Microsoft Word - NAP手順書_DHCP_RC1最終.doc

Similar documents
Windows Server 2008

Microsoft Word - NAP_StepByStep_TSGateway

Microsoft Word - L06_Networking_Lab.docx

Windows Server 2003 Active Directory環境で実現するNAP

改版履歴 Ver. 日付履歴初版 2014/7/10 - 目次 1. はじめに クラスター構築の流れ Windows Server Failover Cluster をインストールするための準備 OS のセットアップ時の注意... -

改版履歴 Ver. 日付履歴 1.0 版 2014/5/30 目次 0 はじめに 本文中の記号について Windows Server Failover Cluster をインストールするための準備 Windows Server Failover

複数サイトでのNAPの効率的な運用管理

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

本マニュアルに記載された内容は 将来予告なしに一部または全体を修正及び変更することがあります なお 本マニュアルにこのような不備がありましても 運用上の影響につきましては責任を負いかねますのでご了承ください 本マニュアルの一部 あるいは全部について 許諾を得ずに無断で転載することを禁じます ( 電子

インターネット接続に関する設定書 フレッツ接続ツールを使ったインターネット接続の初期設定 フレッツ接続ツールの設定変更 確認方法 フレッツ接続ツールの基本設定 P2-4 P5-7 P8-9 Windows XP の標準接続 (PPPoE) を使った接続の初期設定 P10-13 Windows XP

[給与]給与奉行LANPACK for WindowsNTのサーバーセットアップのエラー

認証連携設定例 連携機器 アイ オー データ機器 BSH-GM シリーズ /BSH-GP08 Case IEEE802.1X EAP-PEAP(MS-CHAP V2)/EAP-TLS Rev2.0 株式会社ソリトンシステムズ

Microsoft Word JA_revH.doc

Express5800/T110j-S(4C/E-2124-W2016-WSUS) 再セットアップガイド 発行日 :2019/6/21 版数 :1.0 NEC Corporation 2019

VG シリーズ用ローカルファームアップ / 自動ファームウェア更新設定手順書 VG400aⅡ ローカルファームアップ / 自動ファームウェア更新設定手順書

改版履歴 版数 日付 内容 担当 V /03/27 初版発行 STS V /01/27 動作条件のオペレーティングシステムに Windows 7 STS を追加 また 動作条件のブラウザに Internet Explorer 8 を追加 V /0

SCC(IPsec_win10)_リモート設定手順書.doc

KIBINet 設定マニュアル 1 インターネット接続設定 Windows 98 Me をお使いのかたは 1~4 ページの設定をして下さい Windows 2000 をお使いのかたは 5~8 ページの設定をして下さい Windows XP をお使いのかたは 9~13 ページの設定をして下さい Win

SAMBA Remote(Mac) 編 PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

SFTPサーバー作成ガイド

音声認識サーバのインストールと設定

Microsoft Word - CMSv3マニュアル-STB編(WindowsPC).docx

Active Directory フェデレーションサービスとの認証連携

Windows Server 2012 における ネットワークアクセス保護 杵島正和 Microsoft MVP Virtual Machine

貸出デバイス用設定手順書

リモートアクセス Smart Device VPN ユーザマニュアル [ マネージドイントラネット Smart Device VPN 利用者さま向け ] 2015 年 10 月 20 日 Version 1.6 bit- drive Version 1.6 リモートアクセス S

Master'sONEセキュアモバイル定額通信サービス(MF120)設定手順書(Ver1_2).doc

Master'sONEセキュアモバイル定額通信サービス(MF120)設定手順書(Ver1_2).doc

更新用証明書インポートツール 操作マニュアル 2011 年 10 月 31 日 セコムトラストシステムズ株式会社 Copyright 2011 SECOM Trust Systems CO.,LTD. All rights reserved. P-1


Master'sONEセキュアモバイル定額通信サービス(MF120)設定手順書(Ver1_2).doc

アクセス許可を設定する画面が開いたら グループ名またはユーザー名 欄から Everyone を選択し Everyone のアクセス許可 欄で フルコントロール の 許可 にチェックを付け このフォルダへのアクセスを許可します 設定後は OK を押して終了します 2. フォルダへのアクセス許可を設定す

