The Cable Guy: ネットワーク ポリシー サーバーの新機能と機能強化
Windows Server 2008 R2 の NPS に重要な機能強化がいくつか施されたことで、テンプレートやネットワーク アクセスのアカウンティングが大幅に強化されました。
The Cable Guy
機能強化の余地は必ずあるもので、ネットワーク ポリシー サーバー (NPS) にも、強化対象となる機能が、いくつかありました。Windows Server 2008 R2 の NPS は、マイクロソフトのリモート認証ダイヤルイン ユーザー サービス (RADIUS) サーバーとプロキシの役割を兼ねています。NPS は、ネットワーク アクセス要求の認証、承認、およびアカウンティング (AAA) を実行し、ネットワーク アクセス保護 (NAP) 正常性ポリシー サーバーとして機能します。今月のコラムでは、新しい NPS テンプレートと、NPS に施されたアカウンティングの重要な機能強化について概説します。
NPS テンプレート
NPS テンプレートを使用すると、一般的な RADIUS 構成要素 (共有シークレット、クライアントの初期設定など) とサーバー上で実行している構成が分離されるので、NPS 環境の保有コストを削減できます。RADIUS 構成要素は、指定のテンプレートで構成された値を継承します。テンプレートを変更すると、そのテンプレートを選択しているすべての場所で、対応する値が変更されます。
たとえば、複数の RADIUS クライアントやリモート RADIUS サーバーで、同じ RADIUS 共有シークレット テンプレートを参照できます。RADIUS 共有シークレット テンプレートを変更すると、その RADIUS 共有シークレット テンプレートを選択しているすべての RADIUS クライアントやリモート RADIUS サーバーで変更内容が継承されます。
また、NPS テンプレートを一時的に選択することで、構成時に NPS テンプレートを活用できます。たとえば、RADIUS クライアントの特定のグループ (特定のベンダーが提供するすべてのワイヤレス アクセス ポイントなど) を対象とする RADIUS クライアント テンプレートを作成します。このテンプレートには、ベンダーの種類や共有シークレットなどの一般的な設定が含まれています。新しい RADIUS クライアントを作成する場合は、RADIUS クライアント テンプレートを選択して一般的な設定を適用します。テンプレートの選択を解除した後も継承された設定は新しいテンプレートで維持されるので、RADIUS クライアントの IP アドレスなど、クライアントごとに設定を構成できます。
注: netsh nps コンテキストのコマンドでは、テンプレートの設定をサポートしていません。netsh nps コマンドを使用すると、テンプレートの参照が削除され、そのコマンドで指定した構成要素が変更されます。
次の種類の NPS 構成要素では、テンプレートを使用します。
- RADIUS 共有シークレット
- RADIUS クライアント
- リモート RADIUS サーバー
- IP フィルター
- 正常性ポリシー
- 修復サーバー グループ
これらの構成要素のテンプレートは、ネットワーク ポリシー サーバー スナップインの [テンプレートの管理] ノードで設定できます (図 1 参照)。
![ネットワーク ポリシー サーバー スナップインの [テンプレートの管理] ノード](images/ff943567.davies_cableguy_0810_fig1(en-us,msdn.10).png)
図 1 ネットワーク ポリシー サーバー スナップインの [テンプレートの管理] ノード
テンプレートは個別に追加、編集、複製、または削除できます。テンプレートの構成が完了したら、NPS スナップインの適切なダイアログ ボックスでテンプレートを選択および選択解除できます。図 2 に、さまざまな種類のテンプレートと、各テンプレートを NPS スナップインで使用する場合を示します。
| テンプレート | 使用する場合 |
| RADIUS 共有シークレット | RADIUS クライアント、リモート RADIUS サーバー グループのメンバー、RADIUS クライアント テンプレート、またはリモート RADIUS サーバー テンプレートの作成または構成時 |
| RADIUS クライアント | RADIUS クライアントの作成または構成時 |
| リモート RADIUS サーバー | リモート RADIUS サーバー グループのメンバーの作成または構成時 |
| IP フィルター | ネットワーク ポリシーに関する IP フィルター設定の構成時 |
| 正常性ポリシー | 正常性ポリシーの作成または構成時 |
| 修復サーバー グループ | 修復サーバー グループの作成または構成時 |
図 2 テンプレートの種類と、各テンプレートをネットワーク ポリシー サーバー スナップインで使用する場合
RADIUS 共有シークレット テンプレートを使用する
RADIUS 共有シークレットのテンプレートを使用すると、NPS スナップインで RADIUS クライアントやリモート RADIUS サーバーを構成する際に再利用できる共有シークレットを指定できます。RADIUS 共有シークレット テンプレートを作成して使用するには、次の手順を実行します。
1. NPS スナップインで、[テンプレートの管理] ノードを開きます。
2. コンソール ツリーで [共有シークレット] を右クリックし、[新規作成] をクリックします。
3. [テンプレート名] ボックスに共有シークレット テンプレートの名前を入力し、共有シークレットを手動で指定するか、NPS で自動的に生成します。
