Microsoft Internet Security and Acceleration Server 2004 で仮想プライベート ネットワークを使用して、外部のクライアントから内部ドメインに参加またはアクセスする方法

文書翻訳 文書翻訳
文書番号: 838239 - 対象製品
すべて展開する | すべて折りたたむ

目次

概要

仮想プライベート ネットワーク (VPN) を構成して、外部ネットワーク上に存在するコンピュータの内部ドメインへの参加を許可するには、2 種類の方法を使用できます。この資料では、その両方について説明します。

「方法 1」では、内部ネットワーク上の ISA Server と外部ネットワーク上の ISA Server の内側にあるクライアント コンピュータとの間の VPN アクセスを構成する方法について説明します。

「方法 2」では、外部ネットワーク上のクライアント コンピュータと内部ネットワーク上の ISA Server との間の VPN アクセスを直接構成する方法について説明します。

この資料では、VPN を構成する際に発生することがある一般的な問題の一部についても、「トラブルシューティング」で説明します。

はじめに

この資料では、仮想プライベート ネットワーク (VPN) を使用して、外部のクライアントまたはサーバーから内部ドメインに参加またはアクセスする方法について説明します。外部コンピュータがローカル アドレス テーブルの外側にあり、ドメインがローカル アドレス テーブルの内側にある場合に、ファイアウォールとして動作する Internet Security and Acceleration (ISA) Server との間に VPN トンネリングを設定する方法を説明します。

詳細

ISA Server 2004 を構成する方法はいくつかあります。ISA Server 2004 が統合モードで構成されている場合、ファイアウォール ソリューションおよび Web キャッシュ サーバーが同一コンピュータ上で提供されます。

ISA Server 2004 を統合モードで構成すると、デフォルトでは、ドメイン トラフィックが以下のように制限されます。
  • ドメイン トラフィックは、ドメイン内部のコンピュータからドメイン外部のコンピュータに向かうものに制限されます。
  • ドメイン トラフィックは、ドメイン外部のコンピュータからドメイン内部のコンピュータに向かうものに制限されます。
ISA サーバーが統合モードで構成されている場合、ISA Server 2004 の VPN ポートは無効となります。ISA Server 2004 はすべてのポートを有効にするように構成できますが、それによって、使用しているネットワークが特定のセキュリティ上のリスクにさらされる可能性があります。この資料では、内部ネットワーク上および外部ネットワーク上で VPN トラフィックを許可し、クライアント コンピュータをドメインに参加させることができるよう、ISA Server をさらに構成する方法について説明します。

ISA Server 2004 ですべてのポートを開く方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
179442 ドメインの信頼関係を使用するためのファイアウォールの構成方法


以下の方法では、VPN トンネリングを使用してクライアント コンピュータをドメインに参加させ、ドメインにアクセスできるよう、さらに構成する方法について説明します。

方法 1

構成

以下は、インターネットをはさんだ 2 つ場所の間の双方向の VPN トラフィックを説明する物理的なネットワーク構成を言葉で表したものです。
場所 1 = [ローカル エリア ネットワーク] + [ドメイン コントローラ] + [ISA Server 1] -- インターネット -- [ISA Server 2] + [リモート クライアント コンピュータ] = 場所 2
この方法では、2 台の ISA Server 2004 コンピュータが使用されます。1 台目の ISA Server コンピュータである ISA1 は、信頼されたドメイン内の ISA Server コンピュータを表します。2 台目の ISA Server コンピュータである ISA2 は、外部ネットワークにある ISA Server コンピュータを表します。

ISA1 で VPN クライアント アクセスを有効にする

ISA1 で VPN クライアント アクセスを有効にするには、以下の手順を実行します。
  1. [スタート] ボタンをクリックし、[すべてのプログラム]、[Microsoft ISA Server] を順にポイントし、[ISA の管理] をクリックします。
  2. [YourServerName] を展開し、[仮想プライベート ネットワーク (VPN)] をクリックします。
  3. 右側のウィンドウで [VPN クライアント アクセスの有効化] をクリックします。

