証明書認証 (クラシック) を使用してポイント対サイト接続を構成する
この記事では、クラシック (レガシ) デプロイ モデルを使用してポイント対サイト接続を備えた VNet を作成する手順を説明します。 この構成では、自己署名証明書または CA によって発行された証明書を使用して接続クライアントを認証します。 これらの手順は、クラシック デプロイ モデルを対象としています。 クラシック デプロイ モデルを使用してゲートウェイを作成することができなくなります。 代わりに、この記事の Resource Manager バージョンを参照してください。
重要
クラシック デプロイ モデル (サービス管理) の仮想ネットワークに対して、新しい仮想ネットワーク ゲートウェイを作成することはできなくなりました。 新しい仮想ネットワーク ゲートウェイを作成できるのは、Resource Manager 仮想ネットワーク用のみです。
個々のクライアント コンピューターから仮想ネットワークへのセキュリティで保護された接続を作成するには、ポイント対サイト (P2S) VPN ゲートウェイを使用します。 ポイント対サイト VPN 接続は、リモートの場所から VNet に接続する場合に役立ちます。 VNet に接続する必要のあるクライアントが少数しか存在しない場合は、P2S VPN が、サイト間 VPN の代わりに使用する有効なソリューションになります。 P2S VPN 接続は、クライアント コンピューターから接続を開始することによって確立されます。
重要
クラシック デプロイ モデルでは、Windows VPN クライアントのみをサポートし、SSL ベースの VPN プロトコルである Secure Socket トンネリング プロトコル (SSTP) を使用します。 Windows 以外の VPN クライアントをサポートするには、Resource Manager デプロイ モデルで VNet を作成する必要があります。 Resource Manager デプロイ モデルでは、SSTP に加えて IKEv2 VPN をサポートしています。 詳細については、P2S 接続に関するページを参照してください。
Note
この記事は、クラシック (レガシ) デプロイ モデルのために書かれています。 代わりに、最新の Azure デプロイ モデルを使用することをお勧めします。 Resource Manager デプロイ モデルは、最新のデプロイ モデルであり、クラシック デプロイ モデルよりも多くのオプションと機能の互換性が提供されています。 これら 2 つのデプロイ モデルの違いについて理解するには、「デプロイ モデルとリソースの状態を理解する」を参照してください。
この記事の別のバージョンを使用したい場合は、左側のペインの目次を使用します。
設定と要件
要件
ポイント対サイトの証明書認証接続には、以下のアイテムが必要です。 この記事には、それらの作成に役立つ手順が含まれています。
- Dynamic VPN ゲートウェイ。
- Azure にアップロードされた、ルート証明書の公開キー (.cer ファイル)。 このキーは信頼された証明書と見なされ、認証に使用されます。
- ルート証明書から生成され、接続する各クライアント コンピューターにインストールされたクライアント証明書。 この証明書はクライアントの認証に使用されます。
- VPN クライアント構成パッケージが生成され、接続するすべてのクライアント コンピューターにインストールされていること。 このクライアント構成パッケージは、VNet に接続するための必要な情報を持つ、既にオペレーティング システム上に存在するネイティブ VPN クライアントを構成します。
ポイント対サイト接続には、VPN デバイスやオンプレミスの公開された IP アドレスは必要ありません。 VPN 接続は、SSTP (Secure Socket トンネリング プロトコル) 経由で作成されます。 サーバー側でのサポート対象の SSTP バージョンは、1.0、1.1、1.2 です。 使用するバージョンはクライアントによって決まります。 Windows 8.1 以降の場合、SSTP では既定で 1.2 が使用されます。
詳細については、ポイント対サイト接続の概要と FAQ に関する記事を参照してください。
設定例
テスト環境を作成するには、次の値を使用します。または、この記事にある例をより適切に理解するには、これらの値を参照してください。
- [リソース グループ]: TestRG
- VNet 名: VNet1
- アドレス空間: 192.168.0.0/16
この例では、1 つのアドレス空間のみを使用します。 VNet には、複数のアドレス空間を使用することができます。 - サブネット名: FrontEnd
