Windows Server 2003 で仮想プライベート ネットワーク サーバーのインストールと構成を行う方法

文書翻訳 文書翻訳
文書番号: 323441 - 対象製品
すべて展開する | すべて折りたたむ

目次

概要

この資料では、Windows Server 2003 を実行しているサーバーに仮想プライベート ネットワーク (VPN) をインストールする方法と、新しい VPN 接続を作成する方法について順を追って説明します。

仮想プライベート ネットワーク (VPN) を使用すると、インターネットなどの別のネットワークを経由して、コンポーネントをネットワークに接続できます。Windows Server 2003 ベースのコンピュータをリモート アクセス サーバーとして構成することで、他のユーザーは VPN を使用して接続し、ローカル ドライブやネットワーク上の共有ファイルにアクセスできるようになります。VPN は、インターネットや他のパブリック ネットワークを "トンネリング" することにより、プライベート ネットワークと同等のセキュリティと機能を提供します。VPN を使用することにより、インターネットのルーティング インフラストラクチャを使用して、パブリック ネットワークを経由してデータ転送を行えます。ユーザーからは、専用のプライベート リンク上でデータが送信されているように見えます。



VPN の概要

仮想プライベート ネットワーク (VPN) は、パブリック ネットワーク (インターネットなど) を経由して、プライベート ネットワーク (オフィスのネットワークなど) を接続するための機能です。VPN は、ダイヤルアップ サーバーに対するダイヤルアップ接続の簡便さと、インターネット接続の柔軟性という利点を兼ね備えています。たとえば、世界中を旅行している場合でも、最寄りの ISP アクセス ポイントにダイヤルをすれば、インターネットを経由し、さまざまな場所からあなたのオフィスのコンピュータに接続することができます。コンピュータ (および接続先のオフィス) で CATV や DSL などの高速のインターネット接続を使用できる場合は、インターネットの最高速度で通信できます。これは、アナログ モデムを使用したダイヤルアップ接続よりもはるかに高速です。この技術を使用することにより、セキュリティで通信を保護しながら、パブリック ネットワークを使用して本社から支店または他の会社に接続できます。インターネットを経由する VPN 接続は、論理的には、専用の広域ネットワーク (WAN) リンクとして機能します。

VPN では、ユーザー認証を行うリンクを使用して、許可されたユーザーだけがネットワークに接続できることを保証します。パブリック ネットワークを流れるデータをセキュリティで保護するために、Windows では、Point-to-Point トンネリング プロトコル (PPTP) またはレイヤ 2 トンネリング プロトコル (L2TP) を使用して、データを暗号化しています。

VPN の構成要素

Windows Server 2003 を実行しているサーバーの VPN は、VPN サーバー、VPN クライアント、VPN 接続 (接続のデータ暗号化部分)、およびトンネル (接続のデータ カプセル化部分) で構成されます。トンネリングは、Windows Server 2003 を実行しているサーバーに付属するトンネリング プロトコルのいずれか 1 つを使用して行われます。これらのプロトコルは、いずれもルーティングとリモート アクセスと一緒にインストールされます。ルーティングとリモート アクセス サービスは、Windows Server 2003 のインストール中に自動的にインストールされます。ただし、デフォルトでは、ルーティングとリモート アクセス サービスは無効になっています。
Windows に含まれるトンネリング プロトコルは次の 2 つです。
  • Point-to-Point トンネリング プロトコル (PPTP) : Microsoft Point-to-Point 暗号化を使用してデータの暗号化を実現します。
  • レイヤ 2 トンネリング プロトコル (L2TP) : IPSec を使用して、データの暗号化、認証および整合性を実現します。
インターネットへの接続では、T1、フラクショナル T1、またはフレーム リレーなどの専用線を使用する必要があります。ドメインに割り当てられた、またはインターネット サービス プロバイダ (ISP) によって提供される IP アドレスとサブネット マスクを使用して WAN アダプタを構成する必要があります。また WAN アダプタは、ISP ルーターのデフォルト ゲートウェイとして構成する必要もあります。

