Windows Server 2008だけでなくWindows Server 2003でも、[ルーティングとリモートアクセス]管理ツールを使ったリモートアクセスポリシーの設定が可能である。ただし、[NPS]管理ツールがない等の理由により、操作手順に違いがある。
今回は、Windows Server 2003用のRRASについて、リモートアクセスポリシーとNATルータの設定を説明しよう。
リモートアクセスポリシーの設定手順
Windows Server 2003のRRASでは、以下の手順によってリモートアクセスポリシーの設定を行える。既製品を使う標準ポリシーに加えて、ユーザーが条件を指定できるカスタムポリシーがあるが、いずれも作成後にプロパティ画面を表示させて設定を変更できる。
(1)[ルーティングとリモートアクセス]管理ツール左側のツリー画面で[(サーバ名)]-[リモートアクセスポリシー]を選択する。
(2)[操作]-[新しいリモートアクセスポリシー]、または右クリックして[新しいリモートアクセスポリシー]を選択する。
(3)ここから先は、ウィザード形式で独自のポリシーを定義できる。[標準ポリシー]を選択すると、使用頻度が高そうな条件を一覧から選択して、グループ名などの可変要素を指定する形になる。
(4)ウィザードの2画面目で[カスタムポリシーを設定する]を選択すると、カスタムポリシーの作成も可能である。こちらでは属性を一覧から選択して条件を指定することで、さらに細かい設定が可能になる。例えば、特定のセキュリティグループに属するユーザーにだけ着信を許可したい場合、一覧の下端にある[Windows-Groups]をクリックして選択してから[追加]をクリックする。続いて表示するダイアログで、着信許可の対象となるグループを指定する。
(5)ウィザードの3画面目で、リモートアクセスの可否を指定する。
(6)ウィザードの4画面目で、プロファイルの設定を変更できる。[プロファイルの編集]をクリックすると別のダイアログが現れるが、そこには[ダイヤルインの制限][IP][マルチリンク][認証][暗号化][詳細設定]と6枚のタブがある。通常は既定値のままで問題ないと思われるが、暗号化プロトコルの設定変更であれば[暗号化]タブ、VPNクライアントへのIPアドレス割り当て方法を独自に規定するのであれば[IP]タブ、といったところに出番がある。
(7)ウィザード最終画面で[完了]をクリックすると、リモートアクセスポリシーを追加する。
こうして追加したポリシーは一覧に現れる。それを選択して、[操作]メニュー、あるいは右クリックメニューで[プロパティ]を選択するか、あるいはダブルクリックすることでプロバティ画面が現れて、設定の変更が可能になる。
NATルータ機能の設定
続いて、NATルータの設定について取り上げる。これは早い話が、RRASを市販のブロードバンドルータと同じように機能させるものと考えればよい。ルータの機能だけなら市販のルータ専用機を使用するほうが安上がりだが、VPN(Virtual Private Network)ゲートウェイを兼用させるような場面では、WindowsサーバのRRASにも出番がある。
NATルータの機能を有効にして、さらに静的経路情報(ルーティングテーブル)を設定する際の手順は、以下の通りである。パケットフィルタの設定については次回に取り上げる。
(1)[ルーティングとリモート アクセス]管理ツールを起動する。
(2)左側のツリー部分に表示しているサーバ名で右クリックして、[ルーティングとリモート アクセスの構成と有効化]を選択する。
(3)ウィザードを起動すると、最初に初期画面を表示するので、[次へ]をクリックして先に進む。
(4)ウィザード2画面目で、RRASの使用目的を選択する画面を表示する。ここで、[ネットワークアドレス変換(NAT)]を選択する。
(5)次の画面で、ネットワーク接続設定の選択を行う。ルータとして動作するコンピュータは複数のLANアダプタと、それぞれに対応するネットワーク接続設定が必要になる。それらのうち、どれをインターネット接続に使用しているのかを選択しなければならない。