- サブネットのアドレス範囲: 192.168.1.0/24
- GatewaySubnet: 192.168.200.0/24
- [リージョン]: (米国) 米国東部
- クライアント アドレス空間: 172.16.201.0/24
このポイント対サイト接続を使用して VNet に接続する VPN クライアントは、指定されたプールから IP アドレスを受信します。 - [接続の種類] : [ポイント対サイト] を選択します。
開始する前に、Azure サブスクリプションを持っていることを確認してください。 Azure サブスクリプションをまだお持ちでない場合は、MSDN サブスクライバーの特典を有効にするか、無料アカウントにサインアップしてください。
仮想ネットワークの作成
既に VNet がある場合は、設定が VPN ゲートウェイの設計に適合していることを確認します。 特に、他のネットワークと重複している可能性のあるサブネットには注意してください。
- ブラウザーから Azure Portal に移動します。必要であれば Azure アカウントでサインインします。
- [+リソースの作成] を選択します。 [Marketplace を検索] フィールドに「仮想ネットワーク」と入力します。 検索結果の一覧から [仮想ネットワーク] を探して選択し、 [仮想ネットワーク] ページを開きます。
- [Virtual Network] ページの [作成] ボタンの下にある [Deploy with Resource Manager (change to Classic)](Resource Manager によるデプロイ (クラシックに変更)) を確認します。 VNet を作成する場合の既定は、Resource Manager です。 Resource Manager VNet を作成したいとは考えていません。 [(change to Classic)](クラシックに変更) を選択して、クラシック VNet を作成します。 次に、 [概要] タブを選択し、 [作成] を選択します。
- [仮想ネットワーク (クラシック) の作成] ページの [基本] タブで、VNet 設定を例の値のに構成します。
- [確認および作成] を選択して VNet を検証します。
- 検証が実行されます。 VNet が検証されたら、 [作成] を選択します。
この構成では DNS 設定は必須ではありませんが、VM 間で名前解決を行う場合は DNS が必要です。 値を指定しても新しい DNS サーバーは作成されません。 指定する DNS サーバーの IP アドレスは、接続先のリソースの名前を解決できる DNS サーバーの IP アドレスである必要があります。
仮想ネットワークを作成した後は、名前解決を処理するために、DNS サーバーの IP アドレスを追加できます。 仮想ネットワークの設定を開き、DNS サーバーを選択し、名前解決に使用する DNS サーバーの IP アドレスを追加します。
- ポータルで仮想ネットワークを見つけます。
- 仮想ネットワークのページで、 [設定] セクションの [DNS サーバー] を選択します。
- DNS サーバーを追加します。
- 設定を保存するには、ページの上部にある [保存] をクリックします。
VPN ゲートウェイの作成
作成した VNet に移動します。
[VNet] ページの [設定] で、 [ゲートウェイ] を選択します。 [ゲートウェイ] ページで、仮想ネットワークのゲートウェイを表示できます。 この仮想ネットワークには、まだゲートウェイがありません。 [接続とゲートウェイを追加するには、ここをクリックします] というメモをクリックします。
[VPN 接続とゲートウェイの構成] ページで、次の設定を選択します。
- 接続の種類: ポイント対サイト
- クライアント アドレス空間:VPN クライアントが接続時に受け取る IP アドレスの範囲を追加します。 接続元のオンプレミスの場所や、接続先の VNet と重複しないプライベート IP アドレス範囲を使用します。
[Do not configure a gateway at this time](この時点ではゲートウェイを構成しない) チェックボックスはオフのままにします。 ゲートウェイを作成します。
ページの下部にある [Next: Gateway >](次へ: ゲートウェイ) を選択します。
[ゲートウェイ] タブで、次の値を選択します。
- Size: このサイズは、ご使用の仮想ネットワーク ゲートウェイの SKU です。 Azure Portal では、既定の SKU は [Default] です。 ゲートウェイ SKU の詳細については、VPN ゲートウェイ の設定に関するページを参照してください。