: VPN を有効にするには、管理者権限を持つアカウントを使用してログオンする必要があります。

VPN サーバーをインストールして有効にする方法

VPN サーバーをインストールして有効にするには、次の手順を実行します。
  1. [スタート] ボタンをクリックし、[管理ツール] をポイントし、[ルーティングとリモート アクセス] をクリックします。
  2. コンソールの左ウィンドウで、ローカル サーバー名に一致するサーバー アイコンをクリックします。赤い下向きの矢印がアイコンの右下に表示される場合は、ルーティングとリモート アクセス サービスが有効になっていません。緑色の上向きの矢印がアイコンの右下に表示される場合は、ルーティングとリモート アクセス サービスが有効になっています。ルーティングとリモート アクセス サービスが以前に有効になっていた場合は、サーバーの再構成が必要になるときがあります。サーバーを再構成するには、次の手順を実行します。
    1. サーバー オブジェクトを右クリックし、[ルーティングとリモート アクセスの無効化] をクリックします。ダイアログ ボックスに情報メッセージが表示されたら、[はい] をクリックして先に進みます。
    2. サーバー アイコンを右クリックし、[ルーティングとリモート アクセスの構成と有効化] をクリックして [ルーティングとリモート アクセス サーバーのセットアップ ウィザード] を起動します。[次へ] をクリックして先に進みます。
    3. [リモート アクセス (ダイヤルアップまたは VPN)] をクリックして、リモート コンピュータによるダイヤルインやインターネットを経由してこのネットワークへの接続を可能にします。[次へ] をクリックして先に進みます。
  3. このサーバーに割り当てる役割に応じて、[VPN] または [ダイヤルアップ] をオンにします。
  4. [VPN 接続] ウィンドウで、インターネットに接続するネットワーク インターフェイスをクリックして、[次へ] をクリックします。
  5. [IP アドレスの割り当て] ウィンドウで、DHCP サーバーを使用してアドレスをリモート クライアントに割り当てる場合は [自動] を、事前に定義したアドレス プールのアドレスをリモート クライアントに与える場合は [指定したアドレス範囲から] をクリックします。ほとんどの場合、DHCP のオプションを選択する方が管理は容易です。ただし、DHCP を利用できない場合は、静的アドレスの範囲を指定する必要があります。[次へ] をクリックして先に進みます。
  6. [指定したアドレス範囲から] をクリックした場合は、[アドレス範囲の割り当て] ダイアログ ボックスが表示されます。[新規] をクリックします。使用するアドレス範囲の最初のアドレスを [開始 IP アドレス] ボックスに入力します。アドレス範囲の最後のアドレスを [終了 IP アドレス] ボックスに入力します。Windows によってアドレスの数が自動的に計算されます。[OK] をクリックして、[アドレス範囲の割り当て] ウィンドウに戻ります。[次へ] をクリックして先に進みます。
  7. デフォルト設定の [いいえ ルーティングとリモート アクセスを使って接続要求を認証します。] をそのまま使用し、[次へ] をクリックして先に進みます。[完了] をクリックして、ルーティングとリモート アクセス サービスを有効にし、サーバーをリモート アクセス サーバーとして構成します。

VPN サーバーの構成方法

必要な VPN サーバーの構成を続行するには、次の手順を実行します。

リモート アクセス サーバーをルーターとして構成する方法

リモート アクセス サーバーでプライベート ネットワーク内のトラフィックを適切に転送するには、イントラネット内のすべての場所にリモート アクセス サーバーからアクセスできるように、静的ルートまたはルーティング プロトコルのいずれかを使用して、リモート アクセス サーバーをルーターとして構成する必要があります。

サーバーをルーターとして構成するには、以下の手順を実行します。
  1. [スタート] ボタンをクリックし、[管理ツール] をポイントし、[ルーティングとリモート アクセス] をクリックします。
  2. サーバー名を右クリックし、[プロパティ] をクリックします。
  3. [全般] タブをクリックし、[このコンピュータを次のように有効にします] の [ルーター] をオンにします。
  4. [LAN およびデマンド ダイヤルのルーティング] をクリックし、[OK] をクリックして [プロパティ] ダイアログ ボックスを閉じます。

同時接続数を変更する方法

ダイヤルアップ モデム接続の数は、サーバーにインストールされているモデムの数に依存します。たとえば、サーバーにモデムが 1 つしかない場合、同時に確立できるモデム接続は 1 つだけです。

ダイヤルアップ VPN 接続の数は、リモート アクセス サーバーで許可されている同時ユーザーの数に依存します。デフォルトでは、この資料に記述されている手順を実行すると、128 の接続が許可されます。同時接続数を変更するには、次の手順を実行します。
  1. [スタート] ボタンをクリックし、[管理ツール] をポイントし、[ルーティングとリモート アクセス] をクリックします。
  2. サーバー オブジェクトをダブルクリックして展開し、[ポート] を右クリックして、[プロパティ] をクリックします。
  3. [ポートのプロパティ] ダイアログ ボックスで、[WAN ミニポート (PPTP)] をクリックして、[構成] をクリックします。
  4. [ポートの最大数] ボックスに、許可する VPN 接続の数を入力します。
  5. [OK] を 2 回クリックして、[ルーティングとリモート アクセス] を閉じます。

