3流プログラマのメモ書き

元開発職→社内SE→派遣で営業支援の三流プログラマのIT技術メモ書き。 このメモが忘れっぽい自分とググってきた技術者の役に立ってくれれば幸いです。(jehupc.exblog.jpから移転中)

(MCP70-642)3.1 リモートアクセスを構成する

サーバがらみ

MCP70-642 Windows Server 2008 Network Infrastructure, Configuring のメモです。

参考書は下記を使用。

MCP教科書 Windows Server 2008 Network編(試験番号:70-642) (MCP教科書)

ここから第3章のネットワークアクセスの構成に入ります。Windows Serverが提供している各種ネットワーク関連の構成方法ですが、覚えれるかどうか。。

■3.1.1 リモートアクセスとは

リモートアクセスにはダイアルアップとVPNがある。

リモートアクセスサーバをインストールには、サーバの役割「ネットワークポリシーとアクセスサービス」→「ルーティングとリモートアクセスサービス」で行う。

■3.1.2 ルーティングとリモートアクセスサービス(RRAS)の有効化

RRAS はインストール直後は無効なので、有効化しないといけない。(DHCPサービスも同じ)

インストールの手順のポイントだけ。。

・「IPアドレスの割り当て」 

 「自動」 : RRASサーバがDHCPサーバーからIPを取得し、リモートクライアントに割り当てる。

     この際、10個分のアドレスブロックをリースして、クライアントに割り当てる。

 「指定したアドレス範囲」 : RRASサーバ自体がクライアントにIPを割り振る。

DHCPリレーエージェント

 RRASがIPアドレスの割り当てを「自動」(他のDHCP使用)にした時、DHCPリレーエージェントを入れるかどうか聞いてくる。

 リレーエージェントインストールした:DNSやWINSの値もDHCPからクライアントに割り当てられる。

 リレーエージェントインストールしない:RRASサーバ自身のTCP/IP設定がクライアントに割り当て。

■3.1.3 リモートアクセスの認証

ユーザ認証のとき、

 ・RRASサーバのローカルユーザ

 ・Active Directoryドメインユーザ

のどちらでも認証できる。

認証の方式は下記の手順で構成。

 管理ツール「ルーティングとリモートアクセスサービス」

 サーバ名のプロパティ→「セキュリティ」タブ。

 「認証プロバイダ」で「Windows認証」を選択し、「認証方式」ボタンより、認証プロトコルを選ぶ。

ユーザー名とパスワードの認証プロトコル

PAP

 ユーザ名、パスワードをクリアテキストで送信する。脆弱な認証方式なので普通使わない。

CHAP

 チャレンジレスポンス方式で認証するが、暗号化レベルが高くないのでこれも推奨されない。

MS-CHAP

 MSがCHAPを拡張したもの。 MS-CHAP v2 がよりセキュリティが確保されている。

証明書による認証プロトコル

EAP-TLS

 EAPの一種。サーバ認証、クライアント認証ともに証明書を使う。

PEAP

 サーバ、クライアント間の暗号化行い、他の認証プロトコルを補う。無線LANクライアント認証なで使用。

 PEAP-EAP-MS-CHAP v2

  サーバ認証はサーバ側の証明書を利用。ユーザ認証はユーザ名とパスワードを使う。

 PEAP-EAP-TLS

  EAP-TLSを利用するPEAP。標準では最強らしい。

※サーバ、クライアント間で複数の認証方式が使えるときは、最もセキュリティレベルが高いものが自動的に選択。

 よって必要ない認証プロトコルはサーバ側で無効化しておくとよい。

■3.1.4 リモートアクセスプロトコル

ダイアルアップは定番のPPPを使用。以下のVPNプロトコルも、PPPをカプセル化してるのが多い。

PPTP

 制御用コネクション TCP 1723 を使用。

 暗号化の機能はない。(MSの拡張として MPPE と MS-CHAP を組み合わせて暗号化)

