グラフィカルな管理ツールを用意し、Windows Serverも利用できるKVM型VPS「GMOクラウドVPS」の性能をチェック 4ページ

VPS上のWindowsにVPNでネットワーク接続する

　GMOクラウドVPSで提供されるVPSにはグローバルIPアドレスが割り振られており、またVPSはファイアウォールやロードバランサなどを経由せずに直接インターネットに接続されている。そのため外部からサーバーに自由にアクセスできるのだが、いっぽうでセキュリティには十分注意しなければならない。たとえばWindows Serverを利用し、Windowsファイル共有を用いてVPSをファイルサーバーとして利用する場合、やり取りするファイルの内容が傍受されないようその経路を暗号するべきである。このような目的で広く使われているのが、VPN（Virtual Private Network）だ。

　VPNは端末間の通信パケットを暗号化して送受信することで、その経路間での傍受を防ぐ技術だ。インターネット経由で接続されている端末間をあたかも専用線を利用しているかのように接続できる。Windows ServerではデフォルトでこのVPNサーバー機能が搭載されており、クライアント版Windows（Windows XPやVista、7など）には標準でVPNクライアント機能が搭載されている。これらを利用することで、VPS上のWindows Serverと、Windowsクライアント間を簡単にVPNで接続できる。

　VPNを利用することで、複数の拠点間をあたかも1つのネットワークに接続されているかのように接続することも可能だ。たとえば職場のWindowsマシンとVPS上のWindows Serverとの間にVPN接続を確立させた状態にしておき、自宅のWindowsマシンからVPS上のWindows Serverとの間にVPN接続を確立させれば、自宅のWindowsマシンと職場のWindowsマシンが同一のネットワークに接続された状態を作ることができる。VPNは利用の仕方によってはセキュリティ的な問題ともなるため、利用の際はネットワークポリシーの確認や管理者の許可が必要ではあるが、使い方によっては非常に有用である。

　Windows ServerのVPN機能ではGUIでの各種設定が可能だが、設定項目が多岐にわたるためやや分かりにくいところがある。そこで、以下ではVPNを利用するための最低限の設定について解説していこう。

Windows Server側の設定

　Windows Server側の設定は、以下のような流れとなる。

サーバーマネージャの「役割」からリモートアクセスサービスを追加する
「ルーティングとリモートアクセス」のリモートアクセス設定でVPNを有効にする
NPS（ネットワークポリシーサーバー）を起動する
NPSの設定で接続に利用するアカウントを設定する
VPNのセキュリティ設定を行う

　Windows Serverのデフォルト設定ではVPN関連のサービスがインストールされていない。そこで、まずはサーバーマネージャの「役割の追加ウィザード」でこれらをインストールする（図27、28）。

図27 VPN関連サービスのインストールは「サーバーマネージャ」で行う。「役割の追加」をクリックすると「役割の追加ウィザード」が表示される

図28 「役割の追加ウィザード」の指示に従ってリモートアクセスサービスを追加する

　VPN関連のサービスは「ネットワークポリシーとアクセスサービス」内に「リモートアクセスサービス」として用意されているので、これをインストールする（図29、30）。

図29 「サーバーの役割」で「ネットワークポリシーとアクセスサービス」にチェックを入れて「次へ」をクリックする

図30 「役割サービスの選択」画面で「リモートアクセスサービス」にチェックを入れて「次へ」をクリックする。あとは指示に従って確認・インストールを実行する

　インストールが完了したら、「管理ツール」の「ルーティングとリモートアクセス」を起動する。VPNの設定はこの「ルーティングとリモートアクセス」から行える（図31）。

　まず、左ペインのサーバーアイコンを右クリックし、「ルーティングとリモートアクセスの構成と有効化」を選択して「ルーティングとリモートアクセスのセットアップウィザード」を開始する（図32）。

図32 左ペインのサーバーアイコンを右クリックし、「ルーティングとリモートアクセスの構成と有効化」を選択する

　ここでいくつかの構成が提示されるが、今回のようにサーバー側が単一のNICのみ備える場合は「カスタム構成」を選択する。一見「リモートアクセス（ダイヤルアップまたはVPN）」を選択すれば良さそうに見えるが、この設定は2つ以上のNICが搭載されている場合のみ利用できるため、今回は選択できない（図33）。

