Windows Server: 統合がもたらす力
Windows のクライアント プラットフォームとサーバー プラットフォームの機能を組み合わせて完全なソリューションを構築すると、Windows は、さらに高い価値を発揮します。
Joshua Hoffman
デスクトップ OS としての Windows は、コンピューターに動力を供給し、私たちが現代のテクノロジを最大限に活用することをサポートします。Windows 7 の機能では、さまざまなタスクをサポートしています。たとえば、デスクトップ コンピューターでインターネットを利用できるようにするネットワーク接続機能を提供したり、インフォメーション ワーカーが知識を獲得および共有し、ビジネス データを分析し、パートナー、顧客、同僚とリアルタイムで連絡を取れるようにすることを支援します。
Windows は、多くのデータセンターの基幹システムとなっている堅牢なサーバー OS でもあります。Windows Server では、ファイル サービスや印刷サービスを提供したり、Hyper-V で仮想化を実現したり、IIS で Web サイトに動力を供給したりするなど、あらゆる処理に対応しています。
Windows がその価値を最大限に発揮するのは、クライアント プラットフォームとサーバー プラットフォームの機能を組み合わせて、ビジネスが抱える問題に対応する完全なソリューションを形成したときです。Windows のクライアント プラットフォームとサーバー プラットフォームの既存のコンポーネントを使用して、いくつかの完全なソリューションを構築することができます。また、このようなソリューションの構築プロセスに関する詳細情報を提供している有益なリソースもあります。
シームレスな接続
ネットワーク アクセス保護 (NAP) と DirectAccess を使用すると、さまざまな Windows コンポーネントを統合した、堅牢で実用的なソリューションが提供されます。DirectAccess では、複雑な仮想プライベート ネットワーク (VPN) を使用することなく、クライアント コンピューターをイントラネット リソースに接続します。接続はシームレスに行われ、内部リソースの保護に必要なセキュリティを維持しながら、シンプルで簡素化されたリモート接続を提供します。
DirectAccess と NAP では、リモート コンピューターの正常性チェックを常時実行します (VPN ソリューションのようにリモート コンピューターへの接続を確立するときにだけチェックするわけではありません)。また、リモート ユーザーによる接続の確立を許可する前に、正常性に関する規則を適用します。
既定では、DirectAccess クライアントは、インターネット プロトコル セキュリティ (IPsec) ピアの認証にコンピューターの証明書を使用します。DirectAccess と NAP を使用すると、イントラネット アクセスの認証証明書として、正常性証明書が使用されます。正常性証明書では、DirectAccess クライアント コンピューターの ID を検証し、DirectAccess クライアントがシステム正常性の要件を満たしていることを認証します。
DirectAccess と NAP のソリューションでは、この機能を提供するために多数の Windows インフラストラクチャ コンポーネントを使用しています (図 1 参照)。コンポーネントは次のとおりです。
- Active Directory ドメイン サービス (AD DS): DirectAccess クライアントとサーバーにドメイン メンバーシップを提供し、コンピューターとユーザーの資格情報を認証し、DirectAccess クライアントにグループ ポリシーの設定を配布します。
- 公開キー基盤 (PKI): DirectAccess クライアント、DirectAccess サーバー、および Web サーバーにデジタル証明書を配布します。DirectAccess と NAP の場合は、コンピューターの証明書を発行する証明機関 (CA) と、正常性証明書を発行する別の Windows ベースの CA (NAP CA) が存在します。
- DirectAccess サーバー: DirectAccess 接続をホストする Windows Server 2008 R2 を実行している 1 台のコンピューター。
- ネットワーク ロケーション サーバー: 通常、Windows Server 2008 以降を実行しているコンピューターです。また、セキュリティで保護された Web サイトをホストして、DirectAccess クライアントがイントラネットに接続しているかどうかを判断できるようにするため IIS も実行しています。
- NAP 正常性ポリシー サーバー: Windows Server 2008 以降とネットワーク ポリシー サーバー (NPS) を実行し、システムの正常性の検証とログ記録を実行します。
- 正常性登録機関 (HRA): Windows Server 2008 以降と IIS を実行し、正常性の要件を満たしている DirectAccess クライアントのデジタル証明書を NAP CA から取得します。
- 修復サーバー: 正常性の要件を満たしていない DirectAccess クライアントがシステム正常性要件を満たすために必要な更新プログラムやリソースを提供するコンピューターです。たとえば、Windows Software Update Services (WSUS) サーバーやマルウェア対策ソフトウェアの署名配信サーバーなどが、これに該当します。
.jpg)
図 1 DirectAccess と NAP ソリューションのインフラストラクチャ コンポーネント
これらのインフラストラクチャを念頭に置いて、DirectAccess と NAP ソリューションのしくみについて簡単に見てみましょう。DirectAccess クライアントは、起動時に AD DS ドメインにログオンして、現在の正常性の状態に関する情報を HRA に送信します。その後、DirectAccess クライアントの正常性の状態に関する情報が HRA から NAP 正常性ポリシー サーバーに送信されます。
NAP 正常性ポリシー サーバーでは、DirectAccess クライアントの正常性の状態を評価し、準拠しているかどうかを判断して、結果を HRA に送信します。DirectAccess クライアントが正常性の要件を満たしていない場合、この結果には、正常性の回復に関する指示が含められます。
