[運用]

Windows Server 2008ターミナル・サービス・ゲートウェイ実践構築入門(後編)

―― Windows Server 2008のTSゲートウェイによるリモート・アクセス環境構築術 ――

1.中央のNPSを加えたTSゲートウェイの構成

マイクロソフト株式会社
IT Pro エバンジェリスト
安納 順一
2009/06/25
Page1 Page2 Page3 Page4

 前編では、TSゲートウェイの3つの構築パターンのうち、DMZに配置したTSゲートウェイとそのローカルなNPS(ネットワーク・ポリシー・サーバ)を使用するという標準的な構成パターンについて、そのネットワーク構成と構築手順、留意点について解説した。

 しかし、前編でも記したとおり、TSゲートウェイのローカルNPSを使用すると、アクセス制御のためのユーザー/コンピュータのメンテナンス、そして認証を一元的に管理できないというデメリットがある。利用者が少数であればさほど問題にはならないが、外部からプライベート・ネットワークに接続する利用者が増えるに従い、管理者にとって大きな負担となるだろう。

 そこで今回は、このデメリットを解消するために、プライベート・ネットワーク内に「中央のNPS」と呼ばれるNPSを設置し、これを使用してアクセスを管理する方法について解説する。

構築するTSゲートウェイの構成と前提条件

 今回対象とするTSゲートウェイの構成パターンを図1に記す。前編では構成パターン2としていたものだ。構成パターン3(TSゲートウェイをプライベート・ネットワーク内に設置するパターン)でも、中央のNPSの扱いは共通している。

 NPSはActive Directoryに参加せずに運用することも可能であるが、その場合Active Directoryのリソースが使用できず、TSゲートウェイのローカルNPSを使用する場合と管理の手間が変わらない。よって、今回の解説では中央のNPSはActive Directoryドメインに参加していることを前提とする。

図1 今回対象とするTSゲートウェイの構成パターン
前編で解説した構成パターン1と比べ、TSゲートウェイをDMZに配置するのは変わらないが、中央のNPSを設置して接続承認ポリシーによるアクセス制御を担当させる点が異なる。ファイアウォールでは、TSゲートウェイから中央のNPSに向けてUDPポート1812番を開放する必要がある。また中央のNPSはActive Directoryに所属しているものとする(これによりActive Directoryを利用してユーザーやコンピュータを一元管理できる)。

 なお、今回の手順は前回の続きであることに注意していただきたい。すなわち前回構築した構成パターン1をベースに、追加インストールや設定変更などによって上図の構成パターンを構築し、その手順を解説する。また、ファイアウォールの設定に関しては構成パターンに合わせて適宜行っていただきたい。

中央のNPSのインストール

 まずは、Windows Server 2008で稼働するActive Directory所属のサーバに、中央のNPSをインストールする。その手順は以下のように簡単だ。

 NPSをインストールするサーバを決めたら、管理者でログオンして[サーバー マネージャー]を起動する。次に左ペインのツリー・メニューから[サーバー マネージャー]-[役割]を右クリックし、[役割の追加]を選択する。[役割の追加ウィザード]が起動したら、[サーバーの役割の選択]画面では[ネットワーク ポリシーとアクセス サービス]を選択する(画面01)。さらに[役割サービスの選択]画面では「ネットワーク ポリシー サービス」を選択してインストールを進めればよい(画面02)。

画面01 [サーバーの役割の選択]画面
これを選ぶ。

画面02  [役割サービスの選択]画面
これを選ぶ。

 あとはデフォルトの設定のままウィザードを進めて完了させる。

TSゲートウェイの設定変更

 次にTSゲートウェイ側の設定を変更しよう。設定項目は以下の2点だけだ。

  • RADIUSサーバ(=中央のNPS)の設定
  • 正常性ステートメントの送信をクライアントに要求するか否か

 中央のNPSを使用する場合、TSゲートウェイはRADIUSクライアントとなり、NPSがRADIUSサーバとなることを覚えておこう。ここでは、TSゲートウェイと通信するRADIUSサーバの定義を行う。