図33 「ルーティングとリモートアクセスサーバーのセットアップウィザード」が開く。「構成」では「カスタム構成」を選択する

　有効にするサービスは「VPNアクセス」のみでOKだ（図34）。あとは指示に従ってウィザードを進めていけば良い。

　以上でVPNサーバーのセットアップは完了だ。指示に従ってサーバーを起動しておこう（図35）。

　続いてVPN接続に使用するユーザーアカウントを設定していく。まず、「ルーティングとリモートアクセス」の「リモートアクセスのログとポリシー」を右クリックし、「NPSの起動」を選択してNPSを起動しておく（図36）。

図36 「ルーティングとリモートアクセアス」の「リモートアクセスのログとポリシー」を右クリックし、NPSを起動する

　次に、スタートメニューの「管理ツール」から「ネットワークポリシーサーバー」を選択し、ネットワークポリシーサーバーの設定画面を開く。ここで左ペインの「ネットワークポリシー」を右クリックし、「新規」を選択する（図37）。

図37 「ネットワークポリシーサーバー」の「ネットワークポリシー」を新規作成する

　「新しいネットワークポリシー」ウィザードが表示されるので、適当なポリシー名（ここでは「VPN」とした）を入力する。「ネットワークアクセスサーバーの種類」では「Remote Access Server（VPN-Dial up）」を選択する（図38）。

図38 「新しいネットワークポリシー」ウィザードでポリシーを作成する。「ネットワークアクセスサーバーの種類」では「Remote Access Server（VPN-Dial up）」を選択する

　続いて「条件の指定」画面になるので、「追加」をクリックする（図39）。

　「条件の選択」ウィンドウが開くので、「ユーザーグループ」を選択して「追加」をクリックする（図40）。

　許可するユーザーグループを選択するウィンドウが表示されるので、「グループの追加」をクリックし、許可するグループを指定する（図41）。

　今回はグループとして「Remote Desktop Users」を指定し、リモートデスクトップ接続を許可しているユーザーに対しVPN接続を許可するように設定している（図42）。

図42 今回は「Remote Desktop Users」を指定して、リモートデスクトップ接続を許可しているユーザーに対しVPN接続を許可するように設定する

　最後に「OK」をクリックして条件を追加する（図43）。

　「アクセス許可の指定」では、「アクセスを許可する」を選択する（図44）。

　「認証方法の構成」はデフォルトのままでOKだ（図45）。

　最後にオプションである「制約」の設定画面が開くが、こちらもデフォルトのままで問題ない（図46）。

　これですべての設定項目が完了する。最後に「完了」をクリックし、設定を終了する（図47）。

事前共有キーの指定

　VPN接続にIPsecを利用する場合、通常は証明書を使って認証を行うのが一般的だ。ただし、そこまでのセキュリティは必要ない、という場合は、事前共有キーでの暗号化も利用できる。この設定は、「ルーティングとリモートアクセス」のプロパティで行える（図48）。

図48 「ルーティングとリモートアクセス」のプロパティで行える事前共有キーを設定できる

　「セキュリティ」タブを開き、「カスタムIPsecポリシーをL2TP接続に許可する」にチェックを入れ、「事前共有キー」に適当な文字列を入力する。クライアントにも同一の事前共有キーを設定しておくことで暗号化を行う仕組みだ（図49）。

図49 「セキュリティ」タブの「カスタムIPsecポリシーをL2TP接続に許可する」にチェックを入れ、「事前共有キー」に適当な文字列を入力する

　以上でサーバー側の設定は完了だ。最後にサーバーの再起動を行っておく（図50）。

図50 「サーバーの状態」に表示されているサーバーを右クリックし、「すべてのタスク」−「再起動」でサーバーを再起動する

クライアント側の設定

　クライアント側の設定は、「ネットワークと共有センター」から行う（図51）。まず、「新しい接続またはネットワークのセットアップ」をクリックする。

　接続オプションは「職場に接続します」を選択する（図52）。

　接続方法には「インターネット接続（VPN）を使用します」を選択し、「インターネットアドレス」に接続先のIPアドレスを入力する。「接続先の名前」には適当なものを入力しておこう。また、「今は接続しない。自分が後で接続できるようにセットアップのみを行う」にチェックを入れておく（図53、54）。

