• [アーティクル]

The Cable Guyネットワーク ポリシー サーバー

Joseph Davies

このコラムは、Windows Server 2008 のプレリリース版に基づいています。記載されている内容は変更されることがあります。

Windows Server 2008 のネットワーク ポリシー サーバー (NPS) サービスは、Windows Server 2003 のインターネット認証サービス (IAS) の後継サービスです。NPS を使用すると、Windows Server 2008 を実行しているコンピュータは、リモート認証ダイヤルイン ユーザー サービス (RADIUS) サーバーおよびプロキシとしての役割を果たすことができます。RADIUS は、インターネット技術標準化

委員会 (IETF) が RFC 2865 と RFC 2866 で規定したプロトコルで、ワイヤレス アクセス ポイントなどのネットワーク アクセス デバイスの認証、承認、およびアカウンティング (AAA) の一元管理を行えるようにするものです。RADIUS サーバーはネットワーク アクセス デバイスの AAA を行い、RADIUS プロキシは、RADIUS クライアント (ネットワーク アクセス デバイス) と RADIUS サーバー間で RADIUS メッセージを転送します。

NPS には認証されたネットワーク アクセスの展開を活用したり、サードパーティ コンポーネントを拡張できるようにしたり、最新のネットワーク テクノロジやプラットフォームをサポートしたりするための、多くの機能強化が施されています。新しい NPS スナップインは、図 1 のようになります。

図 1 新しい NPS スナップイン

図 1** 新しい NPS スナップイン **(画像を拡大するには、ここをクリックします)

ネットワーク ポリシー サーバーの機能

今月のコラムでは、以前のバージョンの Windows® では提供されていない NPS の機能を紹介します。まず、ネットワーク アクセス保護 (NAP) が、ネットワークの正常性の要件を義務付けるうえでどう役立つのかを説明してから、管理、構成、IPv6 など他の要素について説明します。また、新しい NPS スナップインの機能についても紹介します。

ネットワーク アクセス保護 NAP は、Windows Server® 2008 で導入された、コンピュータの正常性の要件への準拠を義務付けるのに役立つ一連の新しいテクノロジです。このテクノロジにより、イントラネットの保護を強化できます。たとえば、正常性ポリシーでは、ネットワークに接続するすべてのクライアントに、ファイアウォールがインストールされ有効になっていることと、オペレーティング システムの最新の更新プログラムがインストールされていることを必須条件とすることができます。NAP を使用すると、カスタマイズしたポリシーを作成して、ネットワーク アクセスや通信を許可する前にコンピュータの正常性の要件を確認したり、現行のポリシーに準拠するようにコンピュータを自動的に更新したり、ポリシーに準拠していないコンピュータは、要件に準拠するまで、アクセスできる範囲を制限されたネットワークに限定したりすることができます。詳細については、microsoft.com/nap を参照してください。

NAP 展開では、NPS サーバーは、NAP 正常性ポリシー サーバーの役割を果たし、正常性登録機関 (HRA)、802.1X アクセス ポイント、仮想プライベート ネットワーク (VPN) サーバー、動的ホスト構成プロトコル (DHCP) サーバーなどの、NAP 強制ポイントに代わって NAP クライアントの正常性を評価します。また、NPS サーバーでは、クライアントに、イントラネットへのフル アクセスを与えるのか、または制限付きのアクセスを与えるのかを判断します。NPS による正常性の評価の動作は、ネットワーク ポリシー、正常性ポリシー、および NAP 設定によって異なります。

EAPHost と EAP ポリシーのサポート NPS では、拡張認証プロトコル (EAP) 認証方法の新しいアーキテクチャである EAPHost がサポートされています。この新しいアーキテクチャにより、EAP メソッドを採用しているベンダは、クライアント コンピュータと NPS サーバーの両方で、802.1X またはポイントツーポイント プロトコル (PPP) ベースの認証に対応した新しい EAP メソッドを簡単に開発して実装できます。

