Windows Server 2008で運用管理はどう変わる?(11) Windows Server 2008 で位置付けが変化した機能

今回から3回に分けて、Windows Server 2003が備えていた機能のうち、Windows Server 2008になって位置付けや名称が変化した機能、あるいは消滅した機能について解説する。ソフトウェアのバージョンアップにはつきものの話だが、「あれ、あの機能はどこへ行ってしまったんだ !?」という戸惑いを解消する役に立てば幸いだ。

RRAS(Routing and Remote Access Service)

Windows 2000 ServerとWindows Server 2003では、RRASは当初から組み込んだ状態になっており、[ルーティングとリモートアクセス]管理ツールで有効化して、動作形態を選択するだけで利用できた。ところが、Windows Server 2008では「不要な機能は組み込まない」という考え方を徹底させたため、RRASも当初は組み込んだ状態になっていない。

ところが、Windows Server 2008では役割や機能の一覧にRRASが現れない。そのため、Windows Server 2008ではRRASを使えなくなってしまったのかと早とちりしそうだ。実は、Windows Server 2008の新機能・NAP(Network Access Protection, ネットワークアクセス保護)を構成する役割サービスのひとつとして、RRASを位置付けている。決してRRASが消滅したわけではない。

だから、RRASを利用するためには役割の追加でNAPの役割、つまり[ネットワークポリシーとアクセスサービス]を追加するように指示した上で、それに続く役割サービスの選択画面で[ルーティング]や[リモートアクセスサービス]のチェックをオンにすればよい。

その他の、NAPに関連する役割サービスを組み込まなければ、ルーティングやリモートアクセスの機能だけを組み込んだ状態になる。その後はWindows Server 2003までと同じ要領で、[ルーティングとリモートアクセス]管理ツールで用途を指定して有効化すればよい。

Windows Server 2008はRRASを標準で組み込んでいない。RRASを利用するには、まず役割「ネットワークポリシーとアクセスサービス」の追加を指示する

次の画面で、役割サービスとして存在する「ルーティングとリモートアクセスサービス」の追加を指示すればよい。リモートアクセスサービスとルーティングを個別に組み込むこともできるが、通常は両方とも必要だ。なお、最上段にある「ネットワークポリシーサーバー」が、RADIUSサーバの機能を提供する役割サービスになる

なお、Windows Server 2008ではRRASの位置付けや組み込みの有無だけでなく、RRASの仕様にも変更が加わっている。大きなものとしては以下の4点が挙げられる。

・IPv6ルータの機能が加わった
・パケットフィルタとベーシックファイアウォールがなくなった
・AppleTalk ルータの機能がなくなった
・OSPF(Open Shortest Path First)ルーティングプロトコルに対応しない

Windows Server 2008はWindows Vistaと同様、単にOSのプロトコルスタックにIPv6が加わったというだけでなく、TCP/IP関連のツール類やアプリケーションソフト、サーバ機能についても、全面的にIPv6に対応している。それに合わせて、RRASもIPv6ルータの機能を備えたというわけだ。

パケットフィルタ機能がなくなったのは、さらに強力なWindowsファイアウォールが存在することを考えれば、当然のことといえる。Windowsファイアウォールがない時代には、他のネットワークとの窓口になるRRASがパケットフィルタ機能を備えることに意味はあった。しかし、現在ではWindowsファイアウォールがあるので、さらに屋上屋を架すようにRRASが独自にパケットフィルタ機能を持つ意味はないといってよい。

AppleTalkルータの機能がなくなったのは、Windows Server 2008でSFM(Services for Macintosh)のサポートを打ち切ったこと関係がある。SFMを使用しなければAppleTalkネットワークを構築する必要はないので、AppleTalkルータの機能もなくなったというわけだ。

IAS (RADIUS サーバ)

NAPの導入に伴って名称や位置付けが変化した機能としては、RADIUSサーバ機能もある。NAPでは端末認証の手段としてIEEE802.1Xを利用できるが、それにはRADIUSサーバが必要になるため、Windows Server 2003が導入したIAS(Internet Authentication Service)がNPS(Network Policy Service)と名称を変更した上で、NAPを構成する役割サービスの一員となった。

RADIUSサーバの機能を利用するには、ドメインコントローラで役割の追加作業を行う。まず、サーバーマネージャで[ネットワークポリシーとアクセスサービス]を追加するように指示した上で、それに続く役割サービスの選択画面で[ネットワークポリシーサーバー]のチェックをオンにすればよい。これで、ドメインコントローラがRADIUSサーバの機能を兼ねるようになる。

もちろん、RADIUSサーバとしての機能はそのまま維持しているので、従来と同様にリモートアクセスの認証を行う場面などで、RADIUSサーバとして利用する等の使い方も可能だ。

リモートアクセスのユーザー認証手段としてActive Directoryのドメインアカウントを使用するのであれば、ドメインコントローラにNPSを導入してRADIUSサーバとして稼働させる一方、着信を受け付けるサーバでは、[ルーティング]と[リモートアクセスサービス]の役割サービスを追加しておき、さらにRADIUSクライアントとしての設定を行う。この辺の操作手順はWindows Server 2003のRRASと大差はない。

RADIUSサーバとRADIUSクライアントの双方で、共有シークレット(つまりパスワード)を指定しなければならない点も、従来と変わらない。RRASでリモートアクセスを可能にする際に、その場でRADIUSサーバを利用して認証するように設定することもできるし、後から設定を変更してRADIUSサーバを利用して認証するように設定することもできる。