4. [OK] をクリックして変更を保存します。
RADIUS 共有シークレット テンプレートを使用するには、RADIUS クライアント、リモート RADIUS サーバー、またはリモート RADIUS サーバー テンプレートを構成します。続いて、共有シークレットを手動で構成したり NPS で自動的に生成したりせずに、共有シークレットのテンプレート名を指定します。図 3 に例を示します。
.png)
図 3 共有シークレット テンプレートの選択
特定の RADIUS 共有シークレット テンプレートを使用する RADIUS クライアント、リモート RADIUS サーバー、およびリモート RADIUS サーバー テンプレートを確認するには、NPS スナップインのコンテンツ ペインで RADIUS 共有シークレット テンプレートの名前を右クリックし、[使用状況の表示] をクリックします。
テンプレートを移行および同期する
テンプレートは実行中の NPS サーバーの構成から独立しているので、NPS スナップインを使用して、NPS サーバーの構成とは関係なくテンプレートをエクスポートおよびインポートできます。これらの操作は、netsh nps export コマンドと netsh nps import コマンドを使用した NPS サーバー構成のエクスポートとインポートとは関係ありません。
NPS サーバーのテンプレートをエクスポートするには、NPS スナップインの [テンプレートの管理] を右クリックし、[ファイルへテンプレートをエクスポートする] をクリックします。テンプレートを NPS サーバーにインポートするには、[ファイルからテンプレートをインポートする] をクリックします。これらの手順を使用すると、NPS サーバー間でテンプレートを移行できます。
NPS サーバー間ですばやくテンプレートを同期するには、NPS スナップインの [テンプレートの管理] を右クリックし、[コンピューターからテンプレートをインポートする] をクリックします。このコマンドをクリックすると、リモート NPS サーバー名を指定するように要求されます。[OK] をクリックすると、NPS によってローカル NPS サーバーとリモート NPS サーバーのテンプレートが同期されます。
Windows Server 2008 R2 の NPS スナップインでは、NPS サーバーのリモート管理がサポートされています。NPS スナップインを Microsoft 管理コンソール (MMC) に追加する際には、ローカル コンピューターとリモート コンピューターのいずれかを指定できます。また、Windows Server 2008 R2 を実行している NPS サーバーから Windows Server 2008 NPS サーバーを管理することもできます。ただし、コンソール ツリーには [テンプレートの管理] ノードが表示されず、ダイアログ ボックスにはテンプレートの構成が表示されません。
アカウンティングの機能強化
Windows Server 2008 R2 には、NPS のアカウンティング機能を強化して展開コストを大幅に削減する機能も多数用意されています。特に、ログ記録に関する多数の新機能を使用すると、SQL Server ログとファイル ログを相互に関連付けることができます。また、アカウンティング構成ウィザードも新しく追加されています。これらの機能強化は、NPS スナップインの [アカウンティング] ノードに組み込まれています。
SQL Server のログとファイル ログの構成の相互関連を強化するために、Windows Server 2008 R2 には DTS 準拠と呼ばれる新しいファイルの種類が用意されています。この新しいファイルの種類は、SQL Server データ変換サービスを使用して簡単に NPS の標準的な SQL Server データベースに関連付けることを目的として設計されています。この新しいファイルの種類は、[ログ ファイル プロパティ] ダイアログ ボックスの [ログ ファイル] タブで指定できます (図 4 参照)。
.png)
図 4 DTS 準拠ローカル ログ形式の選択
NPS の SQL Server ログとファイル ログの相関関係
前のセクションで説明した Windows Server 2008 R2 の機能を使用すると、SQL Server のログとファイル ログの両方を使用する次のようなアカウンティング構成を設定できます。
SQL Server からファイルへのフェールオーバー ログ: SQL Server データベース (ローカルまたはリモート) にログを記録し、SQL Server への接続が切断された場合には事前構成したログ ファイルにフェールオーバーするように NPS を構成できます。この機能を有効にするには、NPS の [SQL Server ログ プロパティ] ダイアログ ボックスで [フェールオーバー用にテキスト ファイル ログを有効にする] チェック ボックスをオンにします。
ファイルと SQL Server の両方に対する並列ログ: アカウンティングに関する全エントリを SQL Server のログとファイル ログの両方に記録するように NPS を構成できます。この新機能を明示的に構成する必要はありません。並列ログを有効にするには、ファイル ログのフェールオーバーを有効にせずに両方のログ モードを構成します。
アカウンティングを実行しない認証: ログ記録なしで認証と承認を実行するように NPS を構成できます。この機能は、既定で無効になっています。この機能を使用すると、ログ記録できない場合でも NPS が機能します。また、ログ記録を必要とせずにネットワーク アクセスの認証と承認を実行できます。
