Windows Server 2008 NAP 設 定 手 順 書 TS Gateway 編 ~テスト 環 境 での TS Gateway NAP の 強 制 ~
免 責 事 項 本 書 は 伊 藤 忠 テクノソリューションズ 株 式 会 社 が 行 った Microsoft Windows Server 2008 に 関 する 様 々な 検 証 をもとに 記 述 したものです 本 書 は 検 証 における 結 果 をもとに 記 述 していますが その 動 作 や 手 順 は 限 られた 検 証 環 境 での 動 作 であり 他 の 検 証 環 境 や 実 環 境 における 動 作 を 明 示 的 にも 暗 示 的 にも 保 証 するものではありません また 本 書 の 内 容 によりいかなる 損 害 が 発 生 した 場 合 においても 伊 藤 忠 テクノソリューシ ョンズ 株 式 会 社 はその 責 任 を 負 いません 本 書 に 記 載 された 製 品 名 ロゴ 等 は 各 社 の 商 標 登 録 商 標 もしくはトレードマークです
目 次 はじめに... 1 Network Access Protection とは... 2 TS Gateway 構 成... 2 テスト 環 境... 3 テスト 環 境 論 理 図... 3 環 境 作 成 手 順... 3 ドメインコントローラの 作 成... 4 ターミナルサーバーの 作 成... 5 TS Gateway のインストールと 構 成... 6 概 要... 6 Windows Server 2008 のインストール...6 TS Gateway と NPS の 役 割 のインストール... 8 役 割 の 追 加 ウィザード... 8 TS Gateway の 構 成...12 ネットワークポリシーサーバーの 設 定...13 AD への 登 録...13 クライアントの 設 定...17 動 作 確 認...21 おわりに...22 付 録 構 成 の 検 討...23
はじめに 伊 藤 忠 テクノソリューションズ 株 式 会 社 は 2007 年 から 2008 年 にかけて Microsoft Windows Server 2008 に 関 する 検 証 を 実 施 しました 製 品 候 補 版 の 段 階 から 数 々の 検 証 を 実 施 し 製 品 発 売 前 に Windows Server 2008 という Microsoft の 次 期 サーバーOS について 理 解 を 深 め 製 品 の 発 売 と 同 時 に 構 築 作 業 が 実 施 でき るようにすることを 目 的 としています 最 終 的 には RTM 版 で 動 作 を 確 認 しています 本 書 は 様 々な 検 証 の 中 で 実 際 に 作 業 した 結 果 をもとに TS Gateway 経 由 で 接 続 する 際 に Network Access Protection(NAP)を 実 装 する 場 合 の 手 順 を 示 したものです Network Access Protection(NAP)には 様 々な 構 成 パターンが 存 在 しますが TS Gateway 以 外 の 設 定 手 順 に 関 してはそれぞれの 設 定 手 順 書 を 参 照 してください 本 書 の 手 順 に 従 い 作 業 を 行 うことで TS Gateway を 利 用 した NAP を 構 成 することができますが この 手 順 書 の 通 りに 作 業 した 場 合 各 種 の 設 定 項 目 はデフォルトのままであり 追 加 の 設 定 が 必 要 になる 場 合 があります また 本 書 は Active Directory 環 境 や Windows Server 2008 に 関 して 一 通 りの 知 識 を 持 った 人 を 対 象 に 記 述 されています そのため 本 書 は TS Gateway を 利 用 した NAP を 構 成 する 手 順 を 示 すことが 目 的 であり その 前 提 となる Windows Server 2008 のインストールや Active Directory の 構 築 方 法 に 関 しては 記 載 しません 必 要 に 応 じて 別 途 技 術 資 料 を 参 照 してください 本 書 の 内 容 は Windows Server 2008 Enterprise Edition (x64) を 利 用 して 行 った 検 証 結 果 をも とに 記 載 されています 本 書 内 で 特 に 記 載 がない 限 り Windows Server 2008 と 記 述 されている 場 合 は Windows Server 2008 Enterprise Edition (x64)を 指 します 1
