前回に解説した手順に従ってRRAS(Rounting and Remote Access Service)の構成を行うと、その時点でRRASはPPTP(Point to Point Tunneling Protocol)サーバとして稼働を開始しており、いつでも着信を受け付けられる状態になる。

しかし、実際にリモートアクセスVPNを実現するには、ユーザー アカウントに対する着信許可設定が必要になる。そこで今回は、着信許可設定の手順と着信許可の一括設定に利用するリモートアクセス ポリシーの設定について解説する。

ユーザーに対する着信の許可

リモートアクセスVPNでも、モデムやISDNを利用するリモートアクセスでも、着信に対する認証にはユーザーアカウントの情報を利用する。追って本連載で取り上げる予定のRADIUS(Remote Authentication Dial In User Service)サーバを利用しない限り、VPNゲートウェイになっているWindowsサーバのローカルアカウントを使って認証する必要がある。

ところが、Windowsのユーザーアカウントには着信の可否という項目があり、既定値では拒否する設定になっている。つまり、そのユーザーアカウントを使って着信の認証を行おうとすると却下されて、正しいユーザー名とパスワードを入力していても接続できないわけだ。

安全性を考慮するならば、既定値で着信を認めるよりも拒否するほうが安全だが、そのままではリモートアクセスができない。そこでまず、ユーザー アカウントごとに、プロパティ画面で着信を許可する方法について解説する。

この方法は、設定対象となるユーザーが少ない場合は手軽な方法と言える。Active Directoryのユーザーアカウントでもローカルアカウントでも設定方法は同じで、ユーザーアカウントのプロパティ画面で[ダイヤルイン]タブに移動して、[リモートアクセス許可]内の[アクセスを許可]を選択する。この操作を、リモートアクセスを利用するユーザーごとに繰り返せばよい。

ユーザーアカウントのプロパティ画面にある[ダイヤルイン]タブで、リモートアクセスの着信を許可するように設定を変更する(ローカルアカウントの例)

ネットワークポリシーの作成

ユーザーの数が少ないうちは、個別に設定する方法でもあまり問題を感じないだろう。しかしユーザーの数が増えてくると、着信を許可するのに手間がかかる。そうなると設定ミスが生じる原因にもなるので、RRAS管理ツールでリモートアクセスポリシーを設定して一括許可するほうが便利だ。

リモートアクセスポリシーを使って着信許可を設定するには、ユーザーアカウントのプロパティでは、[ダイヤルイン]タブにある[リモートアクセス許可]の設定を、[リモートアクセスポリシーでアクセスを制御]にする。これが既定値なので、最初からリモートアクセス ポリシーを使う場合は何も手をつけなくてよい。

しかし、ユーザーアカウントごとに着信を許可する方法をとっていた場合は設定を元に戻す必要がある。リモートアクセスポリシーで着信を許可していなくても、ユーザーアカウントのプロパティとして着信を許可していると、そちらが優先されて着信できてしまうからだ。

一方、リモートアクセスポリシー自体の設定は、「特定のグループに属するユーザーに対して、一括して着信を許可する」というものだ。この設定を行えば、着信許可の対象としたグループのメンバーを追加あるいは削除するだけで、着信の許可を変更できることになる。その際の手順は以下の通りだ。

(1)[ネットワークポリシーとアクセスサービス]管理ツールを起動する。

(2)左側のツリー画面で、[ルーティングとリモートアクセス]-[リモートアクセスのログとポリシー]を選択する。

(3)[操作]-[NPSの起動]、あるいは右クリックして[NPSの起動]を選択する。ちなみに、NPSとはNetwork Policy Serverのことだ。

[ルーティングとリモートアクセス]-[リモートアクセスのログとポリシー]を選択した状態で、[NPS]管理ツールを起動する

(4)[NPS]管理ツール左側のツリー画面で[NPS(ローカル)]-[ネットワーク ポリシー]を選択して、[操作]-[新規]、あるいは右クリックして[新規]を選択する。

