(MCP70-642)3.1 リモートアクセスを構成する
MCP70-642 Windows Server 2008 Network Infrastructure, Configuring のメモです。
参考書は下記を使用。
MCP教科書 Windows Server 2008 Network編(試験番号:70-642) (MCP教科書)


ここから第3章のネットワークアクセスの構成に入ります。Windows Serverが提供している各種ネットワーク関連の構成方法ですが、覚えれるかどうか。。

■3.1.1 リモートアクセスとは
リモートアクセスにはダイアルアップとVPNがある。
リモートアクセスサーバをインストールには、サーバの役割「ネットワークポリシーとアクセスサービス」→「ルーティングとリモートアクセスサービス」で行う。


■3.1.2 ルーティングとリモートアクセスサービス(RRAS)の有効化
RRAS はインストール直後は無効なので、有効化しないといけない。(DHCPサービスも同じ)

インストールの手順のポイントだけ。。
・「IPアドレスの割り当て」 
 「自動」 : RRASサーバがDHCPサーバーからIPを取得し、リモートクライアントに割り当てる。
     この際、10個分のアドレスブロックをリースして、クライアントに割り当てる。
 「指定したアドレス範囲」 : RRASサーバ自体がクライアントにIPを割り振る。

・DHCPリレーエージェント
 RRASがIPアドレスの割り当てを「自動」(他のDHCP使用)にした時、DHCPリレーエージェントを入れるかどうか聞いてくる。
 リレーエージェントインストールした:DNSやWINSの値もDHCPからクライアントに割り当てられる。
 リレーエージェントインストールしない:RRASサーバ自身のTCP/IP設定がクライアントに割り当て。



■3.1.3 リモートアクセスの認証
ユーザ認証のとき、
 ・RRASサーバのローカルユーザ
 ・Active Directory のドメインユーザ
のどちらでも認証できる。

認証の方式は下記の手順で構成。
 管理ツール「ルーティングとリモートアクセスサービス」
 サーバ名のプロパティ→「セキュリティ」タブ。
 「認証プロバイダ」で「Windows認証」を選択し、「認証方式」ボタンより、認証プロトコルを選ぶ。

ユーザー名とパスワードの認証プロトコル
PAP
 ユーザ名、パスワードをクリアテキストで送信する。脆弱な認証方式なので普通使わない。
CHAP
 チャレンジレスポンス方式で認証するが、暗号化レベルが高くないのでこれも推奨されない。
MS-CHAP
 MSがCHAPを拡張したもの。 MS-CHAP v2 がよりセキュリティが確保されている。

証明書による認証プロトコル
EAP-TLS
 EAPの一種。サーバ認証、クライアント認証ともに証明書を使う。
PEAP
 サーバ、クライアント間の暗号化行い、他の認証プロトコルを補う。無線LANクライアント認証なで使用。
 PEAP-EAP-MS-CHAP v2
  サーバ認証はサーバ側の証明書を利用。ユーザ認証はユーザ名とパスワードを使う。
 PEAP-EAP-TLS
  EAP-TLSを利用するPEAP。標準では最強らしい。

※サーバ、クライアント間で複数の認証方式が使えるときは、最もセキュリティレベルが高いものが自動的に選択。
 よって必要ない認証プロトコルはサーバ側で無効化しておくとよい。


■3.1.4 リモートアクセスプロトコル
ダイアルアップは定番のPPPを使用。以下のVPN用プロトコルも、PPPをカプセル化してるのが多い。

PPTP
 制御用コネクション TCP 1723 を使用。
 暗号化の機能はない。(MSの拡張として MPPE と MS-CHAP を組み合わせて暗号化)
 Win2k以前の古いOSでもOK。特に設定もなくお手軽。

L2TP
 Win2k以降から標準搭載。
 暗号化の機能がないため、IPSecと組み合わせて使う。
 L2TP/IPSec の場合、IPSecのコンピュータ認証方式として、事前共有キーコンピュータ証明書(クライアント、サーバ共にインストール)がある。

SSTP
 Server 2008 で新しくサポート。クライアントは Vista SP1 以降。
 HTTPS(443ポート)を使う。
 ファイアウィールやNATやプロキシを越えやすい。
 サーバにサーバー証明書が必要。クライアントにもルートCAの証明書が必要。
 拠点間VPNには使えない。標準化されていない。


