オタク スクール: Windows 7 の学習 – リモート アクセス

シリーズの最後の部分では、同じネットワーク上にあればどこからでも Windows コンピューターを管理および使用できる方法について説明しました。しかし、そうでない場合はどうすればよいでしょうか?

Windows 7 に関するこの Geek School シリーズの以前の記事を必ずチェックしてください。

• ハウツーオタクスクールのご紹介
• アップグレードと移行
• デバイスの構成
• ディスクの管理
• アプリケーションの管理
• Internet Explorerの管理
• IP アドレス指定の基礎
• ネットワーキング
• ワイヤレスネットワーキング
• Windowsファイアウォール
• リモート管理

今週は残りのシリーズをお楽しみに。

ネットワークアクセス保護

ネットワーク アクセス保護は、ネットワーク リソースに接続しようとしているクライアントの状態に基づいて、ネットワーク リソースへのアクセスを制御する Microsoft の試みです。たとえば、あなたがラップトップ ユーザーである場合、外出中にラップトップを企業ネットワークに接続しない月が何ヶ月も続く可能性があります。この間、ラップトップがウイルスやマルウェアに感染しないという保証はなく、ウイルス対策定義の更新も受け取れないという保証はありません。

この状況では、オフィスに戻ってマシンをネットワークに接続すると、NAP サーバーの 1 つに設定したポリシーに基づいて、NAP がマシンの正常性を自動的に判断します。ネットワークに接続しているデバイスが正常性検査に合格しない場合、そのデバイスは修復ゾーンと呼ばれるネットワークの非常に制限されたセクションに自動的に移動されます。修復ゾーンに入ると、修復サーバーは自動的にマシンの問題の修復を試みます。いくつかの例は次のとおりです。

• ファイアウォールが無効になっており、ポリシーでファイアウォールを有効にする必要がある場合、修復サーバーがファイアウォールを有効にします。
• 正常性ポリシーに最新の Windows 更新プログラムが必要であると記載されているのに、そうでない場合は、クライアントに最新の更新プログラムをインストールする WSUS サーバーを修復ゾーンに置くことができます。

NAP サーバーによって正常であると判断された場合にのみ、コンピューターが企業ネットワークに戻されます。 NAP を強制するには 4 つの異なる方法があり、それぞれに独自の利点があります。

• VPN – VPN 強制方法の使用は、在宅勤務者が自分のコンピュータを使用して自宅からリモートで作業している会社で役立ちます。自分が制御できない PC に誰かがどのようなマルウェアをインストールするかは決してわかりません。この方法を使用すると、クライアントが VPN 接続を開始するたびにクライアントの状態がチェックされます。
• DHCP – DHCP 強制方法を使用すると、NAP インフラストラクチャによって正常であると判断されるまで、クライアントには DHCP サーバーから有効なネットワーク アドレスが与えられません。
• IPsec – IPsec は、証明書を使用してネットワーク トラフィックを暗号化する方法です。あまり一般的ではありませんが、IPsec を使用して NAP を強制することもできます。
• 802.1x – 802.1x はポート ベースの認証とも呼ばれ、スイッチ レベルでクライアントを認証する方法です。 802.1x を使用して NAP ポリシーを適用することは、今日の世界では標準的な方法です。

ダイヤルアップ接続

どういうわけか、Microsoft はこの時代においても、原始的なダイヤルアップ接続についてユーザーに知ってもらいたいと考えています。ダイヤルアップ接続は、POTS (Plain Old Telephone Service) とも呼ばれるアナログ電話ネットワークを使用して、あるコンピュータから別のコンピュータに情報を配信します。これは、変調と復調という言葉を組み合わせたモデムを使用して行われます。モデムは通常 RJ11 ケーブルを使用して PC に接続され、PC からのデジタル情報ストリームを電話回線を介して転送できるアナログ信号に変調します。信号が宛先に到達すると、別のモデムによって復調され、コンピュータが理解できるデジタル信号に戻されます。ダイヤルアップ接続を作成するには、ネットワーク ステータス アイコンを右クリックし、ネットワークと共有センターを開きます。

次に、「新しい接続またはネットワークのセットアップ」ハイパーリンクをクリックします。

ここで、「ダイヤルアップ接続のセットアップ」を選択し、「次へ」をクリックします。

ここから、必要な情報をすべて入力できます。

注: 試験でダイヤルアップ接続の設定が必要な問題が発生した場合は、関連する詳細が提供されます。

仮想プライベートネットワーク

仮想プライベート ネットワークは、インターネットなどのパブリック ネットワーク上に確立できるプライベート トンネルであり、別のネットワークに安全に接続できます。

たとえば、ホーム ネットワーク上の PC から企業ネットワークへの VPN 接続を確立するとします。そうすることで、ホーム ネットワーク上の PC が実際に企業ネットワークの一部であるかのように表示されます。実際、PC をイーサネット ケーブルで職場のネットワークに物理的に接続した場合と同様に、ネットワーク共有などに接続することもできます。唯一の違いはもちろん速度です。物理的にオフィスにいる場合と同じようにギガビット イーサネットの速度を得る代わりに、ブロードバンド接続の速度によって制限されます。

