VPNサーバーとしてのWindowsServer 2008 R2
データセンターにネットワークをセットアップする予定ですが、Windows Server 2008R2をVPNサーバーとして機能させることは可能かどうか疑問に思いました。
また、VPNには、PPTP、L2TP/IPsec、SSTPの3つの主要なタイプがあると聞きました。調査の結果、Mac OS X、Linux、およびWindowsのネイティブ(OSレベル)サポートを許可するようです。PPTPまたはL2TP/IPsecを使用します。また、L2TPはPPTPよりも安全であることも読みました。 、 これは本当ですか?
最後に、VPNサーバーをプライマリドメインコントローラー(PDC)にインストールすることをお勧めします。インストールしない場合は、その理由を教えてください。
PPTPは、束の中で「最も安全性が低い」ものです。ただし、EAP- *認証プロトコルを使用する場合は、FIPS-140データを除くすべてのデータに対して十分に安全です。 MS-CHAPv2も非常に安全です。しかし、それはほとんどの場合弱点であるパスワードに依存しています(それとソーシャルエンジニアリングは驚くほど効果的です)。
L2TPはより安全であり、PSKではなく証明書を使用して展開する必要があります。これにはPKIが必要ですが、セットアップはそれほど難しくありません。 PPTPよりも安全ですが、証明書またはPSKが必要なためです。
SSTPは基本的にL2TPと同じくらい安全で、証明書を再び使用しますが、それでもPKIが必要です。主な利点は、GREおよびUDPトラフィックをブロックする安価なファイアウォール(または厳密に構成されたファイアウォール)で動作することです(それぞれPPTPおよびL2TPの場合)。
ADを単独で(またはDNSとともに)サーバーにインストールすることをお勧めします。しかし、人々は重大な問題なしに他のサービスを頻繁にインストールします。このインターネットに接続されたサーバーが危険にさらされると、ADDBも自動的に危険にさらされることに注意してください。
これは、セキュリティ/相互運用性/セットアップのオーバーヘッドの間のトレードオフです。
[〜#〜] pptp [〜#〜]はおそらく最も相互運用可能であり、GREパケット転送を設定できればNATなどでうまく機能します。ポートフォワードTCP1723。MSCHAPv2(Windowsサーバー2008を使用している可能性があります)を使用している限り、おそらく問題ありません。
L2TPにはPKIセットアップが必要であり、いくつかの 追加の手順 VPNサーバーをNAT上に配置する場合に実行する必要があります'dネットワーク。
[〜#〜] sstp [〜#〜]はブロックの新しい子供であり、おそらくセットアップのオーバーヘッド/相互運用のための中間のどこかにあります。将来の保証を検討している場合は、これが最適な方法です。ただし、MacOSの実用的なサポートがあるかどうかはわかりません。
ADをVPNサーバーとして使用することはおそらくベストプラクティスではありませんが、SOHO環境では、VPNサーバーは通常DC(SBSを考えてください)です。