アドレスとネーム サーバーを管理する方法

VPN サーバーでは、接続プロセスの IP Control Protocol (IPCP) のネゴシエーション フェーズで VPN サーバーの仮想インターフェイスと VPN クライアントに割り当てる IP アドレスを確保しておく必要があります。VPN クライアントに割り当てた IP アドレスが、VPN クライアントの仮想インターフェイスに割り当てられます。

Windows Server 2003 ベースの VPN サーバーの場合、デフォルトでは、VPN クライアントに割り当てられる IP アドレスの取得には DHCP を使用します。静的 IP アドレス プールを構成することもできます。また、VPN サーバーは名前解決サーバーを使用して構成する必要があります。一般に、DNS サーバーや WINS サーバーのアドレスを使用します。

アクセスを管理する方法

ダイヤルアップ ネットワークと VPN 接続へのアクセスを管理するには、ユーザー アカウントのダイヤルイン プロパティとリモート アクセス ポリシーを構成します。

: デフォルトでは、ユーザーのダイヤルアップ ネットワークへのアクセスは拒否されます。

ユーザー アカウントによるアクセス

ユーザーごとにリモート アクセスを管理する場合に、ダイヤルイン アクセスをユーザー アカウントに与えるには、次の手順を実行します。
  1. [スタート] ボタンをクリックし、[管理ツール] をポイントして、[Active Directory ユーザーとコンピュータ] をクリックします。
  2. ユーザー アカウントを右クリックし、[プロパティ] をクリックします。
  3. [ダイヤルイン] タブをクリックします。
  4. [アクセスを許可] をクリックして、ユーザーにダイヤルインのアクセス許可を与え、[OK] をクリックします。

グループ メンバシップによるアクセス

グループごとにリモート アクセスを管理する場合は、次の手順を実行します。
  1. VPN 接続の作成を許可されたメンバを使用してグループを作成します。
  2. [スタート] ボタンをクリックし、[管理ツール] をポイントし、[ルーティングとリモート アクセス] をクリックします。
  3. コンソール ツリーで [ルーティングとリモート アクセス] を展開し、さらにサーバー名を展開して、[リモート アクセス ポリシー] をクリックします。
  4. 右ウィンドウ内を右クリックし、[新規作成] をポイントして、[リモート アクセス ポリシー] をクリックします。
  5. [次へ] をクリックし、ポリシー名を入力して、[次へ] をクリックします。
  6. 仮想プライベート アクセスのアクセス方法の [VPN] か、ダイヤルアップ アクセスの [ダイヤルアップ] をクリックして、[次へ] をクリックします。
  7. [追加] をクリックし、手順 1. で作成したグループの名前を入力して、[次へ] をクリックします。
  8. 画面の指示に従ってウィザードを完了します。


VPN サーバーが既にダイヤルアップ ネットワークのリモート アクセス サービスを許可している場合は、デフォルトのポリシーを削除しないでください。代わりに、そのポリシーが最後に評価されるようにポリシーを移動します。

クライアント コンピュータで VPN 接続を構成する方法

VPN への接続をセットアップするには、次の手順を実行します。クライアントで仮想プライベート ネットワーク アクセスをセットアップするには、クライアント ワークステーションで次の手順を実行します。