　ユーザー名およびパスワードは、サーバー側で作成しておいた接続用アカウントのものを入力する（図55）。

図55 サーバー側で接続用として設定したアカウントのユーザー名とパスワードを入力する

　以上で接続が作成される。ここでは「閉じる」を選択し、続けて接続設定を行う（図56）。

　「ネットワークと共有センター」画面で「ネットワークに接続」をクリックし、ポップアップされるウィンドウ内の「ダイヤルアップとVPN」を右クリックして「プロパティ」を選択する（図57）。

図57 「ダイヤルアップとVPN」に作成した接続が表示されるので、右クリックして「プロパティ」を選択する

　ここでは使用するVPNの種類や暗号化、認証の設定などが可能だ。たとえばIPsecの「事前共有キー」を設定しておいた場合は、「セキュリティ」タブの「詳細設定」をクリックして設定できる（図58）。

　「詳細プロパティ」ウィンドウが開くので、「L2TP」タブで「認証時事前共有キーを使う」を選択し、「キー」に事前共有キーを入力する（図59）。

図59 「詳細プロパティ」の「L2TP」タブを開き、「認証に事前共有キーを使う」を選択。「キー」に事前共有キーを入力する（*図1）。

　VPN接続時にネットワークのデフォルトゲートウェイ設定が変わってしまうのを防ぐ設定も行っておこう。「ネットワーク」タブで「インターネットプロトコルバージョン4（TCP/IPv4）」を選択し、「プロパティ」を開く（図60）。

図60 「ネットワーク」タブで「インターネットプロトコルバージョン4（TCP/IPv4）」を選択し、「プロパティ」をクリックする

　続いて「詳細設定」をクリックする（図61）。

図61 「インターネットプロトコルバージョン4（TCP/IPv4）のプロパティ」で「詳細設定」をクリックする

　「TCP/IP詳細設定」ウィンドウが開くので、「IP設定」タブで「リモートネットワークでデフォルトゲートウェイを使う」のチェックを外しておく（図62）。

図62 「IP設定」タブで「リモートネットワークでデフォルトゲートウェイを使う」のチェックを外しておく

　そのほか、必要に応じてVPN接続に対するファイアウォールの設定なども行っておこう。

VPN接続を確立させる

　VPN接続を行うには、「ネットワークと共有センター」で「ネットワークに接続」をクリックし、表示されるポップアップで接続するVPNを選択して「接続」をクリックする（図63）。

　接続ダイアログが表示されるので、ここでユーザー名とパスワードを入力し、「接続」をクリックする（図64）。

図64 接続ダイアログが表示されるので、ユーザー名とパスワードを入力して「接続」をクリックする

　設定が問題なければ、これでVPSへのVPN接続が確立される。この場合、VPNとクライアントは仮想的な同じセグメントのネットワークに接続された状態となり、たとえばコンピュータ名を使ってWindows共有フォルダに接続する、といったことが可能になる（図65）。

図65 VPN接続が確立していれば、コンピュータ名でWindows共有フォルダへの接続が可能となる

リーズナブルな価格でバリエーション豊富な構成を選択できるのが魅力のGMOクラウドVPS

　最近ではVPSサービスの低価格化が進んでおり、GMOクラウドVPSでももっとも安い「マイクロ」プランは3CPU、2GBメモリというスペックながら1,480円から、今回ベンチマークをしたスモールプランは4CPU、4GBメモリで2,980円からと、一昔前では考えられなかった料金で提供されている。しかし、ベンチマークテスト結果からも分かるとおり、安かろう悪かろうというわけではなく、実性能としても十分なものとなっている。

　Windows Serverが比較的安価に提供されているのも魅力である。別途料金は必要ではあるが、マイクロプランやスモールプランと組み合わせれば月額1万円以下でWindows Serverが利用できるというのは、Windows Serverの導入を検討している企業などから見れば魅力的だろう。

　Linuxについては現時点で選択できるOSがCentOS 5のみというのがやや残念だが、今後のアップデートで改善されるとのことなので、こちらも期待したいところである。

GMOクラウドVPS
http://vps.gmocloud.com/

前のページへ 1 2 3 4 5 次のページへ