過去3回にわたり、Windows Server 2008の標準機能(NPS : Network Policy Server)を使ってDHCP方式の検疫ネットワークを実現する際の手順について解説してきた。ここまでがサーバ側の作業である。続いて今回は、クライアント側の作業について解説する。
なお、以下で解説する作業を行う際には、クライアントPCはネットワークから切り離しておくほうがよい。
また、NPSはクライアントPCのセキュリティ設定に関する情報を取得する際に、セキュリティ センターを使用する。そのため、[Security Center]サービスが動作していなければならない。既定値では動作しているはずのサービスだが、人為的に停止することもできるので、念のために確認しておくに越したことはない。
クライアントPCの準備
NPSに対応できるクライアントPCのOSは、既述のようにWindows XP SP3、Windows Vista、Windows 7のいずれかに限られる。OSのセットアップが完了した後に、以下の設定を行う。なお、以下の画面例ではWindows Vistaを使用している。
(1)Pv6を使用しないときには、ネットワーク接続設定のプロパティ画面で、IPv6のバインドを外す。
 |
IPv6を使用しないときには、IPv6のバインドは外しておく |
(2)IPv4のプロパティは、DHCPによる自動構成(既定値)のままとする。DHCPサーバによってアクセスの可否をコントロールするので、当然の措置といえる(これはとりもなおさず、ユーザーが意図的に固定IPアドレスを設置することで検疫ネットワークをすり抜けられる可能性があるという話でもある)。
(3)[スタート]-[ファイル名を指定して実行]、あるいは[スタート]メニュー以下の検索ボックスで「MMC」と入力して、MMC.EXEを実行する。
(4)[ファイル]-[スナップインの追加と削除]を選択する。
(5)左側の[利用できるスナップイン]で[NAPクライアントの構成]を選択して、画面中央の[追加]をクリックする。続いて表示するダイアログでは、[ローカルコンピュータ]を選択して[OK]をクリックする。
 |
[利用できるスナップイン]で[NAPクライアントの構成]を選択して、画面中央の[追加]をクリックする。これにより、NPSの設定に必要なスナップインがMMC.EXEに組み込まれる |
(6)これで、[NAPクライアントの構成]管理ツールができる。MMC.EXEを終了する際にコンソールファイルを保存するかどうか訊ねてくるので、適当な名前をつけて保存しておくとよいだろう。NAPクライアントの設定を行うたびにMMC.EXEにスナップインを追加していたら面倒だ。
(7)MMC.EXEの画面に戻ったら、左側のツリー画面で[NAPクライアントの構成(ローカル コンピュータ)]-[実施クライアント]を選択する。
(8)画面中央に、NPSの実現方法に合わせて複数の選択肢が現れるので、その中から[DHCP検疫強制クライアント]を選択する。
(9)[操作]-[プロパティ]、あるいは右クリックして[プロパティ]を選択する。
 |
[DHCP検疫強制クライアント]のプロパティ画面を表示させる |
(10)続いて表示するダイアログで、[この実施クライアントを有効にする]チェックボックスをオンにして、[OK]をクリックする。これでDHCP検疫強制クライアントが有効になる(実は、上の図にある右クリック メニューで、[有効][無効]を選択する方法でも、この機能の有効/無効を切り替えられる)。
(11)これで設定は完了となるので、MMC.EXEを終了する。
(12)[コンピュータの管理]管理ツールを起動する。
(13)左側のツリー画面で、[サービスとアプリケーション]-[サービス]を選択する。
(14)画面中央表示いるサービス一覧の中から[Network Access Protection Agent]を選択して、プロパティ画面を表示させる。サービス名をダブルクリックする方法と、右クリックして[プロパティ]を選択する方法がある。
 |
[コンピュータの管理]管理ツールのサービス一覧で、[Network Access Protection Agent]サービスのプロパティ画面を表示させる |
(15)続いて表示するダイアログの[全般]タブで、[スタートアップの種類]を「自動」に変更して[適用]をクリックする。さらに、同じダイアログで[開始]をクリックしてサービスを開始させる。
 |
[スタートアップの種類]を[自動]に変更して、それを適用する。続いてサービスを起動する |
(16)[OK]をクリックしてダイアログを閉じる。これで、クライアント側の設定変更は完了する。
NPSの動作状況確認
最後に、クライアントPCの側で意図的に、NPSで規定した条件に合わない設定を行ってみた例を示す。
まず、クライアントPCをネットワークから切り離す。物理的にケーブルを抜く方法が確実だ。
続いて、[コントロール パネル]-[セキュリティ]-[自動更新の有効化または無効化]をクリックする。それに続いて表示する画面で[更新プログラムを確認しない]を選択して、自動更新を行わない設定にする。
これがすなわち「条件に合わない設定」だが、何が「条件に合わない設定」となるかは、前回に取り上げたシステム正常性検証ツールの設定に依存する点に注意したい。
ともあれ、その状態でネットワーク接続を再開する。すると、NPSに設定した条件を満たしていないためにシステム正常性検証ツールが警報を発して、以下のバルーンを通知領域に表示する。
 |
NPSサーバに設定した条件を満たしていないクライアントPCをネットワークに接続すると、警告バルーンを表示する |
さらに、DHCPサーバから割り当てを受けたTCP/IPパラメータを確認してみる。それには、[ネットワークと共有センター]で[状態の表示]をクリックすると表示するダイアログで[詳細]をクリックすればよい。以下の画面例を見ると分かるように、サブネットマスクが「255.255.255.255」となっており、自分自身としか通信できないようになっている。
 |
検疫ネットワークによって割り当てられたDHCPパラメータでは、サブネットマスクが「255.255.255.255」になっているので、自分自身としか通信できない |
この状態で、通知領域にある[ネットワーク アクセス保護]のアイコンをダブルクリックするか、右クリックして、[ネットワークアクセス保護]を選択する。すると、問題の内容を表示する画面が現れるので、画面に表示した内容を基にして、NPSサーバに設定した条件を満たせるように設定変更を行う。もしもNPSの設定で自動修復を有効にしていれば、この作業は自動的に行うわけだ。
 |
続いて表示するダイアログに、どういった問題があるのかを表示する。そこで、その内容に基づいて設定を直す |
こうしてNPSサーバに設定した要件を満たすと、今度は以下のバルーンを表示する。また、サブネットマスクも本来の「255.255.255.0」に変わり、LANへの接続が可能になる。
 |
適切な設定になったときのバルーン表示 |
 |
サブネットマスクの値も、本来の「255.255.255.0」に戻る |
航空機の技術とメカニズムの裏側 第439回 最近の実験機(3)滑走路不要で450ktを目指すSPRINT X-Plane