■Windows Serverは,VPN(仮想プライベート・ネットワーク)接続を提供する「RRAS(Routing and Remote Access Service)」機能を標準で搭載する。RRAS機能を使えば,社外から社内のサーバーに対して安全にアクセスする手段を提供できる。
■通信は,強度の高い暗号化技術(128ビットの暗号化キーを利用するMPPE方式)によって,厳重に暗号化できる。また,ユーザー認証にはActive Directoryのユーザー名とパスワードを使用できるので,導入コストも低い。


(山岸 真人,櫻井 敬子=NTTデータ先端技術)


 今回は,Windows Serverが備えるVPN(仮想プライベート・ネットワーク)機能を使って,ノート・パソコンのユーザーが社外からインターネットを経由して社内のサーバーにアクセスできるようにするシナリオを紹介する。

どのようなVPN接続方式を選択するか

 VPN接続と一言で述べているが,その実装方法は様々だ。VPNのシステムを設計するためには,「どのような端末が,どのように接続するするのか」 を事前に検討しなくてはならない。例えば,会社のモバイル・クライアントがWindows XP Professionalのみであれば,Windows Serverを使ったVPNシステムの設計は非常に容易である。

 しかし,Windows 2000やWindows 98,Windows NT 4.0などのレガシーOSに対してVPN接続を提供する場合は,それらに対応できる接続方法を考慮しなければならない。Windows ServerだけでVPN接続を提供できるのか,それとも別のVPNサーバーなどが必要なのかを検討する必要があるということだ。

 今回のケースでは,クライアントはWindows XP,サーバーはWindows Server 2003を想定し,いずれもActive Directoryドメインに参加していることを前提に説明する。利用するWindows Server 2003のVPN接続機能は,「RRAS(Routing and Remote Access Service)」である。クライアントやサーバーがWindows 2000であっても,Active Directoryがなくても,ほぼ同じVPN接続が実現できる。それでも,Active Directoryを使用することを推奨する。

 Active Directoryを推奨するのは,セキュリティ管理を厳重にできるからだ。Active Directoryがあれば,VPN接続を許可する端末をドメインに参加しているクライアントに限定したり,グループ・ポリシーを利用してクライアントのセキュリティ設定を引き上げたり,デジタル証明書を使ってパスワードの暗号化をしたりすることが可能になる。

 VPN接続は,社外から社内ネットワークへの接続を許可するという機能であり,接続端末の厳重な管理が不可欠である。Active DirectoryなしにWindows Serverを使ってVPN接続を提供する場合,接続するクライアントを限定できないなど,セキュリティ管理が緩くなる恐れがある。

 それではまず,VPN接続を提供する上で必要になる,ネットワーク設計を説明しよう。

DMZネットワーク内に専用のWindows Serverを設置する


△ 図をクリックすると拡大されます
図1●VPN接続を利用するために必要となるネットワーク構成
 VPN接続を実現するためには,図1のようなやや特殊なネットワーク環境が必要だ。図1では,社内に2系統のネットワークが存在することが分かるだろう。1つはDMZ(非武装地帯)ネットワークであり,もう一つが内部ネットワークである。

 DMZネットワークというのは,社内ネットワークの中でもインターネットに直に接続されているネットワークであり,内部ネットワークはファイアウオールやNAT(ネットワーク・アドレス変換)などによってインターネットとは隔離されたネットワークである。外部からVPN接続をするユーザーは,DMZネットワークに公開されたVPNサーバーへまずアクセスし,VPNサーバーを経由して内部ネットワーク(とその中にあるファイル・サーバーなど)にアクセスすることになる。

 VPNサーバーをインターネットに対して公開するためには,DMZネットワークを構成できるルーターやファイアウオールが必要である。もちろん,インターネットにサーバーを公開するための「グローバルIPアドレス」も必要である。DMZネットワークを構成せずに,ルーターの「ポート・フォワード」という機能を利用して,ルーターのIPアドレスを共有する形でVPNサーバーを公開する方法もあるが,セキュリティの観点からお勧めできない。グローバルIPアドレスのサービスは,IPアドレスが8個使えるもので月額1万円程度だ。DMZネットワークを用いた構成は,何らかの問題が発生した際に障害の影響範囲を抑えられるといった効果もあるので,是非とも検討してほしい。

VPNサーバーにはネットワーク・インターフェースが2個必要

 VPNサーバーは,インターネットからアクセスしてきたVPNクライアントの処理を,内部ネットワークのサーバーに送るのだから,VPNサーバーは当然,DMZネットワークと内部ネットワークの双方に接続している必要がある。専用のネットワーク機器を使って,DMZネットワークのVPNサーバーを内部ネットワークに接続する方法もあるが,今回はよりコストの小さい「VPNサーバーにネットワーク・インターフェースを2個装備して,VPNサーバーを2種類のネットワークに接続する」という手法を選択する。

 このような構成にした場合,注意しなければならない点がある。それは,VPNサーバーのために,専用のWindowsサーバーを1台用意する必要があるということだ。Active Directoryのドメイン・コントローラは,NICを2個以上装備してそれぞれ別のネットワークに接続する「マルチ・ホーム」の構成を推奨していないからだ。これは,ブラウズマスタやDNSサーバーに対してIPアドレスなどを登録する際に,その処理がどちらのNICによって行われているかユーザーや管理者が判断できないためだ。例えば,内部ネットワークのクライアントが,Active Directoryのドメイン・コントローラにアクセスしようとDNSサーバーに対してドメイン・コントローラの名前解決を依頼した時に,DMZのIPアドレスが返信されるのは問題である。こうしたことが起きないように,マルチ・ホーム環境を非推奨としているのだ。VPNサーバーには,VPNサーバー専用のWindowsサーバーを用意しよう。