AD環境＋モバイル環境＋VPN接続②

前回の続き

VPNソリューションパック モバイルオプション

および

スマートフォンでVPN

を「モバイル利用のWindowsPCで、ActiveDirectory環境（AD環境）でも利用可能か？」

ですが、

「ActiveDirectory 移動プロファイル」

を使っていると、プロファイルの同期がうまく取れないことが発覚。

 

 

現象としては、移動プロファイルを使ってるPCをシャットダウンやログオフする際

プロファイルの同期に失敗する

という状況になってしまいます。。。。

シャットダウン時のWindows側のログやVPNルータ側のログを照らし合わせて確認したところ

おそらく

　①ユーザがWindowsをシャットダウンする

　②VPN接続を切断する

　③プロファイルを同期する

　④ADからログオフする

とう流れで動作しているっぽい、、、

②で先にVPNを切っちゃうので、同期ができないという感じです。

これはWindowsのログオフ、シャットダウンにおける動作の流れなので

Windowsでなんとかするしかないようですが、色々しらべてみると

レジストリの変更で上記順番を変更できるようです。

■XPの場合

http://support.microsoft.com/kb/q158909

■7の場合

http://support.microsoft.com/kb/q950918

 

このレジストリ変更すると

　①ユーザがWindowsをシャットダウンする

　②プロファイルを同期する

　③ADからログオフする

　④VPN接続を切断する

に変更されるっぽい。

 

実際びびりながらもレジストリの変更してみると

うまくプロファイルの同期ができたっぽい。

XPも7もうまく同期が取れました。

ただ、WindowsPC側のインターネット回線がモバイル想定（Xi、WIMAX等）なので

同期にめちゃくちゃかかるため、実運用としてOKかどうかは微妙、、、

 

 

また、何故かわかりませんが、同じ設定にしたのに、同期されないPCもありました。

レジストリがうまく適用されていないのか、何なのか原因はつかめませんでしたが

パソコンによってはうまくいかないケースもあるようです、、

（過去にいろいろ設定いじったパソコンだったので、そのせいかもしれませんが、、）

この辺は実際のパソコン、AD環境を使って試した方が間違いないですね、、、、、
　

 

（通常の設定ではなくレジストリをいじって設定する怖いところか？？）

移動プロファイルについては、「出来なくもないけど、パソコンやNWの環境にもよる」という微妙な結果に、、、、

 

もっと良い方法があるのかもしれませんが、そのためには私自身がもう少しADのこと勉強しないといけないですね、、、

 

AD環境＋モバイル環境＋VPN接続①

VPNソリューションパック モバイルオプション

および

スマートフォンでVPN

を「モバイル利用のWindowsPCで、ActiveDirectory環境（AD環境）でも利用可能か？」

との問い合わせがあったので、環境構築してテストしてみました。

 

※そもそもネットワークエンジニアと名乗っておきながら、ActiveDirectoryのことはあんまり詳しくないので少々表現・認識が間違っていたりするかもしれませんが、ご了承ください。、、、、

 

検証する際のポイントとしては

　AD認証前にVPN接続が可能か？

ということです。

 

 

通常、AD環境の場合、認証の順序として

　①コンピューターの起動

　②Windowsのログオン画面の表示

　③ユーザーによる資格情報の入力

　④ユーザーログオン認証

　⑤Windowsのデスクトップの表示（ユーザがPC操作可能）

となるので、遅くとも③の状態で、ADサーバと通信できる状態（VPNがつながってる状態）になっていけないといけません。

（「キャッシュされたログオン」機能を使う場合は別として）

 

 

今回の利用用途としては、「モバイル利用のWindowsPC」のため

インターネット接続が、モバイルWIFIルータ　もしくは、USBのデータカードとなりますが

 

