検疫ネットワークの導入(3)

前回は、Windows Server 2008で検疫ネットワークの機能を実現するために使用するNPS(Network Policy Server)の設定のうち、NPSサーバに対して実施する必要がある設定変更を取り上げた。今回はその続きで、システム正常性検証ツールなどの設定について解説する。

システム正常性検証ツールの設定

NPSサーバの設定に続いて、システム正常性検証ツールの設定を行う必要がある。その手順は以下の通りである。

(1)[ネットワークポリシーとアクセスサービス]管理ツールを実行する。

(2)左側のツリー画面で、[NAP(ローカル)]-[ネットワークアクセス保護]-[システム正常性検証ツール]を選択する。

(3)画面中央に[Windowsセキュリティ正常性検証ツール]が現れるので、右クリックして[プロパティ]を選択するか、ダブルクリックして、プロパティ画面を表示させる。

(4)続いて表示するダイアログで[構成]をクリックする。

(5)[構成]をクリックすると表示するダイアログには、対象となるクライアントPC用のOSごとに分かれた複数のタブがある。そこで各OSについて、満たすべき条件を設定する。設定できる項目には、[ファイアウォール][ウィルス対策][スパイウェア対策][自動更新][セキュリティ更新プログラムによる保護]などがあり、チェックをオンにした項目がNPSによる検査対象となる。[セキュリティ更新プログラムによる保護]については、更新プログラムの種類も設定できる。

(6)[OK]をクリックして元のダイアログに戻り、さらに[OK]をクリックしてダイアログを閉じる。最後に、[ネットワークポリシー サーバー]管理ツールを終了する。

DHCPサーバの設定

続いて、DHCPサーバのスコープ設定を変更する。

(1)[DHCP]管理ツールを起動する。

(2)左側のツリー画面で、DHCPサーバを構成した際にウィザードで作成したスコープを選択する。

(3)[操作]-[プロパティ]、あるいは右クリックして[プロパティ]を選択して、プロパティ画面を表示させる。

(4)続いて表示する[スコープのプロパティ]画面で、[ネットワークアクセス保護]タブに移動する。そして、[ネットワークアクセス保護設定]以下の[このスコープに対して有効にする]と、その下の[既定のネットワークアクセス保護プロファイル]を選択する。

(5)[OK]をクリックしてダイアログを閉じる。

(6)次に、[DHCP]管理ツール左側のツリー画面でスコープ以下のツリーを展開して、[スコープオプション]を選択する。

(7)続いて、スコープオプションの設定画面を呼び出す。それには、[操作]-[オプションの構成]を選択するか、[スコープオプション]を選択した状態で画面右側の空きスペースで右クリックして[オプションの構成]を選択する。

(8)[スコープオプション]ダイアログを表示するので、[詳細設定]タブに移動する。続いて、[ユーザークラス]を[既定のネットワークアクセス保護クラス]に変更する。

(9)さらに、その下にあるリストボックスで、[006 DNS サーバー]のチェックをオンにする。その[006 DNS サーバー]を選択すると画面下部に現れる[データ入力]には、稼働中のDNSサーバのIPアドレスを指定する。本稿の設定例ではドメインコントローラがDNSサーバを兼ねているので、そのIPアドレスを指定すればよい。

(10)さらに同じ画面で[015 DNS ドメイン名]のチェックをオンにして、[データ入力]に検疫ネットワーク用のドメイン名を入力する。本稿の設定例では、Active DirectoryのドメインDNS名を「olympus.kojii.local」としているので、さらに「restricted」を付け加えて「restricted.olympus.kojii.local」としてみた。一目で検疫ネットワークであることがわかるようなドメイン名を指定するのがよいだろう。

(11)[OK]をクリックしてダイアログを閉じる。