- ルーティングの種類: ポイント対サイト構成の場合は [動的] を選択する必要があります。 静的ルーティングは機能しません。
- ゲートウェイ サブネット: このフィールドは既に自動入力されています。 名前は変更できません。 PowerShell またはその他の手段で名前を変更すると、ゲートウェイが正常に動作しなくなります。
- アドレスの範囲 (CIDR ブロック): /29 と同程度の小規模なゲートウェイ サブネットを作成することはできますが、少なくとも /28 または /27 以上を選択してさらに多くのアドレスが含まれる大規模なサブネットを作成することをお勧めします。 これにより、今後必要となる可能性のある追加の構成に対応するのに十分なアドレスを持つことができるようになります。 ゲートウェイ サブネットを使用する場合は、ゲートウェイ サブネットにネットワーク セキュリティ グループ (NSG) を関連付けないようにしてください。 このサブネットにネットワーク セキュリティ グループを関連付けると、VPN ゲートウェイが想定どおりに機能しなくなる可能性があります。
[確認および作成] を選択して設定を検証します。
検証に合格したら、 [作成] を選択します。 選択したゲートウェイ SKU によっては、VPN ゲートウェイの完了に最大 45 分かかることがあります。
証明書の作成
Azure は、ポイント対サイト VPN の VPN クライアントを認証するために証明書を使用します。 そのため、ルート証明書の公開キー情報を Azure にアップロードします。 それにより、その公開キーは信頼できると見なされます。 信頼されたルート証明書からクライアント証明書を生成し、各クライアント コンピューターの Certificates-Current User\Personal\Certificates 証明書ストアにインストールする必要があります。 この証明書は、VNet に接続しようとするクライアントを認証するために使用されます。
自己署名証明書を使用する場合は、特定のパラメーターを使用してその証明書を作成する必要があります。 自己署名証明書は、PowerShell と Windows 10 以降、または MakeCert の手順を使用して作成できます。 自己署名ルート証明書を使用したり、自己署名ルート証明書からクライアント証明書を生成したりする場合は、これらの説明にある手順に従うことが重要です。 そうしないと、作成する証明書が P2S 接続との互換性がなくなり、接続エラーが表示されます。
ルート証明書の公開キー (.cer) を取得する
ルート証明書の .cer ファイルを取得します。 エンタープライズ ソリューションを使って生成されたルート証明書を使用することも (推奨)、自己署名証明書を生成することもできます。 ルート証明書の作成後、秘密キーではなく公開証明書データを、Base64 でエンコードされた X.509 .cer ファイルとしてエクスポートします。 このファイルは、後で Azure にアップロードします。
エンタープライズ証明書: エンタープライズ ソリューションを使用している場合は、既存の証明書チェーンを使うことができます。 使用するルート証明書の .cer ファイルを取得します。
自己署名ルート証明書: エンタープライズ証明書ソリューションを使用していない場合は、自己署名ルート証明書を作成します。 そうしないと、作成する証明書と P2S 接続との互換性がなくなり、クライアントが接続しようとすると接続エラー メッセージを受信するようになります。 Azure PowerShell、MakeCert、または OpenSSL を使用できます。 以下の記事の手順では、互換性のある自己署名ルート証明書を生成する方法が説明されています。
- Windows 10 以降の PowerShell の手順: これらの手順では、Windows 10 以降を実行しているコンピューターで PowerShell が必要です。 ルート証明書から生成されるクライアント証明書は、サポートされている任意の P2S クライアントにインストールすることができます。
- MakeCert の手順: Windows 10 以降のコンピューターにアクセスできない場合は、MakeCert を使用します。 MakeCert は非推奨になりましたが、まだ証明書を生成するに使用することができます。 ルート証明書から生成されるクライアント証明書は、サポートされている任意の P2S クライアントにインストールすることができます。
- Linux - OpenSSL での手順
- Linux - strongSwan での手順
クライアント証明書の生成
