2件のコメント

Windows Server 2012でのDHCPを利用したNAPの構築方法 part2

このエントリはシリーズになっています。他のエントリも合わせて参照してください。

 

Part2では基本的なDHCPを利用したNAPの構築手順を紹介します。Part1で概要を紹介しており、その内容が頭に入っていないと理解が難しいと思いますので、先にPart1を確認しておいてください。

ネットワークポリシーとアクセスサービスの役割の追加

まず、NAPの役割を追加します。これはNAP Health Policy ServerとNAP DHCP Serverの両方で行う必要があります。

clip_image001

clip_image002

clip_image003

clip_image004

clip_image005

clip_image006

clip_image007

clip_image008

clip_image009

clip_image010

clip_image011

clip_image012

※特に再起動は必要ありませんでした。

clip_image013

 

ネットワークポリシーサーバーを構成する

今回はNAP Health Policy ServerとNAP DHCP Serverが分離している構成を作ります。この場合、NAP Health Policy ServerがRADIUSサーバーに、NAP DHCP ServerがRADIUSクライアントになります。お互いにサーバーとクライアントとして登録する必要があります。

まず、NAP Health Policy Server側でRADIUSクライアントを構成します。

clip_image014

clip_image015

clip_image016

clip_image017

アドレスはRADIUSクライアント、この場合はNAP DHCP ServerのIPを指定します。共有シークレットは後でNAP DHCP Server側にも埋め込みますので、コピーしておきます。

clip_image018

DHCP側のスコープ設定でNAPを有効にしたものを受け入れるように構成しようと思うので、何も入力せず[次へ]をクリックします。

clip_image019

clip_image020

clip_image021
ここにはネットワーク的に制限された場合でも到達可能とするサーバーを登録します。具体的にはWSUSサーバーやSCCMサーバー等が登録されることになります。

 

clip_image022

clip_image023

clip_image024

 

NAP DHCP Server側でRADIUSクライアントとして構成する

clip_image025

clip_image026

clip_image027

clip_image028

※上記のIPはNAP Health Policy Serverのものです

 

clip_image029

共有シークレットにはNPSサーバーで生成あるいは入力したものを入力します。

 

clip_image030

clip_image031

 

接続要求ポリシーにて要求を転送するように構成します。

clip_image032

clip_image033

clip_image034

 

DHCPスコープの設定

DHCPを用いたNAPでは実際にはDHCPサーバーが配布するネットワーク設定をいじることになりますので、DHCPサーバー側でもNAPとの連携が必要です。

2008 R2まではスコープオプションの構成が手動で必要でしたが、Windows Server 2012では手動でのスコープオプションは必要なく、スコープに対してネットワークアクセス保護を有効にするだけで後の設定はNAP側を参照して(連動して)自動的に行なってくれました。technetにもこのような設定の記載はなく、ここで「おかしい、設定できない」と2時間ほど悩んでしまいました…。

clip_image035

clip_image036

 

システム正常性検証ツール設定

あとはNAP Health Policy Server側でシステム正常性検証ツールの設定を行えばサーバー側での基本的な設定は完了です。

clip_image037

clip_image038
ここは必要に応じて設定を行います。

 

クライアント構成

クライアント側では以下の3つが設定されている必要があります。

  1. セキュリティセンターが有効
  2. Network Access Protection Agentサービスが開始されている
  3. NAPクライアント構成でDHCP検疫強制クライアントが有効である

それぞれ個別に設定してもよいのですがNAPの目的を考えると基本的にはGPOで強制的に設定することになると思います。

clip_image039

clip_image040

clip_image041

clip_image043
[コンピューターの構成] – [ポリシー] – [管理用テンプレート:ローカルコンピューター] – [セキュリティセンター]に設定があります。

 

clip_image044

clip_image045

以上でDHCPを用いたNAPの基本的な設定は完了です。

 

clip_image046

制限を受けると上記のようにサブネットマスクが24ビットとなり、基本的にどこにも通信出来ないようになります。きちんと構成されるとこの制限は即座に解かれます。

子供3人。家族優先。都内SIer勤務。Windows系中心のインフラよりの何でも屋。脱原発。 Microsoft MVP for Cloud and Datacenter Management.

2件のコメント

  1. Windows2016の場合、『NAPを構成する』の選択が表示されないのですが、DHCPとNPSを連携する方法は違いがありますか?

    1. 残念ながら、Windows Server 2016では、NAPは削除されています。

      >Network Access Protection (NAP), Health Registration Authority (HRA), and Host Credential Authorization Protocol (HCAP) were deprecated in Windows Server 2012 R2, and are not available in Windows Server 2016. If you have a NAP deployment using operating systems earlier than Windows Server 2016, you cannot migrate your NAP deployment to Windows Server 2016.
      https://docs.microsoft.com/en-us/windows-server/networking/technologies/nps/nps-top

      いまですと、Azure AD + Intuneによる条件付きアクセスでのコントロールがオススメです!

コメントを残す

メールアドレスが公開されることはありません。

x
11月15日にHuaweiさん、IIJさん、Microsoftさん、JBSでAzure Stackのセミナーを行います。私も登壇させてもらいます。懇親会もあります。 是非ご参加下さい! セミナー申し込みページ:https://www.jbs.co.jp/event/list/2018/1115