運用 Windows 2000 LAN防衛術
ISA Serverのインストールとセットアップ(第1回)

4.ISAサーバのインストール(3)

デジタルアドバンテージ
2001/07/24


簡易設定ウィザードによる初期設定

 ISAサーバの設定は、「ISAの管理」ツールで行う。インストールの最終段階で、「簡易設定ウィザードを起動する」ように設定しておくと、管理ツールを起動した場合、以下のようなウィザード画面が表示される。このウィザードに従って管理者がパラメータを入力すると、ISA Server各所の設定が段階的に順番に行われ、ISA Serverが正しく稼働を始める、というふうになっている。

 ただし、ISA ServerにはWebプロキシ・サービスやファイアウォール(SecureNAT)サービスなど、さまざまなサービスとその組み合わせがあるが、ウィザードで設定を行う場合は、それらの違いを区別することなく、すべての項目を順番に問い合わせてくるので、少々煩わしいかもしれない。しかし個々の設定をすべて手動で行うことに比べれば、分かりやすく、間違いも少ないので、最初はこのウィザードを使うのがよいだろう。

 ISA Serverのインストール直後(上記のインストール手続きが終了して、再起動した直後)の状態では、Web ProxyサービスやSecureNATサービスは稼動しているものの、アクセスを許可するプロトコルの定義が行われていないので、このままではまだインターネット側へアクセスすることはできない(すべてのアクセスは拒否される)。ここでは、とりあえずWeb Proxy/SecureNATサービスを利用するための、最低限の手順だけをウィザードに従って設定してみよう(不要な手順はスキップしてもよい)。

 以下に示すのは、簡易設定ウィザードの起動画面である。以下ので示されるウィザードの各手順のうち、先頭の方にある「ポリシー要素の選択」とか「スケジュールの構成」などはとりあえずスキップしておいてもかまわない。最低限設定する必要のある項目は、4番目にある「プロトコル ルールの構成」だけである。これは、インターネットへのアクセスを許可するための(つまり、ISA Serverを通過することができる)プロトコルを設定するためのものであり、デフォルトでは何も定義されていないので、クライアントからのアクセスはすべて拒否されることになっている(いちばん安全な状態が初期設定になっている)。これだけは設定しないと、Webだけでなく、FTPやTelnet、メールなど、すべてのサービスが利用できない。

 Web Proxyサービスを利用する場合は、FTP(TCPのポート21番)、HTTP(TCPのポート80番)、HTTPS(TCPのポート443番)、Gopher(TCPのポート70番)の各プロトコルを通過するように設定する。いずれもTCPの発信方向の通信、つまり内部ネットワークから外部ネットワークへの接続要求を通過するように設定する(着信方向の通信は、公開するためのWebサーバやFTPサーバを用意しないかぎり不要)。

 SecureNATサービスを利用して、たとえば外部プロバイダ上にあるメールや時刻合わせサービス(NTPサービス)を利用する場合は、これらの設定に加えて、さらにPOP(TCPのポート110番)、SMTP(TCPのポート25番)、NTP(UDPのポート123番)も許可する必要がある。いずれも、あらかじめフィルタ・ルールが用意されているので、チェックボックスをオンにするだけでよい。

簡易設定ウィザードによるプロトコル・ルールの設定
簡易設定ウィザードを使用すると、ISA Serverの各設定を簡単に済ませることができる。ただし使用するモードとは関係ない項目も順番に表示されるので、馴れないとやや面倒かもしれない。ISA Server導入後に最低限必要なのは、外部アクセスを許すプロトコルの指定だけである。
  ISA管理ツールにおける設定項目。簡易設定ウィザードを使用しない場合は、これらの項目をそれぞれ設定する必要があるが、ウィザードを使えば、どれを設定すればよいかをガイドしてくれる。
  ウィザードにおける設定項目一覧。Web Proxy/SecureNAT機能を利用するだけなら、4番目にある「プロトコル ルールの構成」を実行するだけでとりあえず利用できるようになる。
  「プロトコル ルールの構成」ステップの開始画面。以後、ウィザードの説明はこの部分に表示される。
  デフォルトではプロトコル ルールは1つも定義されていないので、すべての通信がブロックされる。
  ルールの作成方法には、この「インターネット・アクセス用プロトコル ルールの作成」との「プロトコル ルールの作成」の2つがある。この2つは、デフォルト値が異なるだけなので、どちらを使ってもよい。こちらを使うと、デフォルトでFTP、HTTP、Gopherの3つのプロトコルが設定されるので、最初はこちらを使うほうが便利であろう。これをダブルクリックして、「新しいプロトコル ルールウィザード」を起動する。
  こちらは利用するプロトコルをすべて手動で設定するためのもの。最初はの方でルールを作成して、その他のプロトコル・ルールが必要なら、こちらで作成するとよい。