: 次の手順を実行するには、Administrators グループのメンバとしてログオンする必要があります。

: Microsoft Windows には複数のバージョンが存在するため、使用中のコンピュータによっては以下の手順が異なる場合があります。この場合、製品のマニュアルを参照のうえ、手順を実行するようにしてください。
  1. クライアント コンピュータで、インターネット接続が正しく設定されていることを確認します。
  2. [スタート] ボタンをクリックし、[コントロール パネル] をクリックして、[ネットワーク接続] をクリックします。[ネットワーク タスク] の [新しい接続を作成する] をクリックして、[次へ] をクリックします。
  3. [職場のネットワークへ接続する] をクリックして、ダイヤルアップ接続を作成します。[次へ] をクリックして先に進みます。
  4. [仮想プライベート ネットワーク接続] をクリックし、[次へ] をクリックします。
  5. [接続名] ダイアログ ボックスで、[会社名] ボックスにこの接続のわかりやすい名前を入力し、[次へ] をクリックします。
  6. コンピュータがインターネットに常時接続されている場合は、[最初の接続にダイヤルしない] をクリックします。インターネット サービス プロバイダ (ISP) を経由してコンピュータをインターネットに接続する場合は、[次の最初の接続に自動的にダイヤルする] をクリックして、ISP への接続の名前をクリックします。[次へ] をクリックします。
  7. VPN サーバー コンピュータの IP アドレスかホスト名 (たとえば「VPNServer.SampleDomain.com」) を入力します。
  8. ワークステーションにログオンするユーザー全員にダイヤルアップ接続へのアクセスを許可する場合は、[すべてのユーザー] をクリックします。現在ログオンしているユーザーだけがダイヤルアップ接続を利用できるようにする場合は、[自分のみ] をクリックします。[次へ] をクリックします。
  9. [完了] をクリックして接続を保存します。
  10. [スタート] ボタンをクリックし、[コントロール パネル] をクリックして、[ネットワーク接続] をクリックします。
  11. 新たに作成した VPN 接続をダブルクリックします。
  12. [プロパティ] をクリックして、接続のオプション設定を続行します。接続のオプション設定を続行するには、以下の手順を実行します。
    • ドメインに接続する場合は、[オプション] タブをクリックし、[Windows ログオン ドメインを含める] チェック ボックスをオンにして、接続の試行前に Windows Server 2003 のログオン ドメイン情報を要求するかどうかの指定を行います。
    • 回線が切断された場合に接続のリダイヤルを行うときは、[オプション] タブをクリックして、[回線が切断されたら、リダイヤルする] チェック ボックスをオンにします。
作成した VPN 接続を使用するには、次の手順を実行します。
  1. [スタート] ボタンをクリックし、[接続] をポイントして、新しい接続をクリックします。
  2. インターネットに接続されていない場合は、Windows によってインターネットに接続されます。
  3. インターネットへの接続が確立されると、VPN サーバーによってユーザー名とパスワードを要求するダイアログ ボックスが表示されます。ユーザー名とパスワードを入力して、[接続] をクリックします。
    接続後、ローカルのネットワークに直接接続したときと同様に、ネットワーク リソースが利用できるようになります。

    : VPN への接続を解除するには、接続アイコンを右クリックして、[切断] をクリックします。

トラブルシューティング

リモート アクセス VPN のトラブルシューティング

リモート アクセス VPN 接続を確立できない
  • 原因 : クライアント コンピュータと同じ名前の、異なるコンピュータがネットワーク上にあります。

    解決方法 : ネットワーク上、およびネットワークに接続しているすべてのコンピュータの名前が一意であるかどうかを確認します。
  • 原因 : VPN サーバーでルーティングとリモート アクセス サービスが起動されていません。

    解決方法 : VPN サーバー上でルーティングとリモート アクセス サービスの状態を確認します。

    ルーティングとリモート アクセス サービスを監視する方法、およびルーティングとリモート アクセス サービスの開始と停止を行う方法の詳細については、Windows Server 2003 ヘルプとサポート センターを参照してください。Windows Server 2003 ヘルプとサポート センターにアクセスするには、[スタート] ボタンをクリックして [ヘルプとサポート] をクリックします。
  • 原因 : VPN サーバー上でリモート アクセスが有効になっていません。

    解決方法 : VPN サーバー上でリモート アクセスを有効にします。

    リモート アクセス サーバーを有効にする方法の詳細については、Windows Server 2003 ヘルプとサポート センターを参照してください。Windows Server 2003 ヘルプとサポート センターにアクセスするには、[スタート] ボタンをクリックして [ヘルプとサポート] をクリックします。
  • 原因 : PPTP または L2TP のポートが、受信のリモート アクセス要求に対して有効になっていません。

    解決方法 : 受信のリモート アクセス要求に対して、PPTP か L2TP のポート、または両方を有効にします。

    リモート アクセスのポートを設定する方法の詳細については、Windows Server 2003 ヘルプとサポート センターを参照してください。Windows Server 2003 ヘルプとサポート センターにアクセスするには、[スタート] ボタンをクリックして [ヘルプとサポート] をクリックします。
  • 原因 : VPN クライアントで使用する LAN プロトコルが、VPN サーバー上のリモート アクセスに対して有効になっていません。

    解決方法 : VPN クライアントで使用する LAN プロトコルを、VPN サーバー上のリモート アクセスに対して有効にしてください。

    リモート アクセス サーバーのプロパティを参照する方法の詳細については、Windows Server 2003 ヘルプとサポート センターを参照してください。Windows Server 2003 ヘルプとサポート センターにアクセスするには、[スタート] ボタンをクリックして [ヘルプとサポート] をクリックします。
  • 原因 : VPN サーバー上の PPTP または L2TP ポートが、現在接続中のリモート アクセス クライアントまたはデマンド ダイヤル ルーターによって、すべて使用されています。

