MCP70-642 Windows Server 2008 Network Infrastructure, Configuring のメモです。
参考書は下記を使用。
ここから第3章のネットワークアクセスの構成に入ります。Windows Serverが提供している各種ネットワーク関連の構成方法ですが、覚えれるかどうか。。
■3.1.1 リモートアクセスとは
リモートアクセスサーバをインストールには、サーバの役割「ネットワークポリシーとアクセスサービス」→「ルーティングとリモートアクセスサービス」で行う。
■3.1.2 ルーティングとリモートアクセスサービス(RRAS)の有効化
RRAS はインストール直後は無効なので、有効化しないといけない。(DHCPサービスも同じ)
インストールの手順のポイントだけ。。
・「IPアドレスの割り当て」
「自動」 : RRASサーバがDHCPサーバーからIPを取得し、リモートクライアントに割り当てる。
この際、10個分のアドレスブロックをリースして、クライアントに割り当てる。
「指定したアドレス範囲」 : RRASサーバ自体がクライアントにIPを割り振る。
・DHCPリレーエージェント
RRASがIPアドレスの割り当てを「自動」(他のDHCP使用)にした時、DHCPリレーエージェントを入れるかどうか聞いてくる。
リレーエージェントインストールした:DNSやWINSの値もDHCPからクライアントに割り当てられる。
リレーエージェントインストールしない:RRASサーバ自身のTCP/IP設定がクライアントに割り当て。
■3.1.3 リモートアクセスの認証
ユーザ認証のとき、
・RRASサーバのローカルユーザ
・Active Directory のドメインユーザ
のどちらでも認証できる。
認証の方式は下記の手順で構成。
管理ツール「ルーティングとリモートアクセスサービス」
サーバ名のプロパティ→「セキュリティ」タブ。
「認証プロバイダ」で「Windows認証」を選択し、「認証方式」ボタンより、認証プロトコルを選ぶ。
ユーザー名とパスワードの認証プロトコル
PAP
ユーザ名、パスワードをクリアテキストで送信する。脆弱な認証方式なので普通使わない。
CHAP
チャレンジレスポンス方式で認証するが、暗号化レベルが高くないのでこれも推奨されない。
MS-CHAP
MSがCHAPを拡張したもの。 MS-CHAP v2 がよりセキュリティが確保されている。
証明書による認証プロトコル
EAPの一種。サーバ認証、クライアント認証ともに証明書を使う。
サーバ、クライアント間の暗号化行い、他の認証プロトコルを補う。無線LANクライアント認証なで使用。
サーバ認証はサーバ側の証明書を利用。ユーザ認証はユーザ名とパスワードを使う。
※サーバ、クライアント間で複数の認証方式が使えるときは、最もセキュリティレベルが高いものが自動的に選択。
よって必要ない認証プロトコルはサーバ側で無効化しておくとよい。
■3.1.4 リモートアクセスプロトコル
ダイアルアップは定番のPPPを使用。以下のVPN用プロトコルも、PPPをカプセル化してるのが多い。
制御用コネクション TCP 1723 を使用。
暗号化の機能はない。(MSの拡張として MPPE と MS-CHAP を組み合わせて暗号化)
Win2k以前の古いOSでもOK。特に設定もなくお手軽。
Win2k以降から標準搭載。
暗号化の機能がないため、IPSecと組み合わせて使う。
L2TP/IPSec の場合、IPSecのコンピュータ認証方式として、事前共有キーとコンピュータ証明書(クライアント、サーバ共にインストール)がある。
Server 2008 で新しくサポート。クライアントは Vista SP1 以降。
HTTPS(443ポート)を使う。
ファイアウィールやNATやプロキシを越えやすい。
サーバにサーバー証明書が必要。クライアントにもルートCAの証明書が必要。
拠点間VPNには使えない。標準化されていない。
■3.1.5 リモートアクセスポリシー
管理ツール「ネットワークポリシーサーバー」から設定可能。(これは、管理ツール「ルーティングとリモートアクセスサービス」から「NPSの起動」で起動させないといけない)
時間帯、アクセス許可するグループ、接続最大時間、暗号化強度などが制限できる。
ポリシー作成ウィザード
・条件
・制約(アイドルタイムアウト、セッションタイムアウト(接続時間)、日付と時刻の制限などができる)
・アクセス許可(許可、拒否の指定)
・認証方法
Windowsのユーザアカウントプロパティにも「ダイヤルイン」にてリモートアクセス許可が設定できるが、リモートアクセスポリシーとどちらを優先するかは、ポリシー作成ウィザード中の「ユーザダイヤルインプロパティ(NPSポリシーよりも優先される)によってアクセスを判断する」で決定できる。
複数のポリシーを作った場合、「処理順序」の値の小さいものから順に適用される。条件に完全一致すれば、次のポリシーは評価されない。
なんかポリシーの適用順というか条件がややこしいけど、本文の図3.33を見ればなんとなくわかる。
また、「条件の指定」と「制約の構成」をうまく使い分けること。
■3.1.6 VPNサーバーへの接続
「接続またはネットワークのセットアップ」ウィザードから実行。
「接続に使用するインターネットアドレスを入力してください」で、VPNサーバのIPアドレスを入れる。(IPアドレスということは、接続先が動的IPならこの方法は難しいということ? と思ったら、URLでもOKらしい。)
■3.1.7 RADIUSサーバーの構成
RADIUSとは?
・認証(ユーザの識別)
・承認(アクセスの可否判断)
・アカウンティング(ログのこと)
の機能を有している。ダイヤルアップ接続時代のもの。
Windows Server 2008では「ネットワークポリシーサーバー」(NPS)が RADIUS サーバ機能を提供してる。
(Windows Server 2002ではインターネット認証サービスで提供されてた)
RDIUSサーバを使った認証はこんな感じ。
クライアント<------>RRAS<------------>NPS<-------->ActiveDirectoryドメコン
(リモート (RADIUSサーバ) (ActiveDirectory使う場合)
アクセスサーバ)
RADIUS認証に UDP 1812 RADIUS アカウンティングに UDP 1813 を使う。
構成として、RRAS(VPNサーバ)をDMZに配置し、NPS(RADIUSサーバー),ActiveDirectoryを内部におくという構成もあり。
RADIUSのインストール
「ネットワークポリシーとアクセスサービス」の役割から、「ネットワークポリシーサーバー」でOK。
ActiveDirectoryドメインのユーザ認証するには、ActiveDirectory にある RAS and IAS Servers セキュリティグループに NPS コンピュータアカウントを追加しないとダメ。
RADIUSサーバー(NPS)側でRADIUSクライアントを指定
管理ツール「ネットワークポリシーサーバ」を起動。
「RADIUSクライアント」を右クリで、「新規RADIUSクライアント」。
設定項目は下記。
・フレンドリ名(項目識別のタイトル)
・アドレス(クライアントのIPかDNS名)
・共有シークレット(クライアント、サーバ間でのパスワード文字列)
RADIUSクライアント(RRAS)側でRADIUSサーバーを指定
管理ツール「ルーティングとリモートアクセスサービス」を起動。
サーバープロパティの「セキュリティタブ」で、「認証プロバイダ」を「RADIUS認証」にする。
後は構成で、サーバ名や共有シークレットを追加していく。
RADIUSプロキシ
RADIUSプロキシを使うと、認証先の振り分けができる。
