイズします。On the RRAS server, generate a file called VPNGateway.inf based upon the example certificate policy request provided in Appendix A (section 0) and customize the following entries:

    • [NewRequest] セクションで、サブジェクト名に使用されている vpn.contoso.com を、選択した [Customer] vpn エンドポイントの FQDN に置き換えます。In the [NewRequest] section, replace vpn.contoso.com used for the Subject Name with the chosen [Customer] VPN endpoint FQDN.

    • [Extensions] セクションで、サブジェクトの代替名に使用されている vpn.contoso.com を、選択した [Customer] vpn エンドポイントの FQDN に置き換えます。In the [Extensions] section, replace vpn.contoso.com used for the Subject Alternate Name with the chosen [Customer] VPN endpoint FQDN.

  2. Vpngateway .infファイルを保存するか、選択した場所にコピーします。Save or copy the VPNGateway.inf file to a chosen location.

  3. 管理者特権でのコマンドプロンプトで、 Vpngateway .infファイルが格納されているフォルダーに移動し、次のように入力します。From an elevated command prompt, navigate to the folder that contains the VPNGateway.inf file and type:

    certreq -new VPNGateway.inf VPNGateway.req
    
  4. 新しく作成したVpngateway. 必須出力ファイルを、証明機関サーバーまたは Privileged Access WORKSTATION (PAW) にコピーします。Copy the newly created VPNGateway.req output file to a Certification Authority server, or Privileged Access Workstation (PAW).

  5. 証明機関サーバー上の選択した場所、または Privileged Access Workstation (PAW) に、 Vpngateway. reqファイルを保存またはコピーします。Save or copy the VPNGateway.req file to a chosen location on the Certification Authority server, or Privileged Access Workstation (PAW).

  6. 管理者特権でのコマンドプロンプトで、前の手順で作成した VPNGateway. req ファイルが含まれているフォルダーに移動し、次のように入力します。From an elevated command prompt, navigate to the folder that contains the VPNGateway.req file created in the previous step and type:

    certreq -attrib “CertificateTemplate:[Customer]VPNGateway” -submit VPNgateway.req VPNgateway.cer
    
  7. [証明機関の一覧] ウィンドウが表示されたら、証明書の要求を処理する適切なエンタープライズ CA を選択します。If prompted by the Certification Authority List window, select the appropriate Enterprise CA to service the certificate request.

  8. 新しく作成したVpngateway .cerの出力ファイルを RRAS サーバーにコピーします。Copy the newly created VPNGateway.cer output file to the RRAS server.

  9. Vpngateway .cerファイルを、RRAS サーバー上の選択した場所に保存するかコピーします。Save or copy the VPNGateway.cer file to a chosen location on the RRAS server.

  10. 管理者特権でのコマンドプロンプトで、前の手順で作成した VPNGateway .cer ファイルが格納されているフォルダーに移動し、次のように入力します。From an elevated command prompt, navigate to the folder that contains the VPNGateway.cer file created in the previous step and type:

    certreq -accept VPNGateway.cer
    
  11. ここで説明するように、 [コンピューターアカウント] オプションを選択して、証明書 MMC スナップインを実行します。Run the Certificates MMC snap-in as described here selecting the Computer account option.

  12. 次のプロパティを使用して、RRAS サーバーの有効な証明書が存在することを確認します。Ensure that a valid certificate exists for the RRAS server with the following properties:

    • 目的: サーバー認証、IP セキュリティ IKE 中間Intended Purposes: Server Authentication, IP security IKE intermediate

    • 証明書テンプレート: [Customer] VPN ServerCertificate Template: [Customer] VPN Server

例:VPNGateway .inf スクリプトExample: VPNGateway.inf script

ここでは、帯域外プロセスを使用して VPN ゲートウェイ証明書を要求するために使用される証明書要求ポリシーのサンプルスクリプトを確認できます。Here you can see an example script of a certificate request policy used to request a VPN gateway certificate using an out-of-band process.

ヒント

証明書要求ポリシーフォルダーの下にある VPN オファリング IP キットに、VPNGateway .inf スクリプトのコピーがあります。You can find a copy of the VPNGateway.inf script in the VPN Offering IP Kit under the Certificate Request Policies folder. "Subject" と "_continue_" は顧客固有の値でのみ更新してください。Only update the 'Subject' and '_continue_' with customer-specific values.