 ここでは「インターネットアクセス用プロトコル ルールの作成」()を起動して、設定を行ってみよう。「新しいプロトコル ルール ウィザード」では、まず最初にプロトコル ルールに対して名前を付ける。ISA Serverでは、以後この名前でインターネットをアクセスするためのルールを参照することになる。

新しいプロトコル ルール ウィザードの開始
アクセスを許可したり、ブロックしたりするためには、必ず「ルール」と呼ばれるプロトコルの集合を定義しなければならない。インターネットへのアクセスを許可するためのルールRule-InternetAccessを定義する。
  ここでは「Rule-InternetAccess」という名前を付ける。
  次のステップへ→

 次は、実際に許可を与えるプロトコルの集合を定義する。が、「インターネット・アクセス用プロトコル ルールの作成」では最初から以下のプロトコル(FTP/Gopher/HTTP/HTTPS)について設定されているので、このまま先へ進めばよい。

プロトコルの設定
インターネット・アクセスのためのプロトコルを定義する。この場合は、デフォルトでWeb(HTTP、HTTPS)とFTPが定義されているので、何もする必要はない。
  以下のプロトコルだけを「通す」か([選択されたプロトコル]を選択)、「通さない」か([選択されたプロトコル以外のすべてのIPトラフィック]を選択)、それとも「すべてのプロトコルを通す」か([すべてのIPトラフィック]を選択)を選択する。ここでは、で選択したもののみを通すことにする。
  プロトコルの選択。必要なものにチェックを付ける。
  以上のもの以外にも多数のプロトコルがあらかじめ定義されているので、必要ならそれらを選択することもできる。
  次のステップへ→

 次はインターネットへの接続を許可する時間帯を選択するが、とりあえずデフォルトの「常時」のままでもよいだろう。必要なら細かく曜日や時間帯を指定することもできるようになっている。

スケジュールの設定
インターネットへのアクセスを許可する時間帯を設定する。
  デフォルトでは「常時」となっているが、必要ならばより細かくスケジューリングを行うこともできる。
  次のステップへ→

 次は、ISA Serverへのアクセスを許可するクライアントの集合を定義する。IPアドレスでグループ化したり、ユーザー名で認証させたりすることができるが、ここではとりあえず内部ネットワークからのすべてのアクセスを許可することにする。

クライアントの種類の設定
インターネットへのアクセスを許可するクライアントの集合を定義する。一般的には内部ネットワーク上のIPアドレスの集合などを使って定義することになる。
  すべてのクライアントからのアクセスを許可する。
  IPアドレスのグループを指定して、クライアント・セットを定義する。
  ユーザー名やグループ名を使って定義する。この場合は、許可を与えられたユーザーやグループのみがアクセスできるようになる。
  次のステップへ→

 これでインターネット・アクセス用のプロトコルの定義は終了である。

ウィザードの完了
この定義によって、内部ネットワークからインターネットへアクセスができるようになる。
  作成されたプロトコルの許可ルール。
  このボタンをクリックして処理を完了すれば、アクセスできるようになっている。

 以上でISA Server側の準備は完了である。クライアント側のPCのデフォルト・ゲートウェイをこのISA Serverに向けておくと、後はクライアント側では何も設定しなくても、インターネットへ自由にHTTPやFTPプロトコルでアクセスできるようになっているはずである。通常はInternet Explorerのオプションで、ProxyサーバのIPアドレスの設定などをしなければProxyサービスを正しく利用することができないのであるが、今回のケースでは不要である。ISA Serverの「透過Proxy」では、単にデフォルト・ゲートウェイをISA Serverにするだけで、自動的にWebのProxy機能が適用され、全クライアントからのWebアクセスのトラフィックがキャッシュの対象となる。

ISA Serverのセキュリティ パッチについて

 ISA Serverについては、すでに2001/05/15日付でセキュリティ・パッチ・モジュール(MS01-021)が発表されているので、システムをインストール後、必ずこれを当てておく必要がある。

Microsoftセキュリティ情報(MS01-021)――Web公開時に異常なリクエストによって Web Proxy サービスが停止する

 今回は、ISA Serverシステムのインストールと最小限のセットアップだけを紹介した、次回は、Web Proxyのより進んだ機能について解説する。End of Article

次回は8月中旬に掲載予定です。

 

 INDEX
  [運用]Windows 2000 LAN防衛術
  第1回 ISA Serverのインストールとセットアップ
    1.ISAサーバの機能とシステム要件
    2.ISAサーバのインストール(1)
    3.ISAサーバのインストール(2)
  4.ISAサーバのインストール(3)
 
 運用

@IT Special

- PR -

TechTargetジャパン

Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

ホワイトペーパーTechTargetジャパン

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
ソリューションFLASH