お客様がポイント対サイト接続を使用して VNet に接続する各クライアント コンピューターには、クライアント証明書がインストールされていなければなりません。 ルート証明書からそれを生成し、各クライアント コンピューターにインストールします。 有効なクライアント証明書をインストールしないと、クライアントが VNet への接続を試行したときに認証が失敗します。
クライアントごとに一意の証明書を生成することも、複数のクライアントに同じ証明書を使用することもできます。 一意のクライアント証明書を生成する利点は、1 つの証明書を失効させることができる点です。 そうでなければ、複数のクライアントで同じクライアント証明書が認証に使用されていて、お客様がそれを失効させる場合に、その証明書が使用されているすべてのクライアントに対して新しい証明書を生成してインストールする必要があります。
クライアント証明書は、次の方法を使用して生成できます。
エンタープライズ証明書:
エンタープライズ証明書ソリューションを使用している場合は、共通名の値の形式 name@yourdomain.com を使用してクライアント証明書を生成します。 domain name\username 形式の代わりに、この形式を使用します。
クライアント証明書が、ユーザー一覧の最初の項目が "クライアント認証" であるユーザー証明書テンプレートに基づいていることを確認します。 証明書を確認するには、それをダブルクリックし、 [詳細] タブの [拡張キー使用法] を表示します。
自己署名ルート証明書: お客様が作成するクライアント証明書が P2S 接続との互換性を備えるよう、P2S 証明書に関する以下のいずれかの記事の手順に従ってください。
自己署名ルート証明書からクライアント証明書を生成した場合、お客様が生成に使用したコンピューターにそれが自動的にインストールされます。 クライアント証明書を別のクライアント コンピューターにインストールしたい場合は、それを .pfx ファイルとして、証明書チェーン全体と共にエクスポートします。 そうすることで、クライアントの認証に必要なルート証明書情報が含まれている .pfx ファイルが作成されます。
これらの記事の手順では、互換性のあるクライアント証明書が生成されます。この証明書をエクスポートして配布できます。
Windows 10 以降の PowerShell の手順: これらの手順で証明書を生成するには、Windows 10 以降、および PowerShell が必要です。 生成される証明書は、サポートされている任意の P2S クライアントにインストールできます。
MakeCert の手順: 証明書を生成する Windows 10 以降のコンピューターにアクセスできない場合は、MakeCert を使用します。 MakeCert は非推奨になりましたが、まだ証明書を生成するに使用することができます。 生成される証明書は、サポートされている任意の P2S クライアントにインストールできます。
Linux: strongSwan または OpenSSL の手順を参照してください。
ルート証明書 .cer ファイルのアップロード
ゲートウェイが作成されたら、信頼されたルート証明書の .cer ファイル (公開キー情報を含む) を Azure サーバーにアップロードします。 ルート証明書の秘密キーをアップロードしないでください。 証明書をアップロードした後、Azure はそれを使用して、信頼されたルート証明書から生成されたクライアント証明書がインストールされているクライアントを認証します。 後で、必要に応じて、追加の信頼されたルート証明書ファイルを (最大 20 個) アップロードできます。
- 作成した仮想ネットワークに移動します。
- [設定] で、 [ポイント対サイト接続] を選択します。
- [証明書の管理] を選択します。
- [アップロード] を選択します。
- [証明書のアップロード] ペインで、フォルダー アイコンを選択し、アップロードする証明書に移動します。
- [アップロード] を選択します。
- 証明書が正常にアップロードされると、[証明書の管理] ページに表示されます。 アップロードしたばかりの証明書を表示するには、[最新の情報に更新] を選択する必要があります。
クライアントの構成
ポイント対サイト VPN を使用して VNet に接続するには、各クライアントにネイティブ Windows VPN クライアントを構成するためのパッケージをインストールする必要があります。 構成パッケージは、仮想ネットワークに接続するために必要な設定を使って、ネイティブ Windows VPN クライアントを構成します。
バージョンがクライアントのアーキテクチャと一致すれば、各クライアント コンピューターで同じ VPN クライアント構成パッケージを使用できます。 サポートされているクライアント オペレーティング システムの一覧については、ポイント対サイト接続の概要と FAQ に関する記事を参照してください。