はじめに はじめに 本書について本書はオールインワン認証アプライアンス NetAttest EPS と ELECOM 社製 L2 スイッチ EHB-SG2B シリーズおよび EHB-SG2B-PL シリーズの IEEE802.1X EAP-TLS/EAP-TLS+ ダイナミック VLAN 環境での接

MIND-Wireless-Win7_1x

PRIMEQUEST 1000シリーズ WS2008 NTP設定手順書

Muratec MFX-C3400 インストール windows

目次 目次 準備いただくもの 準備 SQLServer2008 R2 ExpressEdition のインストール インストールの前に インストール 設定一覧 機

Microsoft Word - 参考資料:SCC_IPsec_win7__リモート設定手順書_

FormPat 環境設定ガイド

改訂履歴 改訂日改定内容 第 1 版 2013 年 7 月 16 日新規作成 第 2 版 2013 年 9 月 4 日 STEP3-2 認証用バッチの実行 に Vista での操作を追記 第 3 版 2014 年 7 月 14 日 Windows XP に関する記述を削除 STEP2-1 新規インス

動作環境設定

SQL Server データベース接続設定 マニュアル

10 完了 をクリック 13 このサーバーは認証が必要 をチェックして 設定 をクリック Windows メール Windows Vista に標準のメールソフト Windows メール の設定方法を説明します 1 スタート から 電子メール Windows メール をクリック 11 続いて設定ファ

「Microsoft

TeamViewer 9マニュアル – Wake-on-LAN

RW-5100 導入説明書 Windows7 用 2017 年 7 月 シャープ株式会社

[給与]給与奉行LANPACK for WindowsNTのサーバーセットアップのエラー

証明書インポート用Webページ

[ 証明書の申請から取得まで ] で受領したサーバ証明書を server.cer という名前で任意の場所に保存してください ( 本マニュアルではローカルディスクの work ディレクトリ [C:\work] に保存しています ) 中間 CA 証明書を準備します 次の URL にアク

はじめに このマニュアルは BACREX-R を実際に使用する前に知っておいて頂きたい内容として 使用する前の設定や 動作に関する注意事項を記述したものです 最初に必ずお読み頂き 各設定を行ってください 実際に表示される画面と マニュアルの画面とが異なる場合があります BACREX-R は お客様の

5.2

Windows XPファイル送信方法 SMB編

WinVista設定マニュアル.xls

Microsoft Word - プリンター登録_Windows XP Professional.doc

NP-500 V-860/V-980用

親指シフトキーボード(FMV-KB611)、JISキーボード(FMV-KB621)、FMV-LIFEBOOK(親指シフトキーボードモデル)をお使いになる方へ

パソコンバンクWeb21 操作マニュアル[導入・事前設定編]

SAMBA Stunnel(Mac) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxxxx 部分は会社様によって異なります xxxxx 2 Mac OS 版ダウンロー

1. 本書の目的 この度は bit-drive インターネット接続回線サービスをご利用いただき 誠にありがとうございます 本書では NTT 西日本のフレッツ 光プレミアム回線をご契約のお客様で 通信が正常に行えなくなった場 合の障害切り分け方法についてご説明しております 通信障害の原因が不明な際に

親指シフトキーボード(FMV-KB611)、JISキーボード(FMV-KB621)、FMV-LIFEBOOK(親指シフトキーボードモデル)をお使いになる方へ

wdr7_dial_man01_jpn.indd

McAfee SaaS Protection 統合ガイド Microsoft Office 365 と Exchange Online の保護

TeamViewer マニュアル – Wake-on-LAN

home-unit2_quickguide_ras_v1.1

証明書インポート用Webページ

6 接続の使用準備ができました 画面が表示されます 閉じる をクリックします 認証に事前共有キーを使う の キー に リモートアクセス接続用シークレットキー を入力後 OK をクリックします 今すぐ接続します はクリックしません. アダプターの設定 (Window 7) コントロールパネル - ネッ

