正解:1
Windows Server 2003の「ルーティングとリモートアクセスサービス(RRAS)」機能を使用すると,リモート・アクセス・サーバーやルーター,NATサーバー,DHCPリレー・エージェントが構成できる。
リモート・アクセス・サーバーは,VPNとダイヤルアップのアクセスを受け付けるサーバーである。ユーザーに対してリモートからのアクセスを許可するには,管理ツールの[ルーティングとリモートアクセス]でリモート・アクセス・ポリシーを許可するように構成する(図1)。その上で,管理ツールの[Active Directoryユーザーとコンピュータ]を使って,ユーザー・アカウントの[プロパティ]-[ダイヤルイン]にある,[リモートアクセス許可]の設定を[アクセスを許可],または[リモート アクセス ポリシーでアクセスを制御]に設定する(図2)。
 |
| 図1●リモートアクセスポリシー [画像のクリックで拡大表示] |
 |
| 図2●ユーザーアカウントのダイヤルインプロパティ |
ここで気をつけたいのは,ドメインの機能レベルが[Windows 2000混在]になっている場合,[リモートアクセス許可]の既定の設定が[拒否]になっていることである。ドメインの機能レベルを[Windows 2000ネイティブ]または[Windows Server 2003]にすると,既定の設定が[リモート アクセス ポリシーでアクセスを制御]になる。今回のケースのように,リモート・アクセス許可が拒否になっていて,[リモート アクセス ポリシーでアクセスを制御]になっている場合,ドメインの機能レベルが「Windows 2000混在」になっていないか疑ってみるべきだろう。
なお,ユーザー・アカウントのダイヤルイン・プロパティにおけるリモートアクセスの設定を無視するようにも設定できる。管理ツールの「ルーティングとリモートアクセス」を使って,「Microsoftルーティングとリモートアクセスサーバーへの接続]の[プロパティ]から[ダイヤルインプロファイルの編集]をたどり,[詳細設定]タブで, [Ignore-UserDialIn-Propaties]を有効にするのだ(図3)。
 |
| 図3●Ignore-UserDialIn-Propaties [画像のクリックで拡大表示] |
このシナリオのネットワークでは,ドメイン・コントローラはWindows Server 2003だけなので,ドメインの機能レベルを「Windows Server 2003」に上げても問題ない。ドメインの機能レベルを「Windows Server 2003」にすると,既定の設定が[リモート アクセス ポリシーでアクセスを制御]になるので,リモート・アクセス・ポリシーで許可されていれば,ユーザーはリモートからアクセスできるようになる。したがって,正解は(1)になる。
他の選択肢の誤りについて解説しよう。
(2)のように,すべてのユーザー・アカウントにおいて,ダイヤルイン・プロパティの[リモートアクセス許可]の設定を[アクセスを許可]にしても,ユーザーのリモートからのアクセスは許可できる。しかし全ユーザーのプロパティを変更するこの方法は「最も簡単」であるとは言い難い。
(3)のように,[ルーティングとリモートアクセス]で,リモート・アクセス・ポリシーを削除すると,既定のポリシーのみが残る。しかしこの場合でも,いずれのポリシーもアクセスを許可する設定にはなっていない。したがって,(3)は誤りである。
[RAS and IAS Servers]は,リモート・アクセス・サーバーに対して,ドメイン・コントローラ上のユーザー・アカウントを参照する権利を与える目的で使用する。したがって,(4)は誤りである。
ここで,リモート・アクセス・ポリシーの内容を確認してみよう。
リモート・アクセス・ポリシーは,(1)ポリシー条件,(2)プロファイル,(3)リモート・アクセスの許可または拒否の設定--からなる。
ポリシー条件では,要求されているサービスの種類や,接続しようとしているユーザーまたはコンピュータ・アカウントが所属するグループの名前などが指定できる。
プロファイルでは,接続を許可する曜日と時間といった設定や,接続が許可されるために呼び出し側が使用する必要がある各種の設定,つまり特定のメディアの種類などからなるダイヤルインの制限や,IPアドレスの割り当て動作を指定する設定などが指定できる。設定項目には「IPプロパティ設定」「認証」「暗号化」などがある。詳細設定では,[Ignore-UserDialIn-Propaties]を設定できる。リモート・アクセス・ポリシーでは,これらの要件が一致した場合にアクセスを許可するか拒否するかを設定できる。
複数台のリモート・アクセス・サーバーを管理する場合は,Windows Server 2003の[インターネット認証サービス](IAS:Internet Authentication Service)を使用すると,接続認証や承認,アカウント管理を一元化できる。IASは,マイクロソフトによるRADIUSサーバーの実装である。リモート・アクセス・ポリシーも個々のリモート・アクセス・サーバー上ではなく,IASサーバー上でのみ管理すればよいので便利である。