[Version] 

Signature="$Windows NT$"

[NewRequest]
Subject = "CN=vpn.contoso.com"
Exportable = FALSE   
KeyLength = 2048     
KeySpec = 1          
KeyUsage = 0xA0      
MachineKeySet = True
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
RequestType = PKCS10 

[Extensions]
2.5.29.17 = "{text}"
_continue_ = "dns=vpn.contoso.com&"

VPN ユーザー、VPN サーバー、および NPS サーバーグループを作成するCreate the VPN Users, VPN Servers, and NPS Servers Groups

この手順では、VPN を使用して組織のネットワークに接続することが許可されているユーザーを含む新しい Active Directory (AD) グループを追加できます。In this procedure, you can add a new Active Directory (AD) group that contains the users allowed to use the VPN to connect to your organization network.

このグループは、次の2つの目的で機能します。This group serves two purposes:

  • VPN に必要なユーザー証明書の自動登録を許可するユーザーを定義します。It defines which users are allowed to autoenroll for the user certificates the VPN requires.

  • NPS が VPN アクセスを承認するユーザーを定義します。It defines which users the NPS authorizes for VPN access.

カスタムグループを使用すると、ユーザーの VPN アクセスを失効させたい場合は、そのユーザーをグループから削除できます。By using a custom group, if you ever want to revoke a user's VPN access, you can remove that user from the group.

また、VPN サーバーを含むグループと、NPS サーバーを含む別のグループを追加します。You also add a group containing VPN servers and another group containing NPS servers. これらのグループを使用して、証明書の要求をメンバーに制限します。You use these groups to restrict certificate requests to their members.

注意

DMA/境界内に存在する VPN サーバーは、ドメインに参加していないことをお勧めします。We recommend VPN servers that reside in the DMA/Perimeter not be domain-joined. ただし、管理しやすいように VPN サーバーをドメインに参加させたい場合は (グループポリシー、バックアップ/監視エージェント、管理するローカルユーザーがいないなど)、VPN サーバー証明書テンプレートに AD グループを追加します。However, if you prefer to have the VPN servers domain-joined for better manageability (Group Policies, Backup/Monitoring agent, no local users to manage, and so on), then add an AD group to the VPN server certificate template.

VPN ユーザーグループを構成するConfigure the VPN Users group

  1. ドメインコントローラーで Active Directory ユーザーとコンピューター を開きます。On a domain controller, open Active Directory Users and Computers.

  2. コンテナーまたは組織単位を右クリックし、 [新規作成][グループ] の選択 の順に選択します。Right-click a container or organizational unit, select New, then select Group.

  3. [グループ名] に「 VPN Users」と入力し、[ OK] を選択します。In Group name, enter VPN Users, then select OK.

  4. [VPN ユーザー] を右クリックし、 [プロパティ] を選択します。Right-click VPN Users and select Properties.

  5. VPN ユーザーのプロパティ ダイアログボックスの メンバー タブで、追加 を選択します。On the Members tab of the VPN Users Properties dialog box, select Add.

  6. [ユーザーの選択] ダイアログボックスで、VPN アクセスを必要とするすべてのユーザーを追加し、[ OK] を選択します。On the Select Users dialog box, add all the users who need VPN access and select OK.

  7. [Active Directory ユーザーとコンピューター] を閉じます。Close Active Directory Users and Computers.

VPN サーバーと NPS サーバーグループを構成するConfigure the VPN Servers and NPS Servers groups

  1. ドメインコントローラーで Active Directory ユーザーとコンピューター を開きます。On a domain controller, open Active Directory Users and Computers.

  2. コンテナーまたは組織単位を右クリックし、 [新規作成][グループ] の選択 の順に選択します。Right-click a container or organizational unit, select New, then select Group.

  3. [グループ名] に「 VPN Servers」と入力し、[ OK] を選択します。In Group name, enter VPN Servers, then select OK.

  4. [VPN サーバー] を右クリックし、 [プロパティ] を選択します。Right-click VPN Servers and select Properties.