VPN クライアント構成パッケージを生成してインストールする
VNet 用の [ポイント対サイト接続] の設定に移動します。
ページ上部で、インストール先のクライアントのオペレーティング システムに対応するダウンロード パッケージを選択します。
- 64 ビット クライアントの場合は、 [VPN クライアント (64 ビット)] を選択します。
- 32 ビット クライアントの場合は、 [VPN クライアント (32 ビット)] を選択します。
Azure によって、クライアントが必要とする特定の設定を含むパッケージが生成されます。 VNet またはゲートウェイを変更するたびに、新しいクライアント構成パッケージをダウンロードしてクライアント コンピューターにインストールする必要があります。
パッケージが生成されたら、 [ダウンロード] を選択します。
クライアント構成パッケージをクライアント コンピューターにインストールします。 インストール時に、お使いの PC がWindows によって保護されていることを通知する SmartScreen ポップアップが表示された場合は、 [詳細] を選択し、 [実行] を選択します。 パッケージを保存して、他のクライアント コンピューターにインストールすることもできます。
クライアント証明書をインストールする
この演習では、クライアント証明書を生成したときに、コンピューターに自動的にインストールされています。 クライアント証明書を生成するために使用したクライアント コンピューターとは別のコンピューターから P2S 接続を作成するには、生成したクライアント証明書をそのコンピューターにインストールする必要があります。
クライアント証明書をインストールする場合は、そのクライアント証明書がエクスポートされたときに作成されたパスワードが必要です。 通常、その証明書はダブルクリックするだけでインストールできます。 詳細については、「エクスポートしたクライアント証明書のインストール」を参照してください。
VNet への接続
Note
接続元のクライアント コンピューターの管理者権限が必要です。
- クライアント コンピューター上で、[VPN 設定] に移動します。
- 作成した VPN を選択します。 この例の設定を使用した場合、接続には Group TestRG VNet1 というラベルが付けられます。
- [接続] を選択します。
- [Windows Azure Virtual Network] ボックスで、 [接続] を選択します。 証明書に関するポップアップ メッセージが表示された場合は、管理者特権を使用するために [続行] を選択し、 [はい] を選択して構成の変更を受け入れます。
- 接続が成功すると、 [接続中] 通知が表示されます。
接続に問題がある場合は、次の点を確認してください。
証明書のエクスポート ウィザードを使用してクライアント証明書をエクスポートした場合は、[証明のパスにある証明書を可能であればすべて含む] を選択してクライアント証明書を .pfx ファイルとしてエクスポートしたことを確認してください。 この値を使用してクライアント証明書をエクスポートすると、ルート証明書情報もエクスポートされます。 クライアント コンピューターに証明書をインストールした後、.pfx ファイルのルート証明書もインストールされます。 ルート証明書がインストールされていることを確認するには、[ユーザー証明書の管理] を開いて [Trusted Root Certification Authorities\Certificates] を選択します。 ルート証明書が一覧にあることを確認します。認証が正しく機能するためには、ルート証明書が必要です。
エンタープライズ CA ソリューションによって発行された証明書を使用し、認証できない場合は、クライアント証明書の認証の順序を確認します。 認証の一覧の順序を確認するには、クライアント証明書をダブルクリックし、[詳細] タブ、[拡張キー使用法] の順に選択します。 一覧の最初の項目が "クライアント認証" であることを確認します。 そうでない場合は、一覧の最初の項目が "クライアント認証" であるユーザー テンプレートに基づいたクライアント証明書を発行します。
P2S のトラブルシューティングの補足情報については、P2S 接続のトラブルシューティングに関するページを参照してください。
VPN 接続の確認
VPN 接続がアクティブであることを確認します。 クライアント コンピューターで管理者特権でのコマンド プロンプトを開き、ipconfig/all を実行します。
