特集 Windows Server 2003完全ガイド
強化されたリモート・アクセス・ソリューション

2.仮想プライベート・ネットワークの強化

Michael Cherry
2003/04/01
Copyright(C) 2003, Redmond Communications Inc. and Mediaselect Inc.

 Windows Server 2003は改良版のインターネット認証サービス(IAS:Internet Authentication Service)を搭載している。IASはWindowsのネットワーク認証機能を拡張するとともに、広くサポートされたVPNプロトコルであるリモート認証ダイヤルイン・ユーザー・サービス(RADIUS:Remote Authentication Dial-in User Service)プロトコルを実装している。

 改良点には、RADIUSプロキシ(ネットワーク・エッジのRADIUSアクセス・サーバとユーザー認証を行うほかのサーバ間のRADIUSメッセージのルーティングを行う)のサポート、クロスフォレストAD認証、所定のコンフィギュレーションに合致しない接続の隔離(quarantine)を行う能力などがある。

認証要求の転送

 RRAS(Routing and Remote Access Service)を稼働するWindows 2003 Serverが稼働するサーバとIASサービスは、RADIUSプロトコルを用いて認証要求を別のIASサーバに転送できる。RADIUSプロキシとして使用した場合、IASはRADIUSアクセスとアカウンティング・メッセージが通過する中心的なスイッチングないしルーティング・ポイントとなる。このプロキシ・リダイレクションは、ルールベースの処理を用いて認証の負荷分散とフェイル・オーバー(認証リクエストを別の場所や別の組織にあるIASサーバにリダイレクトする機能も含む)を実現する。

 IASは認証要求に関する情報(転送メッセージに関する情報も含む)を記録する。このログは膨大な容量になる可能性があるため、Windows Server 2003 IASは今回からXMLフォーマット化したRADIUS情報のSQL Serverへの記録をサポートする。これは記録したRADIUSデータに関するレポーティングや検索に便利である。

クロスフォレストAD認証

 IASはRADIUSを利用できるほか、外部アイデンティティをADユーザーにマッピングしてADを認証に使える。Windows Server 2003では、IASはADのクロスフォレスト・サポートを利用してユーザーを認証できる。企業はしばしば自社のADに複数のフォレストを構築して、独自の組織構造や2つの組織の合併に対応する。IASのクロスフォレスト・サポートにより、ユーザーはたとえIASサーバと異なるフォレストのメンバーであっても認証を受けることができる(ADおよびクロスフォレスト・サポートに関する詳細情報は、別稿「Insider's Eye:Active Directoryが次期Windowsで飛躍的進化」を参照)。

隔離機能

 IAS隔離機能により、企業は特定のリモートVPNクライアントにネットワークへのフルアクセスを許可する前に、そのコンフィギュレーションを確認できる。例えば企業は、自社ネットワークにアクセスするすべてのリモート・クライアントに確実に特定バージョンのOSを稼働させ、かつ最新のウイルス定義ファイルにアップデートしたウイルスチェック・ソフトウェアを動作させて、VPNが不正ユーザーに利用されるリスクを軽減したいだろう。MicrosoftのCIO(最高情報責任者)Rick Devenuti氏によると、Microsoft自体このしくみを使ってリモート・ユーザーをスクリーニングしているという。

 ユーザーがConnection Manager(Microsoftのクライアント・ダイヤラ)経由でVPN接続を開始すると、Connection ManagerはクライアントのコンフィギュレーションをIASサーバに記述できる。次にIASサーバは、接続を許可または拒否するか、またはクライアントをアップデートするため、制限されたサブネット上の「検疫(quarantine)」サーバに接続をルーティングできる。企業はこのプロセスを自社の条件に合わせて変更したり、Windows Deployment and Resource Kitsのサンプルを使用することができる。また、Connection Managerをカスタマイズして、ユーザーに提示したい機能と外観を搭載させることもできる(検疫の改良点は、図「IASによる検疫」を参照)。End of Article

IASによる検疫
Windows Server 2003のRRASおよびインターネット認証サービスは、仮想プライベート・ネットワーク接続を管理する。ユーザーが仮想プライベート・ネットワーク(VPN)接続(1)を要求すると、クライアント・コンピュータに関する情報(OSのバージョンやウイルスソフトの有無など)がインターネット認証サービス(IAS)を備えたRRAS(2)に送信される。クライアントのコンフィギュレーション情報が要求基準を満たさない場合、IASサーバは接続を拒否するか、クライアントをアップデートさせるために接続を隔離サーバ(quarantine server)(3)に回すことができる。クライアントのコンフィギュレーション情報が要求基準を満たせば、(4)へ隔離を行わずに接続する。

参考資料

 
Directions on Microsoft日本語版
本記事は、(株)メディアセレクトが発行するマイクロソフト技術戦略情報誌「Directions on Microsoft日本語版」から、同社の許可を得て内容を転載したものです。Directions on Microsoftは、同社のWebサイトより定期購読の申込みができます。
 
 

 INDEX
  [特集]Windows .NET Server 2003完全ガイド
  強化されたリモート・アクセス・ソリューション
     1.ターミナル・サービスの強化
   2.仮想プライベート・ネットワークの強化
 
目次ページへ  Windows Server 2003完全ガイド


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間