【連載】

にわか管理者のためのWindowsサーバ入門

【第80回】Windows Server 2003用RRASのルータ設定

[2012/03/31 08:00]井上孝司 ブックマーク ブックマーク

  • サーバ/ストレージ
  • ● 関連キーワード
  • サーバ

サーバ/ストレージ

Windows Server 2008だけでなくWindows Server 2003でも、[ルーティングとリモートアクセス]管理ツールを使ったリモートアクセスポリシーの設定が可能である。ただし、[NPS]管理ツールがない等の理由により、操作手順に違いがある。

今回は、Windows Server 2003用のRRASについて、リモートアクセスポリシーとNATルータの設定を説明しよう。

リモートアクセスポリシーの設定手順

Windows Server 2003のRRASでは、以下の手順によってリモートアクセスポリシーの設定を行える。既製品を使う標準ポリシーに加えて、ユーザーが条件を指定できるカスタムポリシーがあるが、いずれも作成後にプロパティ画面を表示させて設定を変更できる。

(1)[ルーティングとリモートアクセス]管理ツール左側のツリー画面で[(サーバ名)]-[リモートアクセスポリシー]を選択する。

(2)[操作]-[新しいリモートアクセスポリシー]、または右クリックして[新しいリモートアクセスポリシー]を選択する。

(3)ここから先は、ウィザード形式で独自のポリシーを定義できる。[標準ポリシー]を選択すると、使用頻度が高そうな条件を一覧から選択して、グループ名などの可変要素を指定する形になる。

(4)ウィザードの2画面目で[カスタムポリシーを設定する]を選択すると、カスタムポリシーの作成も可能である。こちらでは属性を一覧から選択して条件を指定することで、さらに細かい設定が可能になる。例えば、特定のセキュリティグループに属するユーザーにだけ着信を許可したい場合、一覧の下端にある[Windows-Groups]をクリックして選択してから[追加]をクリックする。続いて表示するダイアログで、着信許可の対象となるグループを指定する。

[追加]をクリックすると現れるダイアログで[Windows-Groups]を条件に指定して、対応するグループを指定した状態。初期状態では、この一覧は空白

(5)ウィザードの3画面目で、リモートアクセスの可否を指定する。

(6)ウィザードの4画面目で、プロファイルの設定を変更できる。[プロファイルの編集]をクリックすると別のダイアログが現れるが、そこには[ダイヤルインの制限][IP][マルチリンク][認証][暗号化][詳細設定]と6枚のタブがある。通常は既定値のままで問題ないと思われるが、暗号化プロトコルの設定変更であれば[暗号化]タブ、VPNクライアントへのIPアドレス割り当て方法を独自に規定するのであれば[IP]タブ、といったところに出番がある。

ウィザード4画面目で[プロファイルの編集]をクリックすると現れるダイアログ

(7)ウィザード最終画面で[完了]をクリックすると、リモートアクセスポリシーを追加する。

こうして追加したポリシーは一覧に現れる。それを選択して、[操作]メニュー、あるいは右クリックメニューで[プロパティ]を選択するか、あるいはダブルクリックすることでプロバティ画面が現れて、設定の変更が可能になる。

NATルータ機能の設定

続いて、NATルータの設定について取り上げる。これは早い話が、RRASを市販のブロードバンドルータと同じように機能させるものと考えればよい。ルータの機能だけなら市販のルータ専用機を使用するほうが安上がりだが、VPN(Virtual Private Network)ゲートウェイを兼用させるような場面では、WindowsサーバのRRASにも出番がある。

NATルータの機能を有効にして、さらに静的経路情報(ルーティングテーブル)を設定する際の手順は、以下の通りである。パケットフィルタの設定については次回に取り上げる。

(1)[ルーティングとリモート アクセス]管理ツールを起動する。

(2)左側のツリー部分に表示しているサーバ名で右クリックして、[ルーティングとリモート アクセスの構成と有効化]を選択する。

(3)ウィザードを起動すると、最初に初期画面を表示するので、[次へ]をクリックして先に進む。

(4)ウィザード2画面目で、RRASの使用目的を選択する画面を表示する。ここで、[ネットワークアドレス変換(NAT)]を選択する。

NATルータにする場合、[ネットワークアドレス変換(NAT)]を選択する必要がある

(5)次の画面で、ネットワーク接続設定の選択を行う。ルータとして動作するコンピュータは複数のLANアダプタと、それぞれに対応するネットワーク接続設定が必要になる。それらのうち、どれをインターネット接続に使用しているのかを選択しなければならない。

インターネットへの接続に使用している接続設定を選択する

(6)Windows Server 2003では、[選択したインタフェースにベーシックファイアウォールをセットアップしてセキュリティを有効にする]というチェックボックスがあるので、インターネット側の接続設定については、このチェックボックスをオンにする。

(7)TCP/IPプロパティでDNSサーバアドレスを指定していないと、[名前とアドレスの変換サービス]という画面を表示する。この画面には2種類の選択肢があるが、それぞれ、以下のような意味になる。

基本的な名前とアドレスのサービスを有効にする
RRASはDNSリレーの機能を提供する。つまり、インターネット側の接続設定に対してTCP/IPプロパティとしてDNSサーバアドレスを指定しておき、そこに名前解決要求を転送する。LAN側のコンピュータは、DNSサーバアドレスとして、RRASが動作するコンピュータの、LAN側IPアドレスを指定する。つまりは、ブロードバンドルータを使用する場合と同じである

