【 ここから本文 】
Windows Server 2008
ソーシャルブックマークに登録 :
印刷用ページの表示
【解説】
Windows Server 2008「NAP」大解剖
クライアント検疫機能「Network Access Protection」を検証する
(2008年05月20日)
【3】 NAPクライアントの構成
Windows VistaはNAPを標準でサポートしているが、有効化しないかぎり機能することはない。Windows VistaのNAPクライアントを有効化するには、次の3項目を適切に構成する必要がある。
- 「Network Access Protection Agent」サービスのスタートアップを「自動」に変更する
- 「NAPクライアントの構成」スナップイン(NAPCLCFG.MSC)を使用して、「DHCP検疫強制クライアント」を有効にする(画面7)
- 「グループポリシーオブジェクトエディタ」スナップイン(GPEDIT.MSC)を使用して、ドメインクライアントで通常無効化されるセキュリティセンターを有効化する。構成するポリシーは「コンピュータの構成」→「管理テンプレート」→「Windowsコンポーネント」→「セキュリティセンター」にある「セキュリティセンターをオンにする(ドメイン上のコンピュータのみ)」である
 |
| 画面7● Windows VistaのNAPクライアントを構成する「NAPクライアントの構成」スナップイン(NAPCLCFG.MSC)。NAPクライアントは構成して初めて機能することに注意してほしい |
NAPが有効なネットワークにNAPクライアントが有効なコンピュータが接続されると、Windowsセキュリティ正常性エージェントによってアクセス要件が評価される。NPSによって正常性ポリシーに準拠すると判断された場合は、そのままネットワークへの完全なアクセスを得る。DHCP実施オプションの場合は、通常のサブネットマスク、デフォルトゲートウェイが割り当てられることで実現される。
正常性ポリシーに準拠しない場合は、制限付きネットワークに配置される(画面8)。DHCP実施オプションの場合は、オール1のサブネットマスク(255.255.255.255)と空のデフォルトゲートウェイによってアクセスが制限される(画面9)。修復のために必要なアクセスルートは「Default Network Access Protection Class」のDHCPオプションによって割り当てられる。例えば、修復サーバへの1対1の静的ルートなどである。
 |
| 画面8● 正常性ポリシーに準拠し、完全なネットワークアクセスを得たクライアントのWindowsファイアウォールを無効にすると、即座に状態が再評価され、アクセスが制限される。ネットワークポリシーで自動修復が有効な場合は、Windowsファイアウォールが自動的に有効化され、再び完全なネットワークアクセスが許可される |
 |
| 画面9● 検疫状態のクライアントのネットワーク構成。DHCPサーバからは「255.255.255.255」のサブネットマスクが割り当てられ、デフォルトゲートウェイが空の状態になる |
【解説】[徹底チェック]Windows Server 2008ターミナルサービス
新しくなった仮想デスクトップ管理環境の実力を探る
【解説】「Active Directory」ドメインサービスの7つの強化ポイント
内部統制時代を迎え、進化するディレクトリサービス
モジュール化を実現した新世代のWebサーバ
【Windows Server 2008 実践評価ガイド】10分でわかるWindows Server 2008
管理者注目の新機能&強化点をピックアップ!
