Windowsサーバ入門(101) 検疫ネットワークの導入(4)

過去3回にわたり、Windows Server 2008の標準機能(NPS : Network Policy Server)を使ってDHCP方式の検疫ネットワークを実現する際の手順について解説してきた。ここまでがサーバ側の作業である。続いて今回は、クライアント側の作業について解説する。

なお、以下で解説する作業を行う際には、クライアントPCはネットワークから切り離しておくほうがよい。

また、NPSはクライアントPCのセキュリティ設定に関する情報を取得する際に、セキュリティセンターを使用する。そのため、[Security Center]サービスが動作していなければならない。既定値では動作しているはずのサービスだが、人為的に停止することもできるので、念のために確認しておくに越したことはない。

クライアントPCの準備

NPSに対応できるクライアントPCのOSは、既述のようにWindows XP SP3、Windows Vista、Windows 7のいずれかに限られる。OSのセットアップが完了した後に、以下の設定を行う。なお、以下の画面例ではWindows Vistaを使用している。

(1)Pv6を使用しないときには、ネットワーク接続設定のプロパティ画面で、IPv6のバインドを外す。

IPv6を使用しないときには、IPv6のバインドは外しておく

(2)IPv4のプロパティは、DHCPによる自動構成(既定値)のままとする。DHCPサーバによってアクセスの可否をコントロールするので、当然の措置といえる(これはとりもなおさず、ユーザーが意図的に固定IPアドレスを設置することで検疫ネットワークをすり抜けられる可能性があるという話でもある)。

(3)[スタート]-[ファイル名を指定して実行]、あるいは[スタート]メニュー以下の検索ボックスで「MMC」と入力して、MMC.EXEを実行する。

(4)[ファイル]-[スナップインの追加と削除]を選択する。

(5)左側の[利用できるスナップイン]で[NAPクライアントの構成]を選択して、画面中央の[追加]をクリックする。続いて表示するダイアログでは、[ローカルコンピュータ]を選択して[OK]をクリックする。

[利用できるスナップイン]で[NAPクライアントの構成]を選択して、画面中央の[追加]をクリックする。これにより、NPSの設定に必要なスナップインがMMC.EXEに組み込まれる

(6)これで、[NAPクライアントの構成]管理ツールができる。MMC.EXEを終了する際にコンソールファイルを保存するかどうか訊ねてくるので、適当な名前をつけて保存しておくとよいだろう。NAPクライアントの設定を行うたびにMMC.EXEにスナップインを追加していたら面倒だ。

(7)MMC.EXEの画面に戻ったら、左側のツリー画面で[NAPクライアントの構成(ローカルコンピュータ)]-[実施クライアント]を選択する。

(8)画面中央に、NPSの実現方法に合わせて複数の選択肢が現れるので、その中から[DHCP検疫強制クライアント]を選択する。

(9)[操作]-[プロパティ]、あるいは右クリックして[プロパティ]を選択する。

[DHCP検疫強制クライアント]のプロパティ画面を表示させる

(10)続いて表示するダイアログで、[この実施クライアントを有効にする]チェックボックスをオンにして、[OK]をクリックする。これでDHCP検疫強制クライアントが有効になる(実は、上の図にある右クリックメニューで、[有効][無効]を選択する方法でも、この機能の有効/無効を切り替えられる)。

(11)これで設定は完了となるので、MMC.EXEを終了する。

(12)[コンピュータの管理]管理ツールを起動する。

(13)左側のツリー画面で、[サービスとアプリケーション]-[サービス]を選択する。

(14)画面中央表示いるサービス一覧の中から[Network Access Protection Agent]を選択して、プロパティ画面を表示させる。サービス名をダブルクリックする方法と、右クリックして[プロパティ]を選択する方法がある。

[コンピュータの管理]管理ツールのサービス一覧で、[Network Access Protection Agent]サービスのプロパティ画面を表示させる

(15)続いて表示するダイアログの[全般]タブで、[スタートアップの種類]を「自動」に変更して[適用]をクリックする。さらに、同じダイアログで[開始]をクリックしてサービスを開始させる。

[スタートアップの種類]を[自動]に変更して、それを適用する。続いてサービスを起動する

(16)[OK]をクリックしてダイアログを閉じる。これで、クライアント側の設定変更は完了する。

NPSの動作状況確認

最後に、クライアントPCの側で意図的に、NPSで規定した条件に合わない設定を行ってみた例を示す。

まず、クライアントPCをネットワークから切り離す。物理的にケーブルを抜く方法が確実だ。

続いて、[コントロールパネル]-[セキュリティ]-[自動更新の有効化または無効化]をクリックする。それに続いて表示する画面で[更新プログラムを確認しない]を選択して、自動更新を行わない設定にする。

これがすなわち「条件に合わない設定」だが、何が「条件に合わない設定」となるかは、前回に取り上げたシステム正常性検証ツールの設定に依存する点に注意したい。

ともあれ、その状態でネットワーク接続を再開する。すると、NPSに設定した条件を満たしていないためにシステム正常性検証ツールが警報を発して、以下のバルーンを通知領域に表示する。

NPSサーバに設定した条件を満たしていないクライアントPCをネットワークに接続すると、警告バルーンを表示する

さらに、DHCPサーバから割り当てを受けたTCP/IPパラメータを確認してみる。それには、[ネットワークと共有センター]で[状態の表示]をクリックすると表示するダイアログで[詳細]をクリックすればよい。以下の画面例を見ると分かるように、サブネットマスクが「255.255.255.255」となっており、自分自身としか通信できないようになっている。

検疫ネットワークによって割り当てられたDHCPパラメータでは、サブネットマスクが「255.255.255.255」になっているので、自分自身としか通信できない

この状態で、通知領域にある[ネットワークアクセス保護]のアイコンをダブルクリックするか、右クリックして、[ネットワークアクセス保護]を選択する。すると、問題の内容を表示する画面が現れるので、画面に表示した内容を基にして、NPSサーバに設定した条件を満たせるように設定変更を行う。もしもNPSの設定で自動修復を有効にしていれば、この作業は自動的に行うわけだ。