Network Access Protection とは Network Access Protection(NAP)は Microsoft の 最 新 サーバーOS Windows Server 2008 に 搭 載 されたネットワーク 検 疫 機 能 です NAP を 利 用 することでセキュリティレベルの 低 いクライアント PC を 社 内 ネットワークから 分 離 す ることができます NAP には 実 現 方 法 が 5 つ 用 意 されており それぞれに 特 徴 があります DHCP IP Sec VPN 802.1X TS Gateway 本 書 ではリモートアクセスの 際 にセキュリティレベルを 保 つための TS Gateway を 利 用 した NAP を 実 現 するための 手 順 を 扱 います TS Gateway 構 成 TS Gateway は Windows Server 2008 の 新 機 能 で 安 全 にリモートアクセスを 実 現 するための 機 能 です リモートデスクトップ 接 続 を SSL でカプセリングすることでファイアウォールの 外 からの アクセスを 可 能 にしています この TS Gateway での 接 続 時 に NAP を 利 用 することで セキュリティレベルの 低 い PC からの 接 続 を 排 除 することができます この 機 能 により 自 宅 から 安 全 に 社 内 にリモートデスクトップ 接 続 でき 社 内 リソースへアクセス できます 機 器 構 成 には 様 々なパターンが 想 定 されますが 本 書 では 基 本 となる TS Gateway とネットワ ークポリシーサーバー(NPS)を 同 居 させる 構 成 での 手 順 を 示 します また TS Gateway は SSL 通 信 を 行 うため 証 明 書 が 必 要 です 本 書 では 自 己 発 行 の 証 明 書 を 使 う 方 法 を 示 します その 他 の 方 法 に 関 してはそれぞれの 設 定 手 順 書 を 参 照 してください NAP を 設 定 するうえで 必 要 となる 各 種 の 用 語 等 に 関 しては 本 書 では 解 説 しません 必 要 に 応 じ て 各 種 の 技 術 資 料 を 参 照 してください 2
テスト 環 境 テスト 環 境 論 理 図 本 書 は 以 下 の 環 境 を 想 定 しています マシン 名 :TSG Windows Server 2008 役 割 :TS Gateway NPS IP:192.168.28.4 192.168.1.4 マシン 名 :DC Windows Server 2008 役 割 :DC ドメイン:domain28.local IP:192.168.28.1 マシン 名 :TS Windows Server 2008 役 割 :TS IP:192.168.28.2 クライアント PC Windows Vista 本 書 の 中 では 上 記 のマシン 名 やドメイン 名 を 利 用 して 手 順 を 説 明 しています 実 際 に NAP 環 境 を 構 築 する 際 にはご 自 身 の 環 境 に 合 わせて 名 前 や IP アドレスを 変 更 してくだ さい 本 書 では 割 愛 していますが 必 要 に 応 じてウィルス 対 策 や 自 動 更 新 といったセキュリティを 保 つ ための 機 能 を 構 成 してください 環 境 作 成 手 順 NAP のテスト 環 境 を 作 成 するためには 最 低 限 4つの 役 割 のサーバーをセットアップする 必 要 があります ドメインコントローラ(DC) Windows Server 2008 が 動 作 している DC を 使 用 します DC をドメインコントローラとして Active Directory ドメインサービスと DNS サービスを 構 成 します 注 ) NAP 単 体 で 考 えた 場 合 Active Directory ドメインサービスは 必 須 ではありません し かしながら Active Directory ドメインサービスを 用 いることで コンピュータのグループ によるアクセス 管 理 やユーザーグループによるアクセス 管 理 など よりセキュアに 使 用 することができます なお 使 用 する Active Directory ドメインサービスは Windows Server 2008 でなくてもかまいません Windows Server 2003 でも 使 用 可 能 です 3