[ネットワーク ポリシー]を選択して、ポリシーの新規追加を指示する

(5) [新しいネットワークポリシー]ウィザードが起動する。最初にこれから作成するポリシーの名前を指定するほか、[ネットワークアクセスサーバの種類]で、アクセス手段として[リモートアクセスサーバ(VPN - ダイヤルアップ)]を選択する。

ポリシーの名前と接続手段を指定する

(6) 次の画面で、条件の指定を行う。最初は一覧が空白なので、[追加]をクリックする。

[追加]をクリックして条件を追加する

(7)続いて表示される[条件の選択]ダイアログで、[ユーザーグループ]を選択して[追加]をクリックする。これ以外にもさまざまな条件の選択が可能だ。

グループ単位で一括して着信を許可するには、[ユーザーグループ]を選択して[追加]をクリックする

(8)続いて表示されるダイアログで、着信許可の対象になるグループを指定する。[グループの追加]をクリックすると表示する検索画面で、着信許可対象となるグループを指定すればよい。追加が終わったら、[OK]をクリックして元のダイアログに戻る。

[グループの追加]をクリックして、着信許可の対象にするグループを一覧に追加する。最後に[OK]をクリックしてダイアログを閉じる

(9)元の[条件の指定]ダイアログに戻ったら、[次へ]をクリックして続行する。

(10)続いて、条件として指定したグループに対するアクセス許可として、着信の許可あるいは拒否のいずれかを指定する。つまり、特定のグループに属するメンバーに対して明示的にアクセスを拒否することもできるわけだ。なお、[ユーザーダイヤルインプロパティによってアクセスを判断する]チェックボックスをオンにすると、ユーザーアカウントの設定が優先されてネットワークポリシーを設定する意味がなくなってしまうので、このチェックボックスはオフのままにする。

条件に該当するグループに対する着信の可否を指定する

(11)次の画面で、認証に使用するプロトコルを選択する。既定値はMS-CHAP V2とMS-CHAPだが、安全性を考慮すると、MS-CHAPはオフにして、MS-CHAP V2のみにしたほうがよい。このほか、拡張認証プロトコル(EAP : Extensible Authentication Protocol)も指定できる。

認証方式を指定する。ここでEAPを指定した場合、[追加]をクリックすると表示するダイアログで種類を指定する必要がある

(12) 次の画面で、制約条件を指定する。[アイドルタイムアウト][セッションタイムアウト][被呼端末ID][日付と時刻の制限][NASポートの種類]と、5種類のカテゴリーを左側で選択すると、対応する設定画面が右側に現れるので、そこで所要の設定を行う。例えば、以下の画面例のように、アクセス手段をVPNに限定するようなことが可能になる。

[制約の構成]画面で、タイムアウト時間や日付・時刻、アクセス手段を制限する設定が可能

(13)次の画面で、NPSが接続要求に対して適用する設定内容を指定する。RADIUS属性の標準とベンダー固有、ルーティングとリモートアクセスのマルチリンク、IPフィルタ(パケットフィルタのこと)、暗号化、IP設定の指定が可能だ。例えば、以下の画面にあるように、MPPE(Microsoft Point to Point Encryption)の鍵長を指定する使い方が可能だ。鍵長が短いと安全性に影響するので、128ビット以外の選択肢は無効にしておくほうが良いだろう。何かの拍子で「暗号化なし」で接続したら大変だ。

[設定の構成]画面で、条件に合致して着信を許可する接続要求に対して適用する設定を指定する

(14)ウィザード最終画面で設定内容を確認してから[完了]をクリックすると、リモートアクセスポリシーを作成する。こうしてユーザーが作成したポリシーは、自動的に最優先で適用するようになる。

もし複数のポリシーを作成した場合は、最初に作成したものから順に高い優先度を設定するようになっており、後から作成したものほど優先度が下がる。また、[操作]や右クリックメニューにある[上へ移動][下へ移動]で優先順の変更が、[削除]でポリシーの削除が可能だ。

ユーザーが作成したポリシーは、自動的に最優先となる(右側最上段)。設定や優先順の変更あるいは削除も可能

プロパティ画面の例。4枚のタブにそれぞれ、ポリシー定義用のウィザードと同様の設定項目が割り振られている