結果を表示します。 受信した IP アドレスが、VNet の作成時に指定したポイント対サイト接続アドレス範囲内のアドレスのいずれかであることに注意してください。 結果は、次の例のようになります。
PPP adapter VNet1: Connection-specific DNS Suffix .: Description.....................: VNet1 Physical Address................: DHCP Enabled....................: No Autoconfiguration Enabled.......: Yes IPv4 Address....................: 172.16.201.11 (Preferred) Subnet Mask.....................: 255.255.255.255 Default Gateway.................: NetBIOS over Tcpip..............: Enabled
仮想マシンに接続するには:
VNet にデプロイされた VM に接続するためのリモート デスクトップ接続を作成します。 VM に接続できることを確認する最善の方法は、その VM のコンピューター名ではなく、プライベート IP アドレスで接続してみることです。 この方法であれば、名前の解決が適切に構成されているかではなく、VM に接続できるかどうかをテストすることができます。
- ご利用の VM のプライベート IP アドレスを特定します。 VM のプライベート IP アドレスを確認するには、Azure portal で VM のプロパティを表示するか、PowerShell を使用します。
- ポイント対サイト VPN 接続を使って VNet に接続していることを確認します。
- リモート デスクトップ接続を開くには、タスク バーの検索ボックスに「RDP」または「リモート デスクトップ接続」と入力し、[リモート デスクトップ接続] を選択します。 このほか、PowerShell で "mstsc" コマンドを使って開くこともできます。
- リモート デスクトップ接続で、VM のプライベート IP アドレスを入力します。 必要に応じて [オプションの表示] を選択し、追加の設定を行ってから接続します。
VM に対する RDP 接続をトラブルシューティングするには
VPN 接続を使って仮想マシンに接続する際に問題が発生した場合には、いくつかの点を確認する必要があります。
- VPN 接続が成功したことを確認します。
- VM のプライベート IP アドレスに接続していることを確認します。
- 「ipconfig」と入力して、接続元のコンピューターのイーサネット アダプターに割り当てられている IPv4 アドレスをチェックします。 その IP アドレスが、接続先の VNet のアドレス範囲内または VPNClientAddressPool のアドレス範囲内にある場合、アドレス空間の重複が起こります。 アドレス空間がこのように重複していると、ネットワーク トラフィックが Azure に到達せずローカル ネットワーク上に留まることになります。
- プライベート IP アドレスを使って VM に接続できるものの、コンピューター名では接続できない場合には、DNS が正しく構成されているかどうかを確認します。 VM の名前解決の動作について詳しくは、VM の名前解決に関するページを参照してください。
- VNet に対して DNS サーバーの IP アドレスを指定した後に VPN クライアント構成パッケージが生成されたことを確認します。 DNS サーバーの IP アドレスを更新した場合は、新しい VPN クライアント構成パッケージを生成してインストールしてください。
トラブルシューティングの詳細については、VM へのリモート デスクトップ接続のトラブルシューティングに関するページを参照してください。
信頼されたルート証明書を追加または削除するには
信頼されたルート証明書を Azure に追加したり、Azure から削除したりできます。 ルート証明書を削除すると、そのルートから生成された証明書を含むクライアントは認証を受けて接続することができなくなります。 それらのクライアントが再び認証を受けて接続するには、Azure に信頼されているルート証明書から生成された新しいクライアント証明書をインストールする必要があります。
信頼されたルート証明書を追加する
最初の信頼されたルート証明書を追加するために使用したのと同じプロセスを使用して、最大 20 の信頼されたルート証明書 .cer ファイルを Azure に追加できます。
信頼されたルート証明書を削除する
