[運用]
Windows Server 2008ターミナル・サービス・ゲートウェイ実践構築入門(後編)

2.中央のNPSの環境設定

マイクロソフト株式会社
IT Pro エバンジェリスト
安納 順一
2009/06/25
Page1 Page2 Page3 Page4

中央のNPSの環境設定

 TSゲートウェイの設定は完了したので、次に、RADIUSサーバとなる中央のNPSの設定を行う。基本方針として、まずクライアントから接続可能にすることを優先し、セキュリティなどの細かい設定は後回しにする(「ネットワーク・ポリシーの設定」以降で説明する)。以下に手順を示す。

  • 中央のNPSをインストールしたサーバに管理者でログオンし、サーバ・マネージャを起動
  • [サーバー マネージャー]−[役割]−[ネットワーク ポリシーとアクセス サービス]−[NPS (ローカル)]−[RADIUSクライアントとサーバー]−[RADIUS クライアント]を右クリックして[新規 RADIUS クライアント]を選択
  • [新規 RADUIS クライアント]画面が開いたら、以下のようにRADIUSクライアントすなわちTSゲートウェイの情報を入力する(画面05)
    • [この RADIUS クライアントを有効にする]:チェックをオンにする
    • [フレンドリ名]:RADIUSクライアントの識別名
    • [アドレス]:RADIUSクライアントのIPアドレスまたはホスト名。繰り返すが、ここでいうRADIUSクライアントとは、TSゲートウェイ・サーバのことだ
    • [ベンダ名]:[RADIUS Standard] を選択
    • [共有シークレット]:「TSゲートウェイの設定」で指定した共有シークレット文字列を指定
    • [Access-Request メッセージに Message-Authenticator 属性を必要とする]:チェックをオフにする
    • [RADIUS クライアントが NAP に対応している]:チェックをオフにする。この設定は、リモート・デスクトップ接続クライアントがTSゲートウェイに接続してきた際に、クライアントがRADIUSサーバとの通信に乗せて検疫情報を送信するために使用する。今回は検疫を行わないのでチェックをオフにする
画面05 [新規 RADIUS クライアント]画面
ここではRADIUSクライアントを定義するために、TSゲートウェイに関する情報を入力する。
このチェックをオンにする。
RADIUSクライアントの識別名として、TSゲートウェイの名称を入力する。
RADIUSクライアントのIPアドレスまたはホスト名を入力する。繰り返すが、ここでいうRADIUSクライアントとはTSゲートウェイ・サーバのことだ。
[RADIUS Standard] を選択する。
これを選ぶ。
画面04で入力した共有シークレットを入力する。
このチェックをオフにする。
今回は検疫を行わないのでチェックはオフにする。リモート・デスクトップ接続クライアントがTSゲートウェイに接続した際に、RADIUSサーバとの通信に乗せて検疫情報をクライアントに送信させる場合は、このチェックをオンにする。

 RADIUSクライアントの登録が完了したら、次は「接続要求ポリシー」を作成する。「接続要求ポリシー」とは、TSゲートウェイを介して送信されるリモート・デスクトップ接続クライアントからの接続要求をどこで認証するかを定義するためのものだ。以下に「接続要求ポリシー」を作成する手順を示す。

  • [サーバー マネージャー]−[役割]−[ネットワーク ポリシーとアクセス サービス]−[NPS (ローカル)]−[ポリシー]−[接続要求ポリシー] を右クリックして[新規]を選択し、ウィザードを起動する
  • 「新しい接続要求ポリシー名と接続の種類の指定」画面で以下を指定する(画面06)
    • [ポリシー名]:作成する接続要求ポリシーの名前
    • [ネットワーク アクセス サーバーの種類]:[ターミナル サーバー ゲートウェイ]を選択する。ここは[指定なし]でも問題はないが、[ターミナル サーバー ゲートウェイ]を指定することで、TSゲートウェイ以外からの接続を除外できる。中央のNPSに対して複数種類の接続が混在する場合には、このように分けた方がよいだろう
画面06 [接続要求ポリシー名と接続の種類の指定]画面
作成する接続要求ポリシーの名前を入力する。
これを選ぶ。
[ターミナル サーバー ゲートウェイ]を選ぶ。[指定なし]も指定できるが、[ターミナル サーバー ゲートウェイ]を指定すると、ほかのサーバやクライアントからの接続が誤ってこのポリシーを使用することを防止できる。
  • 「条件の指定」画面では、クライアントからのアクセスを受け入れる条件を指定できる。さまざまな条件を指定できるが、今回は細かな設定は行わず、アクセス可能な日付と時刻を設定することにする(画面07)
画面07 [条件の指定]画面
最も緩い条件を指定する場合には、日付と時刻の制限として「週7日、24時間」を使うとよい。
  • 「接続要求の転送の指定」画面では、接続を要求するクライアントの認証をどこで行うかを指定できる。デフォルトではNPSローカルで行うことになるが、ほかのNPSサーバが存在する場合には、そちらに転送することも可能だ。今回は、リモート・デスクトップ接続クライアントからの接続確認を第一の目的としているため、[資格情報を確認せずにユーザーを受け入れる]を選択することにする(画面08)。ここで[このサーバーで要求を認証する]を選択した場合には、「ネットワーク ポリシー」および「正常性ポリシー」の設定が必要となる
画面08 [接続要求の転送の指定]画面
クライアントからの接続確認を最優先とするため、ユーザーの資格情報に関係なく接続できるようにする。
これを選ぶ。
ひとまず、これを選ぶ。この設定はあとで修正する。
  • 「設定の構成」画面では、RADIUSクライアントから送信される属性などの設定が可能だが、今回は指定しない(画面09)
画面09 [設定の構成]画面
今回は特に設定する項目はない。