EAPHost は、EAP レジストリ (www.iana.org/assignments/eap-numbers) に登録されているすべての EAP メソッド、および Cisco Systems が提供している Lightweight EAP (LEAP) などの一般的なその他の認証方法のインストールと使用をサポートします。EAPHost では、同じ EAP メソッドの複数の実装が同時に共存できます。たとえば、マイクロソフトが提供している保護された EAP (PEAP) と Cisco Systems が提供している PEAP の両方をインストールして使用することができます。

EAP メソッド ベンダのために、EAPHost では、Windows XP と Windows Server 2003 向けに開発された EAP メソッドをサポートしています。また、Windows Vista® と Windows Server 2008 向けに新しい EAP メソッドを開発するための簡単な方法もサポートしています。インストール後には、ネットワーク ポリシーで、特定のネットワーク アクセス シナリオ用に必要な EAP メソッドを構成することができます。NPS のネットワーク ポリシーは、IAS のリモート アクセス ポリシーと同様です。

EAPHost アーキテクチャの詳細については、technetmagazine.com/issues/2007/05/CableGuy を参照してください。

XML 形式で保存される構成 IAS では、構成情報は Jet データベースに保存されていましたが、NPS では、構成情報が XML 形式で保存されます。つまり、ある NPS サーバーの構成情報をエクスポートして、別のサーバーにインポートするという作業が簡略化されます。構成ファイルのエクスポートとインポートは、フォールト トレラントな構成で複数の NPS サーバーの構成を同期する方法の 1 つです。NPS サーバーの構成は、netsh nps export コマンドを使用してエクスポートし、netsh nps import コマンドを使用してインポートできます。

Common Engineering Criteria への準拠 NPS には、Microsoft® Common Engineering Criteria (CEC) に準拠する必要がある環境での展開をサポートするように変更が加えられました。詳細については、microsoft.com/windowsserversystem/cer/allcriteria.mspx を参照してください。

堅牢な NPS の拡張 DLL NPS サービスは、拡張 DLL や承認 DLL を使用して拡張することができます。IAS とは異なり、このようなサードパーティ コンポーネントは NPS から隔離されています。そのため、DLL でエラーが発生しても、NPS サービスの運用や実行に影響はありません。

IPv6 のサポート NPS では、IPv6 とネイティブまたはトンネリングされた IPv6 環境での展開がサポートされています。RADIUS クライアントまたはリモート RADIUS サーバーの IPv6 アドレスを構成し、NPS サービスで、Active Directory® ドメイン サービス アカウントの認証や承認を IPv6 経由で行うことができます。

IAS と NPS の比較

Windows Server 2003 の IAS スナップインを使い慣れている場合は、NPS スナップインに加えられた以下の変更を高く評価していただけると思います。

  • リモート アクセス ポリシーが、ネットワーク ポリシーになり、[ポリシー] ノードの下に移動されました。
  • [RADIUS クライアント] ノードは、[RADIUS クライアントとサーバー] ノードの下に移動されました。
  • [接続要求の処理] ノードがなくなりました。[接続要求ポリシー] ノードが、[ポリシー] ノードの下に移動され、[リモート RADIUS サーバー グループ] ノードは [RADIUS クライアントとサーバー] ノードの下に移動されました。
  • リモート アクセス ポリシーの条件とプロファイルの設定は、ネットワーク ポリシーのプロパティの [概要]、[条件]、および [設定] タブに再編成されました。
  • 接続要求ポリシーの条件とプロファイルの設定は、接続要求ポリシーのプロパティの [概要]、[条件]、および [設定] タブに再編成されました。
  • リモート アクセスのログ フォルダは、アカウンティングという名前のノードに変更され、[ローカル ファイル] ノードや [SQL ServerTM] ノードはなくなりました。

強力な RADIUS 共通シークレットの自動生成 RADIUS 共通シークレットは、RADIUS メッセージが、同じ共通シークレットを使用して構成された RADIUS クライアント、サーバー、またはプロキシから送信されたこと確認するために使用します。共通シークレットは、パスワードや暗号化キーなど、機密性の高い RADIUS 属性の暗号化にも使用されます。強力な RADIUS 共通シークレットは、22 文字を超える、長い一連の無作為な文字、数字、および句読点で構成された文字列です。