おそらく、これらの「プライベート トンネル」はインターネット上で「トンネル」するため、どれほど安全なのか疑問に思われるでしょう。誰もがあなたのデータを見ることができますか?いいえ、できません。VPN 接続経由で送信されるデータが暗号化されるため、仮想「プライベート」ネットワークという名前が付けられています。ネットワーク経由で送信されるデータのカプセル化と暗号化に使用されるプロトコルはユーザーに任されており、Windows 7 は以下をサポートします。

注: 残念ながら、これらの定義は試験のために暗記する必要があります。

• ポイントツーポイント トンネリング プロトコル (PPTP) – ポイントツーポイント トンネリング プロトコルを使用すると、ネットワーク トラフィックを IP ヘッダーにカプセル化し、インターネットなどの IP ネットワーク経由で送信できます。
  • カプセル化 : PPP フレームは、GRE の修正バージョンを使用して IP データグラムにカプセル化されます。
  • 暗号化 : PPP フレームは Microsoft Point-to-Point Encryption (MPPE) を使用して暗号化されます。暗号化キーは、Microsoft チャレンジ ハンドシェイク認証プロトコル バージョン 2 (MS-CHAP v2) または拡張認証プロトコル – トランスポート層セキュリティ (EAP-TLS) プロトコルが使用される認証中に生成されます。
• レイヤ 2 トンネリング プロトコル (L2TP) – L2TP は、インターネット プロトコルを使用して PPP フレームを転送するために使用される安全なトンネリング プロトコルであり、部分的に PPTP に基づいています。 PPTP とは異なり、Microsoft の L2TP 実装では PPP フレームの暗号化に MPPE を使用しません。代わりに、L2TP は暗号化サービスにトランスポート モードで IPsec を使用します。 L2TP と IPsec の組み合わせは、L2TP/IPsec として知られています。
  • カプセル化 : PPP フレームは、最初に L2TP ヘッダーでラップされ、次に UDP ヘッダーでラップされます。次に、結果は IPSec を使用してカプセル化されます。
  • 暗号化 : L2TP メッセージは、IKE ネゴシエーション プロセスで生成されたキーを使用して、AES または 3DES 暗号化で暗号化されます。
• Secure Socket トンネリング プロトコル (SSTP) – SSTP は、HTTPS を使用するトンネリング プロトコルです。 TCP ポート 443 はほとんどの企業ファイアウォールで開いているため、これは従来の VPN 接続が許可されていない国にとっては最適な選択肢です。暗号化にはSSL証明書を使用しているため、安全性も高いです。
  • カプセル化 : PPP フレームは IP データグラムにカプセル化されます。
  • 暗号化 : SSTP メッセージは SSL を使用して暗号化されます。
• インターネット キー交換 (IKEv2) – IKEv2 は、UDP ポート 500 上で IPsec トンネル モード プロトコルを使用するトンネリング プロトコルです。
  • カプセル化 : IKEv2 は、IPSec ESP または AH ヘッダーを使用してデータグラムをカプセル化します。
  • 暗号化 : メッセージは、IKEv2 ネゴシエーション プロセスで生成されたキーを使用して、AES または 3DES 暗号化で暗号化されます。

サーバー要件

注: 他のオペレーティング システムを VPN サーバーとして設定することもできます。ただし、これらは Windows VPN サーバーを実行するための要件です。

ユーザーがネットワークへの VPN 接続を作成できるようにするには、Windows Server を実行しているサーバーが必要で、次の役割がインストールされている必要があります。

• ルーティングとリモート アクセス (RRAS)
• ネットワーク ポリシー サーバー (NPS)

また、DHCP を設定するか、VPN 経由で接続するマシンが使用できる静的 IP プールを割り当てる必要もあります。

VPN接続の作成

VPN サーバーに接続するには、ネットワーク ステータス アイコンを右クリックし、ネットワークと共有センターを開きます。

次に、「新しい接続またはネットワークのセットアップ」ハイパーリンクをクリックします。

次に、職場に接続することを選択し、「次へ」をクリックします。

次に、既存のブロードバンド接続を使用することを選択します。

P

次に、接続するネットワーク上の VPN サーバーの IP または DNS 名を入力する必要があります。次に、「次へ」をクリックします。

次に、ユーザー名とパスワードを入力し、「接続」をクリックします。

接続したら、ネットワーク ステータス アイコンをクリックすると、VPN に接続しているかどうかを確認できます。

宿題

• VPN のセキュリティの計画については、TechNet の 次の記事を お読みください。

注: 今日の宿題は 70-680 試験の範囲から少し外れていますが、Windows 7 から VPN に接続するときに舞台裏で何が起こっているかをしっかりと理解することができます。

---

ご質問がございましたら、 @taybgibb にツイートしていただくか、コメントを残してください。