    解決方法 : ルーティングとリモート アクセスの [ポート] をクリックして、VPN サーバー上の PPTP または L2TP ポートすべてが既に使用されていないかどうかを確認します。許可される PPTP または L2TP ポートの数が十分でない場合は、許可される PPTP または L2TP ポートの数を現在の接続数より大きい値に変更します。

    PPTP または L2TP ポートを追加する方法の詳細については、Windows Server 2003 ヘルプとサポート センターを参照してください。Windows Server 2003 ヘルプとサポート センターにアクセスするには、[スタート] ボタンをクリックして [ヘルプとサポート] をクリックします。
  • 原因 : VPN サーバーで、VPN クライアントのトンネリング プロトコルがサポートされていません。

    デフォルトでは、Windows Server 2003 のリモート アクセス VPN クライアントは、サーバーの種類のオプションとして [自動] を使用します。このオプションを選択すると、最初に L2TP over IPSec ベースの VPN 接続の確立を試行し、次に PPTP ベースの VPN 接続の確立を試行します。VPN クライアントで、サーバーの種類のオプションとして Point-to-Point トンネリング プロトコル (PPTP) かレイヤ 2 トンネリング プロトコル (L2TP) のいずれかを使用している場合は、選択したトンネリング プロトコルが VPN サーバーでサポートされているかどうかを確認します。

    デフォルトでは、Windows Server 2003 サーバーおよびルーティングとリモート アクセス サービスを実行しているコンピュータは、5 つの L2TP ポートと 5 つの PPTP ポートを持つ、PPTP と L2TP のサーバーになります。PPTP のみを使用するサーバーを作成するには、L2TP ポートの数を 0 に設定します。L2TP のみを使用するサーバーを作成するには、PPTP ポートの数を 0 に設定します。

    解決方法 : 必要な数の PPTP または L2TP ポートが設定されているかどうかを確認します。

    PPTP または L2TP ポートを追加する方法の詳細については、Windows Server 2003 ヘルプとサポート センターを参照してください。Windows Server 2003 ヘルプとサポート センターにアクセスするには、[スタート] ボタンをクリックして [ヘルプとサポート] をクリックします。
  • 原因 : リモート アクセス ポリシーが設定されている VPN クライアントと VPN サーバーで、1 つ以上の共通の認証方法を使用するように設定されていません。

    解決方法 : リモート アクセス ポリシーが設定されている VPN クライアントと VPN サーバーで、共通の認証方法を 1 つ以上使用するように設定します。

    認証を設定する方法の詳細については、Windows Server 2003 ヘルプとサポート センターを参照してください。Windows Server 2003 ヘルプとサポート センターにアクセスするには、[スタート] ボタンをクリックして [ヘルプとサポート] をクリックします。
  • 原因 : リモート アクセス ポリシーが設定されている VPN クライアントと VPN サーバーで、共通の暗号化の方法を 1 つ以上使用するように設定されていません。

    解決方法 : リモート アクセス ポリシーが設定されている VPN クライアントと VPN サーバーで、共通の暗号化の方法を 1 つ以上使用するように設定します。

    暗号化方法の設定の詳細については、Windows Server 2003 ヘルプとサポート センターを参照してください。Windows Server 2003 ヘルプとサポート センターにアクセスするには、[スタート] ボタンをクリックして [ヘルプとサポート] をクリックします。
  • 原因 : ユーザー アカウントのダイヤルイン プロパティとリモート アクセス ポリシーで、VPN 接続に適切なアクセス許可が与えられていません。

    解決方法 : ユーザー アカウントのダイヤルイン プロパティとリモート アクセス ポリシーで、VPN 接続に必要なアクセス許可が与えられているかどうかを確認します。接続を確立するには、接続の設定を次のようにする必要があります。
    • 少なくとも 1 つのリモート アクセス ポリシーのすべての条件に一致させます。
    • ユーザー アカウントのプロパティの [ダイヤルイン] タブで [アクセスを許可] または [リモート アクセス ポリシーでアクセスを制御] に設定し、一致するリモート アクセス ポリシーで [リモート アクセス許可を与える] に設定してリモート アクセスのアクセス許可を行うことで、リモート アクセスのアクセス許可を与えます。
    • プロファイルのすべての設定に一致させます。
    • ユーザー アカウントのダイヤルイン プロパティのすべての設定に一致させます。
    リモート アクセス ポリシーの基本的な情報や、接続試行を受け付ける方法の詳細については、Windows Server 2003 ヘルプとサポート センターを参照してください。Windows Server 2003 ヘルプとサポート センターにアクセスするには、[スタート] ボタンをクリックして [ヘルプとサポート] をクリックします。
  • 原因 : リモート アクセス ポリシー プロファイルの設定が、VPN サーバーのプロパティと競合しています。