NPS スナップインを使用すると、RADIUS クライアントの追加または変更時には、自動的に強力な RADIUS 共通シークレットが生成されるようにすることができます。この強力な共通シークレットは、メモ帳などのテキスト エディタにコピーすることができるので、同じ共通シークレットを使用してネットワーク アクセス デバイスや NAP 強制ポイントを構成することができます。

サーバー マネージャとの統合 NPS は、初期構成タスクまたはサーバー マネージャ ツールを使用してインストールできます。どちらの場合も、NPS は、ネットワーク ポリシーとアクセス サービスの役割と共にインストールします。NPS をインストールするには、[このサーバーのカスタマイズ] にある初期構成タスク ツールで、[役割の追加] をクリックします。サーバー マネージャ ツールを使用する場合は、役割の概要ヘルプを表示し、[役割の追加] をクリックします。

NPS をインストールしたら、サーバー マネージャのコンソール ツリーで [役割] ノードの下にある [ネットワーク ポリシーとアクセス サービス] をクリックして、NPS サービスの状態を確認したり、24 時間以内に発生したエラー イベントを確認したりすることができます。コンソールで [ネットワーク ポリシーとアクセス サービス] ノードを展開すると、NPS スナップインを使用して NPS を構成できます。

Netsh サポートの強化 Windows Server 2003 では、IAS の構成に使用できる AAA コンテキストの netsh コマンドは多くありませんでしたが、Windows Server 2008 の新しい netsh nps コンテキストには、コマンド ラインまたはスクリプトで NPS を構成するための多数のコマンドが用意されています。Windows Server 2008 では、netsh nps コマンドを使用して、RADIUS クライアントやリモート RADIUS サーバー、ネットワーク ポリシー、およびログを構成できるようになりました。また NAP の場合は、正常性ポリシー、システム正常性検証ツール、および修復サーバー グループを構成できるようになりました。netsh nps コンテキストのコマンドで構成されているスクリプトは、フォールト トレラントな構成で複数の NPS サーバーの設定を同期する新たな方法となります。

ネットワーク ポリシーを分離するソース タグ ネットワーク ポリシーは、特定の種類のネットワーク アクセス サーバーまたは NAP 強制ポイント (DHCP サーバーや HRA など) ごとに構成できます。これはネットワーク ポリシーを分類するソース タグになります。Windows Server 2008 ベースのアクセス サーバーと NAP 強制ポイントについては、その RADIUS メッセージにソース タグが含まれます。アクセスを要求する RADIUS メッセージを受信すると、NPS サービスは、受信したメッセージと同じソース タグを持つネットワーク ポリシーの検出を試みます。一致するポリシーがない場合、NPS サービスは、ソース タグが指定されていないポリシーの中から一致するネットワーク ポリシーの検出を試みます。

ネットワーク ポリシーと受信した RADIUS メッセージのソース タグを使用することで、異なる種類のネットワーク ポリシーを互いに分離することができます。たとえば、DHCP サーバーのネットワーク ポリシーは VPN 接続には使用されません。

Cisco ネットワーク アクセス制御との統合 NPS では、Cisco ハードウェアとネットワーク アクセス制御 (NAC) を使用する環境との統合性を強化するための機能がサポートされています。このような機能には、Host Credential Authorization Protocol (HCAP) や HCAP 条件、ポリシーの有効期限に関する条件、ネットワーク ポリシーのネットワーク アクセス保護の設定の拡張状態のサポートなどがあります。

新しいネットワーク ポリシーの条件 NPS のネットワーク ポリシーには、新しい条件が導入されました。この条件は、コンピュータ グループ、ユーザー グループ、許可されている EAP の種類、クライアントとアクセス サーバーの IPv6 アドレスを指定することを目的としています。HCAP のサポートに関しては、ロケーション グループとユーザー グループという新しい条件が導入されました。また、NAP のサポートに関しては、ID の種類、正常性ポリシー、NAP 対応のコンピュータ、オペレーティング システム、およびポリシーの有効期限という新しい条件が導入されました。

NPS スナップイン 新しい NPS スナップインでは大幅な機能強化が施されました。その結果、RADIUS クライアントやリモート RADIUS サーバー、一般的なネットワーク アクセス シナリオにおけるネットワーク ポリシー、NAP シナリオにおける正常性ポリシーと NAP の設定、およびログ設定の作成と管理が簡単に行えるようになりました。