MIND-Wireless-Win8.1_eduroam

DJM-900nexus アップデート方法 for Microsoft Windows 7 A. 展開したファイルの内容を確認してください : 1. ダウンロードしたファイルを展開します ダウンロードしたファイルを右クリックし 表示されたメニューから すべて展開 を選びます 展開先を指定してファイル

注意事項 (1)Windows 10 を使用する場合 注意事項 1 注意事項 3 注意事項 4 についてご対応をお願いします (2)Windows 8.1 を使用する場合 注意事項 2 注意事項 3 注意事項 4 についてご対応をお願いします (3)Windows 7 上で Internet Exp

注意事項 (1)Windows 10 を使用する場合 注意事項 1 注意事項 3 注意事項 4 についてご対応をお願いします (2)Windows 8.1 を使用する場合 注意事項 2 注意事項 3 注意事項 4 についてご対応をお願いします (3)Windows 7 上で Internet Exp

1.InternetExplorer のバージョン確認手順 1 InternetExplorer を起動します 2 メニューバーより ヘルプ バージョン情報 を選択します メニューバーが表示されていない場合は F10 キーでメニューバーを表示してください 2

<4D F736F F D20938C8B9E967B8D5A96B390FC4C414E90DA91B18AC888D5837D836A B5F E646F632093E082CC20576F B68F91>

-. 無線 LAN の設定 ホットスポット 無線 LAN 設定 & 接続マニュアル 事前にご確認ください Windows をご利用の方 無線 LAN 内蔵 PC の場合 無線 LAN 機能は有効になっていますか 無線 LAN のスイッチの位置などの詳細は PC のマニュアルをご覧ください 無線 LA

セキュリティオンライン Powered by Symantec インストールマニュアル 第 9 版 2016 年 7 月 19 日 1

NortonAntiVirus for MicrosoftExchange

2 1 事前準備する バージョンアップ操作を行う前に 次の準備を行います (1-1) ひかり電話対応 VoIP アダプタ (AD-200NE) にログインするための パスワード を用意します ひかり電話対応 VoIP アダプタ (AD-200NE) に初めてログインする場合 パスワード設定を行う必要

ご注意 1) 本書の内容 およびプログラムの一部 または全部を当社に無断で転載 複製することは禁止されております 2) 本書 およびプログラムに関して将来予告なしに変更することがあります 3) プログラムの機能向上のため 本書の内容と実際の画面 操作が異なってしまう可能性があります この場合には 実

一般社団法人ビジネス機械・情報システム産業協会

改訂履歴 版番号改訂日改訂者改訂内容 年 2 月 12 日ネットワールド 新規 I

1 はじめに Windows PC での本サービス利用 端末制限について 端末設定方法 設定権限 イントラネット接続用 SSID 設定 SSID 追加設定 ID/Passwo

スライド 1

RW-4040 導入説明書 Windows 7 用 2017 年 7 月 シャープ株式会社

Windows 7ファイル送信方法 SMB編

Mobile Access簡易設定ガイド

IE用事前設定手順書

注意事項 (1)Windows 10 を使用する場合 注意事項 1 注意事項 3 注意事項 4 についてご対応をお願いします (2)Windows 8.1 を使用する場合 注意事項 2 注意事項 3 注意事項 4 についてご対応をお願いします (3)Windows 7 上で Internet Exp

クイックセットアップ for モバイル(Windows)

Oracle Business Intelligence Standard Edition One のインストール

1

Net'Attest EPS設定例

iStorage NSシリーズ管理者ガイド(詳細編)

事前準備マニュアル

GHS混合物分類判定システムインストールマニュアル

システム利用前の準備作業2.1 準備作業の流れ 準備作業の流れは 以下のとおりです 2必要なものを用意する 2.2 パソコンインターネット接続回線 E メールアドレス 2.2-(1) 2.2-(2) 2.2-(3) 当金庫からの送付物 2.2-(4) パソコンの設定をする 2.3 Cookie の設