  5. VPN サーバーのプロパティ ダイアログボックスの メンバー タブで、追加 を選択します。On the Members tab of the VPN Servers Properties dialog box, select Add.

  6. [オブジェクトの種類] を選択し、 [コンピューター] チェックボックスをオンにして、[ OK] を選択します。select Object Types, select the Computers check box, then select OK.

  7. [選択するオブジェクト名を入力してください] に VPN サーバーの名前を入力し、[ OK] を選択します。In Enter the object names to select, enter the names of your VPN servers, then select OK.

  8. [OK] を選択して、[VPN サーバーのプロパティ] ダイアログボックスを閉じます。Select OK to close the VPN Servers Properties dialog box.

  9. NPS サーバーグループに対して、前の手順を繰り返します。Repeat the previous steps for the NPS Servers group.

  10. [Active Directory ユーザーとコンピューター] を閉じます。Close Active Directory Users and Computers.

ユーザー認証テンプレートを作成するCreate the User Authentication template

この手順では、カスタムのクライアント/サーバー認証テンプレートを構成します。In this procedure, you configure a custom client-server authentication template. このテンプレートは、[アップグレードされた互換性レベル] を選択し、[Microsoft プラットフォーム暗号化プロバイダー] を選択して、証明書全体のセキュリティを向上させるために必要です。This template is required because you want to improve the certificate's overall security by selecting upgraded compatibility levels and choosing the Microsoft Platform Crypto Provider. この最後の変更により、クライアントコンピューターで TPM を使用して、証明書をセキュリティで保護することができます。This last change lets you use the TPM on the client computers to secure the certificate. TPM の概要については、「トラステッドプラットフォームモジュールテクノロジの概要」を参照してください。For an overview of the TPM, see Trusted Platform Module Technology Overview.

重要

VM を実行しているときに、次のエラーが表示される場合は、Microsoft プラットフォーム暗号化プロバイダー "に TPM チップが必要です。証明書を手動で登録しようとしたときに、"Microsoft ソフトウェアキー記憶域プロバイダー" を確認し、証明書の [暗号化] タブの [Microsoft プラットフォーム暗号化プロバイダー] の後に2番目の証明書を登録する必要がある場合は、[ローカルコンピューターに有効な CSP が見つかりません]属性.Microsoft Platform Crypto Provider" requires a TPM chip, in the case that you are running a VM and you get the following error: "Can not find a valid CSP in the local machine" when trying to manually enroll the certificate you need to check "Microsoft Software Key Storage Provider" and have it second in order after "Microsoft Platform Crypto Provider" in the Cryptography tab in certificate properties.

作業Procedure:

  1. CA で、[証明機関] を開きます。On the CA, open Certification Authority.

  2. ナビゲーションウィンドウで、 [証明書テンプレート] を右クリックし、 [管理] を選択します。In the navigation pane, right-click Certificate Templates and select Manage.

  3. 証明書テンプレート コンソールで、ユーザー を右クリックし、テンプレートの複製 を選択します。In the Certificate Templates console, right-click User and select Duplicate Template.

    警告

    手順10の前に、いつでも [適用] または [ OK] を選択しないでください。Do not select Apply or OK at any time prior to step 10. すべてのパラメーターを入力する前にこれらのボタンを選択すると、多くの選択肢が修正され、編集できなくなります。If you select these buttons before entering ALL parameters, many choices become fixed and no longer editable. たとえば、暗号化 タブで、プロバイダーのカテゴリ フィールドに レガシ暗号化記憶域プロバイダー が表示されている場合は、これは無効になり、それ以上の変更を防ぐことができます。For example, on the Cryptography tab, if Legacy Cryptographic Storage Provider shows in the Provider Category field, it becomes disabled, preventing any further change. 唯一の選択肢は、テンプレートを削除して再作成することです。The only alternative is to delete the template and recreate it.

  4. 新しいテンプレートのプロパティ ダイアログボックスの 全般 タブで、次の手順を実行します。On the Properties of New Template dialog box, on the General tab, complete the following steps:

    1. [テンプレート表示名] に「 VPN ユーザー認証」と入力します。In Template display name, type VPN User Authentication.

