[運用]
Windows Server 2008ターミナル・サービス・ゲートウェイ実践構築入門(後編)

3.ネットワーク・ポリシーの作成

マイクロソフト株式会社
IT Pro エバンジェリスト
安納 順一
2009/06/25
Page1 Page2 Page3 Page4

ネットワーク・ポリシーの作成

 ここまでの作業で、ひとまずTSゲートウェイ+中央のNPSを介したターミナル・サービスへの接続が確認できた。

 しかし、すでにお気付きのとおり、このままでは前編のとき(TSゲートウェイのローカルNPSを使用したとき)と比べて明らかにセキュリティ・レベルが低い。そこで、TSゲートウェイに接続できるユーザーをActive Directoryドメインに登録された特定のユーザー・グループに制限するために、中央のNPSでネットワーク・ポリシーを作成する。その手順を以下に示す。

  • 中央のNPSをインストールしたサーバに管理者でログオンし、サーバ・マネージャを起動
  • [サーバー マネージャー]−[役割]−[ネットワーク ポリシーとアクセス サービス]−[NPS (ローカル)]−[ポリシー]−[ネットワーク ポリシー] を右クリックして[新規]を選択し、ネットワーク・ポリシーの作成ウィザードを起動する
  • [ネットワーク ポリシー名と接続の種類の指定]画面では以下の2つの値を入力する(画面11)
    • [ポリシー名]:ネットワーク・ポリシーの識別名を指定する
    • [ネットワーク アクセス サーバーの種類]:[ターミナル サーバー ゲートウェイ]を選択する。接続要求ポリシーと同様、「指定なし」でも接続は可能だが、複数種類の接続が混在する場合、[ターミナル サーバー ゲートウェイ]を指定することで、TSゲートウェイ以外からの接続で本ポリシーが誤って使用されることを防止できる
画面11 [ネットワーク ポリシー名と接続の種類の指定]画面
ネットワーク・アクセス・サーバの種類として「ターミナル サーバー ゲートウェイ」を選択しておこう。
作成するネットワーク・ポリシーを識別するための名前を入力する。
これを選ぶ。
[ターミナル サーバー ゲートウェイ]を選択する。接続要求ポリシーと同様、[指定なし]でも接続できるが、[ターミナル サーバー ゲートウェイ]を指定すると、ほかのサーバやクライアントからの接続が誤ってこのポリシーを使用することを防止できる。
  • [条件の指定]画面では、接続ポリシー同様、このポリシーを適用するための条件を指定する。条件を選択するには、[追加]ボタンをクリックして[条件の選択]画面が表示させ、一覧から条件を選択すればよい(画面12)。今回はドメインのセキュリティ・グループから「情報システム部」を選択し、ターミナル・サービスへのアクセスを許可するものとする(画面13)。設定後は画面14のようになっているはずだ
画面12 [条件の選択]画面
[条件の指定]画面で[追加]ボタンをクリックすると、この画面が表示される。ポリシーに組み込むさまざまな条件を選択可能で、Windowsのバージョンなども指定できる。今回は「ユーザー グループ」を使用する。
これを選ぶ。
これをクリックすると、具体的な条件を指定する画面が表示される(画面13)。

