1. Windowsファイル共有をインターネット経由で実現する

2024.10.15

Windowsファイ共有でできること/やりたいこと

Windowsファイル共有をインターネット経由で実現したいと思ったことはありませんか。Windowsファイル共有は、Exploreを使って自PCのファイルをアクセスするのと同じ要領でサーバPCのファイルをアクセスできる便利な機能です。サーバPCに外部記憶装置を増設すれば立派なファイルサーバとして利用できます。使い慣れたWindowsだけでシステムを作れますから、使いこなせばとても便利です。これがインターネットを跨る形で実現できるとさらに便利です。でも、インターネット経由のWindowsファイル共有は一般には簡単に実現できないと考えられています。

Windowsファイル共有は、本来PCどうしが同一ネットワーク内に存在することが前提です。また、セキュリティ的にも決して強固ではないという課題がありますから、インターネット経由でそのまま使うのは危険です。
Windowsファイル共有を、簡単、かつ安全に、しかもインターネット越しに実現できる方法はないでしょうか。

グローバルアドレスの枯渇とプライベートアドレスの存在

現状の様々な通信に係る制約の多くは、IPv4グローバルアドレスの枯渇に起因しています。本来はIPアドレスの重複は許されません。しかしインターネットの普及がすさまじく、グローバルアドレスがあっという間に枯渇状態となってしまいました。そこでIPv4アドレスの一部の範囲が、プライベートアドレスとして定義され、インターネット上での使用が禁止されました。そして、このアドレス空間をユーザネットワーク側で自由に使えるようにしました。つまり、プライベートアドレスという同じアドレス空間を、皆で共有することにしたのです。この方法によりインターネット上のアドレスの消費が最小限で済むようになり、インターネットが延命できることとなりました。その意味でプライベートアドレスの導入はインターネットの救世主です。

プライベートアドレスの弊害

しかしこの見返りとして、通信に係る大きな制約事項が発生しました。グローバルアドレス空間とプライベートアドレス空間の間には、両者のアドレス変換を行うNAT (Network Address Translation装置;以下NATルータと記述)が必要です。プライベートアドレス側からグローバルアドレス側へのアクセスは問題なく可能です。しかし、グローバルアドレス側からプライベートアドレス側に向けて通信の開始ができません。これをNAT越え問題と呼びます。グローバルアドレス側から見ると、プライベートアドレス側は皆同じアドレス空間なので、その先にある通信装置をIPアドレスで特定することができないためです。NAT越え問題は現状のIPネットワークにおける最大の課題となっています。

NAT越え問題の思わぬ利点

しかし、NAT越え問題には思わぬ利点がありました。グローバルアドレス空間から見ると、NATルータの存在しか認識できず、プライベートネットワーク内部がどのような構造になっているか隠ぺいされます。ですから、プライベートアドレス空間に対する外部からの不正アクセスが極めて難しいのです。企業のネットワーク管理者からすると、NATルータの存在は大きな安心材料でした。多くの企業が、企業ネットワークは安全という前提を置けるのはこのような事情があるためです。このような事情からプライベートアドレスにより構築された企業ネットワークは、瞬く間に普及しました。

ポート開放の設定

インターネット側からプライべート空間へのアクセスが全くできないかというと、そうではありません。IP通信の識別子にはIPアドレスの他に、アプリケーションの識別をするポート番号があります。このポート番号とサーバのプライベートIPアドレスを紐づけてNATルータに静的に設定することにより、インターネット側から特定のサーバへのアクセスを実現することができます。この作業をポート開放と呼びます。この設定にはネットワークの知識が必要で素人には難しい作業です。また、通信内容がそのままインターネット上に流れてしまうので、盗聴や不正アクセスの温床になるという課題があります。ポート開放は暗号化されたトラフィック以外には適用しないことをお勧めします。

VPNの導入とその課題

そこで現在考えられている最も一般的な方法がVPN (Virtual Private Network)の導入です。下図のように企業ネットワークの入口にVPN装置を設置し、自宅PCにはVPNクライアント用アプリをインストールします。自宅PCとVPN装置間の通信は認証と暗号化が行われます。VPNは企業ネットワークの一部を暗号化技術により自宅PCまで延伸させる仕組みと考えることができます。VPNはセキュリティが強固であり、リモートアクセスと言ったらVPNという固定観念を持たれている方が少なくありません。
しかしVPNの導入には多くの課題があります。
まず、VPN装置には固定のグローバルIPアドレスを付与する必要があります。サービスプロバイダが固定グローバルアドレスサービスを提供している必要があります。このサービスは当然有料です。
また、VPN導入前にインターネットとの接続に使用していたNATルータをVPN装置に置き換える必要があります。配線の変更が必要で、その間ネットワークが使えなくなります。VPN装置の設定は煩雑で、もし設定を間違えるとすべてのインターネット通信ができなくなる可能性があります。
VPNはネットワーク構成が変わると再設定が必要になります。さらに、VPN装置にトラフィックが集中するとスループットが低下することがあります。
このような事情から、ネットワーク技術者を育てる余裕のない中小企業では、VPN導入を専門の業者に委託することが多いです。

新しい技術:フレキシブルプライベートネットワークとVNETプラス

それでは、Windowsファイル共有をインターネット越しに簡単に実現できる方法はあるのでしょうか。
本記事はこれを簡単に実現するための方法を説明します。

フレキシブルプライベートネットワーク(FPN)とは、ネットワークのあるべき姿を定義した当社オリジナルの用語です。
FPNでは全ての通信装置がグローバルアドレスやプライベートアドレスの存在を気にすることなく、エンドツーエンドで暗号化通信ができます。また、あたかもネットワークを独占しているかのように安全な通信ができます。
VNETプラスはこのようなFPNを実現することができる業界唯一の技術です。

