オフィスでWindows Server 2012 Essentialsを導入して、バックアップやデータ共有の体制を整えても、オフィスの外にノートPCやタブレットを持ち出せば、それは「離れ小島」である。

出かける前に、仕事で使用するデータを手元のノートPCにコピーしておく手も考えられるが、データが複数に分岐してしまって、管理が難しくなる。それに、コピー作業を忘れたらどうにもならない。筆者にも経験がある。

そんな場面で威力を発揮するのが、出先からインターネット経由でオフィスのLANにアクセスする、いわゆる「リモートアクセス」だ。Windows Server 2012 Essentialsには、このリモートアクセスの機能が標準で備わっている。VPNとリモートWebアクセスの二本立てだが、今回は後者を取り上げる。

なお、Windows Server 2012 Essentialsの全般的な機能概要については、マイクロソフトが公表しているテクニカルドキュメントも参照するとよい。

リモートWebアクセスの概要

リモートアクセスというと、一般的に、VPN(Virtual Private Network)が有名だが、クライアントが 別拠点のLANの内部からアクセスしようとすると通信できないことがあり、設定が難しい一面もある。

Windows Server 2012 EssentialsのリモートWebアクセスも、インターネットを介してLAN内部に接続する点はVPNと同じだが、HTTP(HyperText Transfer Protocol)とWebブラウザを利用している点がポイントだ。つまり、Webサイトにアクセスするのと同じ要領で利用できる。

なお、リモートWebアクセスを利用するときには、ユーザーアカウントの設定に注意が必要だ。[管理者]に指定したアカウントは自動的にリモートWebアクセスの利用を許可するが、[標準ユーザー]に指定したアカウントは、明示的に許可しなければリモートWebアクセスを利用できない。もしも、リモートWebアクセスの利用を許可しない状態で作成してしまった[標準ユーザー]のアカウントがある場合には、後から設定を変更する必要がある。裏を返せば、明示的に許可したユーザーにだけリモートWebアクセスを使わせることができる。

Windows Server 2012 EssentialsとリモートWebアクセスの組み合わせが便利なのは、リモートアクセスのための機能を最初から備えていて、ハードやソフトの追加を行わなくてもリモートアクセスを実現できる点だろう。

リモートWebアクセスを実現するためのネットワーク構成

リモートWebアクセスはWindows Server 2012 Essentials自身が提供する機能だ。だから、リモートWebアクセスを利用して外部からアクセスするクライアントPCは、Windows Server 2012 Essentialsが動作するサーバに接続する必要がある。

この連載では、マウスコンピューターが販売しているサーバPC「MousePro SV」シリーズのうち「MousePro SV200ESX」を利用しているが、このサーバはLANアダプタを2個備えているので、片方をLAN、他方をインターネットに接続すれば外部から物理的にアクセスできることになる。ただ、それではインターネットから直接見える場所にサーバを接続することになるため、セキュリティ上の懸念がある。

そこで、現実的には、サーバはLAN内部に設置して、ファイアウォール(一般的には、LANとインターネットの境界に備えるルータで実現する機能)を介してインターネットからの直接アクセスを遮断する必要がある。その状態で、リモートWebアクセスが使用する宛先ポート番号について、LAN内部のWindows Server 2012 Essentialsが動作するサーバに転送するように、ポートフォワーディングの設定を行うといいだろう。転送の対象は、TCPポート80番と同443番だ。また、ファイアウォールがこれらのトラフィックを阻止しないように、設定を確認・変更する必要もある。なお、ルータがUPnPを標準でサポートしていれば、自動で設定してくれる。

もうひとつの課題が、外部から接続先を指定する際に必要となるホスト名だ。固定グローバルIPアドレスを取得してドメイン名の割当を受けるのが王道だが、それでは経費がかかるし、IPv4アドレスの枯渇がいわれる昨今、そもそも固定グローバルIPv4アドレスが手に入るかどうか分からない。

