構成が最もシンプルなDHCPによるNAP強制を取り上げ、新機能「ネットワーク・アクセス保護」の構築手順を具体的に解説。
前編では、Windows Server 2008に標準搭載された「ネットワーク・アクセス保護(Network Access Protection、以下 NAP)」の機能や仕組みについて解説した。後編となる本稿では、実際にNAPを構築する手順について解説していく。例として、構成が最もシンプルであるDHCPによるNAP強制(検疫によって内部ネットワークへのアクセスを許可したり制限したりする機能)を取り上げる。
ここではWindows Server 2008 Enterpriseをドメイン・コントローラとNAPサーバにし、Windows Vista Enterprise SP1をNAPクライアントとした環境で解説していく。Windows XP SP3もNAPクライアントに対応しており、同様に利用できる(ただしWindows XP SP3 には、「NAPクライアントの構成」ツールが含まれていないため、コマンドラインまたはグループ・ポリシーで設定する必要がある)。
実際にNAPの設定に入る前に、Windows Server 2008(マシン名を「NAP-SV01」とする)に対し、Active Directoryドメイン・サービスとDNSサーバの役割を追加し、ドメイン 「example.jp」を作成してある。また今回、NAP-SV01をDHCPサーバとして運用することになるため、ネットワーク・カードに対して静的IPアドレス「192.168.100.1/24」を設定しておく。
ここからNAPを利用するための設定が始まる。NAP-SV01のサーバ・マネージャで[ネットワーク ポリシーとアクセス サービス]の役割と、今回はDHCPによるNAP強制を使用するので、[DHCPサーバー]の役割も同時に追加しておく。DHCPによるNAP強制には、Windows Server 2008のDHCPサーバが必要である。
[ネットワーク ポリシーとアクセス サービス]には、NAP以外にリモート・アクセスなどの役割も含まれている。ここでは、[ネットワーク ポリシー サーバー]のみにチェックを入れて、役割をインストールする。
[ネットワーク ポリシーとアクセス サービス]の役割がインストールできたら、続いてDHCPサーバの構成を行う。まずDHCPのサービスを提供するネットワーク接続を選択する。すでにNAP-SV01には、静的IPアドレス「192.168.100.1/24」が設定されているので、これにチェックを入れて、ウィザードを進めればよい。
次に親ドメイン名やDNSサーバのアドレスを設定する。ただし、これらの情報は自動的に入力されるのでそのまま使用する。ここで入力されている情報が間違っている場合は、設定ミスの可能性があるので、前に戻って設定を確認すること。
ウィザードを進めると、WINSサーバの設定についても聞かれるが、今回は使用しないので、[このネットワーク上のアプリケーションにWINSは必要ない]を選択する。もちろん、ネットワーク環境によってWINSサーバが必要な場合は、ここで設定を行っておく。
続いてDHCPでIPアドレスを配布するスコープを作成する。今回は「192.168.100.11〜19」を使用するように設定した。スコープは、各企業のネットワーク環境に合わせて設定すればよい。
あとはデフォルトの設定のまま、ウィザードを進める。最終的にインストールする構成が表示されるので、ここで設定を確認しておく。
インストールが完了するとサーバ・マネージャ、または管理ツールで管理できるようになる。
Copyright© Digital Advantage Corp. All Rights Reserved.