Windows Server 2012でのDHCPを利用したNAPの構築方法 part2

このエントリはシリーズになっています。他のエントリも合わせて参照してください。

- [Windows Server 2012でのDHCPを利用したNAPの構築方法 part1 | WindowsServer管理者への道](https://windowsadmin.ebisuda.net/2013/04/26/windows-server-2012%e3%81%a7%e3%81%aedhcp%e3%82%92%e5%88%a9%e7%94%a8%e3%81%97%e3%81%9fnap%e3%81%ae%e6%a7%8b%e7%af%89%e6%96%b9%e6%b3%95-part1/)
- [Windows Server 2012でのDHCPを利用したNAPの構築方法 part2 | WindowsServer管理者への道](https://windowsadmin.ebisuda.net/2013/05/07/windows-server-2012%e3%81%a7%e3%81%aedhcp%e3%82%92%e5%88%a9%e7%94%a8%e3%81%97%e3%81%9fnap%e3%81%ae%e6%a7%8b%e7%af%89%e6%96%b9%e6%b3%95-part2/)
- [Windows Server 2012でのDHCPを利用したNAPの構築方法 part3 SCCM(WSUS)連携 | WindowsServer管理者への道](https://windowsadmin.ebisuda.net/2013/05/09/windows-server-2012%e3%81%a7%e3%81%aedhcp%e3%82%92%e5%88%a9%e7%94%a8%e3%81%97%e3%81%9fnap%e3%81%ae%e6%a7%8b%e7%af%89%e6%96%b9%e6%b3%95-part3-sccmwsus%e9%80%a3%e6%90%ba/)

Part2では基本的なDHCPを利用したNAPの構築手順を紹介します。Part1で概要を紹介しており、その内容が頭に入っていないと理解が難しいと思いますので、先にPart1を確認しておいてください。

- [Windows Server 2012でのDHCPを利用したNAPの構築方法 part1 | WindowsServer管理者への道](https://windowsadmin.ebisuda.net/2013/04/26/windows-server-2012%e3%81%a7%e3%81%aedhcp%e3%82%92%e5%88%a9%e7%94%a8%e3%81%97%e3%81%9fnap%e3%81%ae%e6%a7%8b%e7%af%89%e6%96%b9%e6%b3%95-part1/)

ネットワークポリシーとアクセスサービスの役割の追加

まず、NAPの役割を追加します。これはNAP Health Policy ServerとNAP DHCP Serverの両方で行う必要があります。

※特に再起動は必要ありませんでした。

ネットワークポリシーサーバーを構成する

今回はNAP Health Policy ServerとNAP DHCP Serverが分離している構成を作ります。この場合、NAP Health Policy ServerがRADIUSサーバーに、NAP DHCP ServerがRADIUSクライアントになります。お互いにサーバーとクライアントとして登録する必要があります。

まず、NAP Health Policy Server側でRADIUSクライアントを構成します。

アドレスはRADIUSクライアント、この場合はNAP DHCP ServerのIPを指定します。共有シークレットは後でNAP DHCP Server側にも埋め込みますので、コピーしておきます。

DHCP側のスコープ設定でNAPを有効にしたものを受け入れるように構成しようと思うので、何も入力せず[次へ]をクリックします。

ここにはネットワーク的に制限された場合でも到達可能とするサーバーを登録します。具体的にはWSUSサーバーやSCCMサーバー等が登録されることになります。

NAP DHCP Server側でRADIUSクライアントとして構成する

※上記のIPはNAP Health Policy Serverのものです

共有シークレットにはNPSサーバーで生成あるいは入力したものを入力します。

接続要求ポリシーにて要求を転送するように構成します。

DHCPスコープの設定

DHCPを用いたNAPでは実際にはDHCPサーバーが配布するネットワーク設定をいじることになりますので、DHCPサーバー側でもNAPとの連携が必要です。

2008 R2まではスコープオプションの構成が手動で必要でしたが、Windows Server 2012では手動でのスコープオプションは必要なく、スコープに対してネットワークアクセス保護を有効にするだけで後の設定はNAP側を参照して(連動して)自動的に行なってくれました。technetにもこのような設定の記載はなく、ここで「おかしい、設定できない」と2時間ほど悩んでしまいました…。

システム正常性検証ツール設定

あとはNAP Health Policy Server側でシステム正常性検証ツールの設定を行えばサーバー側での基本的な設定は完了です。

ここは必要に応じて設定を行います。

クライアント構成

クライアント側では以下の3つが設定されている必要があります。

- セキュリティセンターが有効
- Network Access Protection Agentサービスが開始されている
- NAPクライアント構成でDHCP検疫強制クライアントが有効である

それぞれ個別に設定してもよいのですがNAPの目的を考えると基本的にはGPOで強制的に設定することになると思います。

[コンピューターの構成] – [ポリシー] – [管理用テンプレート：ローカルコンピューター] – [セキュリティセンター]に設定があります。

以上でDHCPを用いたNAPの基本的な設定は完了です。

制限を受けると上記のようにサブネットマスクが24ビットとなり、基本的にどこにも通信出来ないようになります。きちんと構成されるとこの制限は即座に解かれます。