画面13 [ユーザー グループ]画面
ポリシーの条件とするユーザー・グループを指定する。今回はCONTOSOドメインの情報システム部グループを選択した。

画面14 ユーザー・グループのポリシー指定後の[条件の指定]画面
画面13で指定したユーザー・グループが設定されていることが分かる。条件の設定が完了したら[次へ]ボタンをクリックする。
  • [アクセス許可の指定]画面では、前の画面で指定した条件に合致するユーザーに対するアクセスの可否を指定する。今回は、「情報システム部」グループのメンバーにアクセスを許可するので、[アクセスを許可する]を選択する(画面15)
画面15 [アクセス許可の指定]画面
指定した条件に合致したユーザーに対してアクセスを許可するように設定する。
これを選ぶ。
ここではチェックをオフにしてよい。もし、このチェックをオンにする場合は、あらかじめNPSサーバをActive Directoryに登録しておく必要がある。Active Directoryへの登録は、サーバ・マネージャでNPSサーバを右クリックして「Active Directory に登録」を実行すればよい。
  • [認証方式の構成]画面では認証プロトコルを選択できる。高度な認証方式としてEAP(Extensible Authentication Protocol)も使用可能だが、今回はパスワード方式を使用することにする。TSゲートウェイでパスワード方式の認証を選択した場合、使用するプロトコルは自動的にNTLMとなるため、ここで認証方式を選択する余地はない。ちなみに、Windows Vista以降のコンピュータではMS-CHAPは実装されていないことを覚えておこう。NTLMはMC-CHAPに対応したプロトコルであるため、ここで[認証方式をネゴシエートせずにクライアントに接続を許可する]以外の認証プロトコルを選択すると、使用可能なプロトコルが見つからずに接続ができなくなる。よって、ここでは[コンピュータの正常性チェックのみを実行する]のみを選択し、認証プロトコル関連項目の設定を変える必要はない(画面16)
画面16 [認証方式の構成]画面
今回はパスワード方式で認証されるように設定する。
このチェックだけオンにする。これは本来NAPを使用するためのオプションだが、今回はダミー項目として使用する。
  • [制約の構成]画面では、アイドル状態が継続した場合の自動切断までの間隔、セッションの最大時間、使用可能な時間帯などを設定できる。今回は特に設定する必要はない(画面17)
画面17 [制約の構成]画面
条件と認証方式に合致したユーザーには、ここで指定した項目が適用される。今回は特に設定する必要はない。
  • [設定の構成]画面では、ここまで設定した条件をすべて満たした際にユーザーに与えられる設定値を指定する。画面18ではNAP(Network Access Policy)の強制を行うかどうかの設定を示している。今回はNAPの構成は行わないため、[完全なネットワーク アクセスを許可する]を選択する。これにより、「情報システム部」グループのメンバーシップを持つユーザーは、プライベート・ネットワークに対する完全なアクセス権を持つことになる。ただし、前編で構成したTS RAPによりアクセス可能なターミナル・サービスを制限することは可能だ
画面18 [設定の構成]画面
設定した条件をすべて満たした場合に与えられる設定値を指定する。今回はNAPを使わないように設定する。
まず、これを選ぶ。
これを選ぶ。

 以上でネットワーク・ポリシーの設定は終了だ。ここまでの設定値を確認し(画面19)、問題がなければ[完了]ボタンをクリックしよう。

画面19 [新しいネットワーク ポリシーの完了]
これまで設定してきた内容が一覧表示される。構成に間違いがなければ[完了]をクリックする。

 ネットワーク・ポリシーにはデフォルトのポリシーが2つ定義されており、手動で作成したポリシーは適用順の最後尾に追加される。そこで、接続要求ポリシーと同様に、作業の締めくくりとして新しく作成したポリシーの順番を最上位に移動しておこう。それには次の手順を実行する。

  • [サーバー マネージャー]−[役割]−[ネットワーク ポリシーとアクセス サービス]−[NPS (ローカル)]−[ポリシー]−[ネットワーク ポリシー]を選ぶ。
  • 右ペインのポリシー一覧から、今回作成したポリシーを右クリックして「上へ移動」または「下に移動」を選択する。

 次のページでは、ネットワーク・ポリシーが正しく適用されるように、接続要求ポリシーを修正する。


 INDEX
  [運用]
  Windows Server 2008ターミナル・サービス・ゲートウェイ実践構築入門(前編)
    1.ネットワークとサーバの構成パターン
    2.TSゲートウェイのインストール
    3.TSゲートウェイの環境設定(1)
    4.TSゲートウェイの環境設定(2)
    5.クライアントの設定とTSゲートウェイ経由の接続
 
  Windows Server 2008ターミナル・サービス・ゲートウェイ実践構築入門(後編)
    1.中央のNPSを加えたTSゲートウェイの構成
    2.中央のNPSの環境設定
  3.ネットワーク・ポリシーの作成
    4.接続要求ポリシーの修正と接続確認

 運用

@IT Special

- PR -

TechTargetジャパン

Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

ホワイトペーパーTechTargetジャパン

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
ソリューションFLASH