 Win2k以前の古いOSでもOK。特に設定もなくお手軽。

L2TP

 Win2k以降から標準搭載。

 暗号化の機能がないため、IPSecと組み合わせて使う。

 L2TP/IPSec の場合、IPSecのコンピュータ認証方式として、事前共有キーコンピュータ証明書(クライアント、サーバ共にインストール)がある。

SSTP

 Server 2008 で新しくサポート。クライアントは Vista SP1 以降。

 HTTPS(443ポート)を使う。

 ファイアウィールやNATやプロキシを越えやすい。

 サーバにサーバー証明書が必要。クライアントにもルートCAの証明書が必要。

 拠点間VPNには使えない。標準化されていない。

■3.1.5 リモートアクセスポリシー

管理ツール「ネットワークポリシーサーバー」から設定可能。(これは、管理ツール「ルーティングとリモートアクセスサービス」から「NPSの起動」で起動させないといけない)

時間帯、アクセス許可するグループ、接続最大時間、暗号化強度などが制限できる。

ポリシー作成ウィザード

・条件

・制約(アイドルタイムアウト、セッションタイムアウト(接続時間)、日付と時刻の制限などができる)

・アクセス許可(許可、拒否の指定)

・認証方法

Windowsのユーザアカウントプロパティにも「ダイヤルイン」にてリモートアクセス許可が設定できるが、リモートアクセスポリシーとどちらを優先するかは、ポリシー作成ウィザード中の「ユーザダイヤルインプロパティ(NPSポリシーよりも優先される)によってアクセスを判断する」で決定できる。

複数のポリシーを作った場合、「処理順序」の値の小さいものから順に適用される。条件に完全一致すれば、次のポリシーは評価されない。

なんかポリシーの適用順というか条件がややこしいけど、本文の図3.33を見ればなんとなくわかる。

また、「条件の指定」と「制約の構成」をうまく使い分けること。

■3.1.6 VPNサーバーへの接続

「接続またはネットワークのセットアップ」ウィザードから実行。

「接続に使用するインターネットアドレスを入力してください」で、VPNサーバのIPアドレスを入れる。(IPアドレスということは、接続先が動的IPならこの方法は難しいということ? と思ったら、URLでもOKらしい。)

■3.1.7 RADIUSサーバーの構成

RADIUSとは?

・認証(ユーザの識別)

・承認(アクセスの可否判断)

・アカウンティング(ログのこと)

の機能を有している。ダイヤルアップ接続時代のもの。

Windows Server 2008では「ネットワークポリシーサーバー」(NPS)が RADIUS サーバ機能を提供してる。

(Windows Server 2002ではインターネット認証サービスで提供されてた)

RDIUSサーバを使った認証はこんな感じ。



クライアント<------>RRAS<------------>NPS<-------->ActiveDirectoryドメコン


                 (リモート      (RADIUSサーバ)    (ActiveDirectory使う場合)


               アクセスサーバ)

RADIUS認証に UDP 1812 RADIUS アカウンティングに UDP 1813 を使う。

構成として、RRAS(VPNサーバ)をDMZに配置し、NPS(RADIUSサーバー),ActiveDirectoryを内部におくという構成もあり。

RADIUSのインストール

「ネットワークポリシーとアクセスサービス」の役割から、「ネットワークポリシーサーバー」でOK。

ActiveDirectoryドメインのユーザ認証するには、ActiveDirectory にある RAS and IAS Servers セキュリティグループに NPS コンピュータアカウントを追加しないとダメ。

RADIUSサーバー(NPS)側でRADIUSクライアントを指定

管理ツール「ネットワークポリシーサーバ」を起動。

RADIUSクライアント」を右クリで、「新規RADIUSクライアント」。

設定項目は下記。

・フレンドリ名(項目識別のタイトル)

・アドレス(クライアントのIPかDNS名)

・共有シークレット(クライアント、サーバ間でのパスワード文字列)

RADIUSクライアント(RRAS)側でRADIUSサーバーを指定

管理ツール「ルーティングとリモートアクセスサービス」を起動。

サーバープロパティの「セキュリティタブ」で、「認証プロバイダ」を「RADIUS認証」にする。

後は構成で、サーバ名や共有シークレットを追加していく。

RADIUSプロキシ

RADIUSプロキシを使うと、認証先の振り分けができる。