TS Gateway サービス Windows Server 2008 が 動 作 している TSG を 使 用 します TS Gateway は Windows Server 2008 で 構 築 する 必 要 があります ネットワークポリシーサーバーサービス(NPS) TS Gateway が 稼 働 している TSG にネットワークポリシーサーバーサービスを 構 成 します ターミナルサービス Windows Server 2008 が 動 作 している TS を 使 用 します クライアントが 実 際 に 接 続 するサーバ ーです また NAP を 動 作 させるにはクライアント 側 の 設 定 も 必 要 です クライアントの 設 定 Windows Vista が 動 作 しているクライアント 上 で NAP クライアントを 構 成 します リモートデスク トップ 接 続 の 際 に TS Gateway を 指 定 します これらのサーバー クライアントの 設 定 を 順 次 行 うことで NAP を 利 用 した TS Gateway 経 由 の 接 続 が 行 え 正 常 性 が 確 認 されたクライアントのみが 社 内 ネットワークに 接 続 できるようになりま す ドメインコントローラの 作 成 DC に Windows Server 2008 をインストールして 次 の 役 割 を 与 えます domain28.local という Active Directory のドメインコントローラ domain28.local という DNS ドメインの DNS サーバー 手 順 の 概 略 は 次 のとおりです Windows Server 2008 Enterprise Edition をインストールする TCP/IP の 構 成 を 行 う Active Directory ドメインサービスをインストールする DCPROMO コマンドを 実 行 して ドメインコントローラに 昇 格 させる (DNS サービスは 同 時 にインストールする) 必 要 に 応 じて Active Directory でユーザー 作 成 や GPO を 構 成 する 4
OS のインストール 方 法 ドメインコントローラの 作 成 に 関 する 詳 細 手 順 は ここでは 省 略 しま す ターミナルサーバーの 作 成 TS に Windows Server 2008 をインストールしてドメインに 参 加 させます TS にターミナルサービスの 役 割 を 与 えます アクセス 権 を 適 切 に 設 定 します OS のインストール 方 法 ターミナルサーバーの 作 成 に 関 する 詳 細 手 順 は ここでは 省 略 しま す 必 ずしもターミナルサーバーが Windows Server 2008 である 必 要 はありません Windows Server 2003 のターミナルサービスにも 接 続 できます その 場 合 にはクライアント 側 のリモートデスクトップ 接 続 のネットワーク 認 証 に 関 す る 設 定 を 適 切 に 行 う 必 要 があります 5
TS Gateway のインストールと 構 成 概 要 TS Gateway を 動 作 させるには Windows Server 2008 が 動 作 している 必 要 があります 手 順 の 概 略 は 次 の 通 りです Windows Server 2008 Enterprise Edition をインストールする TCP/IP の 構 成 を 行 う domain28.local ドメインに 参 加 する TS Gateway をインストールする ネットワークポリシーサービスをインストールする TS Gateway を 構 成 する ネットワークポリシーサービスを 構 成 する 以 下 手 順 の 詳 細 を 記 述 します Windows Server 2008 のインストール コンピュータの 電 源 を 入 れ Windows Server 2008 Enterprise Edition の DVD を 入 れます 画 面 の 指 示 に 従 ってインストールを 進 めます インストールが 完 了 したら Windows にログオンして ネットワーク 接 続 の 管 理 から ローカルエ リア 接 続 のプロパティを 開 きます Internet Protocol Version 6(TCP/IPv6)のチェックボックスを 外 します ( 本 書 の 手 順 では IPv6 は 使 用 しません) Internet Protocol Version 4(TCP/IPv4)のプロパティを 開 いて IP アドレス サブネットマスク デフォルトゲートウェイ 優 先 DNS を 設 定 して OK をクリックして 画 面 を 閉 じます ドメインコントローラに ping を 実 行 してレスポンスが 正 常 なことを 確 認 します さらにネットワークカードを 増 設 し 外 部 接 続 用 の IP アドレスを 構 成 します 本 書 の 環 境 では 以 下 のようなネットワーク 構 成 になります 社 内 用 ネットワーク IP アドレス:192.168.28.4 サブネットマスク:255.255.255.0 6