    2. [ Active Directory で証明書を発行する] チェックボックスをオフにします。Clear the Publish certificate in Active Directory check box.

  5. [セキュリティ] タブで、次の手順を実行します。On the Security tab, complete the following steps:

    1. [追加] をクリックします。Select Add.

    2. [ユーザー、コンピューター、サービスアカウントまたはグループの選択] ダイアログボックスで、「 VPN Users」と入力し、[ OK] を選択します。On the Select Users, Computers, Service Accounts, or Groups dialog box, enter VPN Users, then select OK.

    3. [グループ名またはユーザー名] で、 [VPN ユーザー] を選択します。In Group or user names, select VPN Users.

    4. [VPN ユーザーのアクセス許可] で、 [許可] 列の [登録] および [自動登録] チェックボックスをオンにします。In Permissions for VPN Users, select the Enroll and Autoenroll check boxes in the Allow column.

      ヒント

      必ず [読み取り] チェックボックスがオンになっていることを確認してください。Make sure to keep the Read check box selected. 言い換えると、登録に対する読み取りアクセス許可が必要です。In other words, you need the Read permissions for enrollment.

    5. [グループ名またはユーザー名] で、 [ドメインユーザー] を選択し、 [削除] を選択します。In Group or user names, select Domain Users, then select Remove.

  6. [互換性] タブで、次の手順を実行します。On the Compatibility tab, complete the following steps:

    1. [証明機関] で、 [Windows Server 2012 R2] を選択します。In Certification Authority, select Windows Server 2012 R2.

    2. [結果の変更] ダイアログボックスで、 [OK] を選択します。On the Resulting changes dialog box, select OK.

    3. [証明書の受信者] で、 [Windows 8.1/Windows Server 2012 R2] を選択します。In Certificate recipient, select Windows 8.1/Windows Server 2012 R2.

    4. [結果の変更] ダイアログボックスで、 [OK] を選択します。On the Resulting changes dialog box, select OK.

  7. [要求処理] タブで、 [秘密キーのエクスポートを許可する] チェックボックスをオフにします。On the Request Handling tab, clear the Allow private key to be exported check box.

  8. [暗号化] タブで、次の手順を実行します。On the Cryptography tab, complete the following steps:

    1. [プロバイダー] カテゴリで、 [キー記憶域プロバイダー] を選択します。In Provider Category, select Key Storage Provider.

    2. Select要求では、次のいずれかのプロバイダーを使用する必要があります。Select Requests must use one of the following providers.

    3. [Microsoft プラットフォーム暗号化プロバイダー] チェックボックスをオンにします。Select the Microsoft Platform Crypto Provider check box.

  9. [サブジェクト名] タブで、すべてのユーザーアカウントに電子メールアドレスが一覧表示されていない場合は、[サブジェクト名と電子メール名 に電子メール名を含める] チェックボックスをオフにします。On the Subject Name tab, if you don't have an email address listed on all user accounts, clear the Include e-mail name in subject name and E-mail name check boxes.

  10. [ OK] を選択して、VPN ユーザー認証証明書テンプレートを保存します。Select OK to save the VPN User Authentication certificate template.

  11. [証明書テンプレート] コンソールを閉じます。Close the Certificate Templates console.

  12. 証明機関スナップインのナビゲーションウィンドウで、 [証明書テンプレート] を右クリックし、 [新規作成] をクリックして、 [発行する証明書テンプレート] を選択します。In the navigation pane of the Certification Authority snap-in, right-click Certificate Templates, select New and then select Certificate Template to Issue.

  13. [VPN ユーザー認証] を選択し、[ OK] を選択します。Select VPN User Authentication, then select OK.

  14. 証明機関スナップインを閉じます。Close the Certification Authority snap-in.

VPN サーバーの認証テンプレートを作成するCreate the VPN Server Authentication template

この手順では、VPN サーバーの新しいサーバー認証テンプレートを構成できます。In this procedure, you can configure a new Server Authentication template for your VPN server. IP セキュリティ (IPsec) IKE 中間アプリケーションポリシーを追加すると、サーバー認証の拡張キー使用法で複数の証明書が使用可能な場合に、サーバーは証明書をフィルター処理できます。Adding the IP Security (IPsec) IKE Intermediate application policy allows the server to filter certificates if more than one certificate is available with the Server Authentication extended key usage.