[RADIUS クライアントとサーバー] ノードでは、RADIUS クライアント (NPS が RADIUS サーバーの役割を果たしている場合は、ネットワーク アクセス サーバー、NAP 強制ポイント、他の RADIUS プロキシ) とリモート RADIUS サーバー グループ (NPS が RADIUS プロキシの役割を果たしている場合は他の RADIUS サーバー) を構成できます。

[ポリシー] ノードでは、接続要求ポリシー (NPS サービスが RADIUS サーバー/プロキシの役割を持つかどうか)、ネットワーク ポリシー (NPS サービスが RADIUS サーバーとしての役割を果たしている場合の承認と接続に関する設定や制限)、および正常性ポリシー (NAP クライアントのシステム正常性) を構成できます。詳細ウィンドウで、接続要求ポリシーまたはネットワーク ポリシーを選択すると、NPS スナップインでは、ポリシーの条件と設定が表示されます。図 2 は、この状態を示しています。

図 2 強化された NPS スナップインの表示

図 2** 強化された NPS スナップインの表示 **(画像を拡大するには、ここをクリックします)

[ネットワーク アクセス保護] ノードの [システム正常性検証ツール] ノードを使用すると、NAP 正常性要件を構成できます。また、[修復サーバー グループ] ノードを使用すると、制限を受けている NAP クライアントが VPN や DHCP NAP の強制方法を使用してアクセスできる一連のサーバーを構成できます。そして、[アカウンティング] ノードでは、NPS のアカウンティング情報の格納方法を構成できます。

NPS スナップイン には、NAP の強制方法、ダイヤルアップ接続や VPN ベースの接続、802.1X で認証されたワイヤレス接続や有線接続に必要なポリシーや RADIUS クライアントの初期構成を自動化する多数のウィザードが用意されています。NAP の強制方法については、NAP ウィザードにより、接続要求ポリシー、ネットワーク ポリシー、および正常性ポリシーがすべて自動的に構成されます。

このような一連の新しいウィザードは、NPS スナップインで NPS ノードをクリックして利用できます。NAP の強制方法のポリシーと設定を構成するには、[標準構成] ボックスの一覧の [ネットワーク アクセス保護] をクリックし、[NAP を構成する] をクリックします。VPN またはダイヤルアップ アクセスのポリシーと設定を構成するには、[標準構成] ボックスの一覧の [ダイヤルアップ接続または VPN 接続用の RADIUS サーバー] をクリックし、[VPN またはダイヤルアップを構成する] をクリックします。802.1X ワイヤレス接続または有線接続のポリシーと設定を構成するには、[標準構成] ボックスの一覧の [802.1X ワイヤレス接続またはワイヤード (有線) 接続用の RADIUS サーバー] をクリックし、[802.1X を構成する] をクリックします。

これらのウィザードでは、画面の指示に従って、選択したシナリオにおける最も一般的な構成要素を構成できます。NAP の強制方法のウィザードは特に便利なウィザードです。VPN の強制方法用の NAP ウィザードでは、接続要求ポリシーを 1 つ、ネットワーク ポリシーを 3 つ (準拠している NAP クライアント用、非準拠の NAP クライアント用、NAP 未対応のクライアント用)、正常性ポリシーを 2 つ (準拠している NAP クライアント用、非準拠の NAP クライアント用) 作成します。

新しい NAP ウィザードと RADIUS クライアント、リモート RADIUS サーバー グループ、接続要求ポリシー、およびネットワーク ポリシーを作成するための他のウィザードは、さまざまなネットワーク アクセス シナリオにおいて、NPS の構成作業を簡略化するのに役立ちます。

Joseph Davies は、マイクロソフトのテクニカル ライターとして Windows ネットワークのトピックに関する講義および執筆を 1992 年から行っています。Microsoft Press から 5 冊の書籍を上梓しており、月刊の TechNet Cable Guy コラムの執筆者でもあります。

© 2008 Microsoft Corporation and CMP Media, LLC. All rights reserved; 許可なしに一部または全体を複製することは禁止されています.