■3.1.5 リモートアクセスポリシー
管理ツール「ネットワークポリシーサーバー」から設定可能。(これは、管理ツール「ルーティングとリモートアクセスサービス」から「NPSの起動」で起動させないといけない)
時間帯、アクセス許可するグループ、接続最大時間、暗号化強度などが制限できる。

ポリシー作成ウィザード
・条件
・制約(アイドルタイムアウト、セッションタイムアウト(接続時間)、日付と時刻の制限などができる)
・アクセス許可(許可、拒否の指定)
・認証方法


Windowsのユーザアカウントプロパティにも「ダイヤルイン」にてリモートアクセス許可が設定できるが、リモートアクセスポリシーとどちらを優先するかは、ポリシー作成ウィザード中の「ユーザダイヤルインプロパティ(NPSポリシーよりも優先される)によってアクセスを判断する」で決定できる。

複数のポリシーを作った場合、「処理順序」の値の小さいものから順に適用される。条件に完全一致すれば、次のポリシーは評価されない。

なんかポリシーの適用順というか条件がややこしいけど、本文の図3.33を見ればなんとなくわかる。

また、「条件の指定」と「制約の構成」をうまく使い分けること。


■3.1.6 VPNサーバーへの接続
「接続またはネットワークのセットアップ」ウィザードから実行。
「接続に使用するインターネットアドレスを入力してください」で、VPNサーバのIPアドレスを入れる。(IPアドレスということは、接続先が動的IPならこの方法は難しいということ? と思ったら、URLでもOKらしい。)


■3.1.7 RADIUSサーバーの構成
RADIUSとは?
・認証(ユーザの識別)
・承認(アクセスの可否判断)
・アカウンティング(ログのこと)
の機能を有している。ダイヤルアップ接続時代のもの。

Windows Server 2008では「ネットワークポリシーサーバー」(NPS)が RADIUS サーバ機能を提供してる。
(Windows Server 2002ではインターネット認証サービスで提供されてた)

RDIUSサーバを使った認証はこんな感じ。

クライアント<------>RRAS<------------>NPS<-------->ActiveDirectoryドメコン
(リモート (RADIUSサーバ) (ActiveDirectory使う場合)
アクセスサーバ)


RADIUS認証に UDP 1812 RADIUS アカウンティングに UDP 1813 を使う。
構成として、RRAS(VPNサーバ)をDMZに配置し、NPS(RADIUSサーバー),ActiveDirectoryを内部におくという構成もあり。

RADIUSのインストール
「ネットワークポリシーとアクセスサービス」の役割から、「ネットワークポリシーサーバー」でOK。
ActiveDirectoryドメインのユーザ認証するには、ActiveDirectory にある RAS and IAS Servers セキュリティグループに NPS コンピュータアカウントを追加しないとダメ。


RADIUSサーバー(NPS)側でRADIUSクライアントを指定
管理ツール「ネットワークポリシーサーバ」を起動。
「RADIUSクライアント」を右クリで、「新規RADIUSクライアント」。
設定項目は下記。
・フレンドリ名(項目識別のタイトル)
・アドレス(クライアントのIPかDNS名)
・共有シークレット(クライアント、サーバ間でのパスワード文字列)

RADIUSクライアント(RRAS)側でRADIUSサーバーを指定
管理ツール「ルーティングとリモートアクセスサービス」を起動。
サーバープロパティの「セキュリティタブ」で、「認証プロバイダ」を「RADIUS認証」にする。
後は構成で、サーバ名や共有シークレットを追加していく。


RADIUSプロキシ
RADIUSプロキシを使うと、認証先の振り分けができる。
[PR]
by jehoshaphat | 2009-06-24 17:39 | サーバがらみ | Trackback | Comments(0)
トラックバックURL : http://jehupc.exblog.jp/tb/10492300
トラックバックする(会員専用) [ヘルプ]
※このブログはトラックバック承認制を適用しています。 ブログの持ち主が承認するまでトラックバックは表示されません。


<< (MCP70-642)3.2 ... (MCP70-642)2.5 ... >>