具体的には、終端の通信装置、すなわちWindowsマシンにVNETプラスと呼ぶアプリケーションをインストールすると、ネットワークがFPNに見えるようになります。VNETプラスがグローバルアドレスとプライベートアドレスの違いを吸収し、Windowsマシンはインターネットを全く意識する必要がなくなります。
インターネットを含むあらゆるネットワークを安全な一つの仮想ネットワークとして100%エミュレートします。
すなわち、Windowsファイル共有システムをインターネット越しに利用できるようになります。スマートフォンから携帯網を経由してこのシステムを利用することも可能です。この方法については別記事に譲ります。

FPNにより得られるメリット

VPNが抱えていた課題はすべて解消されます。グローバルIPアドレスは不要です。ポート開放のような離れ業も不要です。NATルータを含む既存のネットワーク環境を変更する必要がありません。
ネットワーク管理者はWindowsマシンに名前をつけて通信グループに分離するだけです。このとき、ネットワークの知識は不要で、クラウド上で一括設定ができます。
エンドユーザは自分のマシンにVNETプラスをインストールするだけです。使い勝手は同一ネットワーク内の場合と全く同じです。
クラウドサーバを経由せずエンドツーエンドで通信しますので、セキュリティ的にも安全で、性能的にもストレスがありません。

VNETプラスにご興味のある方は、SmartOffice connectサービスで具体的なサービス内容をご覧ください。または以下のボタンから直接利用登録してください。

VNETプラスの情報をもう少し知りたい場合は以下のサイトをご覧ください。
VNETテクノロジーのHP
SmartOffice connectサービス

Windowsファイル共有をインターネット経由で実現する具体的な方法

具体的な実現方法について説明します。以下の手順に沿って進めると確実に実現できます。
(1) Windowsファイル共有の基本的な確認
(2) VNETプラスの導入

Windowsファイル共有の基本的な確認

ファイル共有を利用したことがある人は、この節を読み飛ばしていただいて問題ありません。
まずは同一ネットワーク内(LAN内)での動作を確認します。これはVNETプラスを導入するときの常套手段です。
ファイルをアクセスする側(クライアント)をPC(A)、アクセスされる側(サーバ)をPC(B)とします。

PC(B)の設定

①開示ファイルの選択
デフォルトでは他PCからのアクセスは禁止されています。
PC(B)のExploreを開き、他PCに開示したいフォルダを以下の手順で設定します。
フォルダを選択して右クリックするとコマンド選択画面が表示されます。
以下の順番で進むことにより共有ファイルの設定が完了します。
→その他のオプションを確認 →アクセスを許可する →特定のユーザー →選択窓から共有する相手としてEveryoneを選択 →追加 →共有

②ネットワークプロファイルの変更
ネットワークプロファイルのデフォルトはパブリックなので、プライベートに変更します。
プライベートに設定することにより、ファイル共有やプリンタ共有のアクセスが可能になります。Windowsの設定画面から以下の手順で設定できます。
設定 →ネットワークとインターネット →イーサネット →プロパティ →プライベートを選択

PC(A)の操作

PC(A)のExploreを開き、ファイル指定欄に \\ (円マーク2個)から始まるPC(B)のホスト名を入力してください。DNSの環境が準備されていない場合は、IPアドレスで直接指定します。
例:\\aaa.acompany.co.jp  または、
  \\192.168.10.100
  
PC(A)で初回のみネットワーク資格情報の入力が求められます。
PC(B)がMicrosoftアカウントとローカルアカウントのどちらを使っているかにより、ユーザ名とパスワードが異なりますから、それに合わせて入力してください。
資格情報が正しければファイルアクセスが可能になります。
以上で同一ネットワーク内の動作が確認できます。

VNETプラスの導入

ここからVNETプラスの導入の説明となります。
セットアップ方法の詳細はVNETプラスのセットアップに記載されています。
以下にその抜粋を記載します。

VNETの利用登録

VNETオーナーの登録画面はこちらです。ドメイン名がntm200.comとなりますが本ドメイン(vnet200.com)と連携していますので問題ありません。

管理用画面からの設定

VNETオーナーは、エンドユーザが利用するWindowsマシンに名前とパスワードを付与します。
管理用画面はこちらです。

VNETプラスのインストールと起動

エンドユーザは通信装置にVNETプラスをダウンロードしてインストールします。
ダウンロード用の画面はこちらです。
VNETプラスの起動画面からVNET IDとパスワードを入力してログインします。

VNET通信の確認

VNETプラスを利用して、あらためてファイル共有の動作を検証します。
PC(A)からPC(B)のファイルをアクセスするとき、ファイル指定欄に入力するホスト名の部分をVNET IDに置き換えるだけです。
例:\\aaa.vowner.ntm200.com

これでVNET通信でWindowsファイル共有ができることが確認できます。
ここまで確認できたらもう大丈夫です。
PC(A)とPC(B)をどのような場所に設置しても同じことができます。
もちろんインターネット越しでもかまいません。

留意事項

VNETプラスは全ての通信をUDPポート番号4330でカプセル化します。セキュリティに厳しい企業ではUDPの利用そのものが禁止されている場合があり、VNETプラスの通信がファイアウォールを通過できない可能性があります。
そのような場合は、情報システム部門に説明して、企業内から外部に出ていくパケットのうち、UDPポート番号4330を通してもらう必要があります。

VNETプラスの情報をもう少し知りたい場合は以下のサイトをご覧ください。
VNETテクノロジーのHP
SmartOffice connectサービス

コメント