 なお、デフォルトでは既存の接続要求ポリシーとして「すべてのユーザーに Windows 認証を使用」というポリシーが登録されている。このように、接続要求ポリシーが複数存在する場合には、上から順番にチェックされ、条件が合致したところでチェックは終了する。手動で作成したポリシーは、既存のポリシーの下に追加されるため、このままではデフォルトの「すべてのユーザーに Windows 認証を使用」ポリシーが先にチェックされ、作成したポリシーがチェックされない可能性がある。そこで、ポリシーの順番を入れ替えて、手動で作成したポリシーが先にチェックされるように調整する(画面10)。ポリシーを右クリックして「上へ移動」または「下に移動」を選択すれば順番を変更できる。

画面10 サーバ・マネージャで作成済みの接続要求ポリシーを表示させたところ
複数のポリシーが定義されている場合には上からチェックされる。優先してチェックしたいポリシーは上位に移動しておく。
まず、これを選ぶ。
対象のポリシーを右クリックして「上へ移動」または「下に移動」を選択すれば優先順位を変更できる。

 以上で中央のNPSの設定は完了だ。

リモート・デスクトップ接続クライアントの設定と接続

 リモート・デスクトップ接続クライアント側の設定は、前編のときから特に変更する必要はない。前編の「5.クライアントの設定とTSゲートウェイ経由の接続」で解説したとおり、以下の2点が設定されていればよい。

  • TSゲートウェイ・サーバの証明書がリモート・デスクトップ接続クライアントのルート証明機関に登録されている
  • リモート・デスクトップ接続クライアントに、TSゲートウェイ・サーバが登録されている

 以上を確認したら、早速接続してみよう。

 クライアントでリモート・デスクトップ接続クライアント(mstsc)を起動し、[接続]ボタンをクリックすると、TSゲートウェイ・サーバへの接続用アカウントの入力が求められる。このアカウントは、TSゲートウェイに接続できるものであれば何でもよい。つまり、TSゲートウェイのローカル・アカウントでもよいし、TSゲートウェイとActive Directoryが通信可能であればドメイン・アカウントを指定してもよい。認証さえ通れば、ターミナル・サービスのデスクトップ画面が表示されるはずだ。

 なぜ、このようにルーズな認証が可能なのかといえば、「NPSの設定」で作成した「接続要求ポリシー」で[資格情報を確認せずにユーザーを受け入れる]を選択したからだ。この設定によって、TSゲートウェイに接続できるユーザーにフィルタがかかっていない状態になっている。

 以下は、クライアントからの接続時にNPSのセキュリティ・ログに報告された監査ログだ。「アカウント名」に記されている「TSGW01\Administrator」は、筆者が用意したTSゲートウェイ「TSGW01」のローカルAdministratorでログオンしたことを表している。また、「プロキシ ポリシー名」として先ほど作成した「ターミナル サーバー ゲートウェイを介したターミナル サービスへの接続」が記録されていることから、この接続要求ポリシーが適用されていることが分かるだろう。

ネットワーク ポリシー サーバーがユーザーにアクセスを許可しました。

ユーザー:
 セキュリティ ID:   NULL SID
 アカウント名:   TSGW01\Administrator
 アカウント ドメイン:   -
 完全修飾アカウント名: -

クライアント コンピュータ:
 セキュリティ ID:   NULL SID
 アカウント名:   -
 完全修飾アカウント名: -
 OS バージョン:   -
 被呼端末 ID:  UserAuthType:PW
 起呼端末 ID:  -

NAS:
 NAS IPv4 アドレス:  -
 NAS IPv6 アドレス:  -
 NAS ID:   -
 NAS ポートの種類:   仮想
 NAS ポート:   -

RADIUS クライアント:
 クライアントのフレンドリ名:  TSGW01
 クライアント IP アドレス:   192.168.120.4

認証の詳細:
 プロキシ ポリシー名:  ターミナルサーバーゲートウェイを介したターミナルサービスへの接続
 ネットワーク ポリシー名:  -
 認証プロバイダ:  <なし>
 認証サーバー:  nps01.contoso.co.jp
 認証の種類:  -
 EAP の種類:   -
 アカウントのセッション ID:  -

検疫情報:
 結果:    -
 セッション ID:   -
クライアント接続時に記録されたNPSの監査ログの例

 次のページでは、セキュリティ・レベルを高めるために、ネットワーク・ポリシーを作成する。


 INDEX
  [運用]
  Windows Server 2008ターミナル・サービス・ゲートウェイ実践構築入門(前編)
    1.ネットワークとサーバの構成パターン
    2.TSゲートウェイのインストール
    3.TSゲートウェイの環境設定(1)
    4.TSゲートウェイの環境設定(2)
    5.クライアントの設定とTSゲートウェイ経由の接続
 
  Windows Server 2008ターミナル・サービス・ゲートウェイ実践構築入門(後編)
    1.中央のNPSを加えたTSゲートウェイの構成
  2.中央のNPSの環境設定
    3.ネットワーク・ポリシーの作成
    4.接続要求ポリシーの修正と接続確認

 運用


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間