重要

VPN クライアントはパブリックインターネットからこのサーバーにアクセスするため、サブジェクト名と別名は内部サーバー名とは異なります。Because VPN clients access this server from the public Internet, the subject and alternative names are different than the internal server name. このため、この証明書を VPN サーバーに自動登録することはできません。As a result, you cannot autoenroll this certificate on VPN servers.

前提条件:Prerequisites:

ドメインに参加している VPN サーバーDomain-joined VPN servers

作業Procedure:

  1. CA で、[証明機関] を開きます。On the CA, open Certification Authority.

  2. ナビゲーションウィンドウで、 [証明書テンプレート] を右クリックし、 [管理] を選択します。In the navigation pane, right-click Certificate Templates and select Manage.

  3. 証明書テンプレート コンソールで、 RAS および IAS サーバー を右クリックし、テンプレートの複製 を選択します。In the Certificate Templates console, right-click RAS and IAS Server and select Duplicate Template.

  4. 新しいテンプレートのプロパティ ダイアログボックスの 全般 タブで、テンプレート表示名 に、vpn サーバーのわかりやすい名前を入力します。たとえば、「 vpn サーバー認証」や「 RADIUS サーバー」のように指定します。On the Properties of New Template dialog box, on the General tab, in Template display name, enter a descriptive name for the VPN server, for example, VPN Server Authentication or RADIUS Server.

  5. [拡張] タブで、次の手順を実行します。On the Extensions tab, complete the following steps:

    1. [アプリケーションポリシー] を選択し、 [編集] を選択します。Select Application Policies, then select Edit.

    2. [アプリケーションポリシーの拡張の編集] ダイアログボックスで、 [追加] を選択します。In the Edit Application Policies Extension dialog box, select Add.

    3. [アプリケーションポリシーの追加] ダイアログボックスで、 [IP セキュリティ IKE 中間] を選択し、[ OK] を選択します。On the Add Application Policy dialog box, select IP security IKE intermediate, then select OK.

      IP セキュリティ IKE 中間を EKU に追加すると、複数のサーバー認証証明書が VPN サーバーに存在する場合に役立ちます。Adding IP security IKE intermediate to the EKU helps in scenarios where more than one server authentication certificate exists on the VPN server. IP セキュリティ IKE 中間が存在する場合、IPSec は両方の EKU オプションを持つ証明書のみを使用します。When IP security IKE intermediate is present, IPSec only uses the certificate with both EKU options. これを行わないと、IKEv2 認証はエラー13801で失敗する可能性があります。IKE 認証の資格情報は受け入れられません。Without this, IKEv2 authentication could fail with Error 13801: IKE authentication credentials are unacceptable.

    4. [OK] を選択して、 [新しいテンプレートのプロパティ] ダイアログボックスに戻ります。Select OK to return to the Properties of New Template dialog box.

  6. [セキュリティ] タブで、次の手順を実行します。On the Security tab, complete the following steps:

    1. [追加] をクリックします。Select Add.

    2. [ユーザー、コンピューター、サービスアカウントまたはグループの選択] ダイアログボックスで、「 VPN サーバー」と入力し、[ OK] を選択します。On the Select Users, Computers, Service Accounts, or Groups dialog box, enter VPN Servers, then select OK.

    3. [グループ名またはユーザー名] で、 [VPN サーバー] を選択します。In Group or user names, select VPN Servers.

    4. [VPN サーバーのアクセス許可] で、 [許可] 列の [登録] チェックボックスをオンにします。In Permissions for VPN Servers, select the Enroll check box in the Allow column.

    5. [グループ名またはユーザー名] で、 [RAS および IAS サーバー] を選択し、 [削除] を選択します。In Group or user names, select RAS and IAS Servers, then select Remove.

  7. [サブジェクト名] タブで、次の手順を実行します。On the Subject Name tab, complete the following steps:

    1. [要求に含まれる] を選択します。Select Supply in the Request.

