エクスポート (0) 印刷
すべて展開

管理ポータルでのポイント対サイト VPN の構成

更新日: 2014年6月

ポイント対サイト接続の設定には複数の手順が必要ですが、これはコンピューターから仮想ネットワークに安全に接続するための優れた手法です。VPN デバイスを購入し、設定する必要がありません。ポイント対サイト VPN の設定は 3 つの主要な部分から構成されています。仮想ネットワークとゲートウェイ、認証に使用される証明書、仮想ネットワークに接続するための VPN クライアントです。各手順を設定する順序は重要です。手順をスキップしたり、先に進んだりすることはできません。

  1. 仮想マシンと動的ルーティング ゲートウェイを構成する

  2. 資格情報を作成する

  3. VPN クライアントを構成する

ポイント対サイト接続には仮想マシンと動的ルーティング ゲートウェイが必要です。次の手順により、両方を段階的に作成します。

  1. Windows Azure の管理ポータルにログインします。

  2. 画面の左下隅で [新規] をクリックします。ナビゲーション ウィンドウで [ネットワーク サービス] をクリックし、[仮想ネットワーク] をクリックします。[カスタム作成] をクリックして、構成ウィザードを開始します。

  3. [仮想ネットワークの詳細] ページで、次の情報を入力し、右下にある次へ進む矢印をクリックします。この詳細ページでの設定の詳細については、「Virtual Network Details page」を参照してください。

    • [名前] - 仮想ネットワークの名前を指定します。たとえば、「VNetEast」と指定します。これは、この VNet に VM と PaaS インスタンスを配置するときに参照する名前になります。

    • 場所 – 場所はリソース (VM) を配置する物理的な場所 (地域) に直接関連付けられます。たとえば、この仮想ネットワークに展開する VM を物理的に East US に配置したい場合は、その場所を選択します。仮想ネットワークを作成した後で、その仮想ネットワークに関連付けられた地域を変更することはできません。

  4. [DNS サーバーおよび VPN 接続] ページで、次の情報を入力し、右下にある次へ進む矢印をクリックします。詳細については、「DNS Servers and VPN Connectivity page」を参照してください。

    • [DNS サーバー] - DNS サーバー名と IP アドレスを入力するか、以前に登録した DNS サーバーをドロップダウン リストから選択します。この設定では DNS サーバーを作成することはなく、この仮想ネットワークの名前解決に使用する DNS サーバーを指定することができます。Azure の既定の名前解決サービスを使用する場合、このセクションは空白のまま残します。

    • [ポイント対サイト VPN の構成] - チェック ボックスを選択します。

  5. [ポイント対サイト接続] ページで、IP アドレスの範囲を指定します。接続されたとき、VPN クライアントはこの範囲の IP アドレスを受け取ります。指定できるアドレス範囲に関して、いくつかのルールがあります。指定した範囲がオンプレミス ネットワークの範囲と重複しないことを確認することが非常に重要です。詳細については、「Point-To-Site Connectivity page」ページを参照してください。

    次の情報を入力し、次の矢印をクリックします。

    • [アドレス空間] - 開始 IP と CIDR (アドレス数) を追加します。

    • [アドレス空間の追加] - ネットワーク設計に必要な場合にのみ追加します。

  6. [仮想ネットワーク アドレス空間] ページで、仮想ネットワークに使用するアドレス範囲を指定します。これらは、この仮想ネットワークに配置する VM および他のロール インスタンスに割り当てられる動的 IP アドレス (DIPS) です。仮想ネットワーク アドレス空間に関しては多数の規則があります。詳細については、「Virtual Network Address Spaces page」を参照してください。オンプレミス ネットワークに使用するどの範囲とも重複していない範囲を選択することが特に重要です。ネットワーク管理者は、仮想ネットワークに使用するオンプレミス ネットワークのアドレス空間から、ネットワーク管理者のための IP アドレスの範囲を分割しなければならない可能性があるため、ネットワーク管理者と調整する必要があります。

    次の情報を入力し、チェックマークをクリックし、仮想ネットワークの作成を始めます。

    • [アドレス空間] - 開始 IP と数を含む、この仮想ネットワークに使用する内部 IP アドレス範囲を追加します。仮想ネットワーク アドレス空間に関しては多数の規則があります。詳細については、「Virtual Network Address Spaces page」を参照してください。オンプレミス ネットワークに使用するどの範囲とも重複していない範囲を選択することが特に重要です。ネットワーク管理者は、仮想ネットワークに使用するオンプレミス ネットワークのアドレス空間から、ネットワーク管理者のための IP アドレスの範囲を分割しなければならない可能性があるため、ネットワーク管理者と調整する必要があります。

