Windows Server(Indigo) 初期設定

IndigoでWindowsServerのインスタンスを立ち上げVPN接続してみる。

インスタンスを作成したらダッシュボードからインスタンスを起動し、ダッシュボードに表示されているIPアドレスと、インスタンス作成時に入力したパスワードで接続する。ユーザー名はadministrator。

Windows 初期設定

先ずAutoHotkeyと、Google日本語入力の設定をする。

セキュリティ

・管理者名変更

secpol.msc>ローカルポリシー>セキュリティオプション>アカウント: Administrator アカウント名の変更
Administratorからadministratoruser等に変更。

・リモートデスクトップのポート変更

HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Control
Terminal Server>WinStations>RDP-Tcp
PortNumberを3389から変更する。
ここでは63389とした。

・接続をTCPのみに変更

gpedit.msc>コンピューターの構成>管理用テンプレート>Windowsコンポーネント>リモートデスクトップサービス>リモートデスクトップセッションホスト>接続>RDPトランスポートプロトコルの選択
有効にしてTCPのみを使用を選択する。

・ファイアーウォールに規則を追加

firewall.cpl>詳細設定>受信の規則>新しい規則>ポート>TCP>特定のローカルポート
63389
を入力し、接続を許可する。

再起動

mstsc -v:xxx.xxx.xxx.xxx:63389
として接続してみてる。

VPNサーバー側

servermanager>役割と機能の追加>役割ベースまたは機能ベースのインストール>サーバープール画面はそのまま>リモートアクセス>機能の選択画面はそのまま>役割サービス
・DirectAccessにチェック。
・ルーティングにチェック。

servermanager>右上旗マーク>作業の開始ウィザードを表示する>VPNのみを展開します>ルーティングとリモートアクセスウィンドウ>左側サーバー右クリック>ルーティングとリモートアクセスの構成と有効化
カスタム構成をチェック。
・VPNアクセスをチェック。

servermanager>ツール>ルーティングとリモートアクセス>左側サーバー右クリック>プロパティ>セキュリティ
・カスタムIPsecポリシーをL2TP/IKEv2接続で許可するにチェック
・事前共有キーに適当な値を入力。

servermanager>ツール>ルーティングとリモートアクセス
>左側サーバー右クリック>すべてのタスク
・再起動をクリック。

servermanager>ツール>ルーティングとリモートアクセス
>左側サーバー右クリック>プロパティ>IPv4
・静的アドレスプールをチェック。
・適当の範囲を追加する。(192.168.20.1 – 192.168.20.5)

firewall.cpl>詳細設定>受信の規則>新しい規則>ポート>
・UDPをチェック
・特定のローカルポート:4500, 500, 1701
を追加し、接続を許可する。
・TCPをチェック
・特定のローカルポート:445
・スコープ:ローカル:192.168.20.1/リモート:192.168.20.0/24
を追加し、接続を許可する。

firewall.cpl>詳細設定>受信の規則>新しい規則>カスタム>すべてのプログラム
・プロトコルの種類:カスタム
・プロトコル番号:50
を追加する。(50はESP)

servermanager>ツール>コンピュータの管理>ローカルユーザーとグループ>ユーザー>該当のユーザーを右クリック>プロパティ>ダイヤルイン
リモートアクセス許可
・アクセスを許可をチェック。

 

firewall.cpl>詳細設定>受信の規則
から登録したもの以外全て無効化。

VPNクライアント側

Win10設定>ネットワークとインターネット>VPN>VPNを追加する
・VPNプロバイダー:Windows(ビルトイン)
・接続名:適当
・サーバー名またはアドレス:サーバーのIPアドレス
・VPNの種類:事前共有キーを使ったL2TP/IPsec
・サインイン情報の種類:ユーザー名とパスワード
・ユーザー名(オプション):サーバー側で作成したユーザー

上記作成されたネットワーク接続に対して、
ncpa.cpl>右クリック>プロパティ>ネットワーク
・インターネット プロトコル バージョン 6 (TCP/IPv6)のチェックを外す。
インターネット プロトコル バージョン 4 (TCP/IPv4)のプロパティ>詳細設定
・リモート ネットワークでデフォルトゲートウェイを使うのチェックを外す。

ActiveDirectory(サーバー)

使う場合。

servermanager>役割と機能の追加>役割ベースまたは機能ベースのインストール>サーバープールからサーバーを選択。
・Active Directory ドメイン サービス
を選択し、インストール

インストール進行状況の途中で、
・このサーバーをドメイン コントローラーに昇格する
をクリックする。

・新しいフォレストを追加する
を選択し、ルートドメイン名を追加する。
ad.sk-tech.jp

次の画面は機能そのまま、
フォレストの機能レベル、ドメインの機能レベル
・Windows Server 2016
・ドメインネーム システム(DNS) サーバー
をチェック
・グローバルカタログを
をチェック

パスワードを入力する。

基本的には以降はそのままで、最後にインストール。

・ユーザー作成

servermanager>ツール>ActiveDirectory>ユーザーとコンピュータ
・左側メニューUsersを選択し、
メニューボタンにある
現在のコンテナーに新しいユーザーを作成
を実行する。

姓名などあるが、とりあえずフルネームとユーザーログオン、パスワードを入力する。

ユーザーは次回ログオン時にパスワード変更が必要
のチェックを外す。

ログ

VPSなので、確認はしておいたほうがいい。

eventvwr>Windowsログ>セキュリティ
ログオン失敗
4625

eventvwr>カスタムビュー>サーバーの役割>RemoteAccess
リモート接続拒否
20271