PowerPoint プレゼンテーション

1. 概要 この章では HDE Controller X LG Edition をお使いの方に向けて LGWAN 接続に特化した設定の説明をします HDE Controller X LG Edition 以外の製品をご利用のお客様はこの章で解説する機能をお使いになれませんのでご注意ください 452

Windows Server 2003での使用方法

OS の bit 数の確認方法 - Windows0 及び Windows8. Windows のコントロールパネルを開きます Windows0 の場合 スタート から Windows システムツール の コントロールパネル をクリックします Windows8. の場合 スタート から PC 設定

Microsoft SQL Server 2016 インストール手順書 (Standard) この文書は SQL Server 2016 のインストール手順について簡潔にまとめたもので Microsoft SQL Server 2016 Books Online に記述されている一部を抜粋した内容で

Transcription:

Windows Server 2008 NAP 設定手順書 DHCP 編 ~ テスト環境での DHCP NAP の強制 ~

免責事項 本書は伊藤忠テクノソリューションズ株式会社が行った Microsoft Windows Server 2008 製品候補版 (RC0 及び RC1) に関する様々な検証をもとに記述したものです 製品化前の段階での検証であり 製品出荷時に仕様が変更になり 本書の内容と相違が発生する可能性があります 本書は検証における結果をもとに記述していますが その動作や手順は限られた検証環境での動作であり 他の検証環境や実環境における動作を明示的にも暗示的にも保証するものではありません また 本書の内容によりいかなる損害が発生した場合においても伊藤忠テクノソリューションズ株式会社はその責任を負いません 本書に記載された製品名 ロゴ等は各社の商標 登録商標 もしくはトレードマークです

目 次 はじめに... 1 Network Access Protection とは... 2 DHCP 構成... 2 テスト環境... 3 テスト環境論理図... 3 環境作成手順... 3 ドメインコントローラの作成... 4 NPS のインストールと構成... 5 概要... 5 Windows Server 2008 RC1 のインストール... 5 NPS と DHCP の役割のインストール... 6 役割の追加ウィザード... 6 DHCP サービスの構成...10 ネットワークポリシーサーバーの設定...11 AD への登録...11 クライアントの設定...14 動作確認...15 おわりに...17 付録 NPS と DHCP の分離構成...18 インストール手順...18 NAP 構成ウィザード...18 DHCP サーバーの設定...19 RADIUS Proxy の設定...19

はじめに 伊藤忠テクノソリューションズ株式会社は 2007 年から 2008 年にかけて Microsoft Windows Server 2008 に関する検証を製品候補版 (RC0 及び RC1) を利用して実施しました 製品候補版の段階から数々の検証を実施し 製品発売前に Windows Server 2008 という Microsoft の次期サーバー OS について理解を深め 製品の発売と同時に構築作業が実施できるようにすることを目的としています 本書は 様々な検証の中で実際に作業した結果をもとに Network Access Protection(NAP) を DHCP 構成で実装する場合の手順を示したものです Network Access Protection(NAP) には様々な構成パターンが存在しますが DHCP 以外の設定手順に関してはそれぞれの設定手順書を参照してください 本書の手順に従い作業を行うことで DHCP を利用した NAP を構成することができますが この手順書の通りに作業した場合 各種の設定項目はデフォルトのままであり 追加の設定が必要になる場合があります また 本書は Active Directory 環境や Windows Server 2008 に関して一通りの知識を持った人を対象に記述されています そのため 本書は DHCP を利用した NAP を構成する手順を示すことが目的であり その前提となる Windows Server 2008 のインストールや Active Directory の構築方法に関しては記載しません 必要に応じて別途技術資料を参照してください 本書の内容は Windows Server 2008 Enterprise Edition RC1 (x64) を利用して行った検証結果をもとに記載されています 本書内で特に記載がない限り Windows Server 2008 と記述されている場合は Windows Server 2008 Enterprise Edition RC1 (x64) を指します 1