デフォルトゲートウェイ:192.168.28.254 DNS:192.168.28.1 外 部 アクセス 用 ネットワーク IP アドレス:192.168.1.4 サブネットマスク:255.255.255.0 デフォルトゲートウェイ:なし DNS:なし なお ルーティングは 不 要 です domain28.local ドメインに 参 加 して 再 起 動 します OS のインストール TCP/IP の 設 定 ドメインへの 参 加 方 法 の 詳 細 に 関 しては Microsoft その 他 から 提 供 されている 技 術 文 書 を 参 照 してください 7
TS Gateway と NPS の 役 割 のインストール TS Gateway と NPS の 役 割 を TSG にインストールします TS Gateway をインストールすると 自 動 的 に NPS も 選 択 されます 手 順 は 以 下 の 通 りです 役 割 の 追 加 ウィザード Start をクリックして 管 理 ツー ル - サーバーマネージャー を 起 動 します 役 割 の 概 要 を 展 開 して 役 割 の 追 加 をクリックします 次 へ をクリックします 役 割 の 追 加 ウィザード が 起 動 するので 次 へ をクリックし ます 8
サーバーの 役 割 の 選 択 ペー ジが 開 くので ターミナルサービ ス にチェックを 入 れて 次 へ をクリックします ターミナルサービス に 関 する 説 明 が 表 示 されます 次 へ をクリックします TS ゲートウェイ を 選 択 しま す TS ゲートウェイに 必 要 なサービ スを 同 時 にインストールするか 尋 ねてきますので そのまま 必 要 な 役 割 サービスを 追 加 をクリックします SSL 暗 号 化 用 の 自 己 署 名 証 明 書 を 作 成 する を 選 択 し 次 へ をクリックします 9
TS ゲートウェイの 承 認 ポリシ ーの 作 成 ページにて 今 すぐ 作 成 する を 選 択 し 次 へ を クリックします TS ゲートウェイ 経 由 での 接 続 を 許 可 するユーザーグループ の 選 択 ページで 適 切 なグルー プを 追 加 します TS ゲートウェイの TS CAP を 作 成 ページで パスワード の みが 選 択 されていることを 確 認 し 次 へ をクリックします 10
TS ゲートウェイの TS RAP を 作 成 ページで ユーザーがネ ットワーク 上 の 任 意 のコンピュ ータに 接 続 できるようにする を 選 択 し 次 へ をクリックしま す 接 続 できるターミナルサーバ ーを 限 定 することも 可 能 で す ネットワークポリシーとアクセスサービス に 関 する 説 明 が 表 示 されます 次 へ をクリック します 役 割 サービスの 選 択 ページ で ネットワークポリシーサーバ ー のみにチェックが 入 っている ことを 確 認 し 次 へ をクリック します Web サーバー に 関 する 説 明 が 表 示 されます 次 へ をクリックします インストールする 役 割 の 詳 細 が 表 示 されますが 何 も 変 更 せず 次 へ をクリックします インストールオプションの 確 認 ページで 内 容 を 確 認 して 問 題 がなければ インストール をクリックします インストールの 結 果 画 面 でインストールが 正 常 に 完 了 したことを 確 認 したら 閉 じる をク リックして 役 割 の 追 加 ウィザード を 終 了 します 続 いて サーバーマネージャー も 閉 じま す 以 上 で TS Gateway と NPS がインストールされました 11
TS Gateway の 構 成 TS Gateway の 初 期 設 定 を 行 います スタートをクリックして 管 理 ツール - ターミナルサービス - TS ゲートウェイマネージャ を クリックします サーバー 名 を 右 クリックし プロパティを 表 示 します SSL 証 明 書 タブで SSL 暗 号 化 用 の 自 己 署 名 証 明 書 を 作 成 する を 選 択 し 証 明 書 の 作 成 ボタンをクリックします 自 己 署 名 証 明 書 の 作 成 画 面 でクライアントからアクセスされ るときに 使 用 する 適 切 な 名 前 (FQDN)を 入 力 します ファイルの 保 存 先 を 確 認 し ル ート 証 明 書 を 格 納 する のチェッ クが 入 っていることを 確 認 して OK ボタンをクリックします 証 明 書 が 作 成 された 旨 のメッセ ージが 表 示 されるので OK をク リックします OK をクリックしてプロパティを 閉 じます これで TS Gateway の 設 定 は 完 了 です 12
