連載
» 2008年10月23日 00時00分 公開

第12回 社内ネットワークの安全を保つネットワーク・アクセス保護NAPとは(後編)Windows Server 2008の基礎知識(3/5 ページ)

[田辺茂也(IT Pro エバンジェリスト),マイクロソフト株式会社]

クライアントの設定を行う

 これまでで、NAPの設定は完了している。そこで、ここからは実際にクライアントを接続して、どのようにNAPが機能するのか見ていくことにしよう。

 まず、インストール直後の状態のWindows Vistaをネットワークに接続する。デフォルトの設定ではワークグループに参加した状態で、DHCPでIPアドレスを取得し、ネットワーク接続が可能になる。NAPが有効なネットワークに接続した場合は少々状態が異なる。一見通常どおりIPアドレスが取得できているようだが、サブネット・マスクが「255.255.255.255」であり、ルーティングが設定された特定のコンピュータにしかアクセスできない。これは、ポリシーでは「NAP非対応」として扱われるためである。

NAP非対応の場合のIPアドレスの状況
サブネット・マスクが「255.255.255.255」となっており、明示的にルーティングされた特定のコンピュータにしかアクセスできないように設定されていることが分かる。

 サーバ側のログを見ると、「NAP DHCP NAP非対応」のポリシーが適用されていることが分かる。クライアント側はNAPを理解していないのでログは残らない。Windows 2000などのデフォルトではNAPに対応していないコンピュータを接続した場合、同様にNAP非対応の扱いになる。それらのコンピュータのネットワーク接続を制限するか、フル・アクセスを提供するかは、ポリシー内で設定することになる。

[イベント ビューア]の[ネットワーク ポリシーとアクセス サービス]の画面(NAP非対応の場合)
「NetworkPolicyName」を見ると、「NAP DHCP NAP非対応」となっており、接続したコンピュータがNAP非対応として認識されていることが分かる。

 では、Windows VistaのNAP機能を有効にしてみよう。まず、NAPエージェントのサービスを起動する。これでNPSに正常性の状態を通知することができるようになる。次にどの強制クライアントを使うかを指定する。Napclcfg.mscでDHCP検疫強制クライアントを有効にする。

[NAPクライアントの構成]画面
Windows Vista上でNAPクライアントの構成を実行する。この[実施クライアント]の[DHCP検疫強制クライアント]を有効にする。

 これでNAPに準拠したクライアントとなった(ファイアウォールが有効になっていることを確認しておく)。あらためてIPアドレスを見ると、通常のアドレスが配布されており、「システムの検疫の状態」の項目が追加され、「制限なし」となっている。

NAP準拠のクライアントを接続した場合のIPアドレスの状況
「システムの検疫の状態」の項目が「制限なし」となっていることが分かる。

 再びログを確認してみる。サーバとクライアントのいずれでも「NAP DHCP準拠」のポリシーが適用されていることが分かる。なおWindows VistaのNAPログは、イベント・ビューアの[アプリケーションとサービス ログ]−[Microsoft]−[Windows]−[Network Access Protection]−[Operational]で確認できる。

[イベント ビューア]の[ネットワーク ポリシーとアクセス サービス]の画面(NAP DHCP準拠の場合)
「NetworkPolicyName」を見ると、「NAP DHCP準拠」となっており、接続したコンピュータがNAP準拠として認識されていることが分かる。

 では、次にWindowsファイアウォールを無効にして、ポリシーを満たさない状態にしてみよう。ポリシーを満たしていないというポップアップが現れ、クリックすると状況([ネットワーク アクセス保護]ダイアログ)が表示される。さらに[詳細情報]ボタンをクリックすると、ポリシーで設定したヘルプ・ページが表示される。この状態でWebブラウザを使ってインターネットのWebサイトを表示させようとすると、「このページは表示できません」といったエラーが表示されることになる(修復サーバにのみ接続が可能となっているため)。

ポリシーを満たさない状態のWindows Vistaのポップアップ
ポリシーを満たしていないと、ポップアップでネットワーク接続が制限されている旨の警告が表示される。

[ネットワーク アクセス保護]ダイアログの画面
ポップアップをクリックすると、NAPによってネットワーク接続が制限されている旨の詳細情報が表示される。画面の[修復結果]にはポリシーに合致するための方法が記載されているので、ユーザーまたは管理者はその対策を行うことになる。

 ネットワークの設定を確認すると、「システムの検疫の状態」が「制限あり」となっている。Windowsファイアウォールを有効にすると、再びフル・アクセスが提供される。

ポリシーに合致しないNAP準拠のクライアントを接続した場合のIPアドレスの状況
「システムの検疫の状態」が「制限あり」となっている。またサブネット・マスクが「255.255.255.255」となっており、特定のコンピュータにしかアクセスできないように設定されていることが分かる。

Copyright© Digital Advantage Corp. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。