前回は、Windows Server 2008で検疫ネットワークの機能を実現するために使用するNPS(Network Policy Server)の設定のうち、ドメインコントローラ、DNS(Domain Name System)サーバ、NPSサーバの立ち上げについて解説した。今回はその続きで、NPSサーバに対して実施する必要がある設定変更について紹介する。前回と同様に、ここではDHCPサーバを利用する、最も簡便な方法を利用する。
NPSサーバの設定変更
まず、NPSサーバの設定変更について解説する。この作業はいうまでもなく、NPSサーバとして使用するコンピュータに管理者権限を持つユーザーアカウントでログオンして実施する。
(1)[ネットワークポリシーとアクセスサービス]管理ツールを起動する。
(2)左側のツリー画面で[役割]-[ネットワークポリシーとアクセスサービス]-[NPS(ローカル)]を選択する。
(3)右クリックメニューで[Active Directoryにサーバーを登録]を選択する。この操作により、Active Directoryへの登録が行われる。
(4)左側のツリー画面で[NPS(ローカル)]を選択した状態では、画面中央にNPSの概要と[標準構成]を表示する画面が現れる。その画面で、[標準構成]以下にあるリストボックスで[ネットワークアクセス保護(NAP)]を選択する。
(5)その下にある[NAPを構成する]をクリックする。
 |
画面中央の[標準構成]以下にあるリストボックスを[ネットワークアクセス保護(NAP)]に変更してから、[NAPを構成する]をクリックする |
(6)ここから先は、ウィザード形式で設定を行う。まず、[NAPで使用するネットワーク接続方法の選択]では、[ネットワーク接続の方法]を[動的ホスト構成プロトコル(DHCP)]とする。このとき、[ポリシー名]は自動的に「NAP DHCP」となるが、好みに応じて別のポリシー名に変更することもできる。
検疫ネットワークを実現する手段にはいろいろあるが、DHCPを使用する方法がもっとも簡便。この場合、[ネットワーク接続の方法]を[動的ホスト構成プロトコル(DHCP)]とする
 |
ポリシー名は選択内容に応じて自動的に決定するが、好みの内容に変更することもできる |
(7)次の画面は[DHCPサーバーサービスを実行するNAP強制サーバーの指定]だが、NPSサーバとDHCPサーバを兼用する場合には、何も設定しなくてよい。ここで設定が必要になるのは、NPSサーバとDHCPサーバが別のコンピュータになっている場合である。
 |
NPSサーバとDHCPサーバが同じコンピュータなら、[DHCPサーバーサービスを実行するNAP強制サーバーの指定]は設定しなくてもよい。そのまま[次へ]をクリックして続行する |
(8)次の画面は[DHCPスコープの指定]だが、ここではNPSポリシーを適用するDHCPスコープを指定する。本稿の設定例ではスコープはひとつだけで、それがNPSポリシーの適用対象になるため、空白のまま続行してよい。何も設定しない場合、すべてのスコープが適用対象になるが、複数のスコープがある場合、その中のどれを適用対象にするかを指定する必要があり、それを設定するのがこの画面である。
 |
スコープがひとつだけで、それにNPSポリシーを適用するのであれば、DHCPスコープの指定は不要 |
(9)次の画面は[ユーザーグループとコンピュータグループの構成]だが、ここではユーザー、あるいはコンピュータに対してグループ単位でアクセスの可否を指定する。何も指定しなければ、すべてのユーザーが対象になる。
 |
何も指定しないと全ユーザーが対象になるが、特定のグループに対してアクセスの可否を設定することもできる |
(10)次の画面は[NAP修復サーバーグループおよびURLの指定]で、修復サーバのグループに関する設定を行う。修復サーバとは、検疫にひっかかったコンピュータに対してしかるべき措置をとるためのサーバで、セキュリティ修正プログラムやウィルス対策ソフトなどをダウンロードさせるために使用する。これを複数台設置してグループ化することができ(修復サーバグループ)、そのための設定を行うのがこの画面である。修復サーバグループの設定は、[新しいグループ]をクリックすると表示するダイアログで行う(グループの名前と、グループへのサーバの登録が可能)。修復サーバを設置しないときには、何も設定せずに続行する。なお、ここではヘルプURLの指定も行えるが、これはユーザーに対して修復を行う際の操作手順を説明する際に利用できる(必須ではないが、ある方が親切だ)。
 |
修復サーバを設置する場合、修復サーバグループの登録や、ヘルプWebページのURLを設定する |
(11)次の画面は[NAP正常性ポリシーの定義]で、ここでは[Windowsセキュリティ正常性検証ツール]のチェックがオンになっていることを確認する。ここで、[クライアントコンピュータの自動修復を有効にする]をオンにすると、設定に問題があった場合に自動修復する。オフにすると、修復はユーザーが手作業で行う必要がある。
 |
[Windowsセキュリティ正常性検証ツール]を使用する設定になっていることを確認する。自動修復のオン/オフは、状況に応じて決定するが、オンになっている方が確実性が高いだろう |
(12)この画面では、NAPに適合しないクライアントに対するアクセスの可否も設定できる。せっかくNAPを稼動させるのだから、NAPに適合しないクライアントからの接続を拒否するべきだ。接続を許可したのでは、何のためのNAPかわからなくなってしまう!
(13)次の画面は[NAP強制ポリシーおよびRADIUSクライアント構成の完了]だ。ここで[完了]をクリックすると、作成した6種類のポリシー(正常性ポリシー×2、接続要求ポリシー×1、ネットワーク ポリシー×3)の名前を表示する。また、[構成の詳細]をクリックするとInternet Explorerが起動して、HTML文書化した設定内容を確認できる。
 |
NAPに適合しないPCのアクセスに関するポリシーを設定できる |
ハイブリッド環境で100超のマイクロサービスを監視 - マネーフォワードのオブザーバビリティ