ネットワークポリシーサーバーの 設 定 NAP を 提 供 するためのポリシーサーバーを 構 成 します まずはウィザードを 利 用 して 必 要 なポリシーを 作 成 し その 後 セキュリティ 正 常 性 検 証 ツール を 設 定 します AD への 登 録 スタートをクリックして 管 理 ツール - ネットワークポリシーサーバー をクリックします NPS(ローカル) を 右 クリックし Active Directory にサーバーを 登 録 をクリックします NAP 構 成 ウィザード スタートをクリックして 管 理 ツール - ネットワークポリシーサーバー をクリックします ネットワークポリシーサーバー のコンソールが 開 いたら NAP(ローカル) をクリックしま す 右 ペインで ネットワークアクセス 保 護 (NAP)を 選 択 し NAP を 構 成 する をクリックしウィザ ードを 起 動 します NAP で 使 用 するネットワーク 接 続 方 法 の 選 択 ページが 開 いた ら ネットワーク 接 続 の 方 法 で プルダウンから ターミナルサー ビスゲートウェイ(TS ゲートウェ イ) を 選 択 します ポリシー 名 には 自 動 的 に NAP TS ゲートウ ェイ が 入 ります 次 へ をクリ ックします TS ゲートウェイを 実 行 する NAP 強 制 サーバーの 指 定 ペー ジでは 特 に 何 も 設 定 せず 次 へ をクリックします 13
クライアントデバイスのリダイレ クトと 認 証 方 法 の 構 成 ページ で 適 切 なリダイレクト 設 定 を 行 い ます 認 証 方 法 は パスワードを 許 可 のみがチェックされている 状 態 を 確 認 し 次 へ をクリックしま す ユーザーグループとコンピュー タグループの 構 成 ページでは TS Gateway 経 由 でアクセスを 許 可 するユーザーグループを 指 定 し 次 へ をクリックします NAP 正 常 性 ポリシーの 定 義 ページではデフォルト 設 定 のま ま 次 へ をクリックします 14
NAP 強 制 ポリシーおよび RADIUS クライアント 構 成 の 完 了 ページで 完 了 をクリックし て ウィザードを 終 了 します ウィザードが 完 了 し 6 つのポリシーが 作 成 されました 正 常 性 ポリシー NAP TS ゲートウェイ 準 拠 NAP TS ゲートウェイ 非 準 拠 接 続 要 求 ポリシー NAP TS ゲートウェイ ネットワークポリシー NAP TS ゲートウェイ 準 拠 NAP TS ゲートウェイ 非 準 拠 NAP TS ゲートウェイ 未 対 応 セキュリティ 正 常 性 検 証 ツールの 設 定 ネットワークポリシーサーバ ー のコンソールで NAP(ローカ ル) を 展 開 し ネットワークア クセス 保 護 - システム 正 常 性 検 証 ツール クリックします 右 ペインで Windows セキュリティ 正 常 性 検 証 ツール をダブルク リックしてプロパティを 表 示 させ ます Windows セキュリティ 正 常 性 検 証 ツールのプロパティ ダイアログが 表 示 されるので 構 成 をクリックします 15
Windows セキュリティ 正 常 性 検 証 ツール ダイアログが 表 示 さ れるので Windows Vista タブで ファイアウォール と 自 動 更 新 だけチェックを 入 れた 状 態 に して OK をクリックしてダイアロ グを 閉 じます 再 び Windows セキュリティ 正 常 性 検 証 ツールのプロパティ のダイアログに 戻 るので OK をクリックしてダイアログを 閉 じます ネットワークポリシーサーバー のコンソールを 終 了 します これで ネットワークポリシーサー バーの 設 定 は 完 了 です 16
