[運用]
|
 |
|
|
|
ネットワーク・ポリシーの作成
ここまでの作業で、ひとまずTSゲートウェイ+中央のNPSを介したターミナル・サービスへの接続が確認できた。
しかし、すでにお気付きのとおり、このままでは前編のとき(TSゲートウェイのローカルNPSを使用したとき)と比べて明らかにセキュリティ・レベルが低い。そこで、TSゲートウェイに接続できるユーザーをActive Directoryドメインに登録された特定のユーザー・グループに制限するために、中央のNPSでネットワーク・ポリシーを作成する。その手順を以下に示す。
- 中央のNPSをインストールしたサーバに管理者でログオンし、サーバ・マネージャを起動
- [サーバー マネージャー]−[役割]−[ネットワーク ポリシーとアクセス サービス]−[NPS (ローカル)]−[ポリシー]−[ネットワーク ポリシー] を右クリックして[新規]を選択し、ネットワーク・ポリシーの作成ウィザードを起動する
- [ネットワーク ポリシー名と接続の種類の指定]画面では以下の2つの値を入力する(画面11)
- [ポリシー名]:ネットワーク・ポリシーの識別名を指定する
- [ネットワーク アクセス サーバーの種類]:[ターミナル サーバー ゲートウェイ]を選択する。接続要求ポリシーと同様、「指定なし」でも接続は可能だが、複数種類の接続が混在する場合、[ターミナル サーバー ゲートウェイ]を指定することで、TSゲートウェイ以外からの接続で本ポリシーが誤って使用されることを防止できる
 |
|||||||||
| 画面11 [ネットワーク ポリシー名と接続の種類の指定]画面 | |||||||||
| ネットワーク・アクセス・サーバの種類として「ターミナル サーバー ゲートウェイ」を選択しておこう。 | |||||||||
|
- [条件の指定]画面では、接続ポリシー同様、このポリシーを適用するための条件を指定する。条件を選択するには、[追加]ボタンをクリックして[条件の選択]画面が表示させ、一覧から条件を選択すればよい(画面12)。今回はドメインのセキュリティ・グループから「情報システム部」を選択し、ターミナル・サービスへのアクセスを許可するものとする(画面13)。設定後は画面14のようになっているはずだ
 |
||||||
| 画面12 [条件の選択]画面 | ||||||
| [条件の指定]画面で[追加]ボタンをクリックすると、この画面が表示される。ポリシーに組み込むさまざまな条件を選択可能で、Windowsのバージョンなども指定できる。今回は「ユーザー グループ」を使用する。 | ||||||
|
 |
| 画面13 [ユーザー グループ]画面 |
| ポリシーの条件とするユーザー・グループを指定する。今回はCONTOSOドメインの情報システム部グループを選択した。 |
 |
| 画面14 ユーザー・グループのポリシー指定後の[条件の指定]画面 |
| 画面13で指定したユーザー・グループが設定されていることが分かる。条件の設定が完了したら[次へ]ボタンをクリックする。 |
- [アクセス許可の指定]画面では、前の画面で指定した条件に合致するユーザーに対するアクセスの可否を指定する。今回は、「情報システム部」グループのメンバーにアクセスを許可するので、[アクセスを許可する]を選択する(画面15)
 |
||||||
| 画面15 [アクセス許可の指定]画面 | ||||||
| 指定した条件に合致したユーザーに対してアクセスを許可するように設定する。 | ||||||
|
- [認証方式の構成]画面では認証プロトコルを選択できる。高度な認証方式としてEAP(Extensible Authentication Protocol)も使用可能だが、今回はパスワード方式を使用することにする。TSゲートウェイでパスワード方式の認証を選択した場合、使用するプロトコルは自動的にNTLMとなるため、ここで認証方式を選択する余地はない。ちなみに、Windows Vista以降のコンピュータではMS-CHAPは実装されていないことを覚えておこう。NTLMはMC-CHAPに対応したプロトコルであるため、ここで[認証方式をネゴシエートせずにクライアントに接続を許可する]以外の認証プロトコルを選択すると、使用可能なプロトコルが見つからずに接続ができなくなる。よって、ここでは[コンピュータの正常性チェックのみを実行する]のみを選択し、認証プロトコル関連項目の設定を変える必要はない(画面16)
 |
|||
| 画面16 [認証方式の構成]画面 | |||
| 今回はパスワード方式で認証されるように設定する。 | |||
|
- [制約の構成]画面では、アイドル状態が継続した場合の自動切断までの間隔、セッションの最大時間、使用可能な時間帯などを設定できる。今回は特に設定する必要はない(画面17)
 |
| 画面17 [制約の構成]画面 |
| 条件と認証方式に合致したユーザーには、ここで指定した項目が適用される。今回は特に設定する必要はない。 |
- [設定の構成]画面では、ここまで設定した条件をすべて満たした際にユーザーに与えられる設定値を指定する。画面18ではNAP(Network Access Policy)の強制を行うかどうかの設定を示している。今回はNAPの構成は行わないため、[完全なネットワーク アクセスを許可する]を選択する。これにより、「情報システム部」グループのメンバーシップを持つユーザーは、プライベート・ネットワークに対する完全なアクセス権を持つことになる。ただし、前編で構成したTS RAPによりアクセス可能なターミナル・サービスを制限することは可能だ
 |
||||||
| 画面18 [設定の構成]画面 | ||||||
| 設定した条件をすべて満たした場合に与えられる設定値を指定する。今回はNAPを使わないように設定する。 | ||||||
|
以上でネットワーク・ポリシーの設定は終了だ。ここまでの設定値を確認し(画面19)、問題がなければ[完了]ボタンをクリックしよう。
 |
| 画面19 [新しいネットワーク ポリシーの完了] |
| これまで設定してきた内容が一覧表示される。構成に間違いがなければ[完了]をクリックする。 |
ネットワーク・ポリシーにはデフォルトのポリシーが2つ定義されており、手動で作成したポリシーは適用順の最後尾に追加される。そこで、接続要求ポリシーと同様に、作業の締めくくりとして新しく作成したポリシーの順番を最上位に移動しておこう。それには次の手順を実行する。
- [サーバー マネージャー]−[役割]−[ネットワーク ポリシーとアクセス サービス]−[NPS (ローカル)]−[ポリシー]−[ネットワーク ポリシー]を選ぶ。
- 右ペインのポリシー一覧から、今回作成したポリシーを右クリックして「上へ移動」または「下に移動」を選択する。
次のページでは、ネットワーク・ポリシーが正しく適用されるように、接続要求ポリシーを修正する。
 |
 |
| INDEX | ||
| [運用] | ||
| Windows Server 2008ターミナル・サービス・ゲートウェイ実践構築入門(前編) | ||
| 1.ネットワークとサーバの構成パターン | ||
| 2.TSゲートウェイのインストール | ||
| 3.TSゲートウェイの環境設定(1) | ||
| 4.TSゲートウェイの環境設定(2) | ||
| 5.クライアントの設定とTSゲートウェイ経由の接続 | ||
| Windows Server 2008ターミナル・サービス・ゲートウェイ実践構築入門(後編) | ||
| 1.中央のNPSを加えたTSゲートウェイの構成 | ||
| 2.中央のNPSの環境設定 | ||
 |
3.ネットワーク・ポリシーの作成 | |
| 4.接続要求ポリシーの修正と接続確認 | ||
 |
||
 |
運用 |
Windows Server Insider フォーラム 新着記事
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
 |
|
|
|
|
注目のテーマ
Windows Server Insider 記事ランキング
本日
月間
転職/派遣情報を探す
Copyright © ITmedia, Inc. All Rights Reserved.