ルーティングとリモート アクセス サービス (RRAS) をインストールした後、RRAS サーバーに接続できるユーザーを指定する必要があります。RRAS の承認は、ユーザー アカウントのダイヤルイン プロパティ、ネットワーク ポリシーのいずれかまたは両方によって決まります。

リモート アクセス ユーザー専用のユーザー アカウントを作成する必要はありません。RRAS サーバーは、ユーザー アカウント データベース内の既存のユーザー アカウントを使用できます。[ローカル ユーザーとグループ] および [Active Directory ユーザーとコンピューター] の両方で、ユーザー アカウントには [ダイヤルイン] タブがあります。このタブでは、リモート アクセス許可を構成できます。ユーザー数が多い場合は、ネットワーク ポリシー サーバー (NPS) を実行するサーバーにネットワーク ポリシーを構成することをお勧めします。詳細については、ネットワーク ポリシー サーバーに関するページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?linkid=139764) を参照してください。

接続前のセキュリティ

Windows 認証を使用するように構成された RRAS サーバーに対してリモート アクセス クライアントから接続を試みる場合、次に説明するような処理が行われます。

  1. リモート アクセス クライアントが RRAS サーバーに接続を試みます。

  2. サーバーがクライアントにチャレンジを送信します。

  3. クライアントが、ユーザー名、ドメイン名、およびパスワードで構成される応答を暗号化し、サーバーに送信します。

  4. サーバーが応答をユーザー アカウント データベースと照合します。

  5. アカウントが有効で認証資格情報が正しい場合、サーバーはそのユーザー アカウントのダイヤルイン プロパティとネットワーク ポリシーを使用して接続を承認します。

接続がダイヤルアップでコールバックが有効になっている場合、サーバーは接続を切断し、クライアントにコールバックして、接続ネゴシエーション プロセスを続行します。

  • 手順 2 および 3 では、リモート アクセス クライアントと RRAS サーバーが Microsoft チャレンジ ハンドシェイク認証プロトコル バージョン 2 (MS-CHAP v2) またはチャレンジ ハンドシェイク認証プロトコル (CHAP) を使用していることを前提としています。他の認証プロトコルでは、クライアント資格情報の送信方法が異なります。
  • RRAS サーバーがドメインのメンバーで、ユーザーの応答にドメイン名が含まれていない場合は、既定で RRAS サーバーのドメイン名が使用されます。RRAS サーバーのドメイン名とは異なるドメイン名を使用する場合は、リモート アクセス クライアントの次のレジストリ値を、使用するドメインの名前に設定します。
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RasMan\PPP\ControlProtocols\BuiltIn\DefaultDomain
注意

レジストリを正しく編集しないと、システムが正常に動作しなくなる場合があります。レジストリを変更する前に、コンピューターの重要なデータをバックアップすることをお勧めします。

接続後のセキュリティ

リモート アクセスに使用される資格情報は、ターゲット ネットワークへの通信チャネルのみを提供します。リモート アクセス接続の結果として、クライアントがネットワークにログオンすることはありません。クライアントがネットワーク リソースにアクセスを試みるたびに、チャレンジによって資格情報が要求されます。チャレンジに対してクライアントが正しい資格情報を使って応答しなければ、アクセス試行は失敗します。Windows には、リモート アクセスを簡単にする機能が追加されています。接続が成功すると、Windows Vista®、Windows® 7、Windows Server® 2008、および Windows Server® 2008 R2 を実行するリモート アクセス クライアントは、リモート アクセス接続時の既定の資格情報としてこれらの資格情報をキャッシュします。ネットワーク リソースがリモート アクセス クライアントに資格情報を要求すると、クライアントはユーザーに資格情報の入力を求めずに、キャッシュされた資格情報を提供します。

その他の参照情報

目次