特集
|
 |
|
|
|
VPNサーバの設定が完了すれば、次は検疫サービスのための設定を行う。具体的には、検疫用のリモート・アクセス・ポリシーを新しく定義する。具体的な手順としては、ウィザードで基本となるポリシーを作成後、検疫用のフィルタなどの条件を追加する。
ウィザードによる基本ポリシーの作成
基本となるポリシーを作成するには、RRASの管理ツールで[リモート アクセス ポリシー]項目を右クリックし(もしくは右側ペインで右クリックする)、ポップアップ・メニューから[新しいリモート アクセス ポリシー]を選択する。IAS認証の場合は、[管理ツール]の[インターネット認証サービス]ツールを利用してポリシーを定義する。
 |
||||||
| 新しいポリシーの追加 | ||||||
| 検疫用のポリシーを明示的に作成して追加する。デフォルトでは2つのポリシーのみが定義されている。 | ||||||
|
メニューを選択するとポリシーの作成ウィザードが起動する。この段階では、VPN用の標準的なポリシーを作成すればよいので、[次へ]を順次押せばよい。
 |
||||||
| ポリシー作成ウィザードの起動 | ||||||
| 最初に、標準的なVPN用のポリシーを作成し、後て検疫用のルールを追加する。 | ||||||
|
検疫用のフィルタの作成や、接続時間制限などの設定
いったんリモート・アクセス・ポリシーが作成できれば(名前は[検疫VPN接続]とする)、次は検疫用の特別な追加設定を行う。具体的には、次の2つの項目を追加し、VPN接続時のネットワークへのアクセスを制限させる。
| 項目名 | 設定内容 | 用途 |
| MS-Quarantine-Session-Timeout | 例:120秒 | 検疫をパスしない場合は、120秒経過したら、VPN接続を強制的に切断する。検疫をパスすれば、強制切断はされない |
| MS-Quarantine-IPFilter | 入力フィルタ設定 | 検疫状態では、非常に限定されたネットワーク・リソースやプロトコルしかアクセスできないようにする。検疫をパスすれば制限なく利用できるようにする |
 |
||
| 検疫用追加ポリシーの定義 | ||
| 検疫状態では、これらのいずれか(もしくは両方)の設定が適用されるように、ポリシーを定義する。 | ||
これらの属性は、検疫サービスでのみ利用される特別な属性であり、それぞれ次のような意味を持つ。
■MS-Quarantine-Session-Timeout
これは検疫中の最大猶予時間を設定するための項目である。例えば120秒としておくと、VPNで接続後、120秒以内に検疫をパスしなければ、切断されてしまう。インストールされているOSやソフトウェアのバージョンの調査や、検疫がパスしない場合に特定のWebページへ誘導して表示させるだけならば、この程度でもよいだろう。だがウイルス・チェックの実行や、システム内部のファイルのバージョンや内容の詳細な調査、不足しているパッチなどをダウンロードして強制適用させるといった、非常に込み入った検疫方法では、この程度の時間では不足するかもしれない。その場合は、もっと猶予時間を長くするか、この項目は使用しないようにする。
■MS-Quarantine-IPFilter
これは、検疫中のアクセス制限を行うためのフィルタ設定である。検疫サービスを利用すると、検査にパスしない限り、非常に限定されたリソースやサーバへしかアクセスできなくなるが、それは、ルーティング機能の禁止やMACアドレス・ベースのパケット・フィルタなどによって実現されているのではない。実際には、この項目で指定したフィルタが機能することによって、アクセス制限を行っている。そのため、フィルタの設定を変更することにより、どのような形態のアクセス制限でも実現可能となる。例えば内部ネットワークへのアクセスをすべて禁止するとか、特定のIPアドレス(群)への接続だけを許可する、特定の内部ネットワークへのアクセスだけを許可する、特定のプロトコルだけを許可する、もしくはこれらを組み合わせた形態にする、などである。
これら2つの項目は、両方とも定義してもよいし、片方だけ定義してもよい(両方とも定義しないと、何の制限もないという状態になる)。VPN接続した直後は、ここで定義した属性やフィルタが機能しているが、検疫の検査にパスするとこれらの項目が無効になり(削除され)、自由に内部ネットワーク・アクセスできるようになる。
検疫用のフィルタを定義するには、いま作成したプロファイル名を右クリックし、ポップアップ・メニューの[プロパティ]を選択する。
 |
||||||
| ルールの追加 | ||||||
| 作成した標準ポリシーに、検疫用のルールを追加する。 | ||||||
|
検疫用のフィルタを新しく定義するには、[プロファイルの編集]をクリックし、[詳細設定]タブを選択する。
 |
|||||||||
| 検疫用ルールの追加 | |||||||||
| 検疫用の属性を2つ追加する。 | |||||||||
|
デフォルトではこのように2つの属性しか定義されていないが、ここに新たに2つの属性を追加する。[追加]ボタンをクリックすると次のような画面が表示されるので、先の表に示した2つの項目を選択して追加し、値を設定する。