まず、USBデータカードの場合、

多くのデータカードが、⑤のユーザがPC操作可能な状態になって初めてインターネットにつながるタイプのため、

③の段階でVPNを繋げることができないためNGです。

で、WIFIルータ経由ならOKかというと

WindowsPCのWIFIクライアントがWindows標準のクライアント（Wireless Zero Configuration）を使っていれば良いのですが、

サードパーティー製のWIFIクライアントの場合、⑤の段階でWIFI接続される「場合」もあるためNGになるケースがあります。

まぁ、どうしてもサードパーティー製のWIFIクライアントでないといけないケースでなければWindows標準機能に切り替えてもらえればOKなので、WIFIルータ経由ならほぼほぼOKといいうことになると思います。

 

あとは③の段階でVPN接続ができるか

ということになりますが、

VPNソリューションパック モバイルオプション　および　スマートフォンでVPN

では、VPN接続に、Windows標準の機能を使うため、③の段階でVPN接続が可能です。

（もちろんパソコン側で事前にVPN設定は必要ですが。）

どのように接続するかというと

■WindowsXPの場合

１）ダイヤルアップ接続を使用してログオンする

２）事前の設定済のVPN設定を選択

３）VPN接続用の　ユーザ名/パスワードを入力

　VPN接続用のユーザ名/パスワードなので、ADのユーザ名/パスワードとは別なので注意。

　統一したほうがわかりやすい？

 

■Windows7の場合

１）画面右下のアイコンをクリック

２）事前に設定されたVPN設定が自動的に呼び出されるので、

VPN接続用の、ユーザ名/パスワードを入力。

※Windows7の場合は、VPN接続用のユーザ名/パスワードが、そのままADのユーザ名/パスワードを入力になるので注意が必要です。

 

実際、当社AD環境を作って試してみましたが、問題なくAD認証ができることが

確認とれました。

めでたしめでたし

 

と

 

思っていましたが、

「ActiveDirectory 移動プロファイル」を使ってる場合に不具合発覚。

この点はまた次回に、、、

 

 

iOS版 050 plus for Biz バージョンアップ

iOS版 050 plus for Biz バージョンアップが来てました。

遅延が一部改善ということで、早速あげて試してみましたが

あんまり効果判らず、、、

 

＞回線が不安定な状況で通話した場合

なので、

もっと電波状況が悪い場所だったりするとわかるのかなぁ～

050plusって、スマホの回線にはもちろん影響されますが

　通話先が携帯なのか、固定なのか、050plusなのか、

　発信なのか着信なのか

で音質がずいぶん違う感じがするので、今回のバージョンアップで

どう改善されたかは、もうちょい使ってみないとわかんないかもしれないですね、、

「スマV」 /「VSP モバイルオプション」 をWindowsで利用する場合

今回も「スマートフォンでVPN」(以下 スマV) /「VPNソリューションパック モバイルオプション」（以下 VSPモバイルオプション） 利用時にうまくいかない場合の話。

 

「スマV」 /「VSPモバイルオプション」 をWindowsを利用する時に

設定は合っているけど、うまくつながらない！

という時に良くあるのが

 

別のVPN専用のアプリケーションをインストールしている場合です。

ex）センチュリーシステムズ NET-G VPN Client 、ジュニパー　NetScreen-Remote 、ヤマハVPNクライアントソフトウェア　等

 

 

 

「スマV」 /「VSPモバイルオプション」 はWindowsの標準機能を使ってVPN接続をするため、専用ソフトのインストールは不要なのですが、

VPN専用のアプリケーションがインストールされていると

そのWindows標準のVPN機能（IPSECサービス）が停止されてしまいます。

そのため、設定が正しくされていても、VPN接続できないことがあります。

 

対処法として手っ取り早いのは

①VPN専用のアプリケーションのアンインストール

②Windowsのサービスで「ipsec services」（winXP）「ipsec policy agent」（win7）が起動していることを確認

となります。

2013/3/4 追記

Windows7はサービスで

IKE and AuthIP IPsec Keying Modules

も起動していないと駄目でした。