Windows Server(Indigo) VPN 設定

IndigoでWindowsServerのインスタンスを立ち上げVPN接続してみる。

VPNサーバー側

servermanager>役割と機能の追加>役割ベースまたは機能ベースのインストール>サーバープールからサーバーを選択。
リモートアクセス以下の
・DirectAccessおよびVPN
・ルーティング
を選択し、インストール。

servermanager>右上旗マーク>作業の開始ウィザードを表示する>VPNのみを展開します
をクリック。
ルーティングとリモートアクセスウィンドウ
で左側に表示されたサーバーを右クリック>ルーティングとリモートアクセスの構成と有効化
・カスタム構成をチェック。
・VPNアクセスをチェック。
サービスの開始を実行。

servermanager>ツール>ルーティングとリモートアクセス
で左側に表示されたサーバーを右クリック>プロパティ>セキュリティ
・カスタムIPsecポリシーをL2TP/IKEv2接続で許可するにチェック
・事前共有キーに適当な値を入れる。

servermanager>ツール>ルーティングとリモートアクセス
で左側に表示されたサーバーを右クリック>すべてのタスク
・再起動を実行。

servermanager>ツール>ルーティングとリモートアクセス
で左側に表示されたサーバーを右クリック>プロパティ>IPv4
・静的アドレスプールをチェック。
・適当の範囲を追加する。(192.168.20.1 – 192.168.20.5)

servermanager>ツール>セキュリティが強化されたWindows Defenderファイアウォール>受信の規則>新しい規則>ポート>
・UDPをチェック
・特定のローカルポートに、
4500, 500, 1701
を追加し、接続を許可する。名前は適当につければOK。

もうひとつ規則を作成する。
servermanager>ツール>セキュリティが強化されたWindows Defenderファイアウォール>受信の規則>新しい規則>カスタム>すべてのプログラム
・プロトコルの種類:カスタム
・プロトコル番号:50

servermanager>ツール>コンピュータの管理>ローカルユーザーとグループ>ユーザー>該当のユーザーを右クリック>プロパティ>ダイヤルイン
リモートアクセス許可の
・アクセスを許可をチェック。

***

Adminで接続もできるのでテスト目的ならサーバーはここまでOK。

VPNクライアント側

Win10設定>ネットワークとインターネット>VPN>VPN接続を追加する
・VPNプロバイダー:Windows(ビルトイン)
・接続名:適当
・サーバー名またはアドレス:サーバーのIPアドレス
・VPNの種類:事前共有キーを使ったL2TP/IPsec
・サインイン情報の種類:ユーザー名とパスワード
・ユーザー名(オプション):サーバー側で作成したユーザー

上記作成されたネットワーク接続に対して、
ncpa.cpl>右クリック>プロパティ>ネットワーク
・インターネット プロトコル バージョン 6 (TCP/IPv6)のチェックを外す。
インターネット プロトコル バージョン 4 (TCP/IPv4)のプロパティ>詳細設定
・リモート ネットワークでデフォルトゲートウェイを使うのチェックを外す。

ActiveDirectory(サーバー)

使う場合。

servermanager>役割と機能の追加>役割ベースまたは機能ベースのインストール>サーバープールからサーバーを選択。
・Active Directory ドメイン サービス
を選択し、インストール

インストール進行状況の途中で、
・このサーバーをドメイン コントローラーに昇格する
をクリックする。

・新しいフォレストを追加する
を選択し、ルートドメイン名を追加する。
ad.sk-tech.jp

次の画面は機能そのまま、
フォレストの機能レベル、ドメインの機能レベル
・Windows Server 2016
・ドメインネーム システム(DNS) サーバー
をチェック
・グローバルカタログを
をチェック

パスワードを入力する。

基本的には以降はそのままで、最後にインストール。

・ユーザー作成

servermanager>ツール>ActiveDirectory>ユーザーとコンピュータ
・左側メニューUsersを選択し、
メニューボタンにある
現在のコンテナーに新しいユーザーを作成
を実行する。

姓名などあるが、とりあえずフルネームとユーザーログオン、パスワードを入力する。

ユーザーは次回ログオン時にパスワード変更が必要
のチェックを外す。

セキュリティ対策

・ログ

VPSなので、確認はしておいたほうがいい。

eventvwr>Windowsログ>セキュリティ
ログオン失敗
4625

eventvwr>カスタムビュー>サーバーの役割>RemoteAccess
リモート接続拒否
20271

・管理者名変更

secpol.msc>ローカルポリシー>セキュリティオプション
・アカウント: Administrator アカウント名の変更

administratorからadministratoruser
に変更。

・リモートデスクトップのポート変更

まず新しいポートでつなげる。

HKEY_LOCAL_MACHINE
SYSTEM
CurrentControlSet
Control
Terminal Server
WinStations
RDP-Tcp
をエクスポートする。

エクスポートしたregファイルを開き、RDP-Tcpの部分の名前を変更しregファイルをダブルクリックで登録する。
ここではRDP-Tcp-01とした。

RDP-Tcp-01の中にあるPortNumberを3389から変更する。
ここでは63389とした。

・接続をTCPのみに変更

gpedit.msc>コンピューターの構成>管理用テンプレート>Windowsコンポーネント>リモートデスクトップサービス>リモートデスクトップセッションホスト>接続
・RDPトランスポートプロトコルの選択
を開き、有効にしてTCPのみを使用を選択する。

・ファイアーウォールに規則を追加

servermanager>ツール>セキュリティが強化されたWindows Defenderファイアウォール>受信の規則>新しい規則>ポート>ポート>TCP>特定のローカルポート
63389
を入力し、接続を許可する。

mstsc -v:xxx.xxx.xxx.xxx:63389
として接続してみる。

問題なければ既存ポートの規則を停止。

servermanager>ツール>セキュリティが強化されたWindows Defenderファイアウォール>受信の規則>
・リモートデスクトップ – シャドウ(TCP受信)
・リモートデスクトップ – ユーザーモード(TCP受信)
・リモートデスクトップ – ユーザーモード(UDP受信)
を停止。

ファイアウォールに関しては、ここまでに追加したVPNとRDPを残して一旦すべての規則を無効にしてから新たに手動で追加していくことにした。

・WEB用
ポート:80/TCP
スコープ:VPNの192.168.20.0/24

・ファイル共有用
ポート:445/TCP
スコープ:VPNの192.168.20.0/24