VPNソリューションパック モバイルオプション
および
スマートフォンでVPN
を「モバイル利用のWindowsPCで、ActiveDirectory環境(AD環境)でも利用可能か?」
との問い合わせがあったので、環境構築してテストしてみました。
※そもそもネットワークエンジニアと名乗っておきながら、ActiveDirectoryのことはあんまり詳しくないので少々表現・認識が間違っていたりするかもしれませんが、ご了承ください。、、、、
検証する際のポイントとしては
AD認証前にVPN接続が可能か?
ということです。
通常、AD環境の場合、認証の順序として
①コンピューターの起動
②Windowsのログオン画面の表示
③ユーザーによる資格情報の入力
④ユーザーログオン認証
⑤Windowsのデスクトップの表示(ユーザがPC操作可能)
となるので、遅くとも③の状態で、ADサーバと通信できる状態(VPNがつながってる状態)になっていけないといけません。
(「キャッシュされたログオン」機能を使う場合は別として)
今回の利用用途としては、「モバイル利用のWindowsPC」のため
インターネット接続が、モバイルWIFIルータ もしくは、USBのデータカードとなりますが
まず、USBデータカードの場合、
多くのデータカードが、⑤のユーザがPC操作可能な状態になって初めてインターネットにつながるタイプのため、
③の段階でVPNを繋げることができないためNGです。
で、WIFIルータ経由ならOKかというと
WindowsPCのWIFIクライアントがWindows標準のクライアント(Wireless Zero Configuration)を使っていれば良いのですが、
サードパーティー製のWIFIクライアントの場合、⑤の段階でWIFI接続される「場合」もあるためNGになるケースがあります。
まぁ、どうしてもサードパーティー製のWIFIクライアントでないといけないケースでなければWindows標準機能に切り替えてもらえればOKなので、WIFIルータ経由ならほぼほぼOKといいうことになると思います。
あとは③の段階でVPN接続ができるか
ということになりますが、
VPNソリューションパック モバイルオプション および スマートフォンでVPN
では、VPN接続に、Windows標準の機能を使うため、③の段階でVPN接続が可能です。
(もちろんパソコン側で事前にVPN設定は必要ですが。)
どのように接続するかというと
■WindowsXPの場合
1)ダイヤルアップ接続を使用してログオンする
2)事前の設定済のVPN設定を選択
3)VPN接続用の ユーザ名/パスワードを入力
VPN接続用のユーザ名/パスワードなので、ADのユーザ名/パスワードとは別なので注意。
統一したほうがわかりやすい?
■Windows7の場合
1)画面右下のアイコンをクリック
2)事前に設定されたVPN設定が自動的に呼び出されるので、
VPN接続用の、ユーザ名/パスワードを入力。
※Windows7の場合は、VPN接続用のユーザ名/パスワードが、そのままADのユーザ名/パスワードを入力になるので注意が必要です。
実際、当社AD環境を作って試してみましたが、問題なくAD認証ができることが
確認とれました。
めでたしめでたし
と
思っていましたが、
「ActiveDirectory 移動プロファイル」を使ってる場合に不具合発覚。
この点はまた次回に、、、