    • [サブネットの追加] - 追加サブネットは必須ではありませんが、VM 用に静的 DIP を持つ別のサブネットを作成することをお勧めします。または、他のロール インスタンスとは分離したサブネットに VM を配置することができます。

    • [ゲートウェイ サブネットの追加] – ゲートウェイ サブネットはポイント対サイト VPN に必須です。クリックし、ゲートウェイ サブネットを追加します。ゲートウェイ サブネットは仮想ネットワーク ゲートウェイにのみ使用されます。

  7. 仮想ネットワークが作成されると、管理ポータルのネットワーク ページの [状態][作成済み] と表示されます。仮想マシンを作成したら、動的ルーティング ゲートウェイを作成できます。

  1. [ネットワーク] ページの [管理ポータル] で、作成した仮想ネットワークをクリックして、[ダッシュボード] ページに移動します。

  2. [ダッシュボード] ページの下部にある [ゲートウェイの作成] をクリックします。「仮想ネットワーク '{ネットワーク名}' にゲートウェイを作成しますか?」というメッセージが表示されます。[はい] をクリックして、ゲートウェイの作成を開始します。ゲートウェイが作成されるまでに 15 分ぐらいかかります。

ポイント対サイト VPN では、証明書を使用して VPN クライアントを認証します。この手続は複数の手順で構成されています。次のリンクを使用し、各手順を順番に完了します。

  1. 自己署名ルート証明書の生成 - 現時点では、自己署名ルート証明書のみがサポートされています。

  2. ルート証明書ファイルを管理ポータルにアップロードする

  3. クライアント証明書を生成する

  4. クライアント証明書をエクスポートし、インストールする

  1. X.509 証明書を作成する方法の 1 つとして、証明書作成ツール (makecert.exe) を使用する方法があります。makecert を使用するには、Microsoft Visual Studio Express 2013 for Windows Desktop をダウンロードしてインストールします。これは無料で使用できます。

  2. Visual Studio の Tools フォルダーに移動し、コマンド プロンプトを管理者として起動します。

  3. 下の例のコマンドを実行すると、コンピューターの個人証明書ストアでルート証明書が作成され、インストールされます。また、それに対応する .cer ファイルが作成されます。これは後に管理ポータルにアップロードされます。

    .cer ファイルを置くディレクトリに移動し、下の一覧にあるコマンドを実行します。RootCertificateName は証明書に使用する名前です。何も変更せずに下の例を実行すると、ルート証明書と該当ファイル RootCertificateName.cer が生成されます。

    注記 - 作成したルート証明書からクライアント証明書が生成されます。そのため、この証明書と共にその秘密鍵をエクスポートし、復旧できる安全な場所に保存することをお勧めします。

    makecert -sky exchange -r -n "CN=RootCertificateName" -pe -a sha1 -len 2048 -ss My "RootCertificateName.cer"
    

  1. 前の手順で自己署名ルート証明書を生成したとき、.cer ファイルも作成しました。そのファイルを管理ポータルにアップロードします。.cer ファイルにはルート証明書の秘密鍵が含まれていないことを注意します。

  2. 管理ポータル内にある仮想ネットワークの [証明書] ページで [ルート証明書のアップロード] をクリックします。

  3. [証明書のアップロード] ページで、.cer ルート証明書を探し、チェックマークをクリックします。

  1. 自己署名管理証明書の作成に使用した同じコンピューターで、Visual Studio Command Prompt ウィンドウを管理者として開きます。

  2. クライアント証明書ファイルを保存する場所にディレクトリを変更します。RootCertificateName は生成した自己署名ルート証明書です。下の例を実行した場合 (RootCertificateName を自分のルート証明書の名前に変更します)、個人証明書ストアに「ClientCertificateName」という名前のクライアント証明書が作成されます。

  3. 次のコマンドを入力します。

    makecert.exe -n "CN=ClientCertificateName" -pe -sky exchange -m 96 -ss My -in "RootCertificateName" -is my -a sha1
    
  4. すべての証明書は、コンピューター上の個人証明書ストアに格納されます。確認するには、certmgr を調べます。この手順に基づいて、必要な数のクライアント証明書を作成できます。仮想ネットワークに接続するコンピューターごとに一意のクライアント証明書を作成することをお勧めします。

  1. クライアント証明書は、仮想ネットワークに接続する各コンピューターにインストールする必要があります。つまり、多くの場合、複数のクライアント証明書を作成し、それらをエクスポートする必要があります。クライアント証明書をエクスポートするには、certmgr.msc を使用します。エクスポートするクライアント証明書を右クリックし、[すべてのタスク][エクスポート] の順にクリックします。