正常性の状態が要件を満たしていれば、HRA は PKI から正常性証明書を取得して、DirectAccess クライアントに送信します。DirectAccess クライアントでは、正常性証明書を受け取ると、DirectAccess サーバーを使用してイントラネット トンネルを作成できるようになります。
正常性の状態が要件を満たしていない場合、HRA では、正常性証明書を発行しません。DirectAccess クライアントでは、DirectAccess サーバーを使用してイントラネット トンネルを作成できないので、アクセスはブロックされます。ただし、修復サーバーにアクセスして、正常性の状態を修復することは可能です。
DirectAccess クライアントは、必要に応じて、修復サーバーにアクセスして、要件を満たすために必要な更新プログラムを取得します。この処理が完了すると、DirectAccess クライアントでは正常性の状態を更新して、その状態を HRA に送信し、正常性状態に関する更新情報が HRA から NAP 正常性ポリシー サーバーに送信されます。必要な更新がすべて行われていれば、NAP 正常性ポリシー サーバーによって、DirectAccess クライアントが要件を満たしていると判断され、その結果が HRA に送信されます。
その後、HRA では、NAP CA から正常性証明書を取得して、DirectAccess クライアントに送信します。これで、DirectAccess クライアントは、正常性証明書を使用して、DirectAccess サーバー経由でイントラネットにアクセスするための認証を受けられるようになります。
Windows のコンポーネントを組み合わせると、モバイル ユーザーに対応できるようになります。内部ネットワークのセキュリティと整合性を維持しながら、モバイル ユーザーが、内部のリソースにシームレスにアクセスできるようになります。
DirectAccess と NAP ソリューションの詳細については、TechNet ライブラリで公開されている「ソリューション ガイド (英語)」を参照してください。また、DirectAccess と NAP の「テスト ラボ ガイド (英語)」もあります。テスト ラボ ガイドでは、このソリューションを実際に実行して試すことができる、作業用のラボ環境を作成するのに必要な手順に関する詳細情報が提供されています。
総合ソリューションを作成する
また、他の Windows インフラストラクチャ ソリューションについてもテスト ラボ ガイドが用意されています。たとえば、Forefront (Unified Access Gateway) を使用する DirectAccess と NAP ソリューションの構成についてのテスト ラボ ガイドがあります。
まず、基本構成テスト ラボから始めることをお勧めします。このラボは、管理された環境で新しいソリューションをテストするための基本的な構成を確立するのに役立ちます。この基本構成に基づいたテスト ラボ ガイドもあります。
基本構成を配置していれば、他の統合ソリューションを調査できます。他のテスト ラボでは、新しいネットワーク プロトコルである IPv6 と DHCPv6 を試すことができます。IPv6 は、現行バージョンのインターネット プロトコル (IPv4) が抱える多くの問題を解決するように設計されています。このような問題には、アドレスの枯渇、セキュリティ、自動構成、拡張性などがあります。
IPv6 のテスト ラボ ガイドでは、次のシナリオのデモについて説明しています。
- IPv6 の既定の動作と IPv4 にしか対応していないイントラネットにおける接続性
- ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) を使用した IPv6 ベースのイントラネット接続
- ネイティブな IPv6 アドレスを使用した IPv6 ベースのイントラネット接続
- 6to4 を使用してシミュレートした IPv4 にしか対応していないインターネットにおける IPv6 接続
IPv6 に慣れたら、IPv6 アドレスを動的に発行および管理する詳細な手順について説明している「DHCPv6 ラボ拡張 (英語)」が役立ちます。
テスト ラボ ガイドは TechNet Social プラットフォームで公開されているので、コミュニティで編集および拡張することが可能です。たとえば、「Windwos Server 2008 R2 の VPN リモート アクセス テスト ラボ (英語)」を見てみましょう。すべての組織が、前述の DirectAccess ソリューションを展開できる状態にあるとは限りません。このテスト ラボ ガイドでは、伝統的な VPN を展開して、リモート ユーザーがオンデマンドで内部ネットワークへの接続をセキュリティで保護された状態で確立できるようにする手順を紹介しています。
このテスト ラボ ガイドは、コミュニティの寄稿者によって、接続マネージャー管理キット (CMAK) と VPN ソリューションを併用する方法や VPN 再接続を使用する方法などが追加されて、拡張されています。Windows インフラストラクチャ コンポーネントに基づいたソリューション以外にも、System Center Service Manager 2010、Forefront Identity Manager 2010、SQL Server 2008 R2 など、他の多くのインフラストラクチャ製品についてもテスト ラボ ガイドが公開されています。
Windows のクライアント プラットフォームとサーバー プラットフォームを組み合わせて統合ソリューションを作成すると、既存のテクノロジへの投資に潜んでいる可能性を引き出すことができます。Windows の統合ソリューションの構築に関する詳細については、Test Lab Guide ブログ (blogs.technet.com/b/tlgs、英語) を参照してください。
.jpg)
Joshua Hoffman は、TechNet マガジンの前の編集長です。現在は、フリーランスで執筆活動とコンサルティングを行っており、クライアントにテクノロジとそれぞれのクライアントに合ったマーケティング手法に関するアドバイスをしています。また、市場調査の分野の成長と強化に注力している ResearchAccess.com (英語) で編集長を務めています。現在、ニューヨーク市に住んでいます。