Network Access Protection とは Network Access Protection(NAP) は Microsoft の次期 OS Windows Server 2008 に搭載されたネットワーク検疫機能です NAP を利用することでセキュリティレベルの低いクライアント PC を社内ネットワークから分離することができます NAP には実現方法が 5 つ用意されており それぞれに特徴があります DHCP IP Sec VPN 802.1X TS Gateway 本書では一番手軽に導入できるであろう DHCP を利用した NAP を実現するための手順を扱います DHCP 構成 DHCP を利用して NAP を構成する場合 DHCP サーバーがクライアントの状態に応じて IP アドレスとサブネットマスクの組み合わせ さらに静的ルーティングを利用して 修復サーバー以外には接続できないように制御します VLAN のようにサブネットを変更するわけではなく 静的ルーティングを利用して接続できるサーバーを制御します Windows Server 2008 だけあれば構成することができ 他のネットワーク機器等に依存しないため NAP の基本的な動作を確認する際に役に立ちます ネットワークポリシーサーバー (NPS) と DHCP サーバーは分離することも可能ですが 本書ではより構築が容易な同居構成の手順を示します ( 分離構成の手順は付録に記載 ) その他の方法に関してはそれぞれの設定手順書を参照してください NAP を設定するうえで必要となる各種の用語等に関しては本書では解説しません 必要に応じて各種の技術資料を参照してください 2

テスト環境 テスト環境論理図 本書は以下の環境を想定しています マシン名 :LH01 Windows Server 2008 役割 :DC ドメイン :win2008.local IP:192.168.28.1 マシン名 :LH02 Windows Server 2008 役割 :DHCP NPS IP:192.168.28.2 クライアント PC Windows Vista 本書の中では上記のマシン名やドメイン名を利用して手順を説明しています 実際に NAP 環境を構築する際にはご自身の環境に合わせて名前や IP アドレスを変更してください 本書では割愛していますが 必要に応じて WSUS や FCS といったセキュリティを保つためのサーバーを構成してください 環境作成手順 NAP のテスト環境を作成するためには 最低限 3つの役割のサーバーをセットアップする必要があります ドメインコントローラ (DC) Windows Server 2008 RC1 が動作している LH01 を使用します LH01 をドメインコントローラとして Active Directory ドメインサービスと DNS サービスを構成します 注 ) NAP 環境においては Active Directory ドメインサービスは必須ではありません しかしながら Active Directory ドメインサービスを用いることで コンピュータのグループによるアクセス管理やユーザーグループによるアクセス管理など よりセキュアに使用することができます なお使用する Active Directory ドメインサービスは Windows Server 2008 でなくてもかまいません Windows Server 2003 でも使用可能です 3

ネットワークポリシーサーバーサービス (NPS) Windows Server 2008 RC1 が動作している LH02 を使用します LH02 にネットワークポリシーサーバーサービスを構成します DHCP サービス NPS 用の LH02 に DHCP サービスを同居させます NAP 用の DHCP サービスは Windows Server 2008 で構築する必要があります また NAP を動作させるにはクライアント側の設定も必要です クライアントの設定 Windows Vista が動作しているクライアント上で DHCP クライアントと NAP クライアントを構成します これらのサーバー クライアントの設定を順次行うことで NAP が動作し 正常性が確認されたクライアントのみが社内ネットワークに接続できるようになります ドメインコントローラの作成 LH01 に Windows Server 2008 RC1 をインストールして次の役割を与えます Win2008.local という Active Directory のドメインコントローラ Win2008.local という DNS ドメインの DNS サーバー 手順の概略は次のとおりです Windows Server 2008 Enterprise Edition RC1 をインストールする TCP/IP の構成を行う Active Directory ドメインサービスをインストールする DCPROMO コマンドを実行して ドメインコントローラに昇格させる (DNS サービスは同時にインストールする ) 必要に応じて Active Directory でユーザー作成や GPO を構成する ドメインコントローラの作成に関する詳細手順は ここでは省略します 4

