特集 Windows Server 2003完全ガイド 強化されたリモート・アクセス・ソリューション 2.仮想プライベート・ネットワークの強化 Michael Cherry2003/04/01 Copyright(C) 2003, Redmond Communications Inc. and Mediaselect Inc. |
|
Windows Server 2003は改良版のインターネット認証サービス(IAS:Internet Authentication Service)を搭載している。IASはWindowsのネットワーク認証機能を拡張するとともに、広くサポートされたVPNプロトコルであるリモート認証ダイヤルイン・ユーザー・サービス(RADIUS:Remote Authentication Dial-in User Service)プロトコルを実装している。
改良点には、RADIUSプロキシ(ネットワーク・エッジのRADIUSアクセス・サーバとユーザー認証を行うほかのサーバ間のRADIUSメッセージのルーティングを行う)のサポート、クロスフォレストAD認証、所定のコンフィギュレーションに合致しない接続の隔離(quarantine)を行う能力などがある。
認証要求の転送
RRAS(Routing and Remote Access Service)を稼働するWindows 2003 Serverが稼働するサーバとIASサービスは、RADIUSプロトコルを用いて認証要求を別のIASサーバに転送できる。RADIUSプロキシとして使用した場合、IASはRADIUSアクセスとアカウンティング・メッセージが通過する中心的なスイッチングないしルーティング・ポイントとなる。このプロキシ・リダイレクションは、ルールベースの処理を用いて認証の負荷分散とフェイル・オーバー(認証リクエストを別の場所や別の組織にあるIASサーバにリダイレクトする機能も含む)を実現する。
IASは認証要求に関する情報(転送メッセージに関する情報も含む)を記録する。このログは膨大な容量になる可能性があるため、Windows Server 2003 IASは今回からXMLフォーマット化したRADIUS情報のSQL Serverへの記録をサポートする。これは記録したRADIUSデータに関するレポーティングや検索に便利である。
クロスフォレストAD認証
IASはRADIUSを利用できるほか、外部アイデンティティをADユーザーにマッピングしてADを認証に使える。Windows Server 2003では、IASはADのクロスフォレスト・サポートを利用してユーザーを認証できる。企業はしばしば自社のADに複数のフォレストを構築して、独自の組織構造や2つの組織の合併に対応する。IASのクロスフォレスト・サポートにより、ユーザーはたとえIASサーバと異なるフォレストのメンバーであっても認証を受けることができる(ADおよびクロスフォレスト・サポートに関する詳細情報は、別稿「Insider's Eye:Active Directoryが次期Windowsで飛躍的進化」を参照)。
隔離機能
IAS隔離機能により、企業は特定のリモートVPNクライアントにネットワークへのフルアクセスを許可する前に、そのコンフィギュレーションを確認できる。例えば企業は、自社ネットワークにアクセスするすべてのリモート・クライアントに確実に特定バージョンのOSを稼働させ、かつ最新のウイルス定義ファイルにアップデートしたウイルスチェック・ソフトウェアを動作させて、VPNが不正ユーザーに利用されるリスクを軽減したいだろう。MicrosoftのCIO(最高情報責任者)Rick Devenuti氏によると、Microsoft自体このしくみを使ってリモート・ユーザーをスクリーニングしているという。
ユーザーがConnection Manager(Microsoftのクライアント・ダイヤラ)経由でVPN接続を開始すると、Connection ManagerはクライアントのコンフィギュレーションをIASサーバに記述できる。次にIASサーバは、接続を許可または拒否するか、またはクライアントをアップデートするため、制限されたサブネット上の「検疫(quarantine)」サーバに接続をルーティングできる。企業はこのプロセスを自社の条件に合わせて変更したり、Windows Deployment and Resource Kitsのサンプルを使用することができる。また、Connection Managerをカスタマイズして、ユーザーに提示したい機能と外観を搭載させることもできる(検疫の改良点は、図「IASによる検疫」を参照)。
IASによる検疫 |
Windows Server 2003のRRASおよびインターネット認証サービスは、仮想プライベート・ネットワーク接続を管理する。ユーザーが仮想プライベート・ネットワーク(VPN)接続(1)を要求すると、クライアント・コンピュータに関する情報(OSのバージョンやウイルスソフトの有無など)がインターネット認証サービス(IAS)を備えたRRAS(2)に送信される。クライアントのコンフィギュレーション情報が要求基準を満たさない場合、IASサーバは接続を拒否するか、クライアントをアップデートさせるために接続を隔離サーバ(quarantine server)(3)に回すことができる。クライアントのコンフィギュレーション情報が要求基準を満たせば、(4)へ隔離を行わずに接続する。 |
参考資料
-
Windows用のTerminal Services Remote Desktop Connectionクライアント5.1のダウンロード(英文)
-
Webブラウザ用のTerminal Services Remote Desktop Web Connectionクライアント5.1のダウンロード(英文)
-
Mac OS X用のTerminal Services Remote Desktop Connectionクライアント5.1のダウンロード(英文)
Directions on Microsoft日本語版 本記事は、(株)メディアセレクトが発行するマイクロソフト技術戦略情報誌「Directions on Microsoft日本語版」から、同社の許可を得て内容を転載したものです。Directions on Microsoftは、同社のWebサイトより定期購読の申込みができます。 |
INDEX | ||
[特集]Windows .NET Server 2003完全ガイド | ||
強化されたリモート・アクセス・ソリューション | ||
1.ターミナル・サービスの強化 | ||
2.仮想プライベート・ネットワークの強化 | ||
Windows Server 2003完全ガイド |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
|
|