    リモート アクセス ポリシーのプロファイルのプロパティと、VPN サーバーのプロパティには、次のような共通の設定項目があります。
    • マルチリンク
    • 帯域幅割り当てプロトコル (BAP)
    • 認証プロトコル
    一致するリモート アクセス ポリシーのプロファイルの設定が、VPN サーバーの設定と競合する場合、接続の試行は拒否されます。たとえば、一致するリモート アクセス ポリシーのプロファイルが EAP-TLS (Extensible Authentication Protocol - Transport Level Security) の使用を要求する設定になっており、VPN サーバーで EAP が有効になっていない場合、接続の試行は拒否されます。

    解決方法 : リモート アクセス ポリシー プロファイルの設定が、VPN サーバーのプロパティと競合していないかどうかを確認します。

    マルチリンク、BAP、および認証プロトコルの詳細については、Windows Server 2003 ヘルプとサポート センターを参照してください。Windows Server 2003 ヘルプとサポート センターにアクセスするには、[スタート] ボタンをクリックして [ヘルプとサポート] をクリックします。
  • 原因 : 呼び出し側ルーターの資格情報 (ユーザー名、パスワード、ドメイン名) を応答側ルーターで検証できません。

    解決方法 : VPN クライアントの資格情報 (ユーザー名、パスワード、ドメイン名) が正しいこと、および、VPN サーバーで資格情報が検証できることを確認します。
  • 原因 : 静的 IP アドレス プールのアドレスが不足しています。

    解決方法 : VPN サーバーが静的 IP アドレス プールを使用するように構成されている場合は、プール内に十分な数のアドレスがあることを確認します。静的プールのアドレスすべてが接続済みのリモート アクセス クライアントやデマンド ダイヤル ルーターに割り当てられると、VPN サーバーは IP アドレスを割り当てることができず、接続の試行は拒否されます。静的プール内のアドレスがすべて割り当てられている場合は、静的アドレス プールを変更してください。TCP/IP とリモート アクセス、および静的アドレス プールを作成する方法の詳細については、Windows Server 2003 ヘルプとサポート センターを参照してください。Windows Server 2003 ヘルプとサポート センターにアクセスするには、[スタート] ボタンをクリックして [ヘルプとサポート] をクリックします。
  • 原因 : VPN クライアントが自身の IPX ノード番号を要求するように構成されており、VPN サーバーではこの IPX クライアントが自身の IPX ノード番号を要求することを許可していません。

    解決方法 : IPX クライアントが自身の IPX ノード番号を要求することを許可するように、VPN サーバーを構成します。

    IPX とリモート アクセスの詳細については、Windows Server 2003 ヘルプとサポート センターを参照してください。Windows Server 2003 ヘルプとサポート センターにアクセスするには、[スタート] ボタンをクリックして [ヘルプとサポート] をクリックします。
  • 原因 : IPX ネットワーク上の他の場所で使用されている IPX ネットワーク番号の範囲が、VPN サーバーに設定されています。

    解決方法 : IPX ネットワークに対して一意となる IPX ネットワーク番号の範囲を VPN サーバーに設定します。

    IPX とリモート アクセスの詳細については、Windows Server 2003 ヘルプとサポート センターを参照してください。Windows Server 2003 ヘルプとサポート センターにアクセスするには、[スタート] ボタンをクリックして [ヘルプとサポート] をクリックします。
  • 原因 : VPN サーバーの認証プロバイダが適切に構成されていません。

    解決方法 : 認証プロバイダの設定を確認します。実行中の Windows Server 2003 か RADIUS のいずれかを使用して VPN クライアントの資格情報を認証するように、VPN サーバーを構成できます。

    認証とアカウント プロバイダ、および RADIUS 認証の使用方法の詳細については、Windows Server 2003 ヘルプとサポート センターを参照してください。Windows Server 2003 ヘルプとサポート センターにアクセスするには、[スタート] ボタンをクリックして [ヘルプとサポート] をクリックします。
  • 原因 : VPN サーバーが Active Directory にアクセスできません。


    解決方法 : Windows Server 2003 認証を使用するように構成されており、混合モードまたはネイティブ モードの Windows Server 2003 ドメインのメンバ サーバーになっている VPN サーバーについて、次の点を確認します。
    • RAS and IAS Servers セキュリティ グループが存在すること。存在しない場合は、グループを作成して、グループの種類を [セキュリティ] に、グループのスコープを [ドメイン ローカル] に設定します。
    • RAS and IAS Servers セキュリティ グループに RAS and IAS Servers Access Check オブジェクトへの読み取りアクセス許可が与えられていること。
    • VPN サーバー コンピュータのコンピュータ アカウントが、RAS and IAS Servers セキュリティ グループのメンバになっていること。"netsh ras show registeredserver" コマンドを実行することにより、現在の登録内容を表示できます。また、"netsh ras add registeredserver" コマンドを使用することにより、指定したドメインにサーバーを登録できます。