NPS のインストールと構成 概要 ネットワークポリシーサーバー (NPS) を動作させるには Windows Server 2008 RC1 が動作している必要があります 手順の概略は次の通りです Windows Server 2008 Enterprise Edition RC1 をインストールする TCP/IP の構成を行う win2008.local ドメインに参加するネットワークポリシーサーバーサービスをインストールする DHCP サービスをインストールする DHCP サービスを構成する NPS を構成する 以下 手順の詳細を記述します Windows Server 2008 RC1 のインストール コンピュータの電源を入れ Windows Server 2008 Enterprise Edition RC1 の DVD を入れます 画面の指示に従ってインストールを進めます インストールが完了したら Windows にログオンして ネットワーク接続の管理 から ローカルエリア接続 のプロパティを開きます Internet Protocol Version 6(TCP/IPv6) のチェックボックスを外します ( 本書の手順では IPv6 は使用しません ) Internet Protocol Version 4(TCP/IPv4) のプロパティを開いて IP アドレス サブネットマスク デフォルトゲートウェイ 優先 DNS を設定して OK をクリックして画面を閉じます ドメインコントローラに ping を実行してレスポンスが正常なことを確認します win2008.local ドメインに参加して 再起動します OS のインストール TCP/IP の設定 ドメインへの参加方法の詳細に関しては Microsoft その他から提供されている技術文書を参照してください 5

NPS と DHCP の役割のインストール NPS と DHCP の役割を LH02 にインストールします NPS と DHCP は別々にインストールすることも可能ですが 本書では同時にインストールする手順を示します 役割の追加ウィザード Start をクリックして 管理ツール - サーバーマネージャー を起動します 役割の概要 を展開して 役割の追加 をクリックします 次へ をクリックします 役割の追加ウィザード が起動するので 次へ をクリックします 6

サーバーの役割の選択 ページが開くので DHCP サーバー と ネットワークポリシーとアクセスサービス にチェックを入れて 次へ をクリックします ネットワークポリシーとアクセスサービス に関する説明が表示されます 次へ をクリックします 役割サービスの選択 ページで ネットワークポリシーサーバー にチェックを入れます 次へ をクリックします DHCP サーバー に関する説明が表示されます 次へ をクリックします ネットワーク接続バインディングの選択 ページで DHCP サービスのために使用するネットワーク接続が持つ IP アドレス を選択して 次へ をクリックします 7

IPv4 DNS サーバー設定の指定 ページで親ドメインボックスに win2008.local 優先 DNS サーバーボックスに IP アドレスを入力して 次へ をクリックします 入力が終わったら 検証 ボタンをクリックして 有効 と表示されたら 次へ をクリックします IPv4 WINS サーバー設定の指定 ページで このネットワーク上のアプリケーションに WINS は必要ない が選択されているのを確認して 次へ をクリックします DHCP スコープの追加または編集 ページが表示されるので 追加 をクリックします スコープの追加 ダイアログが表示されるので スコープ名 開始 IP アドレス 終了 IP アドレス サブネットマスクを入力して ( デフォルトゲートウェイはオプション ) サブネットの種類を確認したら OK をクリックします 入力したスコープが反映されていれば 次へ をクリックします 8

DHCPv6 ステートレスモードの構成 ページが表示されます このサーバーに対する DHCPv6 ステートレスモードを無効にする を選択して 次へ をクリックします DHCP サーバーの承認 ページで 現在の資格情報を使用する が選択されているのを確認して 次へ をクリックします インストールオプションの確認 ページで内容を確認して問題がなければ インストール をクリックします インストールの結果 画面でインストールが正常に完了したことを確認したら 閉じる をクリックして 役割の追加ウィザード を終了します 続いて サーバーマネージャー も閉じます 以上で NPS と DHCP がインストールされました 9

DHCP サービスの構成 NAP を使用するため必要な設定を DHCP サービスに対して行います スタートをクリックして 管理ツール - DHCP をクリックします DHCP コンソールが開いたら LH02.win2008.local を展開して次に IPv4 を展開します スコープを右クリックして プロパティ をクリックします スコープのプロパティ が表示されたら ネットワークアクセス保護 タブを開いて ネットワークアクセス保護設定 の項目から このスコープに対して有効にする を選択し 既定のネットワークアクセス保護プロファイル を選択して OK をクリックして画面を閉じます スコープオプションに 既定のネットワークアクセス保護クラス を追加します スコープオプション を右クリックして オプションの構成 をクリックします スコープオプション の画面が表示されたら 詳細設定 タブを開いて ユーザークラス で 既定のネットワークアクセス保護クラス を選択します 006 DNS サーバー にチェックを入れ データ入力の欄にドメインコントローラ (DNS) の IP アドレスを入力します 015 DNS ドメイン名 にチェックを入れて データ入力の欄に文字列として restricted.win2008.local を入力します 入力が完了したら OK をクリックして画面を閉じます これで DHCP サーバーの設定は完了です 10

