Windows Server 2008で変化した点のひとつに、リモートアクセス関連の機能が充実した点が挙げられる。今週は、従来と共通するリモートアクセス機能、それと新たに加わったリモートアクセス機能について解説しよう。

Windows Server 2003と共通するVPNプロトコル

Windows Server 2003では、VPNプロトコルとして以下のものを利用できた。

・PPTP(Point to Point Tunneling Protocol)
・IPsec
・L2TP over IPsec(Layer 2 Tunneling Protocol over IPsec)

これらについては、Windows Server 2008でも大きな仕様や設定手順の変化はない。変化としては、ローカルセキュリティポリシーでIPsecの設定を行う際に、既定の状態で登録してあった3種類のIPsecポリシー(クライアント、サーバー、セキュリティで保護されたサーバー)がなくなったことぐらいだ。

もっとも、これらは認証手段としてKerberos V5を利用する内容になっており、それにはActive Directoryが必要という話になるので、非Active Directory環境を前提とするローカルセキュリティポリシーで用意する必然性は乏しかったといえる。

なお、Active Directoryのグループポリシーで設定するIPセキュリティポリシーについては、この3種類の既定値は従来と同様に登録してある。したがって、ポリシーエディタで先の3種類のいずれかを有効にして適用することで、トランスポートモードでIPsecを動作させて暗号化通信を行える。

IPsecの用途としてはLAN間接続VPNも考えられる。もっとも、LAN間接続であればWindowsサーバを使うよりも市販のVPNルータを利用する方が安価で設定が容易であり、WindowsサーバでVPNを利用する必然性は乏しい。そのため、WindowsサーバによるVPNの運用はリモートアクセスが主体と考えられる。

ところが、WindowsのIPsecはメインモードにしか対応しておらず、VPNを実現するためにトンネルモードで動作させる際には、双方の拠点で固定IPアドレスを必要とする。これではリモートアクセスの手段としては使いづらい。したがって、選択肢はIPsecをトランスポートモードで動作させてL2TPによるトンネリングと組み合わせるL2TP over IPsecか、あるいはPPTPに絞られるというのが、これまでの認識だった。

しかも、これらのVPNプロトコルには、NAT(Network Address Translation)やIPマスカレードといったアドレス変換機能との相性が悪い、あるいはファイアウォール設定によってはVPNプロトコルの追加ができず、ホテルなどのインターネット接続回線でVPNを利用できない場合が少なくない、といった問題がある。

Windows Server 2008で加わったリモートアクセス手段

そこでWindows Server 2008では、新たに2種類のリモートアクセス手段を用意した。いずれもSSL(Secure Socket Layer)をベースとしている点に特徴がある。そのため、VPNゲートウェイにはサーバ証明書を用意しなければならない。

ひとつがSSTP(Secure Socket Tunneling Protocol)で、SSLを使ってPPPのフレームをカプセル化する構成になっている。実は、Windows Server 2008にSSL用のサーバ証明書をインストールした状態でRRASを使ってVPNゲートウェイを構成すると、PPTPとL2TPに加えて、自動的にSSTPも利用可能になり、それぞれ128個ずつの着信用ポートを用意する(この数は後から変更可能だ)。

問題は、SSTPを利用できるクライアントがWindows Vista SP1しか存在しない点だろう。Windows Vista側の操作手順はPPTPやL2TPを使用する場合と変わらず、ダイヤルアップ接続と同じ要領でVPN用の接続設定をウィザード形式で作成する。ただし、作成後の接続設定でプロパティを変更して、VPNプロトコルの選択を[自動]から[SSTP]に変更しなければならない。[自動]のままではPPTPを使って接続してしまうからだ。

現時点で、SSTPを利用できるクライアントはWindows Vista SP1に限られる。リモートアクセスVPN用のネットワーク接続設定を作成した後で、プロパティ画面でVPNプロトコルの種類を変更する必要がある点に留意したい。これを忘れるとPPTPで接続してしまうからだ

Windows Vistaのネットワーク接続設定一覧では、VPN接続を行っているときに、VPN用の接続設定アイコンにVPNプロトコルの種類を表示する。画面例では、左下にあるアイコンで「SSTP」と表示しているのが分かるはずだ

もうひとつが、ターミナルサービスゲートウェイ(TSゲートウェイ)だ。こちらはターミナルサービスが使用するRDP(Remote Desktop Protocol)のパケットをSSLでカプセル化する方法で実現している。SSTPと違って、TSゲートウェイをウィザード形式で構成する過程で自己署名証明書を作成する選択が可能になっているため、これを利用すれば証明書サービスの運用、あるいはサーバ証明書の購入は必要なくなる。

TSゲートウェイの機能を追加する過程で、SSLを利用するために必要となるサーバ証明書の選択が必要になる。画面例では、すでにActive Directory証明書サービスを使って配布しておいたサーバ証明書を使用しているが、TSゲートウェイに限り、自己署名証明書を作成する選択肢も利用できる