第12回 社内ネットワークの安全を保つネットワーク・アクセス保護NAPとは(後編):Windows Server 2008の基礎知識(3/5 ページ)
クライアントの設定を行う
これまでで、NAPの設定は完了している。そこで、ここからは実際にクライアントを接続して、どのようにNAPが機能するのか見ていくことにしよう。
まず、インストール直後の状態のWindows Vistaをネットワークに接続する。デフォルトの設定ではワークグループに参加した状態で、DHCPでIPアドレスを取得し、ネットワーク接続が可能になる。NAPが有効なネットワークに接続した場合は少々状態が異なる。一見通常どおりIPアドレスが取得できているようだが、サブネット・マスクが「255.255.255.255」であり、ルーティングが設定された特定のコンピュータにしかアクセスできない。これは、ポリシーでは「NAP非対応」として扱われるためである。
NAP非対応の場合のIPアドレスの状況サブネット・マスクが「255.255.255.255」となっており、明示的にルーティングされた特定のコンピュータにしかアクセスできないように設定されていることが分かる。
サーバ側のログを見ると、「NAP DHCP NAP非対応」のポリシーが適用されていることが分かる。クライアント側はNAPを理解していないのでログは残らない。Windows 2000などのデフォルトではNAPに対応していないコンピュータを接続した場合、同様にNAP非対応の扱いになる。それらのコンピュータのネットワーク接続を制限するか、フル・アクセスを提供するかは、ポリシー内で設定することになる。
[イベント ビューア]の[ネットワーク ポリシーとアクセス サービス]の画面(NAP非対応の場合)「NetworkPolicyName」を見ると、「NAP DHCP NAP非対応」となっており、接続したコンピュータがNAP非対応として認識されていることが分かる。
では、Windows VistaのNAP機能を有効にしてみよう。まず、NAPエージェントのサービスを起動する。これでNPSに正常性の状態を通知することができるようになる。次にどの強制クライアントを使うかを指定する。Napclcfg.mscでDHCP検疫強制クライアントを有効にする。
これでNAPに準拠したクライアントとなった(ファイアウォールが有効になっていることを確認しておく)。あらためてIPアドレスを見ると、通常のアドレスが配布されており、「システムの検疫の状態」の項目が追加され、「制限なし」となっている。
再びログを確認してみる。サーバとクライアントのいずれでも「NAP DHCP準拠」のポリシーが適用されていることが分かる。なおWindows VistaのNAPログは、イベント・ビューアの[アプリケーションとサービス ログ]−[Microsoft]−[Windows]−[Network Access Protection]−[Operational]で確認できる。
[イベント ビューア]の[ネットワーク ポリシーとアクセス サービス]の画面(NAP DHCP準拠の場合)「NetworkPolicyName」を見ると、「NAP DHCP準拠」となっており、接続したコンピュータがNAP準拠として認識されていることが分かる。
では、次にWindowsファイアウォールを無効にして、ポリシーを満たさない状態にしてみよう。ポリシーを満たしていないというポップアップが現れ、クリックすると状況([ネットワーク アクセス保護]ダイアログ)が表示される。さらに[詳細情報]ボタンをクリックすると、ポリシーで設定したヘルプ・ページが表示される。この状態でWebブラウザを使ってインターネットのWebサイトを表示させようとすると、「このページは表示できません」といったエラーが表示されることになる(修復サーバにのみ接続が可能となっているため)。
ポリシーを満たさない状態のWindows Vistaのポップアップ
[ネットワーク アクセス保護]ダイアログの画面ポップアップをクリックすると、NAPによってネットワーク接続が制限されている旨の詳細情報が表示される。画面の[修復結果]にはポリシーに合致するための方法が記載されているので、ユーザーまたは管理者はその対策を行うことになる。
ネットワークの設定を確認すると、「システムの検疫の状態」が「制限あり」となっている。Windowsファイアウォールを有効にすると、再びフル・アクセスが提供される。
Copyright© Digital Advantage Corp. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。