代わりに、動的に割当を受けるアドレスを使用して、マイクロソフトが提供するドメイン名を利用するのが無難だろう。これは要するにダイナミックDNSで、Microsoftアカウント(かつてのWindows Live ID)を取得していれば利用可能だ。ユーザーごとに異なるサブドメイン名の部分は、他のユーザーと重複しなければ、希望のものを指定できる。ドメイン名は「remotewebaccess.com」で固定しており、割り当てを受ける際のホスト名は「<サブドメイン名>.remotewebaccess.com」となる。

AnywhereAccessのセットアップ

Windows Server 2012 Essentialsでは、このリモートWebアクセスとVPNアクセスの機能を「AnywhereAccess」と総称している。この設定は、Windows Server 2012 Essentialsのダッシュボードから行える。

そのAnywhereAccessをセットアップする際の手順の概要は、以下の通りである。

  1. ダッシュボードで[セットアップ]以下の[AnywhereAccessのセットアップ]をクリックする。

  2. すると右側に[AnywhereAccessのセットアップ]という項目が現れるので、そこにある[クリックしてAnywhereAccessを構成する]をクリックする。

  3. まず、ダッシュボードからAnywhereAccessの構成を指示する

  4. 次の画面に、[ルーターのセットアップをスキップし、ルーターを手動でセットアップします]チェックボックスがある。前述したように、使用しているルータがUPnP非対応の場合、このチェックボックスをオンにして、手作業でルータを設定しなければならない。UPnP対応ルータを使用している場合、このチェックボックスはオフにしたまま続行する。

  5. 次の画面で[既に所有しているドメイン名を使用する]ではなく、[新しいドメイン名をセットアップする]を選択して、[次へ]をクリックする。前者は、すでに固定IPアドレスとドメイン名を取得している場合の選択肢だ。

  6. マイクロソフトが提供するダイナミックDNS機能を利用する場合、次の画面で[Microsoft から個人用ドメイン名を取得する]を選択して、[次へ]をクリックする。

  7. 次の画面で、Microsoftアカウントのユーザー名とパスワードを入力して、[次へ]をクリックする。

  8. マイクロソフトのダイナミックDNSサービスを利用するには、Microsoftアカウントが必要

  9. 次の画面では、プライバシー保護に関する説明へのリンクを表示している。内容を確認してから、[承諾]をクリックする。

  10. 次の画面で、ドメイン名を指定する。前述のように、指定できるのはサブドメイン名だけなので、まずは希望する名前を入力して[可用性をチェック]をクリックする。指定した名前が空いていて利用可能なら、その下に「○○.remotewebaccess.comは利用可能です」と表示するので、[セットアップ]をクリックして続行する。指定した名前がすでに使われていた場合には、別の名前で再試行する。

  11. ドメイン名は全ユーザーに共通で、ユーザーが指定できるのはサブドメイン名。入力後に可用性のチェック(重複がないかどうかの確認)を行う。画面は重複がない場合の例

  12. 次の画面は、ドメイン名のセットアップ完了を示すものとなる。さらに[次へ]をクリックして続行する。

  13. 次の画面で、[仮想プライベートネットワーク(VPN]と[リモートWebアクセス]のそれぞれについて、チェックボックスで有効・無効を指示してから[次へ]をクリックする。

  14. VPNとリモートWebアクセスのそれぞれについて、使用・不使用を指示する

  15. 次の画面では、[現在のユーザーアカウントと新たに追加されたユーザーアカウントのAnywhere Accessを許可する]チェックボックスがオンになっている。特にリモートアクセスを禁止したいユーザーがいるのでなければ、そのまま[次へ]をクリックする。
  16. ユーザーに対する利用許可を忘れると接続できなくなるので注意

  17. これでAnywhere Accessのセットアップは完了だ。最終画面で[閉じる]をクリックする。ネットワーク構成やルータの設定などに起因する問題があれば、その旨、エラーと推定原因を表示するので、それを受けて設定を見直した上で、再試行することになる。

こうしてドメイン名の取得とAnywhere Accessのセットアップを行うと、インターネットに接続しているクライアントPCのWebブラウザからリモートWebアクセスが可能になる。後は、LANの中からでも外からでもサーバを存分に活用すればよい。