7.2 Windows へのインストールと初期設定
ここでは、PacketiX VPN Server を、Windows 2000 以降の Windows
オペレーティングシステムにインストールする際の操作方法について解説しています。なお、ここでは Windows
オペレーティングシステムの状態は、システムをクリーンインストールした直後の、余分なアプリケーションソフトウェアなどが一切インストールされていない状態を仮定しています。また、Windows
による外部からの TCP/IP ポートに対する通信のブロック機能 (ファイアウォール機能) が、無効になっている状態を仮定しています。
7.2.1 インストールモードの選択
「3.2 動作モード」 で解説したように、PacketiX VPN Server は「サービスモード」と「ユーザーモード」の 2
種類で動作させることができます。日常的な業務システムの一部として使用することを目的とした VPN Server
を構築するような場合には、通常は「サービスモード」でインストールすることを推奨します。Windows 版 VPN Server のインストーラは
、VPN Server プログラムを「サービスモード」でシステムにインストールします。
7.2.2 インストーラによるインストール作業
インストール用ファイルの準備
Windows 版の PacketiX VPN Server
のインストール作業は、ほぼすべてインストーラによって自動的に行うことができるため、とても簡単です。VPN Server
をインストールするには、VPN Server の Windows 用インストーラファイルを、以下の方法のいずれかで入手してください。
- PacketiX VPN Server 3.0 を製品として購入した場合は、CD-ROM が配布されています。CD-ROM
をコンピュータの CD-ROM ドライブに挿入し、Windows 用の VPN Server
インストール用実行可能ファイルを選択して起動してください。
- ソフトイーサ株式会社の Web サイト (http://www.softether.com/)
から、最新版の VPN Server のインストールファイルをダウンロードすることもできます。CD-ROM
をお持ちの場合でも、より新しいバージョンの VPN Server が、Web サイト上で提供されている場合がありますので、上記 Web
サイトをチェックしていただくことを推奨します。なお、PacketiX VPN 3.0
取り扱いパートナーとの間で保守契約を結んでいる場合は、新しいバージョンをインストールしても良いかどうかについて、事前にパートナーの担当者にご確認ください。
- PacketiX VPN 3.0 取り扱いパートナーから、CD-ROM または電子的なファイルとして最新バージョンの VPN
Server を受け取っている場合は、それを使用してインストールを行ってください。
VPN Server の Windows 用インストーラファイルは、「vpnserver-ビルド番号-win32-x86.exe」のような名前の実行可能ファイルです。ちなみに、本マニュアル執筆時の最新ビルドのインストーラファイル名は
vpnserver-5070-rtm-win32-x86.exe です。
図7-2-1 VPN Server インストーラ |
インストーラの起動
VPN Server のインストールファイルを、ダブルクリックするなどして起動すると、自動的に Windows Installer
ベースのインストーラが起動します。インストールウィザードでは、インストール先のディレクトリ名を選択することができます
(デフォルトでは、システムドライブの「Program Files\PacketiX VPN Server」にインストールされます)。VPN Server
プロセスは、インストールされているディレクトリ上に大量のログファイルを書き出しますので、インストール先のディスクドライブはできるだけ高速で空き容量が大きいものを選択することを推奨します。
図7-2-2 VPN Server インストール先 |
なお、インストール時に「使用権許諾契約書」が画面上に表示される場合があります。表示される契約書の内容をよくお読みいただき、同意される場合は、インストールを継続してください。
図7-2-3 VPN Server 使用権許諾契約書 |
インストーラは、自動的に PacketiX VPN Server システムサービスを登録し、Windows
の起動時に自動的に「バックグラウンドモード」で起動するように設定します。
7.2.3 TCP/IP 通信設定の最適化について
VPN Server のインストール中に、TCP/IP 通信の最適化に関する画面が表示される場合があります。この画面のデフォルトの選択肢は
[最適化は行わない] になっています。
図7-2-4 TCP/IP 通信設定の最適化 |
この TCP/IP 通信設定の最適化画面で [通信設定を自動的に最適化する] を選択したり、[TCP/IP