- お使いの VNet 用のページの [ポイント対サイト接続] セクションで、 [証明書の管理] を選択します。
- 削除する証明書の横にある省略記号を選択し、 [削除] を選択します。
クライアント証明書を失効させるには
必要に応じて、クライアント証明書を失効させることができます。 証明書失効リストを使用すると、個々のクライアント証明書に基づくポイント対サイト接続を選択して拒否することができます。 この方法は、信頼されたルート証明書の削除とは異なります。 信頼されたルート証明書 .cer を Azure から削除すると、失効したルート証明書によって生成または署名されたすべてのクライアント証明書のアクセス権が取り消されます。 ルート証明書ではなくクライアント証明書を失効させることで、ルート証明書から生成されたその他の証明書は、その後もポイント対サイト接続の認証に使用できます。
一般的な方法としては、ルート証明書を使用してチームまたは組織レベルでアクセスを管理し、失効したクライアント証明書を使用して、個々のユーザーの細かいアクセス制御を構成します。
失効リストに拇印を追加することで、クライアント証明書を失効させることができます。
- クライアント証明書の拇印を取得します。 詳細については、「方法: 証明書のサムプリントを取得する」を参照してください。
- この情報をテキスト エディターにコピーし、連続した文字列になるようにスペースを削除します。
- [ポイント対サイト VPN 接続] を選択し、 [証明書の管理] を選択します。
- [失効リスト] を選択して [失効リスト] ページを開きます。
- [Thumbprint] (サムプリント) で、証明書のサムプリントをスペースのない連続した 1 行のテキストとして貼り付けます。
- [+ 一覧に追加] を選択して、証明書失効リスト (CRL) にサムプリントを追加します。
更新が完了すると、証明書を使用して接続できなくなります。 この証明書を使用して接続しようとするクライアントは、その証明書が有効でなくなったことを示すメッセージを受信します。
よく寄せられる質問
この FAQ は、クラシック デプロイ モデルを使用した P2S 接続に適用されます。
ポイント対サイト接続で使用できるクライアント オペレーティング システムを教えてください。
次のクライアント オペレーティング システムがサポートされています。
- Windows 7 (32 ビットと 64 ビット)
- Windows Server 2008 R2 (64 ビットのみ)
- Windows 8 (32 ビットと 64 ビット)
- Windows 8.1 (32 ビットと 64 ビット)
- Windows Server 2012 (64 ビットのみ)
- Windows Server 2012 R2 (64 ビットのみ)
- Windows 10
- Windows 11
ポイント対サイト用に SSTP をサポートしているソフトウェア VPN クライアントを使用できますか。
いいえ。 一覧にあるバージョンの Windows オペレーティング システムのみがサポートされています。
ポイント対サイト構成に存在できる VPN クライアント エンドポイントの最大数を教えてください。
VPN クライアント エンドポイントの数は、ゲートウェイの SKU とプロトコルによって異なります。
VPN Gateway 世代 |
SKU | S2S/VNet-to-VNet トンネル |
P2S SSTP 接続 |
P2S IKEv2/OpenVPN 接続 |
Aggregate スループット ベンチマーク |
BGP | ゾーン冗長 | Virtual Network でサポートされている VM の数 |
---|---|---|---|---|---|---|---|---|
Generation1 | Basic | 最大 10 | 最大 128 | サポートされていません | 100 Mbps | サポートされていません | いいえ | 200 |
Generation1 | VpnGw1 | 最大 30 | 最大 128 | 最大 250 | 650 Mbps | サポートされています | いいえ | 450 |
Generation1 | VpnGw2 | 最大 30 | 最大 128 | 最大 500 | 1 Gbps | サポートされています | いいえ | 1300 |
Generation1 | VpnGw3 | 最大 30 | 最大 128 | 最大 1000 | 1.25 Gbps | サポートされています | いいえ | 4000 |
Generation1 | VpnGw1AZ | 最大 30 | 最大 128 | 最大 250 | 650 Mbps | サポートされています | はい | 1000 |