    2. [証明書テンプレートの警告] ダイアログボックスで、[ OK] を選択します。On the Certificate Templates warning dialog box, select OK.

  8. OptionalVPN 接続の条件付きアクセスを構成している場合は、 [要求処理] タブを選択し、 [秘密キーのエクスポートを許可する] を選択します。(Optional) If you're configuring conditional access for VPN connectivity, select the Request Handling tab, then select Allow private key to be exported.

  9. [ OK] を選択して、VPN サーバー証明書テンプレートを保存します。Select OK to save the VPN Server certificate template.

  10. [証明書テンプレート] コンソールを閉じます。Close the Certificate Templates console.

  11. 証明機関スナップインのナビゲーションウィンドウで、 [証明書テンプレート] を右クリックし、 [新規作成] をクリックして、 [発行する証明書テンプレート] をクリックします。In the navigation pane of the Certification Authority snap-in, right-click Certificate Templates, click New and then click Certificate Template to Issue.

  12. 証明機関サービスを再起動します。(*)Restart the Certificate Authority services.(*)

  13. 証明機関スナップインのナビゲーションウィンドウで、 [証明書テンプレート] を右クリックし、 [新規作成] をクリックして、 [発行する証明書テンプレート] を選択します。In the navigation pane of the Certification Authority snap-in, right-click Certificate Templates, select New and then select Certificate Template to Issue.

  14. 上記の手順4で選択した名前を選択し、[ OK] をクリックします。Select the name you chose in step 4 above, and click OK.

  15. 証明機関スナップインを閉じます。Close the Certification Authority snap-in.

  • CMD で次のコマンドを実行して、CA サービスを停止または開始できます。You can stop/start the CA service by running the following command in CMD:
Net Stop "certsvc"
Net Start "certsvc"

NPS サーバー認証テンプレートを作成するCreate the NPS Server Authentication template

作成する3番目と最後の証明書テンプレートは、NPS サーバー認証テンプレートです。The third and last certificate template to create is the NPS Server Authentication template. NPS サーバー認証テンプレートは、このセクションで既に作成した NPS サーバーグループに対してセキュリティで保護された RAS および IAS サーバーテンプレートの単純なコピーです。The NPS Server Authentication template is a simple copy of the RAS and IAS Server template secured to the NPS Server group that you created earlier in this section.

この証明書は自動登録用に構成します。You will configure this certificate for autoenrollment.

作業Procedure:

  1. CA で、[証明機関] を開きます。On the CA, open Certification Authority.

  2. ナビゲーションウィンドウで、 [証明書テンプレート] を右クリックし、 [管理] を選択します。In the navigation pane, right-click Certificate Templates and select Manage.

  3. 証明書テンプレート コンソールで、 RAS および IAS サーバー を右クリックし、テンプレートの複製 を選択します。In the Certificate Templates console, right-click RAS and IAS Server, and select Duplicate Template.

  4. 新しいテンプレートのプロパティ ダイアログボックスの 全般 タブで、テンプレート表示名 に「 NPS サーバー認証」と入力します。On the Properties of New Template dialog box, on the General tab, in Template display name, type NPS Server Authentication.

  5. [セキュリティ] タブで、次の手順を実行します。On the Security tab, complete the following steps:

    1. [追加] をクリックします。Select Add.

    2. [ユーザー、コンピューター、サービスアカウントまたはグループの選択] ダイアログボックスで、「 NPS サーバー」と入力し、[ OK] を選択します。On the Select Users, Computers, Service Accounts, or Groups dialog box, enter NPS Servers, then select OK.

    3. [グループ名またはユーザー名] で、 [NPS サーバー] を選択します。In Group or user names, select NPS Servers.

    4. [NPS サーバーのアクセス許可] で、 [許可] 列の [登録] および [自動登録] チェックボックスをオンにします。In Permissions for NPS Servers, select the Enroll and Autoenroll check boxes in the Allow column.

    5. [グループ名またはユーザー名] で、 [RAS および IAS サーバー] を選択し、 [削除] を選択します。In Group or user names, select RAS and IAS Servers, then select Remove.

  6. [ OK] を選択して、NPS サーバー証明書テンプレートを保存します。Select OK to save the NPS Server certificate template.

