これまでで、NAPの設定は完了している。そこで、ここからは実際にクライアントを接続して、どのようにNAPが機能するのか見ていくことにしよう。
まず、インストール直後の状態のWindows Vistaをネットワークに接続する。デフォルトの設定ではワークグループに参加した状態で、DHCPでIPアドレスを取得し、ネットワーク接続が可能になる。NAPが有効なネットワークに接続した場合は少々状態が異なる。一見通常どおりIPアドレスが取得できているようだが、サブネット・マスクが「255.255.255.255」であり、ルーティングが設定された特定のコンピュータにしかアクセスできない。これは、ポリシーでは「NAP非対応」として扱われるためである。
サーバ側のログを見ると、「NAP DHCP NAP非対応」のポリシーが適用されていることが分かる。クライアント側はNAPを理解していないのでログは残らない。Windows 2000などのデフォルトではNAPに対応していないコンピュータを接続した場合、同様にNAP非対応の扱いになる。それらのコンピュータのネットワーク接続を制限するか、フル・アクセスを提供するかは、ポリシー内で設定することになる。
では、Windows VistaのNAP機能を有効にしてみよう。まず、NAPエージェントのサービスを起動する。これでNPSに正常性の状態を通知することができるようになる。次にどの強制クライアントを使うかを指定する。Napclcfg.mscでDHCP検疫強制クライアントを有効にする。
これでNAPに準拠したクライアントとなった(ファイアウォールが有効になっていることを確認しておく)。あらためてIPアドレスを見ると、通常のアドレスが配布されており、「システムの検疫の状態」の項目が追加され、「制限なし」となっている。
再びログを確認してみる。サーバとクライアントのいずれでも「NAP DHCP準拠」のポリシーが適用されていることが分かる。なおWindows VistaのNAPログは、イベント・ビューアの[アプリケーションとサービス ログ]−[Microsoft]−[Windows]−[Network Access Protection]−[Operational]で確認できる。
では、次にWindowsファイアウォールを無効にして、ポリシーを満たさない状態にしてみよう。ポリシーを満たしていないというポップアップが現れ、クリックすると状況([ネットワーク アクセス保護]ダイアログ)が表示される。さらに[詳細情報]ボタンをクリックすると、ポリシーで設定したヘルプ・ページが表示される。この状態でWebブラウザを使ってインターネットのWebサイトを表示させようとすると、「このページは表示できません」といったエラーが表示されることになる(修復サーバにのみ接続が可能となっているため)。
ネットワークの設定を確認すると、「システムの検疫の状態」が「制限あり」となっている。Windowsファイアウォールを有効にすると、再びフル・アクセスが提供される。
Copyright© Digital Advantage Corp. All Rights Reserved.