  2. クライアント証明書を秘密キーと共にエクスポートします。これが .pfx ファイルになります。この証明書に対して設定したパスワード (キー) を、必ず記録するか覚えてください。

  3. .pfx ファイルをクライアントコンピューターにコピーします。クライアント証明書をインストールするには、クライアント コンピューターで .pfx ファイルをダブルクリックします。要求された場合は、パスワードを入力します。インストール場所は変更しないでください。

仮想ネットワークに接続するには、VPN クライアントを構成する必要もあります。クライアントには、接続するためにクライアント証明書と適切な VPN クライアント証明書の両方が必要です。

  1. 管理ポータル内にある仮想ネットワークの [ダッシュボード] ページで、右隅の [概要] メニューに移動します。次に、仮想ネットワークに接続するクライアントに関連する VPN パッケージをクリックします。

    次のクライアント オペレーティング システムがサポートされています。

    • Windows 7 (32 ビットおよび 64 ビット)

    • Windows Server 2008 R2 (64 ビットのみ)

    • Windows 8 (32 ビットおよび 64 ビット)

    • Windows Server 2012 (64 ビットのみ)

    インストール先のクライアント オペレーティング システムに対応するダウンロード パッケージを選択します。

    • 32 ビット クライアントの場合は、[32 ビット クライアント VPN パッケージのダウンロード] を選択します。

    • 64 ビット クライアントの場合は、[64 ビット クライアント VPN パッケージのダウンロード] を選択します。

  2. クライアント パッケージを作成するには数分かかります。パッケージの作成が完了すると、ファイルをダウンロードできます。ダウンロードする .exe ファイルは、ローカル コンピューターに安全に格納されます。

  3. 管理ポータルから VPN クライアント パッケージを生成し、ダウンロードしたら、クライアント コンピューターにクライアント パッケージをインストールし、クライアント コンピューターから仮想ネットワークに接続できます。VPN クライアント パッケージを複数のクライアント コンピューターにインストールする場合、各コンピューターにもクライアント証明書がインストールされていることを確認します。VPN クライアント パッケージには、Windows に組み込まれた VPN クライアント ソフトウェアを設定するための設定情報が含まれています。パッケージによって追加のソフトウェアはインストールされません。

  1. 仮想ネットワークに接続するコンピューターに構成ファイルをローカルでコピーし、*.exe ファイルをダブルクリックします。パッケージがインストールされたら、VPN 接続を開始できます。

    noteメモ
    VPN クライアント構成パッケージは、Microsoft によって署名されていません。組織の署名サービスを使用して、パッケージに署名できます。または、SignTool を使用して、ユーザー自身がパッケージに署名できます。署名しないでパッケージを使用してもかまいません。ただし、パッケージが署名されていない場合、パッケージのインストール時に警告が表示されます。

  2. クライアント コンピューターで、VPN 接続に移動し、作成した VPN 接続を見つけます。仮想ネットワークと同じ名前が付いています。[接続] をクリックします。

  3. ゲートウェイ エンドポイントの自己署名証明書を作成するためのポップアップ メッセージが表示されます。高度な特権を使用するには、[続行] をクリックします。

  4. [接続] 状態ページで、[接続] をクリックして接続を開始します。

  5. [証明書の選択] 画面が表示されたら、クライアント証明書が接続に使用する証明書であることを確認します。必要な証明書ではない場合、下矢印をクリックし、正しい証明書を選択して [OK] をクリックします。

  6. これで、仮想ネットワークに接続されました。仮想ネットワークでホストされているすべてのサービスと仮想マシンに対するフル アクセス権が与えられます。

  1. VPN 接続がアクティブであるかどうかを確認するには、管理者特権のコマンド プロンプトを開き、ipconfig/all を実行します。

  2. 結果を確認します。受け取った IP アドレスが VNet を作成したときに指定したポイント対サイト接続のアドレス範囲内のアドレスであることに注意してください。結果は次のようになるはずです。

    PPP adapter VNetEast:
    
       Connection-specific DNS Suffix  . :
       Description . . . . . . . . . . . : VNetEast
       Physical Address. . . . . . . . . :
       DHCP Enabled. . . . . . . . . . . : No
       Autoconfiguration Enabled . . . . : Yes
       IPv4 Address. . . . . . . . . . . : 192.168.130.2(Preferred)
       Subnet Mask . . . . . . . . . . . : 255.255.255.255
       Default Gateway . . . . . . . . . :
       NetBIOS over Tcpip. . . . . . . . : Enabled
    
    

関連項目

表示:
© 2014 Microsoft