      VPN サーバー コンピュータを RAS and IAS Servers セキュリティ グループに追加または削除した場合、変更は即座には反映されません (この原因は、Windows Server 2003 が Active Directory の情報をキャッシュする方法にあります)。変更を即座に反映させるには、VPN サーバー コンピュータを再起動する必要があります。
    • VPN サーバーが、このドメインのメンバであること。
    グループの追加方法、RAS や IAS のセキュリティ グループのアクセス許可を確認する方法、およびリモート アクセス用の NetShell コマンドの詳細については、Windows Server 2003 ヘルプとサポート センターを参照してください。Windows Server 2003 ヘルプとサポート センターにアクセスするには、[スタート] ボタンをクリックして [ヘルプとサポート] をクリックします。
  • 原因 : Windows NT 4.0 ベースの VPN サーバーで、接続要求を検証できません。

    解決方法 : Windows Server 2003 の混合モード ドメインのメンバになっている、ルーティングとリモート アクセス サービスが動作する Windows NT 4.0 を実行中の VPN サーバーに、VPN クライアントがダイヤルインする場合、Pre-Windows 2000 Compatible Access グループに Everyone グループが追加されているかどうかを確認します。これを行うには、次のコマンドを入力します。
    net localgroup "Pre-Windows 2000 Compatible Access"
    Everyone グループが Pre-Windows 2000 Compatible Access グループに含まれていない場合は、ドメイン コントローラ コンピュータのコマンド プロンプトで次のコマンドを実行した後、ドメイン コントローラ コンピュータを再起動します。
    net localgroup "Pre-Windows 2000 Compatible Access" everyone /add
    Windows Server 2003 ドメイン内の Windows NT 4.0 のリモート アクセス サーバーの詳細については、Windows Server 2003 ヘルプとサポート センターを参照してください。Windows Server 2003 ヘルプとサポート センターにアクセスするには、[スタート] ボタンをクリックして [ヘルプとサポート] をクリックします。
  • 原因 : VPN サーバーが、構成済みの RADIUS サーバーと通信できません。

    解決方法 : RADIUS サーバーにアクセスするために、インターネット用のインターフェイスを経由する以外に方法がない場合は、次のいずれかを実行します。
    • (RFC 2138、『Remote Authentication Dial-In User Service (RADIUS)』に基づいて) UDP ポート 1812 の入力フィルタと出力フィルタをインターネット用インターフェイスに追加します。
    • または、RADIUS 認証用に、UDP ポート 1645 (古い RADIUS サーバー用)、および (RFC 2139、『RADIUS Accounting』に基づいて) UDP ポート 1813 の入力フィルタと出力フィルタをインターネット用インターフェイスに追加します。

    • または、RADIUS アカウンティング用に、UDP ポート 1646 (古い RADIUS サーバー用) の入力フィルタと出力フィルタをインターネット用インターフェイスに追加します。
    パケット フィルタを追加する方法の詳細については、Windows Server 2003 ヘルプとサポート センターを参照してください。Windows Server 2003 ヘルプとサポート センターにアクセスするには、[スタート] ボタンをクリックして [ヘルプとサポート] をクリックします。
  • 原因 : Ping.exe ユーティリティを使用してインターネットから VPN サーバーに接続できません。

    解決方法 : VPN サーバーのインターネット用インターフェイスに構成された PPTP および L2TP over IPSec パケット フィルタ処理によって、ping コマンドで使用されるインターネット制御メッセージ プロトコル (ICMP) のパケットが除去されます。VPN サーバーでの ICMP パケットに対する応答を可能にするには、IP プロトコル 1 (ICMP トラフィック) のトラフィックを許可する入力フィルタと出力フィルタを追加する必要があります。

    パケット フィルタを追加する方法の詳細については、Windows Server 2003 ヘルプとサポート センターを参照してください。Windows Server 2003 ヘルプとサポート センターにアクセスするには、[スタート] ボタンをクリックして [ヘルプとサポート] をクリックします。