  7. [証明書テンプレート] コンソールを閉じます。Close the Certificate Templates console.

  8. 証明機関スナップインのナビゲーションウィンドウで、 [証明書テンプレート] を右クリックし、 [新規作成] をクリックして、 [発行する証明書テンプレート] を選択します。In the navigation pane of the Certification Authority snap-in, right-click Certificate Templates, select New and then select Certificate Template to Issue.

  9. [NPS サーバー認証] を選択し、[ OK] を選択します。Select NPS Server Authentication, and select OK.

  10. 証明機関スナップインを閉じます。Close the Certification Authority snap-in.

ユーザー証明書の登録と検証Enroll and validate the user certificate

ユーザー証明書の自動登録にはグループポリシーを使用しているため、ポリシーのみを更新する必要があり、Windows 10 は正しい証明書のユーザーアカウントを自動的に登録します。Because you're using Group Policy to autoenroll user certificates, you need only update the policy, and Windows 10 will automatically enroll the user account for the correct certificate. その後、証明書コンソールで証明書を検証できます。You can then validate the certificate in the Certificates console.

作業Procedure:

  1. ドメインに参加しているクライアントコンピューターに、 VPN ユーザーグループのメンバーとしてサインインします。Sign in to a domain-joined client computer as a member of the VPN Users group.

  2. Windows キー + R キーを押し、「 gpupdate/force」と入力して、enter キーを押します。Press Windows key + R, type gpupdate /force, and press Enter.

  3. [スタート] メニューで「 certmgr.exe」と入力し、enter キーを押します。On the Start menu, type certmgr.msc, and press Enter.

  4. 証明書 スナップインで、個人証明書 を選択します。In the Certificates snap-in, under Personal, select Certificates. 証明書が詳細ウィンドウに表示されます。Your certificates appear in the details pane.

  5. 現在のドメインユーザー名を持つ証明書を右クリックし、 [開く] を選択します。Right-click the certificate that has your current domain username, and then select Open.

  6. [全般] タブで、有効期間の [開始] の下に表示されている日付が今日の日付であることを確認します。On the General tab, confirm that the date listed under Valid from is today's date. そうでない場合は、間違った証明書を選択している可能性があります。If it isn't, you might have selected the wrong certificate.

  7. OK を選択し、証明書 スナップインを閉じます。Select OK, and close the Certificates snap-in.

サーバー証明書の登録と検証Enroll and validate the server certificates

ユーザー証明書とは異なり、VPN サーバーの証明書を手動で登録する必要があります。Unlike the user certificate, you must manually enroll the VPN server's certificate. 登録したら、ユーザー証明書に使用したのと同じプロセスを使用して検証します。After you've enrolled it, validate it by using the same process you used for the user certificate. ユーザー証明書と同様に、NPS サーバーは認証証明書を自動的に登録します。そのため、これを検証するだけで済みます。Like the user certificate, the NPS server automatically enrolls its authentication certificate, so all you need to do is validate it.

注意

これらの手順を完了する前に、VPN サーバーと NPS サーバーを再起動して、グループメンバーシップを更新することが必要になる場合があります。You might need to restart the VPN and NPS servers to allow them to update their group memberships before you can complete these steps.

VPN サーバー証明書の登録と検証Enroll and validate the VPN server certificate

  1. VPN サーバーの [スタート] メニューで、「 certlm .msc」と入力し、enter キーを押します。On the VPN server's Start menu, type certlm.msc, and press Enter.

  2. [個人] を右クリックし、 [すべてのタスク] を選択し、 [新しい証明書の要求] を選択して証明書の登録ウィザードを起動します。Right-click Personal, select All Tasks and then select Request New Certificate to start the Certificate Enrollment Wizard.

  3. 開始する前に ページで、次へ を選択します。On the Before You Begin page, select Next.

  4. 証明書の登録ポリシーの選択 ページで、次へ を選択します。On the Select Certificate Enrollment Policy page, select Next.

  5. [証明書の要求] ページで、VPN サーバーの横にあるチェックボックスをオンにします。On the Request Certificates page, select the check box next to the VPN server to select it.