この機能は、ファイル ログと SQL Server のログで個別に有効にできるので、並列ログやフェールオーバー ログと併用すると、さまざまなシナリオに対応できます。この機能は、[SQL Server ログ プロパティ] ダイアログ ボックスと [ログ ファイル プロパティ] ダイアログ ボックスのそれぞれで [ログが失敗した場合に接続要求を破棄する] チェック ボックスをオフにすることで個別に制御できます。いずれかのチェック ボックスがオンの場合は、アクセス要求でログが正常に記録される必要があります。
NPS のアカウンティング構成ウィザード
新しいアカウンティング構成ウィザードを実行するには、NPS スナップインで [アカウンティング] ノードを選択し、コンテンツ ペインで [アカウンティングの構成] リンクをクリックします。アカウンティング構成ウィザードの指示に従って、NPS の標準データベース、テーブル、およびストアド プロシージャを作成するために SQL Server で必要な設定など、一般的な構成に必要なアカウンティング構成をすべて指定できます。図 5 に、アカウンティング構成ウィザードの [アカウンティング オプションの選択] ページを示します。
.png)
図 5 新しいアカウンティング構成ウィザード
このページでは、次のいずれかのオプションを選択できます。
- SQL Server データベースに記録する: NPS の既定の SQL Server テーブル形式とストアド プロシージャを使用して、SQL Server データベースのみにログを記録するように NPS を構成します。
- ローカル コンピューターのテキスト ファイルに記録する: 新しい DTS 準拠ファイル形式を使用して、テキスト ファイルにのみログを記録するように NPS を構成します。
- SQL Server データベースとローカル テキスト ファイルに同時に記録する: SQL Server ログとファイル ログの両方を構成して、並列ログを有効にするように NPS を構成します。SQL Server ログの構成では、NPS の既定の SQL Server テーブル形式とストアド プロシージャを使用します。ファイル ログでは、DTS 準拠ファイル形式を使用します。各データ ストアに記録される情報は、個別に構成します。
- フェールオーバー用のテキスト ファイル ログを使用して SQL Server データベースに記録する: SQL Server ログとファイル ログの両方を構成し、SQL Server ログへの記録が失敗した場合にのみファイル ログを有効にするように NPS を構成します。SQL Server ログの構成では、NPS の既定の SQL Server テーブル形式とストアド プロシージャを使用します。ファイル ログでは、DTS 準拠ファイル形式を使用します。各データ ストアで記録する情報は、個別に構成します。
SQL Server データベース構成の自動化
新しいアカウンティング構成ウィザードでは、NPS アカウンティングの構成以外にも、既存の SQL Server に必要なデータベース、テーブル、およびストアド プロシージャが自動生成されます。また、アカウンティング構成ウィザードの [アカウンティング オプションの選択] ページで指定できる構成のうち SQL Server ログの構成を含む構成に基づいて、標準的な NPS データ ストア向けに SQL Server が自動構成されます。図 6 に、アカウンティング構成ウィザードの [SQL Server ログの構成] ページを示します。
![[SQL Server ログの構成] ページ](images/ff943567.davies_cableguy_0810_fig6(en-us,msdn.10).png)
図 6 [SQL Server ログの構成] ページ
[構成] をクリックすると、[データ リンク プロパティ] ダイアログ ボックスが表示されます (図 7 参照)。
![[データ リンク プロパティ] ダイアログ ボックス](images/ff943567.davies_cableguy_0810_fig7(en-us,msdn.10).png)
図 7 [データ リンク プロパティ] ダイアログ ボックス
SQL Server と資格情報 (セクション 1. と 2.) を指定したら、SQL Server のデータベースを選択します。この一覧で既存のデータベースを選択すると、ウィザードの完了時に、指定したデータベースをそのまま使用し続けるか、NPS の既定の SQL Server データ ストア構成を使用してデータベースを再初期化するかを選択するように要求されます。
[サーバー上のデータベースを選択する] ボックスに、新しいデータベースの名前を入力することもできます。この場合、アカウンティング構成ウィザードによって、指定したデータベース名を使用する既定の NPS データ ストアが SQL Server 上に自動構成されます。
Windows Server 2008 R2 の NPS の詳細については、次のリソースを参照してください。
.jpg)
Joseph Davies は、マイクロソフトの Windows ネットワーク ライティング チームのプリンシパル テクニカル ライターです。『Windows Server 2008 Networking and Network Access Protection (NAP)』、『Understanding IPv6, Second Edition』、『Windows Server 2008 TCP/IP Protocols and Services』など、Microsoft Press 発行の多数の書籍の著者および共著者です。