ネットワークポリシーサーバーの設定 NAP を提供するためのポリシーサーバーを構成します まずはウィザードを利用して必要なポリシーを作成し その後 セキュリティ正常性検証ツールを設定します AD への登録スタートをクリックして 管理ツール - ネットワークポリシーサーバー をクリックします NPS( ローカル ) を右クリックし Active Directory にサーバーを登録 をクリックします NAP 構成ウィザードスタートをクリックして 管理ツール - ネットワークポリシーサーバー をクリックします ネットワークポリシーサーバー のコンソールが開いたら NAP( ローカル ) をクリックします 右ペインで ネットワークアクセス保護 (NAP) を選択し NAP を構成する をクリックしウィザードを起動します NAP で使用するネットワーク接続方法の選択 ページが開いたら ネットワーク接続の方法 でプルダウンから 動的ホスト構成プロトコル (DHCP) を選択します ポリシー名 には自動的に NAP DHCP が入ります 次へ をクリックします DHCP サーバーサービスを実行する NAP 強制サーバーの指定 ページでは特に何も設定せず 次へ をクリックします DHCP スコープの指定 ページでは 今回特に設定を行わないので 次へ をクリックします ユーザーグループとコンピュータグループの構成 ページでも 今回特に設定を行わないので 次へ をクリックします NAP 修復サーバーグループおよび URL の指定 ページでも今回特に設定を行わないので 次へ をクリックします 11

NAP 正常性ポリシーの定義 ページではデフォルト設定を確認します テストのために クライアントコンピュータの自動修復を有効にする のチェックをはずします NAP 強制ポリシーおよび RADIUS クライアント構成の完了 ページで 完了 をクリックして ウィザードを終了します ウィザードが完了し 6 つのポリシーが作成されました 正常性ポリシー NAP DHCP 準拠 NAP DHCP 非準拠接続要求ポリシー NAP DHCP ネットワークポリシー NAP DHCP 準拠 NAP DHCP 非準拠 NAP DHCP 未対応 セキュリティ正常性検証ツールの設定 12

ネットワークポリシーサーバー のコンソールで NAP( ローカル ) を展開し ネットワークアクセス保護 - システム正常性検証ツール クリックします 右ペインで Windows セキュリティ正常性検証ツール をダブルクリックしてプロパティを表示させます Windows セキュリティ正常性検証ツールのプロパティ ダイアログが表示されるので 構成 をクリックします Windows セキュリティ正常性検証ツール ダイアログが表示されるので Windows Vista タブで ファイアウォール と 自動更新 だけチェックを入れた状態にして OK をクリックしてダイアログを閉じます 再び Windows セキュリティ正常性検証ツールのプロパティ のダイアログに戻るので OK をクリックしてダイアログを閉じます ネットワークポリシーサーバー のコンソールを終了します これで ネットワークポリシーサーバーの設定は完了です 13

クライアントの設定最後にクライアントの設定を行います Windows Vista に管理権限のあるアカウントでログオンします スタート - すべてのプログラム - アクセサリ - ファイル名を指定して実行 をクリックします NAPCLCFG.MSC と入力して OK をクリックします NAPCLCFG NAPクライアントの構成 ( ローカルコンピュータ ) コンソールが開きます 実施クライアント をクリックし 右ペインに表示される項目のうち DHCP 検疫強制クライアント 選択して プロパティ を表示します DHCP 検疫強制クライアントプロパティ ダイアログが表示されたら この実施クライアントを有効にする にチェックを入れて OK をクリックしてダイアログを閉じます コンソールを終了します コンピュータの管理 - サービス から Network Access Protection Agent のプロパティを表示して 全般 タブで スタートアップの種類 を 自動 にし 開始 ボタンをクリックしてサービスを開始させます これで一通りの設定が完了しました 14