Generation1 | VpnGw2AZ | 最大 30 | 最大 128 | 最大 500 | 1 Gbps | サポートされています | はい | 2,000 |
Generation1 | VpnGw3AZ | 最大 30 | 最大 128 | 最大 1000 | 1.25 Gbps | サポートされています | はい | 5000 |
Generation2 | VpnGw2 | 最大 30 | 最大 128 | 最大 500 | 1.25 Gbps | サポートされています | いいえ | 685 |
Generation2 | VpnGw3 | 最大 30 | 最大 128 | 最大 1000 | 2.5 Gbps | サポートされています | いいえ | 2240 |
Generation2 | VpnGw4 | 最大 100* | 最大 128 | 最大 5000 | 5 Gbps | サポートされています | いいえ | 5300 |
Generation2 | VpnGw5 | 最大 100* | 最大 128 | 最大 10000 | 10 Gbps | サポートされています | いいえ | 6700 |
Generation2 | VpnGw2AZ | 最大 30 | 最大 128 | 最大 500 | 1.25 Gbps | サポートされています | はい | 2,000 |
Generation2 | VpnGw3AZ | 最大 30 | 最大 128 | 最大 1000 | 2.5 Gbps | サポートされています | はい | 3300 |
Generation2 | VpnGw4AZ | 最大 100* | 最大 128 | 最大 5000 | 5 Gbps | サポートされています | はい | 4400 |
Generation2 | VpnGw5AZ | 最大 100* | 最大 128 | 最大 10000 | 10 Gbps | サポートされています | はい | 9000 |
ポイント対サイト接続で、独自の内部 PKI ルート CA を使用できますか。
はい。 以前は、自己署名ルート証明書のみを使用できました。 引き続き、最大で 20 個のルート証明書をアップロードできます。
ポイント対サイトを使用して、プロキシやファイアウォールを通過できますか。
はい。 ファイアウォールを越えるトンネリングを行うために、SSTP (Secure Socket トンネリング プロトコル) が使用されます。 このトンネルは HTTPS 接続として表示されます。
ポイント対サイト接続用に構成したクライアント コンピューターを再起動すると VPN は自動的に再接続されますか。
既定では、クライアント コンピューターは VPN 接続を自動的に再確立しません。
ポイント対サイトの自動再接続と VPN クライアントの DDNS はサポートされていますか。
いいえ。 現時点では、ポイント対サイト VPN で自動再接続と DDNS はサポートされていません。
サイト間接続とポイント対サイト接続の構成を同一仮想ネットワークに共存させることはできますか。
はい。 ゲートウェイの VPN の種類が RouteBased の場合は、どちらのソリューションも機能します。 クラシック デプロイ モデルの場合は、動的ゲートウェイが必要です。 静的ルーティング VPN ゲートウェイと、-VpnType PolicyBased コマンドレットを使用するゲートウェイでは、ポイント対サイト接続はサポートされません。
ポイント対サイト クライアントを、複数の仮想ネットワークに同時に接続するように設定できますか。
はい。 ただし、仮想ネットワーク内で重複する IP プレフィックスを使用することはできません。また、ポイント対サイト接続のアドレス空間は仮想ネットワーク間で重複しないようにする必要があります。
サイト間接続またはポイント対サイト接続ではどの程度のスループットが得られますか。
VPN トンネルのスループットを正確に一定レベルに維持することは困難です。 IPsec と SSTP は、VPN プロトコルの中でも暗号化処理の負荷が高いものです。 また、スループットはオンプレミスとインターネットの間の待ち時間や帯域幅によっても制限されます。
次のステップ
接続が完了したら、仮想ネットワークに仮想マシンを追加できます。 詳細については、Virtual Machines に関するページを参照してください。
ネットワークと Linux 仮想マシンに関する詳細を理解するには、Azure と Linux の VM ネットワークの概要に関するページを参照してください。
P2S のトラブルシューティング情報については、Azure ポイント対サイト接続のトラブルシューティングに関するページを参照してください。