 TSゲートウェイで中央のNPSを使用するには、TSゲートウェイ・マネージャのプロパティの[TS CAP ストア]タブで設定を行う。以下に手順を示す。

  • [サーバー マネージャー]-[役割]-[ターミナル サービス]-[TS ゲートウェイ マネージャー]-[<TSゲートウェイ・サーバの名前>]を右クリックして[プロパティ]を選択
  • [TS CAP ストア]タブを選択
  • [セントラル NPS サーバー]を選択
  • [NPS サーバーの名前または IP アドレスの入力]欄に、NPSをインストールしたサーバのコンピュータ名またはIPアドレスを入力し、[追加]をクリック。このとき、存在しないNPSを指定することはできない(画面03)
画面03 TSゲートウェイのプロパティの[TS CAP ストア]タブ
ローカルNPSサーバからセントラルNPSサーバに切り替えるには、このタブの設定を変更する。
このチェックがオフになっていることを確認する(詳細はこの後で説明)。
これを選択する。
NPSをインストールしたサーバのコンピュータ名またはIPアドレスを入力する。存在しないNPSは指定できない。
これをクリックするとで入力したNPSが登録される。
  • [共有シークレット]画面が表示されるので、NPSとの通信に使用されるシークレット文字列を入力する。ここで指定した文字列は、あとでNPSの環境設定の際に使用するので覚えておく必要がある。また、安全のため、16文字未満の極端に短い文字列やよく知られている英単語だけの文字列は避ける(画面04)
画面04 [共有シークレット]画面
ここで入力した共有シークレット文字列はNPSの設定でも使用するので、忘れずにメモしておく。
共有シークレット文字列を入力する。安全のため、文字列は16文字以上が望ましい。また、よく知られている英単語だけの文字列は避けること。

 次に「正常性ステートメントの送信をクライアントに要求するか否か」の設定だが、これは、TSゲートウェイに接続しようとするクライアントに対して、クライアントの正常性を確認するのに必要な情報送信を義務付けるかどうかの設定だ。「正常性ステートメント」とは、NPSでの検疫に使用される情報であり、例えば「ウイルス対策ソフトウェアが動作している」「更新プログラムを自動的に適用」などの項目が用意されている。どのような情報を使用して検疫を行うかはNPSの「ネットワーク ポリシー」「正常性ポリシー」「システム正常性検証ツール」で構成する必要がある。

 今回はNPS内部の動作を把握しやすいように、現時点では正常性を「要求しない」ものとする。よって、画面03の上部に表示されている[正常性ステートメント (SoH) の送信をクライアントに要求する]のチェックはオフにしておく。

 以上で TSゲートウェイの設定は完了だ。正しく設定できたかどうかは、[サーバー マネージャー]-[役割]-[ターミナル サービス]-[TSゲートウェイ マネージャー]-[<TSゲートウェイ・サーバの名前>]-[ポリシー]配下に、[セントラル ネットワーク ポリシー サーバー]が表示されていることで確認できる。

 次のページでは、インストールした中央のNPSの環境設定を行う。


 INDEX
  [運用]
  Windows Server 2008ターミナル・サービス・ゲートウェイ実践構築入門(前編)
    1.ネットワークとサーバの構成パターン
    2.TSゲートウェイのインストール
    3.TSゲートウェイの環境設定(1)
    4.TSゲートウェイの環境設定(2)
    5.クライアントの設定とTSゲートウェイ経由の接続
 
  Windows Server 2008ターミナル・サービス・ゲートウェイ実践構築入門(後編)
  1.中央のNPSを加えたTSゲートウェイの構成
    2.中央のNPSの環境設定
    3.ネットワーク・ポリシーの作成
    4.接続要求ポリシーの修正と接続確認

 運用


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間