今回から3回に分けて、検疫ネットワークについて説明していく。今さら言うまでもないが、検疫ネットワークを導入することで、セキュリティ修正プログラムの適用やウィルス対策ソフトのセットアップといった基本的なセキュリティ対策を施していないコンピュータがネットワークに接続できないようにして、ウィルスやワームの拡散を防ぐ一助とすることができるのだ。

検疫ネットワークを実現するにはさまざまな方法があるが、本連載はWindowsサーバ入門であるから、Windows Server 2008が標準装備する機能(NPS : Network Policy Server)を用いる方法を解説する。

NPSで検疫ネットワークを構成する方法は複数あるが、本稿では、最も簡単なDHCPサーバを利用する方法を紹介する。これは、NPSサーバ側で設定した条件に合わないクライアントPCに対して、DHCPサーバが通常とは異なるTCP/IPパラメータを割り当てて、論理的に通信不可能にするというものだ。その後の設定変更などによって所定の条件を満たすと、TCP/IPパラメータを割り当て直して、LAN上の他のコンピュータと通信できるようになる。

ドメインコントローラの準備

検疫ネットワークを実現するには、Windows Server 2008ベースのサーバ群とActive Directory環境が必要になる。ドメインコントローラはWindows Server 2003でも対応できるが、いずれにしてもWindows Server 2008は必要になるので、わざわざ古いWindows Server 2003を用意する意味はないだろう。ドメインコントローラをWindows Server 2003で運用するのは、すでにWindows Server 2003ベースのActive Directoryが稼動している場合に限られる、と考えるのが筋だ。

ともあれ、まずはActive Directoryを稼働させるためのドメインコントローラが必要だが、これは特に難しいことはない。理想を言えば、最低2台のドメインコントローラ、それとDNS(Domain Name System)サーバが欲しいところだが、Active Directory統合DNSにすることを考えると、ドメインコントローラ兼DNSサーバが2台あればよいだろう。

なお、検疫ネットワークを実現する際にDHCPサーバを使用する関係から、ドメインコントローラやDNSサーバとDHCPサーバは別々にして、兼用は行わない。

本稿の設定例では、ドメインコントローラは1台だけ用意して、以下の諸元としている。

  • コンピュータ名 : HELIOS
  • IPアドレス : 192.168.0.51
  • サブネットマスク : 255.255.255.0
  • ドメイン名 : olympus.kojii.local

NPSサーバの役割追加と設定

続いて、検疫ネットワークの中核となるNPSサーバの準備を行う。こちらはドメインコントローラやDNSサーバと違って、Windows Server 2008を使用しなければならない。また、ドメインコントローラやDNSサーバとは別のコンピュータにする必要がある。設定の手順は以下の通りだ。

(1)NPSサーバとして稼動させるコンピュータに、Windows Server 2008をセットアップする。

(2)セットアップ完了後に、コンピュータ名の変更と固定IPアドレスの設定を行う。本稿では以下の設定を使用することとする。

  • コンピュータ名 : STYX
  • IPアドレス : 192.168.0.52
  • サブネットマスク : 255.255.255.0

(3)上記の設定を行ったNPSサーバを、一般サーバとしてActive Directoryに参加させる。

(4)サーバーマネージャを使って、以下の役割と役割サービスを追加する。

  • 役割[ネットワークポリシーとアクセスサービス]
  • [ネットワークポリシーとアクセスサービス]以下の役割サービス[ネットワークポリシー サーバー]
  • 役割[DHCPサーバー]

サーバーマネージャで役割の追加を指示して、[DHCPサーバー]と[ネットワークポリシーとアクセスサービス]のチェックをオンにしてから続行する

役割[ネットワークポリシーとアクセスサービス]以下の役割サービス[ネットワークポリシーサーバー]のチェックもオンにする

(5)DHCPサーバの役割を追加したサーバでは、ウィザードによってスコープの設定を行う必要がある。そのDHCPサーバの設定は、以下のようにする。なお、DHCPスコープのアドレス範囲についてはクライアントPCの台数に依存するので、台数に合わせて加減する必要がある。

  • 親ドメイン : olympus.kojii.local (プライマリDNSサフィックス。Active DirectoryのドメインDNS名と同じ)
  • DNSサーバアドレス : ドメインコントローラ兼DNSサーバになっているサーバのIPアドレス(前述のように「192.168.0.51」)
  • DHCPスコープのアドレス範囲例→192.168.0.81-192.168.0.100(固定IPアドレスを割り当てるサーバと重複しないように注意)
  • DHCPv6ステートレス モード : 無効
  • DHCP承認のための資格情報 : ドメイン管理者(olympus\administrator)

親ドメインはActive DirectoryのドメインDNS名を、DNSサーバアドレスはドメインコントローラ兼DNSサーバのIPアドレスを、それぞれ指定する

今回はここまでとして、次回はNPSサーバとDHCPサーバの設定変更を紹介しよう。