 |
|||
| 検疫の猶予時間属性の追加 | |||
| 検疫用の特別な属性を追加する。これは検疫モード時にのみ有効であり、パスすると自動的に無効になる。 | |||
|
まず検疫の猶予時間を設定してみよう。このためには、MS-Quarantine-Session-Timeoutという項目を追加する。項目名をダブルクリックするか、[追加]ボタンをクリックすると、次のようダイアログが表示される。属性の値フィールドには、秒で数えた猶予時間を指定する。120秒(2分)ならば「120」と入力する。
 |
||||||
| 追加する属性 | ||||||
| MS-Quarantine-は検疫用の特別な属性。 | ||||||
|
次は検疫用のパケット・フィルタを指定する。フィルタには入力フィルタ(インターネットからVPN経由で内部ネットワークへアクセスする場合に適用される、インバウンド・フィルタ)と、出力フィルタ(内部ネットワークからインターネットへ向かう、アウトバウンド・フィルタ)の2つがあるが、検疫という用途では入力フィルタのみを設定すればよい。
 |
||||||
| 検疫用パケット・フィルタの設定 | ||||||
| 検疫ネットワーク(検疫リソースにのみアクセスできるネットワーク)は、実際にはパケット・フィルタで実現されている。 | ||||||
|
フィルタとして設定する内容としては、マイクロソフトのドキュメントなどでは以下の4つの項目を設定する例が紹介されているが、このあたりは実際の環境に合わせて変更する必要がある。ただし一番上のルール(TCPの7250番を通過させるルール)だけは不可欠である(MS-Quarantine-IPFilterを使用する場合)。rqc.exeはこのポートを使って、検疫結果を検疫サーバに渡しているからだ(ポート番号はレジストリの設定などにより変更可能)。
| フィルタ | 設定内容 |
| rqc.exeの結果の返信用 | TCPの7250番ポートを、VPNクライアントからVPNサーバに向けて送信するためのルール。「プロトコル=TCP、宛先ポート=7250」を指定し、それ以外は「任意」のままにしておく |
| DHCP用 | VPNクライアントからVPNサーバへのDHCP要求を送受信するためのルール。「プロトコル=UDP、発信元ポート=68、宛先ポート=67」とする(それ以外は「任意」のまま) |
| DNS用 | VPNクライアントからVPNサーバに対してDNS要求を送受信するためのルール。検疫に、内部ネットワーク上のリソース(コンピュータ名)を名前解決するために利用する。内部リソースへのアクセスを禁止したり、直接IPアドレス指定して接続したりする環境の場合は不要。「プロトコル=UDP、宛先ポート=53」とする |
| 内部リソースへのアクセス用 | 内部ネットワーク上にある特定のリソース(特定のコンピュータや特定のネットワークなど)へのアクセスを許可するためのルール。必要に応じてルールを設定すること |
|
|
| フィルタ設定の例 | |
これら4つのフィルタを設定した状態を以下に示しておく。なお4つ目のルールは、内部ネットワーク上にある特定のIPアドレス(10.20.1.11)へのアクセスを許可するためのものなので、環境に合わせて適宜変更する必要があるだろう。
 |
|||||||||
| 追加するフィルタ・ルール | |||||||||
| 検疫リソースへのアクセスだけを通すようにパケット・フィルタを設定する。 | |||||||||
|
以上でVPNサーバ側の設定は完了である。後はクライアント側でVPN接続用の設定を行い、実際にVPN接続してみるとよい。例えばWindows XPの[コントロール パネル]−[ネットワーク接続]にある[新しい接続ウィザード]でVPNサーバへの接続プロファイルを作成し、これを実行してみよう。この状態ではまだ検疫用のクライアント設定は何も行っていないので、接続後120秒経過すると(MS-Quarantine-Session-Timeoutの設定による)、自動的に切断されるはずである。また内部ネットワークへのアクセスも制限され、検疫用入力フィルタで指定したコンピュータ以外へのアクセスはすべて拒否されるはずである(pingコマンドなどで確かめることができる)。
 |
 |
| INDEX | ||
| [特集]Windows Server 2003 SP1レビュー | ||
| 第2回 リモート・アクセス検疫機能 | ||
| 1.「リモート・アクセス検疫サービス」とは | ||
| 2.検疫サービスのインストール | ||
 |
3.検疫ネットワーク用のリモート・アクセス・ポリシーの作成 | |
| 4.接続マネージャによる接続用設定のプロファイルの作成 | ||
| 5.VPN接続と検疫スクリプト | ||
 |
||
 |
「特集」 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
 |
|
|
|
|
注目のテーマ
Windows Server Insider 記事ランキング
転職/派遣情報を探す