クライアントの 設 定 最 後 にクライアントの 設 定 を 行 います Windows Vista に 管 理 権 限 のあるアカウントでログオンします スタート - すべてのプログラム - アクセサリ - ファイル 名 を 指 定 して 実 行 をクリックしま す NAPCLCFG.MSC と 入 力 して OK をクリックします NAPCLCFG NAPクライアン トの 構 成 (ローカルコンピュー タ) コンソールが 開 きます 実 施 クライアント をクリックし 右 ペインに 表 示 される 項 目 のうち TS ゲートウェイ 検 疫 強 制 クライ アント 選 択 して プロパティ を 表 示 します TS ゲートウェイ 検 疫 強 制 クライ アントプロパティ ダイアログが 表 示 されたら この 実 施 クライア ントを 有 効 にする にチェックを 入 れて OK をクリックしてダイ アログを 閉 じます コンソールを 終 了 します コンピュータの 管 理 - サービス から Network Access Protection Agent のプロパティを 表 示 して 全 般 タブで スタートアップの 種 類 を 自 動 にし 開 始 ボタンをクリックしてサービスを 開 始 させます ファイル 名 を 指 定 して 実 行 に regedit と 入 力 し レジストリエディタを 起 動 します 以 下 のキーを 変 更 します HKEY_LOCAL_MACHINE \SOFTOWARE \Microsoft \Terminal Server Client \TrustedGateways 名 前 :GatewayFQDN 種 類 :REG_MULTI_SZ データ:<TS Gateway の FQDN> レジストリに TS Gateway の FQDN が 記 載 されていないと 接 続 できません 17
TS Gateway の 設 定 中 に 作 成 した 自 己 署 名 証 明 書 を 何 らかの 方 法 でクライアント PC にコピー します 証 明 書 をダブルクリックして 開 きます 証 明 書 のインストール をクリッ クします 証 明 書 のインポートウィザードが 開 始 されますので 次 へ をクリックします 証 明 書 ストア の 選 択 画 面 で 証 明 書 をすべて 次 のストアに 配 置 する を 選 択 し 参 照 ボタン をクリックします 信 頼 されたルート 証 明 機 関 を 選 択 し OK をクリックします ウィザードを 続 けると 信 頼 されたルートとしてインストールしていいか 確 認 されますので OK をクリックします さらに 続 けると 正 しくインストールされた 旨 が 表 示 されます ファイル 名 を 指 定 して 実 行 から mmc を 起 動 します 18
ファイル - スナップインの 追 加 と 削 除 を 選 び 証 明 書 - ユ ーザー と 証 明 書 - コンピュー タ(ローカル) を 追 加 します 証 明 書 - 現 在 のユーザー の 信 頼 されたルート 証 明 機 関 内 に 格 納 された TS Gateway の 証 明 書 をコピーし 証 明 書 (ローカルコンピュータ)の 信 頼 されたルート 証 明 機 関 内 に 貼 り 付 け ます 必 要 に 応 じてクライアントの hosts ファイルを 編 集 し TS Gateway の FQDN に 対 して 名 前 解 決 が 行 えるように 設 定 します これで 一 通 りの 設 定 が 完 了 しました クライアントが TS Gateway を 経 由 してターミナルサーバーに 接 続 するには 以 下 の 手 順 を 実 行 し ます スタート メニューから リモートデスクトップ 接 続 を 起 動 します オプション ボタンをクリックし 詳 細 設 定 タブを 選 択 します 任 意 の 場 所 から 接 続 する 欄 にある 設 定 ボタンをクリックします TS ゲートウェイ 設 定 画 面 が 表 示 されます これらの TS ゲートウェイサー バー 設 定 を 使 用 する を 選 択 し サーバー 名 に TS Gateway のFQDNを 入 力 します OK ボタンをクリックします 証 明 書 と 同 じ 名 前 を 指 定 しな いと 接 続 できません レジストリに 記 載 した 名 前 と 同 じでないと 接 続 できませ ん 19
リモートデスクトップ 接 続 画 面 に 戻 りますので 接 続 するターミ ナルサーバーのコンピュータ 名 を 入 力 し 接 続 ボタンをクリッ クします 適 切 なユーザー 名 とパスワード を 入 力 します ターミナルサーバーに 接 続 されます 20
動 作 確 認 本 書 の 手 順 では 正 常 性 検 証 ツールの 設 定 として Windows ファイアウォールと 自 動 更 新 を 選 択 しています よって Windows ファイアウォールや 自 動 更 新 が 無 効 に 設 定 されているとターミナルサーバーに 接 続 できません すべての 条 件 をクリアしていれば 正 しくターミナルサーバーに 接 続 できます NAP を 利 用 した TS Gateway 接 続 の 場 合 接 続 時 に 正 常 性 のチェックを 行 っています 接 続 中 にファイアウォールを 無 効 に 変 更 しても 接 続 が 切 断 されるわけではありません 21