最適化ユーティリティを使用して手動で最適化する] を選択することにより、Windows の TCP/IP パラメータを調整して、TCP/IP を使用した通信速度を向上させることができる場合があります。
図7-2-5 TCP/IP 通信設定の変更 |
TCP/IP 通信設定の最適化機能によって、下記のようなことが行われます。
- ウインドウスケーリングオプションを使用することにより、64 Kbytes を超える TCP/IP
送信ウインドウバッファ、および受信ウインドウバッファを使用して、帯域幅の広い回線上で通信速度を向上させることができます。
- Windows の AFD サービスのバッファサイズが高速通信に適した値に書き換えられます。
ただし、TCP/IP
のウインドウスケーリングオプションを有効にすることにより、一部の透過型プロキシのようなファイアウォール機器を経由した通信が不安定になったり、全く通信できなくなるといった症状が報告されています。このような症状は特にネットワーク上にあるファイアウォール機器などが
、ウインドウスケーリングオプションに対応していない古いバージョンである場合などに発生するようです。したがって、もしTCP/IP
通信設定の最適化を行った後、そのコンピュータの TCP/IP 通信が不安定になってしまった場合は、後から TCP/IP
通信設定の最適化項目を元に戻すことができます。一度 TCP/IP 通信を最適化した後、元に戻す
(オペレーティングシステムのデフォルト値を使用するようにする) には、[スタート] メニューに登録される [PacketiX VPN
Server] から [TCP 通信設定最適化ユーティリティ] をクリックして起動し、[TCP 受信ウインドウサイズ] および [TCP
送信ウインドウサイズ] の値を、[OS のデフォルト値を使用する] に変更してみてください。
図7-2-6 TCP/IP 通信設定をオペレーティングシステムのデフォルト値に戻す |
7.2.4 インストール後の注意事項
Windows 版の VPN Server のインストールが完了すると、「PacketiX VPN Server サービス」は、すでに
Windows システム上でバックグラウンドで動作しています。通常インストール後は、コンピュータの再起動は不要ですが、「3.6.10 Windows におけるローカルブリッジの注意事項」
で挙げられるような「ハードウェアオフローディング処理をサポートしている LAN
カード」を使用している場合で、「ローカルブリッジ機能」を使用する予定がある場合は、コンピュータを再起動することをお勧めします。
なお、VPN Server のインストーラによって、正しく「PacketiX VPN Server サービス」が Windows
システムにインストールされているかどうかを確認するには、[コントロールパネル] の [管理ツール] から [サービス]
を起動し、表示されるサービス一覧の中に [PacketiX VPN Server] が表示されているかどうかを確認します。
図7-2-7 VPN Server のインストールの完了 |
7.2.5 VPN サーバー管理マネージャでの管理
VPN サーバー管理マネージャについて
VPN Server をインストールした後は、VPN Server を適切に設定し、実際に VPN
サーバーとしての機能を、クライアントコンピュータに対して提供することができるようにします。
VPN Server を管理する方法の 1 つとして、Windows 上で使用できる「PacketiX VPN
サーバー管理マネージャ」を使用して管理作業を行うことができます。具体的な管理方法については 「第3章 PacketiX VPN Server 3.0 マニュアル」 を参照してください。
Windows 版の VPN Server をインストールした場合は、一緒にインストールされる「VPN
サーバー管理マネージャ」を起動して、サーバーの画面上で「localhost」(そのホスト自身)
に対して接続し、初期設定を行ってください。
Linux 版やその他の UNIX 版の VPN Server を設定または管理するために、リモートから Windows 版の VPN
サーバー管理マネージャを使用することもできます。VPN Server サービスをインストールしない端末上に、「VPN
サーバー管理マネージャ」を手動でインストールする方法については、「2.4.4 VPN サーバー管理マネージャのみのインストール」 を参照してください。
VPN サーバー管理マネージャの初期設定
「VPN サーバー管理マネージャ」を初めて起動すると、最初の画面の [PacketiX VPN Server への接続設定]
リストには何も登録されていません。
図7-2-8 VPN サーバー管理マネージャ |
ここで [新しい接続設定] をクリックし、管理接続する VPN Server