データを送受信できない
  • 原因 : 必要なデマンド ダイヤル インターフェイスがルーティング対象のプロトコルに追加されていません。

    解決方法 : 必要なデマンド ダイヤル インターフェイスをルーティング対象のプロトコルに追加します。

    ルーティング インターフェイスを追加する方法の詳細については、Windows Server 2003 ヘルプとサポート センターを参照してください。Windows Server 2003 ヘルプとサポート センターにアクセスするには、[スタート] ボタンをクリックして [ヘルプとサポート] をクリックします。
  • 原因 : トラフィックの双方向交換をサポートするルーター間 VPN 接続の両側にルートがありません。

    解決方法 : リモート アクセス VPN 接続とは異なり、ルーター間 VPN 接続では、デフォルトのルートを自動的に作成しません。ルーター間 VPN 接続の双方間を往復するトラフィックのルーティングが行われるように、ルーター間 VPN 接続の両側にルートを作成してください。

    静的ルートをルーティング テーブルに手動で追加するか、またはルーティング プロトコルを使用して静的ルートを追加できます。VPN 接続を常時使用する場合は、VPN 接続に対して Open Shortest Path First (OSPF) または Routing Information Protocol (RIP) を有効にできます。オンデマンド VPN 接続の場合は、自動静的 RIP 更新機能を使用してルートを自動的に更新できます。IP ルーティング プロトコルを追加する方法、静的ルートを追加する方法、および自動静的更新を実行する方法の詳細については、Windows Server 2003 のオンライン ヘルプを参照してください。Windows Server 2003 ヘルプとサポート センターにアクセスするには、[スタート] ボタンをクリックして [ヘルプとサポート] をクリックします。
  • 原因 : 双方向で開始した応答側ルーターで、ルーター間 VPN 接続がリモート アクセス接続として認識されています。

    解決方法 : 呼び出し側ルーターの資格情報のユーザー名が、ルーティングとリモート アクセスの [リモート アクセス クライアント] に表示される場合、応答側ルーターが呼び出し側ルーターをリモート アクセス クライアントと認識している可能性があります。呼び出し側ルーターの資格情報のユーザー名が、応答側ルーターのデマンド ダイヤル インターフェイスの名前に一致するかどうかを確認してください。着信した呼び出し元がルーターの場合、その呼び出しを受信したポートの状態は [アクティブ] として表示され、対応するデマンド ダイヤル インターフェイスの状態は、[接続] になります。

    応答側ルーターでポートの状態を確認する方法、およびデマンド ダイヤル インターフェイスの状態を確認する方法の詳細については、Windows Server 2003 のオンライン ヘルプを参照してください。Windows Server 2003 ヘルプとサポート センターにアクセスするには、[スタート] ボタンをクリックして [ヘルプとサポート] をクリックします。
  • 原因 : 呼び出し側と応答側のルーターのデマンド ダイヤル インターフェイスに設定されているパケット フィルタが、トラフィックのフローを遮断しています。

    解決方法 : 呼び出し側ルーターと応答側ルーターに、トラフィックの送受信を妨げるパケット フィルタがないかどうかを確認します。各デマンド ダイヤル インターフェイスの IP または IPX の入出力フィルタを構成することにより、デマンド ダイヤル インターフェイスでの入出力を許可される TCP/IP や IPX のトラフィックを厳密に制御できます。

    パケット フィルタを管理する方法の詳細については、Windows Server 2003 のオンライン ヘルプを参照してください。Windows Server 2003 ヘルプとサポート センターにアクセスするには、[スタート] ボタンをクリックして [ヘルプとサポート] をクリックします。
  • 原因 : リモート アクセス ポリシーのプロファイルで定義されているパケット フィルタによって、IP トラフィックのフローが遮断されています。

    解決方法 : VPN サーバー (またはインターネット認証サービスを使用している場合は RADIUS サーバー) 上でリモート アクセス ポリシーのプロファイルのプロパティに設定された、TCP/IP トラフィックの送受信を妨げている TCP/IP パケット フィルタがないかどうかを確認します。リモート アクセス ポリシーを使用することにより、VPN 接続上で許可される TCP/IP トラフィックを厳密に制御する TCP/IP の入出力パケット フィルタを構成できます。プロファイルの TCP/IP パケット フィルタがトラフィックのフローを遮断していないことを確認してください。

    IP オプションを設定する方法の詳細については、Windows Server 2003 のオンライン ヘルプを参照してください。Windows Server 2003 ヘルプとサポート センターにアクセスするには、[スタート] ボタンをクリックして [ヘルプとサポート] をクリックします。



関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 323441 (最終更新日 2004-07-15) を基に作成したものです。

プロパティ

文書番号: 323441 - 最終更新日: 2007年12月3日 - リビジョン: 8.3
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
キーワード:?
kbhowto kbhowtomaster kbnetwork KB323441
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com