ISA1 で VPN アクセスを構成する

ISA1 で VPN アクセスを構成するには、以下の手順を実行します。
  1. [スタート] ボタンをクリックし、[すべてのプログラム]、[Microsoft ISA Server] を順にポイントし、[ISA の管理] をクリックします。
  2. [YourServerName] を展開し、[仮想プライベート ネットワーク (VPN)] をクリックします。
  3. 中央のウィンドウで、[リモート サイト] タブをクリックします。
  4. 右側のウィンドウの [リモート サイト ネットワークの追加] をクリックします。
  5. [新しいネットワーク ウィザードの開始] で、構成するネットワークの名前を入力し、[次へ] をクリックします。
  6. [Point-to-Point トンネリング プロトコル (PPTP)] をクリックし、[次へ] をクリックします。
  7. リモート サーバーの名前またはインターネット プロトコル (IP) アドレスを入力し、[次へ] をクリックします。
  8. [次の資格情報を使用してローカル サイトがリモート サイトとの接続を開始できるようにする] チェック ボックスをオンにし、適切な資格情報を入力します。次に、[次へ] をクリックします。
  9. [ローカル認証] ダイアログ ボックスで [次へ] をクリックします。
  10. 許可された IP アドレスの範囲を指定するには、[ネットワーク アドレス] ページで [追加] をクリックし、IP アドレスの範囲を入力します。次に、[OK] をクリックします。
  11. [次へ] をクリックし、[完了] をクリックします。
  12. [適用] をクリックして変更を適用します。

ISA1 の VPN クライアントの構成をエクスポートする

VPN クライアントの構成を ISA1 からエクスポートするには、以下の手順を実行します。
  1. [スタート] ボタンをクリックし、[すべてのプログラム]、[Microsoft ISA Server] を順にポイントし、[ISA の管理] をクリックします。
  2. ISA Server の管理プログラムで、[YourServerName] を展開し、[仮想プライベート ネットワーク (VPN)] を右クリックします。次に、[VPN クライアント構成をエクスポート] をクリックします。
  3. [構成のエクスポート] ダイアログ ボックスで、構成ファイルの名前と場所を選択し、[エクスポート] をクリックします。次に、[OK] をクリックします。

VPN クライアントの構成を ISA2 にインポートする

VPN クライアントの構成を ISA2 にインポートするには、以下の手順を実行します。
  1. [スタート] ボタンをクリックし、[すべてのプログラム]、[Microsoft ISA Server] を順にポイントし、[ISA の管理] をクリックします。
  2. ISA Server の管理プログラムで、[YourServerName] を展開し、[仮想プライベート ネットワーク (VPN)] を右クリックします。次に、[VPN クライアント構成をインポート] をクリックします。
  3. [構成のインポート] ダイアログ ボックスで、1 台目の ISA サーバー (ISA1) からエクスポートされたファイルを見つけ、[インポート] をクリックします。[OK] をクリックします。


ドメイン ユーザー アカウントのリモート アクセスを有効にする

VPN 接続を使用してドメインに参加する場合はまず、ドメイン コントローラの Active Directory ディレクトリ サービスで、VPN アクセスが必要なユーザー アカウントごとにリモート アクセスを許可する必要があります。ドメイン ユーザー アカウントのリモート アクセスを許可するには、以下の手順を実行します。
  1. [スタート] ボタンをクリックし、[管理ツール] をポイントし、[Active Directory ユーザーとコンピュータ] をクリックします。
  2. [YourServerName] を展開し、[Users] をクリックします。
  3. 右側のウィンドウで、リモート アクセスを有効にするユーザー アカウントを右クリックし、[プロパティ] をクリックします。
  4. [ダイヤルイン] タブをクリックします。
  5. [アクセスを許可] をクリックし、[OK] をクリックします。
  6. 手順 3. 〜 5. を、リモート アクセスを有効にするすべての追加のユーザー アカウントについて繰り返します。

ISA2 で VPN 接続を作成する

ISA2 からドメインへの参加を試みる前に、まず、ISA1 への VPN 接続を作成する必要があります。 Microsoft Windows Server 2003 での VPN 接続の構成の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
323415 Windows Server 2003 Enterprise Edition および Windows Server 2003 Standard Edition でイントラネット用にルーティングとリモート アクセスを設定する方法