名前とアドレスのサービスを後でセットアップする
別途、自前のDNSサーバをLAN側に設置する場合の選択肢。既存のDNSサーバをTCP/IPプロパティのDNSサーバアドレスとして指定する場合にも、こちらを選択する

(8)ウィザード最終画面で[完了]をクリックすると、RRASがNATルータとして動作するようになる。

ルーティングテーブルの操作

LANとインターネットの境界に設置するNATルータであれば、「LAN内部に当てたトラフィック以外はすべてインターネット向け」ということで話は簡単だが、RRASの利用形態によってはルーティングテーブルを設定しなければならない場合もある。各種のルーティングプロトコルを用いて設定する方法もあるが、ここでは静的なルーティングテーブルを設定する際の手順について解説する。

静的なルーティングテーブルを設定するには、RRASで静的ルートの設定を行う方法と、コマンドプロンプトでROUTEコマンドを使う方法がある。まず、前者の方法について解説する。

(1)[ルーティングとリモート アクセス]管理ツールを起動する。

(2)左側のツリー画面で、[(サーバ名)]-[IPルーティング]-[静的ルート]を選択する。

(3)続いて、[操作]メニュー、または右側の一覧で右クリックして[IPルーティングテーブルの表示]を選択する。すると、小さな別ウィンドウが開いて、そこにルーティングテーブルの一覧を表示する。このウィンドウは右上隅の[×]をクリックすると閉じる。

[(サーバ名)]-[IPルーティング]-[静的ルート]の右クリックメニューで[IPルーティング テーブルの表示]を使用すると、設定されているルーティング テーブルの情報を確認できる

  1. 必要とする経路情報が一覧にない場合、手作業で登録する必要がある。それには、[(サーバ名)]-[IPルーティング]-[静的ルート]を選択した状態で、[操作]メニュー、または右側の一覧で右クリックして[新しい静的ルート]を選択する。

  2. [静的ルート]ダイアログで、インタフェース(ネットワーク接続設定の名称で選択する)、宛先となるネットワークのネットワークアドレとサブネットマスク、ゲートウェイ、メトリックの指定を行う。メトリックの数字は、小さいほうが優先度が高い。

インタフェースは、存在するものの中からリストボックスで選択する

宛先ネットワークのネットワークアドレスとサブネットマスク、ゲートウェイについては、手作業で値を入力する

(5)[OK]をクリックすると、指定した内容のルーティングテーブルを登録する。こうして追加した静的ルートも先の一覧に現れるはずだ。また、不要な静的ルートはいつでも削除できる。

続いて、ROUTEコマンドを使う方法について解説する。使用するコマンドの構文は以下の通りだ。

ROUTE -p /ADD <宛先ネットワーク アドレス> MASK <サブネットマスク> <ゲートウェイのIPアドレス> METRIC <メトリック>

例えば、ネットワーク アドレスが「192.168.10.0」、サブネットマスクが「255.255.255.0」(つまり192.168.10.0/24)のネットワークに、ゲートウェイ「192.168.0.1」経由、メトリック値3のルーティング テーブルを設定する場合、以下のように入力する。

ROUTE -p ADD 192.168.10.0 MASK 255.255.255.0 192.168.0.1 METRIC 3

ここで出てくる「-p」は、コンピュータを再起動した後も設定を記憶しているようにするための指定である。これを省略すると、追加した経路情報は再起動した際に自動的に消滅する。これを逆手にとって、一時的に使用する経路情報を登録することもできるが、そういう機会はあまりないかもしれない。

※ 本記事は掲載時点の情報であり、最新のものとは異なる場合がございます。予めご了承ください。

この記事に興味を持ったら"いいね!"を Click
Facebook で IT Search+ の人気記事をお届けします
916
2
【連載】にわか管理者のためのWindowsサーバ入門 [80] Windows Server 2003用RRASのルータ設定
Windows Server 2008だけでなくWindows Server 2003でも、[ルーティングとリモートアクセス]管理ツールを使ったリモートアクセスポリシーの設定が可能だ。ただし、[NPS]管理ツールがない等の理由により、操作手順に違いがある。今回は、Windows Server 2003用のRRASについて、リモートアクセスポリシーとNATルータの設定を説明しよう。
https://news.mynavi.jp/itsearch/2015/10/15/windows_server/080_index.jpg
Windows Server 2008だけでなくWindows Server 2003でも、[ルーティングとリモートアクセス]管理ツールを使ったリモートアクセスポリシーの設定が可能だ。ただし、[NPS]管理ツールがない等の理由により、操作手順に違いがある。今回は、Windows Server 2003用のRRASについて、リモートアクセスポリシーとNATルータの設定を説明しよう。

会員登録(無料)

セキュリティ・キャンプ2017 - 精彩を放つ若き人材の『今』に迫る
ぼくらのディープラーニング戦争
ドローンのポテンシャル、メーカーやキャリア、ユーザー企業はこう見る
マイナビニュース スペシャルセミナー 講演レポート/当日講演資料 まとめ
人事・経理・総務で役立つ! バックオフィス系ソリューション&解説/事例記事まとめ

一覧はこちら

今注目のIT用語の意味を事典でチェック!

一覧はこちら

ページの先頭に戻る