おわりに ここまで 見 てきたように TS Gateway と Network Access Protection(NAP)を 利 用 すると セキュ リティレベルの 低 いマシンが 社 内 LAN に 接 続 することを 防 ぐことができます NAP には 様 々な 構 成 方 法 がありますが 本 書 で 取 り 上 げた TS Gateway 構 成 は NAP の 構 成 方 法 の 一 つというよりは TS Gateway の 拡 張 といえる 方 法 です よって その 他 の NAP とは 考 え 方 も 異 なり 修 復 する という 考 え 方 はありません あくまでも TS Gateway を 利 用 して 社 内 にアクセスする 際 に 最 低 限 のセキュリティレベルをクリアしたクライ アントだけにアクセスを 制 限 するための 機 能 です TS Gateway と NAP を 連 携 させるにはクライアント 側 で 行 う 作 業 が 非 常 に 多 く 手 軽 に 接 続 で きるものではありません よってリモートアクセスが 必 要 で 且 つこれだけの 設 定 が 行 えるユーザ ーのみに 接 続 を 許 可 することになります 社 内 ネットワークを 守 るための NAP として 全 社 的 に 802.1X 構 成 や IP Sec 構 成 の NAP を 導 入 しつつ さらに 社 外 からのアクセスの 際 にも TS Gateway と NAP を 組 み 合 わせて 穴 を 作 らないと いう 考 え 方 で 全 体 を 検 討 してください 平 成 20 年 3 月 作 成 伊 藤 忠 テクノソリューションズ 株 式 会 社 IT エンジニアリング 室 プラットフォーム 技 術 部 Windows 技 術 課 22
付 録 構 成 の 検 討 本 書 では 検 証 環 境 で TS Gateway の 動 作 を 確 認 することを 目 的 に シンプルな 構 成 での 設 定 手 順 を 示 しています しかしながら 実 環 境 ではこのようなシンプルな 構 成 は 考 えにくいと 思 われます 例 えば 下 記 のような 構 成 ならば 現 実 的 な 構 成 に 近 いと 思 われます クライアント PC TS Gateway (ワークグループ) ドメインコントローラー ターミナルサーバー 社 内 サーバー しかしながらこの 構 成 の 場 合 は 様 々な 注 意 点 が 存 在 します ドメインへの 参 加 TS Gateway で NAP を 利 用 する 場 合 ユーザーグループでの 制 御 が 必 須 になります TS Gateway が DMZ に 配 置 された 場 合 ワークグループ 環 境 での 運 用 がほとんどと 思 われま すが この 場 合 にはドメインのユーザー グループでアクセスを 制 御 できません 逆 にドメインに 参 加 させた 場 合 には 攻 撃 を 受 けた 場 合 のリスクが 高 くなります RADIUS プロキシ 23
NPS には RADIUS プロキシの 機 能 があり 社 内 のドメインに 参 加 している NPS に RADIUS 要 求 を 転 送 し 認 証 させる 方 法 も 検 討 する 必 要 があります しかしながら この 構 成 での 設 定 は 非 常 に 複 雑 であり 実 現 は 困 難 です アカウントの 二 重 管 理 結 果 的 に 上 記 の 例 では TS Gateway のマシン 上 で NPS も 動 作 させ NAP 構 成 ウィザードを 利 用 して TS Gateway と NAP を 連 携 させることになります この 場 合 TS Gateway に 対 するアクセス 許 可 を TS Gateway のローカルユーザー/グループ で 制 御 し 最 終 的 に 接 続 するターミナルサーバーに 対 するアクセス 許 可 はドメインのユーザ ー/グループで 行 うことになります つまり アカウントを 二 重 に 管 理 する 必 要 があります 証 明 書 クライアント 側 に 信 頼 されたルート 証 明 書 が 存 在 しないと SSL 通 信 が 行 えません 公 的 な 証 明 機 関 からの 証 明 書 の 取 得 を 検 討 してください 名 前 解 決 インターネット 経 由 で 接 続 するためには 公 開 された DNS 上 にホスト 名 が 登 録 されている 必 要 があります ここで 取 り 上 げた 例 の 他 にも 様 々な 構 成 パターンが 存 在 します それぞれに 長 所 と 短 所 さら に 葉 注 意 点 が 存 在 しますので 実 際 の 環 境 を 考 慮 し 最 適 な 構 成 を 選 択 してください 24