社内のネットワーク・インフラを担当している管理者が待ち望んでいるであろう機能として、NAP(Network Access Protection:ナップ)がある。これは、社内ネットワークに接続しようとしているコンピュータや、すでに接続し動作しているコンピュータの状況をリアルタイムに監視し、社内のポリシーに合致しないPCがあればネットワークへのアクセスを拒否したり、強制的にネットワークから切り離したりする動的な検疫機能である。
検疫と聞いてVPN検疫を思い浮かべた方も多いだろう。VPN検疫は、ユーザーが外部から社内へVPNで接続しようとした際、利用しているPCに必要なパッチが当てられているか、ウイルス対策ソフトウェアが導入されているかなどを確認し、問題がなければ社内ネットワークへの接続を許可するというものである。ビジネスにもスピードが求められ、しかも軽量コンパクトなモバイル・デバイスが市場に低価格で出回っているいま、社内外を問わず情報にアクセスしなければならない場面も想定できるので、VPN検疫による入り口でのチェックが果たす役割は大きい。
しかし考えてみてほしい。それらが社内に持ち込まれ、ネットワークに直接接続された場合、ネットワーク管理者には何ができるだろうか。インベントリ(資産)管理ソフトウェアを導入し、強制的にパッチを適用させることもできるだろうし、PCから発信されるパケットをチェックし、不要なパケットを出し続けるPCがあった場合は、そのPCに接続されているネットワーク・ハブのポートを無効にするといった管理をしている会社もある。しかし対応を複雑化させることなく、しかもリアルタイムに行うには、それなりの投資と工夫が必要である。
そこで役立つのが NAPである。NAPは、VPNだけでなくDHCP、IPSec、802.1x(有線LAN、無線LANの両方)といった社内での利用シナリオまでも想定した検疫システムであり、しかもクライアント上のエージェントが常に状態を監視しているので、ユーザーが意図的にファイアウォールを無効にするといった、突然起こり得る問題にも対応できる。これは、NAPが動的検疫システムと呼ばれ、いままでの検疫システムと大きく異なる点でもある。
もう少し具体的に説明しておこう。NAPによる制御を行うには、Windows Server 2008に搭載されているネットワーク・ポリシー・サーバ(NPS)を起動させ、企業としてのポリシーを管理する必要がある。クライアントが社内にアクセスしようとすると、クライアントの状態とあらかじめ設定されているポリシーとが照合され、合致しない場合には、ネットワーク・アクセスを拒否する、あるいは制限付きのネットワークへ誘導し、そこで修正プログラムや定義ファイルの更新をさせるといった動作が行われる。
このNAP環境構築において、例えばWindows Server 2008と Windows Vistaに対しては次のチェックが容易に実現できる。
このように、NAPでは何かしらの要因によりクライアント側の状態が変化すると、動的にネットワークから遮断することになる。また、なぜ遮断されたか、対応するにはどうすればよいかといったポップアップ・メッセージがクライアント側に表示されるため、訳も分からずいきなり通信ができなくなるということでもない。さらには、マイクロソフトが提供しているSystems Management Server(SMS)というクライアント管理製品と連携させて、クライアントでの更新作業などをある程度強制的に実施することもできる。
さてNAPの動作を簡単に説明してきたが、NAP環境を構築する際には、シナリオ次第ではいままでとは違う工夫が必要となる可能性もある。VPN検疫のように、外部からの接続を入り口で守る場合は、ネットワークの設計にはあまり影響がないかもしれない。だがNAPは動的検疫システムであり、NAPの制御対象であるコンピュータは社内に置かれている場合が想定される。よって物理環境による制御ではなく、論理ネットワークによる制御が必要になるだろう。先ほどの図にあるゾーンという概念がまさに論理ネットワークに相当するもので、同じ場所で同じネットワーク・ケーブルにつながっているコンピュータを、時には社内につなぎ、時には接続を拒否し、時には修復用のネットワークにつながなければならないため、論理ネットワーク設計というネットワーク・エンジニアの腕の見せどころが出てくることだろう。
なおNAPにおけるポリシー照合のことを、クライアントの正常性確認とか健康状態の確認と呼んでいる。またポリシーのことを正常性ポリシーなどと表現することもある。このように、NAPや検疫に関しては独特の新しい用語が出てくることがあるので、慣れておいていただきたい。