のホスト名やポート番号などを指定して、新しい接続設定を作成してください。登録された接続設定は、次回以降「VPN
サーバー管理マネージャ」を起動したときにも表示されます。
図7-2-9 接続設定の作成画面 |
新しい接続設定を作成したら、それをダブルクリックして VPN Server に接続してみてください。
7.2.6 vpncmd での管理
VPN Server を、コマンドラインベースの「vpncmd」ソフトウェアによって設定・管理することもできます。特に Linux
やその他の UNIX 系オペレーティングシステムに VPN Server をインストールした後、手元に別の Windows
端末がないような場合は、「VPN サーバー管理マネージャ」を使用することができません。このような場合は「vpncmd」を使用して初期設定を行ってください。もちろん、Windows 版の VPN Server の設定を vpncmd
を使用して行うことも可能です。vpncmd の詳しい使い方については 「第6章 コマンドライン管理ユーティリティマニュアル」 を参照してください。
なお、ソフトイーサ株式会社は、VPN Server の設定・管理にはできるだけ Windows 端末上で「VPN
サーバー管理マネージャ」を使用して行い、vpncmd
は、単調な繰り返し作業の自動化などのための「補助的な管理ユーティリティ」として使用することを推奨しています。
7.2.7 サービスの開始と停止
Windows 版 VPN Server のインストーラは、「PacketiX VPN
Server」サービスを自動的にインストールします。このサービスは、Windows が起動している間は常に動作し続け、Windows
がシャットダウンされる際に、自動的にシャットダウンされます。
管理上の理由がある場合や、万一 VPN Server の動作が不安定になってサービスの再起動が必要な場合は、[コントロールパネル] の
[管理ツール] から [サービス] からサービスの開始や停止を行うこともできますが、コマンドプロンプトから「net」コマンドを呼び出して
、サービスを開始または停止するのが、最も簡単で確実な方法です。
サービスを停止するには、以下のように入力します。
また、サービスを開始するには、以下のように入力します。
なお、もし VPN Server のプロセスが完全に暴走し、「net」コマンドから制御することができなくなってしまった場合
(ただし、そのようなことは滅多に発生しません) は、Windows の [タスクマネージャ] などを使用して「vpnserver.exe」プロセスを強制終了すること
ができます。
7.2.8 サービスの登録と削除
「3.2.1 サービスモード」 内の「Windows 版 PacketiX VPN Server のサービスモードに関する説明事項」で説明されているような方法を使用して、vpnserver.exe
プロセスに対するサービスとしての登録や削除を行うことができます。この方法を利用して、たとえば VPN Server
のインストール先ディレクトリを、設定ファイルごと別のディレクトリやハードディスクドライブに移動し、サービスとして登録し直すこともできます
(ただしこの方法を使用すると、アンインストーラによって正しくアンインストールできなくなる可能性がありますのでお勧めできません)。
7.2.9 一般ユーザー権限で起動する場合の制限事項
Windows 上で VPN Server を使用する際は、「サービスモード」としての動作が推奨されていますが、「3.2.2 ユーザーモード」
で解説されている方法を用いて「ユーザーモード」として VPN Server を起動することもできます。「ユーザーモード」で VPN Server
を起動すると、仮に VPN Server
にバッファオーバーランなどの深刻なセキュリティホールが存在し、それが攻撃された場合でも、影響を受けるのはユーザーモードで VPN Server
を起動させているユーザーアカウントのみとなるため、セキュリティ上、比較的安全に VPN Server
を使用することができるという考え方もあります。しかしながら、ソフトイーサ株式会社は、以下のような理由で VPN Server
をユーザーモードで本格的に運用することを推奨していません。
- 「ローカルブリッジ機能」(詳しくは 「3.6 ローカルブリッジ」 を参照してください) が使用できなくなります。
- 「障害回復機能」(詳しくは 「3.3.12 障害回復」 を参照してください)
のうち、自己プロセスでのエラー発生時の自動回復などの一部の機能が使用できなくなります。
- VPN Server
プロセスを「ユーザーモード」で起動させておくには、そのユーザーがサーバー上に常にログオンしている状態にしなければなりません。ユーザーがログオフしたり、Windows
起動後、誰もサーバーにログオンしていない状態になった場合は、VPN Server は一切動作しません。このため本格的な VPN
サーバー用途には向きません。
|