  6. VPN サーバー] チェックボックスで、 [詳細情報が必要] をクリックして [証明書のプロパティ ダイアログボックスを開き、次の手順を実行します。Under the VPN server check box, select More information is required to open the Certificate Properties dialog box and complete the following steps:

    1. [サブジェクト] タブを選択し、 [サブジェクト名][共通名] を選択します。Select the Subject tab, select Common Name under Subject name, in Type.

    2. [サブジェクト名][値] に、VPN への接続に使用する外部ドメインクライアントの名前を入力します (たとえば、vpn.contoso.com)。次に、 [追加] を選択します。Under Subject name, in Value, enter the name of the external domain clients used to connect to the VPN, for example, vpn.contoso.com, then select Add.

    3. [代替名][種類] で、 [DNS] を選択します。Under Alternative Name, in Type, select DNS.

    4. [代替名][値] に、クライアントが vpn への接続に使用するすべてのサーバー名 (vpn.contoso.com、vpn、132.64.86.2 など) を入力します。Under Alternative Name, in Value, enter all of the server names clients use to connect to the VPN, for example, vpn.contoso.com, vpn, 132.64.86.2.

    5. 各名前を入力したら、 [追加] を選択します。Select Add after entering each name.

    6. 完了したら [ OK] を選択します。Select OK when finished.

  7. [登録] を選択します。Select Enroll.

  8. [完了] を選択します。Select Finish.

  9. 証明書 スナップインで、個人証明書 を選択します。In the Certificates snap-in, under Personal, select Certificates.

    一覧表示された証明書が詳細ウィンドウに表示されます。Your listed certificates appear in the details pane.

  10. VPN サーバーの名前が含まれている証明書を右クリックし、 [開く] を選択します。Right-click the certificate that has your VPN server's name, and then select Open.

  11. [全般] タブで、有効期間の [開始] の下に表示されている日付が今日の日付であることを確認します。On the General tab, confirm that the date listed under Valid from is today's date. そうでない場合は、間違った証明書を選択している可能性があります。If it isn't, you might have selected the incorrect certificate.

  12. [詳細] タブで、 [拡張キー使用法] を選択し、 [IP セキュリティ IKE 中間][サーバー認証] が一覧に表示されていることを確認します。On the Details tab, select Enhanced Key Usage, and verify that IP security IKE intermediate and Server Authentication display in the list.

  13. [OK] を選択して証明書を閉じます。Select OK to close the certificate.

  14. 証明書スナップインを閉じます。Close the Certificates snap-in.

NPS サーバー証明書を検証するValidate the NPS server certificate

  1. NPS サーバーを再起動します。Restart the NPS server.

  2. NPS サーバーの [スタート] メニューで、「 certlm .msc」と入力し、enter キーを押します。On the NPS server's Start menu, type certlm.msc, and press Enter.

  3. 証明書 スナップインで、個人証明書 を選択します。In the Certificates snap-in, under Personal, select Certificates.

    一覧表示された証明書が詳細ウィンドウに表示されます。Your listed certificates appear in the details pane.

  4. NPS サーバーの名前が含まれている証明書を右クリックし、 [開く] を選択します。Right-click the certificate that has your NPS server's name, and then select Open.

  5. [全般] タブで、有効期間の [開始] の下に表示されている日付が今日の日付であることを確認します。On the General tab, confirm that the date listed under Valid from is today's date. そうでない場合は、間違った証明書を選択している可能性があります。If it isn't, you might have selected the incorrect certificate.

  6. [OK] を選択して証明書を閉じます。Select OK to close the certificate.

  7. 証明書スナップインを閉じます。Close the Certificates snap-in.

次の手順Next steps

手順 3.Always On VPN用のリモートアクセスサーバーを構成します。この手順では、IKEv2 VPN 接続を許可するようにリモートアクセス VPN を構成し、他の VPN プロトコルからの接続を拒否し、IP アドレスの発行用に静的 IP アドレスプールを割り当てて、承認された VPN クライアントに接続します。Step 3. Configure the Remote Access Server for Always On VPN: In this step, you configure Remote Access VPN to allow IKEv2 VPN connections, deny connections from other VPN protocols, and assign a static IP address pool for issuance of IP addresses to connecting authorized VPN clients.