方法 2

構成

以下は、インターネットをはさんだ 2 つ場所の間の双方向の VPN トラフィックを説明する物理的なネットワーク構成を言葉で表したものです。
場所 1 = [ローカル エリア ネットワーク] + [ドメイン コントローラ] + [ISA Server 1] -- インターネット -- [リモート クライアント コンピュータ] = 場所 2
この方法では、VPN クライアント アクセスを許可するように構成された ISA Server コンピュータが 1 台と、インターネット接続を介してネットワークにアクセスする VPN 接続を使用するように構成されたクライアント コンピュータが 1 台使用されます。

ISA サーバーで VPN クライアント アクセスを有効にする

ISA サーバーで VPN クライアント アクセスを有効にするには、以下の手順を実行します。
  1. [スタート] ボタンをクリックし、[すべてのプログラム]、[Microsoft ISA Server] を順にポイントし、[ISA の管理] をクリックします。
  2. [YourServerName] を展開し、[仮想プライベート ネットワーク (VPN)] をクリックします。
  3. 右側のウィンドウで [VPN クライアント アクセスの有効化] をクリックします。


ドメイン ユーザー アカウントのリモート アクセスを有効にする

VPN 接続を使用してドメインに参加する場合、まず、ドメイン コントローラの Active Directory で、VPN アクセスが必要なユーザー アカウントごとにリモート アクセスを許可する必要があります。ドメイン ユーザー アカウントのリモート アクセスを許可するには、以下の手順を実行します。
  1. [スタート] ボタンをクリックし、[管理ツール] をポイントし、[Active Directory ユーザーとコンピュータ] をクリックします。
  2. [YourServerName] を展開し、[Users] をクリックします。
  3. 右側のウィンドウで、リモート アクセスを有効にするユーザー アカウントを右クリックし、[プロパティ] をクリックします。
  4. [ダイヤルイン] タブをクリックします。
  5. [アクセスを許可] をクリックし、[OK] をクリックします。
  6. 手順 3. 〜 5. を、リモート アクセスを有効にするすべての追加のユーザー アカウントについて繰り返します。

クライアント コンピュータで VPN 接続を作成する

Microsoft Windows Server 2003 での VPN 接続の構成の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
323415 Windows Server 2003 Enterprise Edition および Windows Server 2003 Standard Edition でイントラネット用にルーティングとリモート アクセスを設定する方法


Microsoft Windows XP Professional での VPN 接続の構成の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
305550 Windows XP Professional で職場のネットワークへの VPN 接続を構成する方法


Microsoft Windows 2000 での VPN 接続の構成の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
257333 [HOW TO] 2 台の Windows 2000 Professional 間で仮想プライベート ネットワーク接続を設定する方法




トラブルシューティング

  • ドメイン コントローラが別のコンピュータ上にある場合は、そのドメイン コントローラが内部ドメインにあることと、ドメインにアクセスするクライアントまたはサーバーが SecureNAT クライアントであることを確認します。つまり、内部 ISA Server ネットワーク アダプタの IP アドレスがデフォルト ゲートウェイとして構成されていることを確認します。ここで説明する方法は、ファイアウォール クライアントまたは Winsock クライアントでは機能しません。
  • ドメインにアクセスするクライアントまたはサーバーが、内部ドメインの DNS 名を解決できることを確認します。これには、内部ドメインの DNS サーバーをリモート クライアントまたはサーバーの DNS サーバーとして設定するのが最もよい方法です。
  • ローカル ドメインの DHCP サーバーによって提供された IP アドレス、または静的アドレス プールからの IP アドレスを使用して VPN 接続が確立されたときに、ISA1 がリモート クライアントに対して IP アドレスを提供できることを確認します。この構成を行うには、[管理ツール] をクリックし、[ルーティングとリモート アクセス] をクリックし、サーバー (この場合は ISA1) を右クリックし、[プロパティ] をクリックし、[IP] タブをクリックします。
  • すべてのルーティング エントリが正しいことを確認します。また、VPN 接続の確立後に ping コマンドを使用し、両端のサーバー (ローカル ドメイン内のドメイン コントローラとリモートクライアントまたはサーバー) が、互いに相手を検出できることを確認します。
  • 方法 2 の手順を使用する場合は、ドメインにアクセスする前に VPN 接続を確立する必要があります。

プロパティ

文書番号: 838239 - 最終更新日: 2006年3月6日 - リビジョン: 2.0
この資料は以下の製品について記述したものです。
  • Microsoft Internet Security and Acceleration Server 2004 Standard Edition
キーワード:?
kbinfo kbhowto KB838239
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com