2007年11月28日
著:クロスファンクショングループ ITエンジニアリング室 プラットフォーム推進部 杵島 正和 04-1128
NAP Agentの不思議な動作
図1:NAPのステータス画面。更新中のステータスということがわかる
前回のレポートの最後でNAPの動作確認を行い、クライアントのセキュリティレベルの低下を検知すると自動的に検疫ネットワークに隔離されることは確認した。しかし、クライアントのセキュリティレベルが回復してもその状態は更新されず(図1)、正常なネットワークに復帰できないという事態に見舞われた。 クライアントのセキュリティレベルが低下したことが検知できている点は評価できるが、正常なネットワークにつながらないのでは話にならない。そこで問題解決のためにいくつか切り分けを行ってみた。
図2:条件を満たしている場合の表示。本来は自動で更新されてほしいのだが。
NPS側のポリシーをいくつか変更してみたり、あるいはNPSを入れ直してみたりしたが、状況に変化は見られなかった。Windows VistaとDHCP間の通信は行われているようだが、クライアントのステータスの更新のロジックのどこかに問題があるように推測している。要するに、セキュリティレベルの低下はその場で検知できるが、正しく修復されてもその状態の変化は検知できないという現象のようだ。 結局、Vistaを再起動すればステータスの更新がされて(当然、正常性のチェックを通過しることが条件)正常にネットワークに参加できることができた。 この件はもう少し調査を進めることにするが、回避方法が見つかったのでとりあえずこのまま進むことにする。
DHCPとNPSを分離できるか
分離構成イメージ
前回の環境はNPSとDHCPが同一のサーバで動作する環境をテストしたが、NPSとDHCPをそれぞれ別々のサーバにインストールして運用することはできるのだろうか。答えは条件付きでYesである。実は分離構成といっても完全分離とはいかない。認証を行うNPSとDHCPは分離可能だが、DHCPだけではNPSに認証要求を渡すことができない。そこで、DHCPサーバにNPSをインストールし、RADIUS ProxyとしてNPSに要求を転送するように設定する必要がある。簡単に手順を紹介する。 たとえばNPS01というマシンがNPS、DHCP01というマシンがDHCPという環境があったとする。
- NPS01にNPSをインストール
NAP構成ウィザードでポリシーを作成 - DHCP01にNPSとDHCPをインストール
DHCPを設定 - DHCP01のNPSで転送用の接続要求ポリシーを作成
インストールそのものは同一サーバ上で構成した時と同様である。ただ、NPS01ではNPSのみを選択し、DHCP01でNPSとDHCPの2つを選択するという点だけ注意する。設定そのものは基本的にウィザードベースで設定ができるので、簡単に行うことができる。
Windows VISTA 以外のクライアントOSの対応
前回、Windows XPでのNAP Agentに関して少し触れたが、Windows XPへのNAP Agentの提供はSP3に含まれて提供することでほぼ確定したようである(NAPを動作させるためにはSP3が必須になりそうである様子。SP2以前の環境に対してNAP Agentの単独での配布は現時点ではなさそうに思われるが、最終的にはどうなるか見えていない)。Windows XPではNAPの設定はnetshコマンドを使用することになっているようで、netshを使用したNAPの強制手順も確認できた。 ちなみにWindows 2000 Professional以前への対応は行われない。しかし、LinuxやあるいはMac OS Xへの対応は予定にはあるようだ。
PAEの設定
検証レポート Vol.2でWindows Server 2008 x86版で4GB以上のメモリを使用する場合の方法について探していたがやっと見つかった。設定するためのコマンドの例を以下に示す。 bcdedit /set {ID} pae [Default|ForceEnable|ForceDisable] (IDは省略可能) ちなみに、PAEを有効にするためには、サーバのCPUがDEPに対応していることが条件にあるようだ(とはいえ、最近販売されるサーバのCPUで未対応のものを探すほうが難しい。なお、今回使用しているHP ProLiantは当たり前だが、DEPに対応している)。 さて、次回から802.1xによるNAPの強制に入っていく。
(PDF/3.3MB)
