none
Windows8.1のVPN接続について RRS feed

  • 質問

  • こんにちは。

    関連する情報が見つからなったので、ここに質問させていただきます
    ※間違ってWindows7のカテゴリに投稿してしまったので、こちらに再掲させていただきます

    確認したいことは以下二点です。(OS:Windows8.1(Pro)、AD環境:Windows2008R2、VPNサーバ:Windows2008R2)

    1:クライアントを起動し、ログオン前の画面(CTRL+ALT+DELの入力後、ユーザー情報入力前)の状態で、設定されているVPN接続を利用し、ログオン前にVPN接続できるようにならないか?

    2:IPv4環境において、DHCPで割り振られるIPがプライベートアドレスでない場合、プライベートIPへのパケット送信をしないようにできないか?

    上記質問の背景は以下です。

    現在、Windows8.1(pro)を利用して、L2TP/IPsecによるVPN接続にて社内に接続できる環境ができており、ホテル等のインターネット環境や各種通信キャリアのモバイルカード、さらには自宅のインターネット環境などから接続し、有効に活用しております。

    そこで、とある外部の臨時オフィス環境でこのVPNを利用したところ、PCに対してグローバルアドレスが直接割り振られる場所がありました。普段はプライベートIPの環境なのでさほど気にならないのですが、この環境の場合、「ログオン時にネットワークドライブに自動的に接続する」等の動きの際、ログオン直後にこういったパケットの情報がインターネットの環境に流れて行っているのではないかと考えております。

    またこれに限らず、ログオン後にPCが通信しようとしている宛先がプライベートIPであれば、毎回関連パケットはTTLがなくなるまでインターネット上をさまよっている可能性を考慮すると、なんとかできないかと考えており、上記確認項目に至りました。

    グローバルアドレスの割り当てられるオフィス環境にNAT+DHCPを実現する簡易ファイアウォール付ルータを設置すれば解決することではありますが、あまりデバイスを増やしたくはない、という事情もあります。

    2:は現実的にあり得ない話かな、と思うので、1:の手法があれば、と考えています。

    以上、よろしくお願いします。

    2014年11月27日 4:52

回答

  • チャブーンです。

    結論として、ご紹介した情報は「ドメインに参加したコンピュータのみ可能」な方法になります。ですから

    (Ctrl+Alt+Del押下後のネットワークの一覧の中に、VPN接続が出てこない。有線LANや無線LANは出てくる)というのも、現在利用しているコンピュータがドメイン参加PCだから?の様です。

    は逆ですよ。おそらくですが、前回ログオンしたユーザー「1人だけ」が表示された画面になっていませんか?この画面ではVPNは表示されませんので、ユーザ-名左上の「→(○に入ったやつ)」を押して、ローカルユーザーと「他のユーザー」の2つが表示される画面を出してください。そこに「2つのディスプレイに見える」したのようなアイコンがあるはずです。

    ネットワーク サインイン画面

    念のため実際にやってみて、問題はなかったですよ。

    • 回答の候補に設定 佐伯玲 2014年12月3日 0:27
    • 回答としてマーク やすぞう 2014年12月3日 5:50
    2014年12月1日 20:10

すべての返信

  • チャブーンです。

    この方法を使ってみてはどうでしょうか?英語のページですが、割とわかりやすい内容化と思います。

    http://blog.lan-tech.ca/2013/03/02/windows-8-connect-to-vpn-before-logon/

    • 回答の候補に設定 佐伯玲 2014年11月28日 1:36
    2014年11月27日 6:55
  • チャブーン様

    情報のご提供ありがとうございます。

    ここに記載されている手順は

    ・ログオン時に"Ctrl+Alt+Del"を有効にする
    ・VPN接続を作成する際に「このコンピュータユーザーは誰でも使える(文言は若干違いますが)」にチェックする
    ※これは後から設定はできないもの?のようです

    ということですが、どうもうまくいきません。
    (Ctrl+Alt+Del押下後のネットワークの一覧の中に、VPN接続が出てこない。有線LANや無線LANは出てくる)

    というのも、現在利用しているコンピュータがドメイン参加PCだから?の様です。(AD環境は問い合わせ文に記載)
    このサイトの中の会話でもそれらしきものがありました。(完全に読み切れておりませんが)

    何か読み間違い等あればご指摘頂きたく存じます。

    また、もし他解決法等あれば、ポインタ等含めご教示頂けたら幸いです。

    以上、よろしくお願いします。

    2014年11月28日 5:43
  • チャブーンです。

    結論として、ご紹介した情報は「ドメインに参加したコンピュータのみ可能」な方法になります。ですから

    (Ctrl+Alt+Del押下後のネットワークの一覧の中に、VPN接続が出てこない。有線LANや無線LANは出てくる)というのも、現在利用しているコンピュータがドメイン参加PCだから?の様です。

    は逆ですよ。おそらくですが、前回ログオンしたユーザー「1人だけ」が表示された画面になっていませんか?この画面ではVPNは表示されませんので、ユーザ-名左上の「→(○に入ったやつ)」を押して、ローカルユーザーと「他のユーザー」の2つが表示される画面を出してください。そこに「2つのディスプレイに見える」したのようなアイコンがあるはずです。

    ネットワーク サインイン画面

    念のため実際にやってみて、問題はなかったですよ。

    • 回答の候補に設定 佐伯玲 2014年12月3日 0:27
    • 回答としてマーク やすぞう 2014年12月3日 5:50
    2014年12月1日 20:10
  • チャブーン様

    情報のご提供ありがとうございます。

    ご指摘の通りでした。
    英語力が足りずに余計な手間をかけさせる形になり、失礼いたしました。

    改めて確認し、特に問題なく、接続することができました。
    ※Windows8.1のUIに慣れていないのことを改めて思い知らされました。

    また、「VPNログオン」と「コンピュータログオン」が一気通貫になっていたので、そういった意味では利用ユーザーからしてみても扱いやすいかと思います。弊社のこのオフィスでは、この手法を取ろうかと思います。

    これをもちまして、回答としてマークとさせていただきます。

    なお、慣れてくると管理者側の視点で見て、同じ環境で「ローカルユーザーでログオンしたい」「VPN接続アカウントとPCログオンアカウントを別々にしたい」場合等の要件が発生することもあり得るので、VPNの認証とWindowsのログオン認証を別々のシーケンスで行う、という手法もあると嬉しいところではありますが、このあたりはおいおい、ろいろ調査してみようかと思います。
    ※今回は、比較的短期でもあり、こういった要件が無いので、特に問題ありません。私共はL2TP/IPsec接続にあたり、事前共有キーではなくコンピュータ証明書ベースでこの部分を重視しているので、今後あり得るかも、というところです。

    このたびはありがとうございました。

    今後ともよろしくお願いします。

    2014年12月3日 5:50