連載
» 2003年05月22日 00時00分 UPDATE

VPN実践導入講座:第3回 PPTPサーバの導入 (1/5)

今回からは実際にVPN環境を構築してみる。まずはActive Directoryドメインの導入とPPTPによるVPNサーバの導入方法について解説する。

[デジタルアドバンテージ,著]
VPN実践導入講座
Windows Server Insider


「検証」のインデックス

連載目次


 前回では、VPNで使われるプロトコルについて解説した。今回は実際にActive Directoryドメインを構築し、さらにVPN回線を導入するところまでを行ってみる。VPNのプロトコルとしてはPPTPとL2TP(IPSec)の2通りがあるが、今回の記事では、PPTPのサーバの設定について取り上げる。次回はPPTPのクライアント設定について、さらに第5回ではL2TPについて解説する予定である。

Active Directoryの導入手順

wi-photo01_l.jpg 構築した実験環境
本社側と支社側のネットワーク環境をDA-Lab内に構築し、実際にインターネット接続(光ファイバとADSL回線)を使ってVPN接続の実験を行った。

 今回設定するWindowsネットワーク・システムでは、1つのActive Directoryドメイン内にルートとなる「example.co.jp」本社ドメインと、そのサブドメインとなる「kobe.example.co.jp」支社ドメインを構築してみた。これらは1つのドメイン・ツリーであり、1つのフォレストに属している。サイト構成は、最終的には本社側と各支社側でそれぞれ別のサイトに分けることになるが、Active Directoryの初期導入時にはまだ分けておく必要もない(必要ならば後で分けることができる)。

 複数のドメインやサイトが存在する場合は、ルートとなるドメインから導入を始める。今回の場合は、「example.co.jp」というドメインを最初に作成することになる。DNSサーバや、必要ならばWINSサーバなども用意して、まずはルートのActive Directory環境をすべて構築して動作を確認しておく。また実際にしばらく(何日か)運用してみて、イベント・ビューアに(特にActive Directory関連の)エラーなどが発生していないか、(2台以上のドメイン・コントローラを導入した場合には)複製やポリシーの伝達などが正しく行われているか、などを確認しておく。必要ならばシステムのバックアップを行うなど、実際の使用環境を想定して運用しておくとよいだろう。これが正しく行われていないと、以後の作業でトラブルが生じても、元に戻すのが困難になるからだ。

 支社側サブドメインの構築作業は、ルートのドメインと通信ができる状態で行う必要がある。Active Directoryのデータベース情報などを参照する必要があるからだ。(Windows Server 2003では、オフラインでActive Directoryのサブドメインを作成する機能が用意されている)。そのため、実際に支社側のサブドメインをインストールするためには、何らかの方法でルート・ドメインのドメイン・コントローラと通信できる環境を用意しなければならない。このためには、以下のように2つの方法がある。

1.ローカルのネットワーク上でルータを介して接続する

 これは、支社側で導入予定の器材を、まずは本社側のネットワーク環境へ持ち込み、そこでActive Directoryのインストールを行うという方法である。そしてActive Directoryのインストールが完了した後、支社へ配送してドメインの構築作業を完了させる。この方法は、実際に近くに両ドメイン・コントローラを置いて作業ができるので、トラブルなどが発生した場合でも対処が容易であるという特徴がある。

 ただし支社側のネットワークはネットワーク・アドレスが異なるので、本社側のネットワークと接続するためには、一時的に何らかのルータを用意する必要がある。Active Directoryのインストールに必要な通信量そのものは大した量ではないので(10Mbit/sのイーサネットでも、20分もあれば完了する)、安価なブロードバンド・ルータを(NAPTをオフにして)ローカル・ルータとして使ってもよいし、Windowsシステムに2枚のネットワーク・カードを装着して、一時的にルータとして使うという方法でもよいだろう。ネットワーク・アドレスだけを、最終的に利用するものと同じにしておけばよい。インターネットVPN回線の設定は、Active Directoryの導入後、実際に支社側に器材を設置してから行うことになる。

2.実際のVPN回線を使って、リモートでインストールする

 これは、実際にインターネットVPN回線を用意して、その上でActive Directoryのインストールを行うという方法である。もともとインターネットVPN回線と、Active Directoryの機能はまったく別のものなので、それぞれ独立して利用することができる。

 具体的には、まず本社と支社の双方でPPTP接続のための準備をしておき、実際にPPTP接続を確立しておく。その後、支社側のActive Directoryのインストールを開始するのである。

 この方法では、離れた場所にドメイン・コントローラが存在するため、例えば致命的なエラーが発生したりすると、トラブルシューティングがやや困難になるという問題点がある。実際には、支社側でActive Directoryをインストールするときに、リモート・デスクトップ機能を使ってルートのドメイン・コントローラへ接続しておけばほとんどの問題は解決できるだろうし、動作の確認などもできるだろう。ただしそのためには、VPN接続が確実に動作して、ネットワーク的なトラブルなどが発生していないことが条件である。例えばVPNの通信が不安定だったり、特定のサービス(TCPやUDPのポートなど)が通過できないようになっていたりすると、途中でActive Directoryがインストールできなくなったりするが、その場合に原因を追究するのが困難になる。


       1|2|3|4|5 次のページへ

Copyright© 1999-2017 Digital Advantage Corp. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。