ターミナル・サービスとは、アプリケーションをサーバにインストールしておき、ユーザーがそのアプリケーションをリモートから利用するための機能である。クライアントにアプリケーションを展開する必要もなく、アプリケーションのデータをクライアント側で処理/保存しないため、情報漏えい対策の1つとして利用している組織も少なくない。Windows Server 2008では、そのターミナル・サービスに以下の2つの新機能が追加される。
TSゲートウェイとは、外部から社内にあるターミナル・サービス(TS)へアクセスする際に、VPN接続を不要にする機能である。ターミナル・サービスは、Remote Desktopプロトコル(RDP、TCPのポート3389番を使用)という専用のプロトコルを利用しており、外部(インターネットなど)から接続する際には、VPNを利用するか、ファイアウォールでRDPポートを開ける必要がある。ポート解放は企業ポリシーと反する場合も多いし、VPN環境の構築には導入/運用コストが発生するため、この選択も難しいことがある。この理由で社外からの利用を諦めていた企業もあっただろう。そのような状況で利用していただきたいのが、このTSゲートウェイ機能である。TSゲートウェイは、外部のコンピュータからの接続要求をSSLポート(TCPのポート443番)で受け付け、RDPに変換して社内のターミナル・サービスとの通信を仲介するゲートウェイ・サーバである。これにより、ターミナル・サービスを外部から利用する際にVPN環境を構築することもなく、SSLによるセキュアな通信を実現できる。またTSゲートウェイには、接続してきたクライアントの正当性を確認する機能があり、NAPの解説に出てきたNPSと連携して、社内ポリシーに見合わないクライアントからの要求をブロックできる。
次はもう1つの新機能であるTS RemoteAppを見てみよう。いままでのターミナル・サービスでは、ユーザーはサーバに接続し、サーバのデスクトップ環境をリモートで操作していたが、TS RemoteAppを利用すると、クライアント側に表示されるのは起動したアプリケーションだけとなる。例えばWordを起動すれば、あたかもクライアント側で実行しているかのようにWordの画面(ウィンドウ)だけが表示される。
どうやってリモートで個別のアプリケーションを起動するのかというと、1つは次の画面のような専用のポータルを利用すればよい。
このポータルはターミナル・サービスの新しい機能として実装されており、別途開発する必要はない。ユーザーはこのポータルにアクセスし、表示されたアプリケーションのアイコンをクリックすることで、アプリケーションが起動する。リモートから起動するといっても、(リモートの)サーバ側で実行されていることには変わりないので、情報漏えい対策のためには有効である。
また、ターミナル・サービス側で管理された個別アプリケーションをmsiパッケージ化することも可能である。例えばExcelをリモートから起動するためのmsi パッケージをユーザーのマシンにあらかじめインストールしておくと、ユーザーの[スタート]メニューにはExcelが表示されることになる。そして、[スタート]メニューからExcelを選ぶと、サーバ側で起動されたExcelの画面がクライアントに表示され、操作できる。このように、アプリケーションがリモートで実行されるというメリットはそのままに、ユーザーにはリモートを意識させない工夫が盛り込まれている。これがTS RemoteAppsである。
そして、TS RemoteAppはTSゲートウェイとともに利用することも可能であり、社内外問わず、必要なときに必要なアプリケーションを起動し、利用できる。しかもクライアントはThinクライアント(ディスクなどを持たない、軽量クライアント)でもよいとなれば、新しいターミナル・サービスを利用したソリューションを利用する組織も増えてくるだろう。
今回は、Windows Server 2008のサーバ・サービスを中心に解説した。NAPのようなまったく新しい機能もあれば、Active Directoryサービス群やターミナル・サービスのようにいままでの機能を強化したものもある。ぜひご活用いただけると幸いである。概要記事の最後となる次回第3回では、Windows Server 2008で再構築された運用管理に関する機能を取り上げていく。
Copyright© Digital Advantage Corp. All Rights Reserved.