Windows2008R2とWindows7による、SSTP接続環境の構築(構築編)

VPN Windows Server

SSTPでの接続の検証環境を構築した際のメモ。
前回の記事に引き続き、今回は構築編。

参考書

以下の記述に従い、検証環境を構築。

Windows Server 2008 実践ガイド

Windows Server 2008 実践ガイド

 

手順概要

No 端末 内容
1 dc RADIUSサーバーの役割をセットアップ
2 sstp 証明機関のセットアップ
3 sstp ルートCA証明書のセットアップ
4 sstp サーバー証明書の発行
5 sstp サーバー証明書の配置
6 sstp サーバーのセキュリティセットアップ
7 sstp ルーティングとリモートアクセスのセットアップ
8 client ルートCA証明書のインストール
9 client SSTPクライアントの作成

 

手順詳細

1.RADIUSサーバーの役割をセットアップ(dc)

参考書のp520 - p523(「RADIUSの設定が完了した」) の通り(認証プロトコルは、「EAP MS-CHAP v2」)。

注意点としては、「ダイヤルアップまたはVPNサーバの指定」画面にて、既存のRADIUSクライアントがいる場合でも、そのクライアントを削除しない(無線LANのAPをRAIDUSクライアントとしている場合、表示される)。

 

2.証明機関のセットアップ(sstp)

参考書のp509 - p510 の通り。

 

3.ルートCA証明書のセットアップ(sstp)

参考書のp510- p511 の通り。

 

4.サーバー証明書の発行(sstp)

参考書のp511 - p513 の通り。

なお、証明書の発行等を行う場合は、参考書の p127 のように、IEのローカルイントラネットのセキュリティレベルを下げることで対応する。

また、終わったら元に戻しておく。

 

5.サーバー証明書の配置(sstp)

参考書のp513 - p515 の通り。

 

6.サーバーのセキュリティセットアップ(sstp)

参考書のp515 - p520 の通り。

なお、今回の検証環境はCRL確認をしないため、「/CertEnroll」は認証を全て無効としておく。

 

7.ルーティングとリモートアクセスのセットアップ(sstp)

最初に、参考書のp497 - p499、p523 - p524 より、ルーティングとリモートアクセスを追加する。

ただし、

  • IPアドレスの割り当て
    • 「指定したアドレス範囲」にて指定 (p529 - p530)
  • RADIUSサーバー
    • 「はい」でRADIUSクライアントのセットアップ (p523 - p524)

を行う。

 

8.ルートCA証明書のインストール(client)

参考書の p126 - p127 の通り。(結果が、p511)

なお、Webを経由したCA証明書発行は許可しない方針とするため、ルート証明書sstp にてダウンロードし、client へとコピーする。

 

9.SSTPクライアントの作成(client)

ネットワークと共有センターにて、参考書の p500 の通りに接続を作成後、p526 - p527 の作業を行う。

ただし、拡張認証プロトコルは「Microsoft セキュリティで保護されたパスワード(EAP-MSCHAP v2)となる。

参考書では、「保護されたEAP (PEAP)」となっている *1 ことに注意。

 
また、「ネットワーク」タブのVPNの種類は「SSTP」へと変更する。

 
最後に、KB947054の、「NoCertRevocationCheck」欄を参照して、CRL確認をしないようにレジストリを追加する。
Windows Server 2008 では、ルーティングとリモート アクセスを追加するレジストリ エントリ - Microsoft Support

 
以上で、SSTP環境の構築が完了する。

なお、SSTP接続しているときはインターネットへの接続ができないため、インターネット接続を行いたい場合は、一度SSTP接続を切ること。

 

参考URL

SSTP関連

 

SSTPのKB

 

VPN関連

*1:画面がVistaのためだと思われる

*2:現時点では文字化けしている?