(6)Windows Server 2003では、[選択したインタフェースにベーシックファイアウォールをセットアップしてセキュリティを有効にする]というチェックボックスがあるので、インターネット側の接続設定については、このチェックボックスをオンにする。
(7)TCP/IPプロパティでDNSサーバアドレスを指定していないと、[名前とアドレスの変換サービス]という画面を表示する。この画面には2種類の選択肢があるが、それぞれ、以下のような意味になる。
基本的な名前とアドレスのサービスを有効にする
RRASはDNSリレーの機能を提供する。つまり、インターネット側の接続設定に対してTCP/IPプロパティとしてDNSサーバアドレスを指定しておき、そこに名前解決要求を転送する。LAN側のコンピュータは、DNSサーバアドレスとして、RRASが動作するコンピュータの、LAN側IPアドレスを指定する。つまりは、ブロードバンドルータを使用する場合と同じである
名前とアドレスのサービスを後でセットアップする
別途、自前のDNSサーバをLAN側に設置する場合の選択肢。既存のDNSサーバをTCP/IPプロパティのDNSサーバアドレスとして指定する場合にも、こちらを選択する
(8)ウィザード最終画面で[完了]をクリックすると、RRASがNATルータとして動作するようになる。
ルーティングテーブルの操作
LANとインターネットの境界に設置するNATルータであれば、「LAN内部に当てたトラフィック以外はすべてインターネット向け」ということで話は簡単だが、RRASの利用形態によってはルーティングテーブルを設定しなければならない場合もある。各種のルーティングプロトコルを用いて設定する方法もあるが、ここでは静的なルーティングテーブルを設定する際の手順について解説する。
静的なルーティングテーブルを設定するには、RRASで静的ルートの設定を行う方法と、コマンドプロンプトでROUTEコマンドを使う方法がある。まず、前者の方法について解説する。
(1)[ルーティングとリモート アクセス]管理ツールを起動する。
(2)左側のツリー画面で、[(サーバ名)]-[IPルーティング]-[静的ルート]を選択する。
(3)続いて、[操作]メニュー、または右側の一覧で右クリックして[IPルーティングテーブルの表示]を選択する。すると、小さな別ウィンドウが開いて、そこにルーティングテーブルの一覧を表示する。このウィンドウは右上隅の[×]をクリックすると閉じる。
必要とする経路情報が一覧にない場合、手作業で登録する必要がある。それには、[(サーバ名)]-[IPルーティング]-[静的ルート]を選択した状態で、[操作]メニュー、または右側の一覧で右クリックして[新しい静的ルート]を選択する。
[静的ルート]ダイアログで、インタフェース(ネットワーク接続設定の名称で選択する)、宛先となるネットワークのネットワークアドレとサブネットマスク、ゲートウェイ、メトリックの指定を行う。メトリックの数字は、小さいほうが優先度が高い。
(5)[OK]をクリックすると、指定した内容のルーティングテーブルを登録する。こうして追加した静的ルートも先の一覧に現れるはずだ。また、不要な静的ルートはいつでも削除できる。
続いて、ROUTEコマンドを使う方法について解説する。使用するコマンドの構文は以下の通りだ。
ROUTE -p /ADD <宛先ネットワーク アドレス> MASK <サブネットマスク> <ゲートウェイのIPアドレス> METRIC <メトリック>
例えば、ネットワーク アドレスが「192.168.10.0」、サブネットマスクが「255.255.255.0」(つまり192.168.10.0/24)のネットワークに、ゲートウェイ「192.168.0.1」経由、メトリック値3のルーティング テーブルを設定する場合、以下のように入力する。
ROUTE -p ADD 192.168.10.0 MASK 255.255.255.0 192.168.0.1 METRIC 3
ここで出てくる「-p」は、コンピュータを再起動した後も設定を記憶しているようにするための指定である。これを省略すると、追加した経路情報は再起動した際に自動的に消滅する。これを逆手にとって、一時的に使用する経路情報を登録することもできるが、そういう機会はあまりないかもしれない。