動作確認 本書の手順では 正常性検証ツールの設定として Windows ファイアウォールと自動更新を選択しています また 自動修復のオプションも有効になっています よって Windows ファイアウォールや自動更新が無効に設定されていると検疫ネットワークとして隔離され 自動修復された後に通常のネットワークに接続されます 正常な状態では ipconfig の結果は以下のとおりです Windows ファイアウォールを無効にした場合 ポリシーに合致しないと判断され 検疫ネットワークに隔離されます その状態で ipconfig を実行すると 以下のようになります サブネットマスクが 255.255.255.255 となっています これにより 自分以外のマシンとはそのままでは通信できない状態です この状態では修復サーバーへの静的ルートのみが設定されており 必要に応じてウィルスのパ 15

ターンファイルを更新したり Windows Update でパッチを最新にすることができます 自動修復が有効な状態では Windows ファイアウォールを無効にしただけでは 即時に有効に変更されます 16

おわりに ここまで見てきたように Network Access Protection(NAP) を利用すると セキュリティレベルの低いマシンを社内 LAN から分離し 全社的なレベルを維持することができます NAP には様々な構成方法がありますが 本書で取り上げた DHCP 構成が最も導入が容易で 入門編とも言える構成です ただ DHCP 構成には限界があるのも事実ですので 他の方式への移行も検討する必要があります NAP の場合は他の方式への移行もスムーズに行えるため とりあえずは DHCP で 順次 802.1X に という段階導入も可能です そのあたりも実環境への展開時には考慮 検討してください 平成 20 年 1 月作成平成 20 年 2 月改訂 伊藤忠テクノソリューションズ株式会社 IT エンジニアリング室プラットフォーム技術部 Windows 技術課 17

付録 NPS と DHCP の分離構成 ここでは NPS と DHCP を別筺体で運用するための手順を示します 分離構成と言っても完全には分離できません 認証を行う NPS と DHCP は分離できるのですが DHCP だけでは NPS に認証要求を渡せません そこで DHCP サーバーに NPS をインストールし RADIUS Proxy として NPS に要求を転送するように設定します インストール手順 LH02 が NPS LH03 が DHCP という環境の場合の手順は以下の通りです LH02 に NPS をインストール NAP 構成ウィザードでポリシーを作成 LH03 に NPS と DHCP をインストール DHCP を設定 LH03 の NPS で転送用の接続要求ポリシーを作成 インストールそのものは同居構成の時と同じです ただ LH02 では NPS のみを選択し LH03 で NPS と DHCP の 2 つを選択するという点だけ注意してください NAP 構成ウィザード ウィザードの中の DHCP サーバーサービスを実行する NAP 強制サーバーの指定 ページで RADIUS クライアントとして LH03 を定義します 18

DHCP サーバーの IP アドレスと共有シークレットを入力します 作成された RADIUS クライアントのプロパティを開き RADIUS クライアントが NAP に対応している をチェックします DHCP サーバーの設定 DHCP サーバーの設定は同居構成と全く同じです RADIUS Proxy の設定 LH03 の NPS の設定で LH02 へ要求を転送するための設定を行います リモート RADIUS サーバーグループ を新規に作成します 19

IP アドレスを適切に入力します 認証 / アカウンティング タブにて NAP 構成ウィザードを実行した際に入力したのと同じ共有シークレットを入力します 接続要求ポリシー を新規に作成します すべての要求を転送するだけなので ネットワークアクセスサーバーの種類は指定する必要がありません 20

条件としてすべての時間に接続を許可するように設定します 認証 の設定画面で 次のリモート RADIUS サーバーグループに要求を転送して認証する を選択し 先ほど作成したグループが自動的に選択されていることを確認します 必要に応じて アカウンティング要求に関しても転送するならば同様に設定します これで分離構成での設定は完了です 同居構成と同様の動作確認を行ってください 21

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック