DHCP

このエントリはシリーズになっています。他のエントリも合わせて参照してください。 - [Windows Server 2012でのDHCPを利用したNAPの構築方法 part1 | WindowsServer管理者への道](https://windowsadmin.ebisuda.net/2013/04/26/windows-server-2012%e3%81%a7%e3%81%aedhcp%e3%82%92%e5%88%a9%e7%94%a8%e3%81%97%e3%81%9fnap%e3%81%ae%e6%a7%8b%e7%af%89%e6%96%b9%e6%b3%95-part1/) - [Windows Server 2012でのDHCPを利用したNAPの構築方法 part2 | WindowsServer管理者への道](https://windowsadmin.ebisuda.net/2013/05/07/windows-server-2012%e3%81%a7%e3%81%aedhcp%e3%82%92%e5%88%a9%e7%94%a8%e3%81%97%e3%81%9fnap%e3%81%ae%e6%a7%8b%e7%af%89%e6%96%b9%e6%b3%95-part2/) - [Windows Server 2012でのDHCPを利用したNAPの構築方法 part3 SCCM(WSUS)連携 | WindowsServer管理者への道](https://windowsadmin.ebisuda.net/2013/05/09/windows-server-2012%e3%81%a7%e3%81%aedhcp%e3%82%92%e5%88%a9%e7%94%a8%e3%81%97%e3%81%9fnap%e3%81%ae%e6%a7%8b%e7%af%89%e6%96%b9%e6%b3%95-part3-sccmwsus%e9%80%a3%e6%90%ba/) 前回はDHCPを利用したNAP環境を構築しました。今回はセキュリティ更新プログラムの更新の動作をSCCM上のWSUSと連携させて行なってみました。実際にはソフトウェア更新部分にはSCCMサーバーを利用しており、大部分はWSUSでも同じです。途中うまく行かず試行錯誤しておりますが、そのまま記録しておきました。 前提条件は以下です。 ・SCCMが構成されていること ・SCCMでソフトウェア更新ポイントが構成されていること ・クライアントにSCCMクライアントがインストールされている(されるように構成されている)こと まずNPSサーバー上でのポリシーの設定を行います。 重要及びそれ以上の更新プログラムが存在しており、インストールされていない場合には検疫されるように設定しました。 設定後にクライアント側でどのように認識されているのかはnetshコマンドで確認できます。 netsh nap client show state クライアントの状態: 名前 = Network Access Protection Client 説明 = Microsoft Network Access Protection Client プロトコルのバージョン = 1.0 状態 = 有効 制限の状態 = 制限なし トラブルシューティングの URL 制限の開始時刻 = 拡張状態 = グループ ポリシー = 構成済み 強制クライアントの状態: ID = 79617 名前 = DHCP 検疫強制クライアント 説明 = DHCP ベースの強制を NAP に提供します。 バージョン = 1.0 ベンダー名 = Microsoft Corporation 登録日 = 初期化済み = はい ID = 79619 名前 = IPsec 証明書利用者 説明 = IPsec ベースの強制をネットワーク アクセス保護に提供します。 バージョン = 1.0 ベンダー名 = Microsoft Corporation 登録日 = 初期化済み = いいえ ID = 79621 名前 = RD ゲートウェイ検疫強制クライアント 説明 = NAP 用に RD ゲートウェイを強制します バージョン = 1.0 ベンダー名 = Microsoft Corporation 登録日 = 初期化済み = いいえ ID = 79623 名前 = EAP 検疫強制クライアント 説明 = ネットワーク アクセス保護の強制を 802.1X や VPN テクノロジで使用される EAP 認証ネットワーク接続に提供します。 バージョン = 1.0 ベンダー名 = Microsoft Corporation 登録日 = 初期化済み = いいえ System Health Agent (SHA) の状態: ID = 79744 名前 = Windows セキュリティ正常性エージェント 説明 = Windows セキュリティ正常性エージェントは、コンピューターのセキュリティ設定を監視します。 バージョン = 1.0 ベンダー名 = Microsoft Corporation 登録日 = 初期化済み = はい エラーのカテゴリ = なし 修復の状態 = 成功 修復の割合 = 0 修正のメッセージ = (3237937214) - Windows セキュリティ正常性エージェントは、このコンピューターのセキュリティ状態の更新を終了しました。 確認の結果 = (0x00000000) - (0x00000000) - (0x00000000) - (0x00000000) - (0x00000000) - (0x00000000) - (0x00000000) - (0x00000000) - 修復の結果 = OK ...

このエントリはシリーズになっています。他のエントリも合わせて参照してください。 - [Windows Server 2012でのDHCPを利用したNAPの構築方法 part1 | WindowsServer管理者への道](https://windowsadmin.ebisuda.net/2013/04/26/windows-server-2012%e3%81%a7%e3%81%aedhcp%e3%82%92%e5%88%a9%e7%94%a8%e3%81%97%e3%81%9fnap%e3%81%ae%e6%a7%8b%e7%af%89%e6%96%b9%e6%b3%95-part1/) - [Windows Server 2012でのDHCPを利用したNAPの構築方法 part2 | WindowsServer管理者への道](https://windowsadmin.ebisuda.net/2013/05/07/windows-server-2012%e3%81%a7%e3%81%aedhcp%e3%82%92%e5%88%a9%e7%94%a8%e3%81%97%e3%81%9fnap%e3%81%ae%e6%a7%8b%e7%af%89%e6%96%b9%e6%b3%95-part2/) - [Windows Server 2012でのDHCPを利用したNAPの構築方法 part3 SCCM(WSUS)連携 | WindowsServer管理者への道](https://windowsadmin.ebisuda.net/2013/05/09/windows-server-2012%e3%81%a7%e3%81%aedhcp%e3%82%92%e5%88%a9%e7%94%a8%e3%81%97%e3%81%9fnap%e3%81%ae%e6%a7%8b%e7%af%89%e6%96%b9%e6%b3%95-part3-sccmwsus%e9%80%a3%e6%90%ba/) Part2では基本的なDHCPを利用したNAPの構築手順を紹介します。Part1で概要を紹介しており、その内容が頭に入っていないと理解が難しいと思いますので、先にPart1を確認しておいてください。 - [Windows Server 2012でのDHCPを利用したNAPの構築方法 part1 | WindowsServer管理者への道](https://windowsadmin.ebisuda.net/2013/04/26/windows-server-2012%e3%81%a7%e3%81%aedhcp%e3%82%92%e5%88%a9%e7%94%a8%e3%81%97%e3%81%9fnap%e3%81%ae%e6%a7%8b%e7%af%89%e6%96%b9%e6%b3%95-part1/) ネットワークポリシーとアクセスサービスの役割の追加 まず、NAPの役割を追加します。これはNAP Health Policy ServerとNAP DHCP Serverの両方で行う必要があります。 ※特に再起動は必要ありませんでした。 ネットワークポリシーサーバーを構成する 今回はNAP Health Policy ServerとNAP DHCP Serverが分離している構成を作ります。この場合、NAP Health Policy ServerがRADIUSサーバーに、NAP DHCP ServerがRADIUSクライアントになります。お互いにサーバーとクライアントとして登録する必要があります。 まず、NAP Health Policy Server側でRADIUSクライアントを構成します。 ...

このエントリはシリーズになっています。他のエントリも合わせて参照してください。 - [Windows Server 2012でのDHCPを利用したNAPの構築方法 part1 | WindowsServer管理者への道](https://windowsadmin.ebisuda.net/2013/04/26/windows-server-2012%e3%81%a7%e3%81%aedhcp%e3%82%92%e5%88%a9%e7%94%a8%e3%81%97%e3%81%9fnap%e3%81%ae%e6%a7%8b%e7%af%89%e6%96%b9%e6%b3%95-part1/) - [Windows Server 2012でのDHCPを利用したNAPの構築方法 part2 | WindowsServer管理者への道](https://windowsadmin.ebisuda.net/2013/05/07/windows-server-2012%e3%81%a7%e3%81%aedhcp%e3%82%92%e5%88%a9%e7%94%a8%e3%81%97%e3%81%9fnap%e3%81%ae%e6%a7%8b%e7%af%89%e6%96%b9%e6%b3%95-part2/) - [Windows Server 2012でのDHCPを利用したNAPの構築方法 part3 SCCM(WSUS)連携 | WindowsServer管理者への道](https://windowsadmin.ebisuda.net/2013/05/09/windows-server-2012%e3%81%a7%e3%81%aedhcp%e3%82%92%e5%88%a9%e7%94%a8%e3%81%97%e3%81%9fnap%e3%81%ae%e6%a7%8b%e7%af%89%e6%96%b9%e6%b3%95-part3-sccmwsus%e9%80%a3%e6%90%ba/) Windows Server 2012でのDHCPを利用したNAPの構成方法をこれから何回かに分けて紹介します。2008, 2008R2での手順説明記事は多数あるのですが、Windows Server 2012での構成手順説明はまだほとんど存在していないと思います。私は見つけられませんでした。しかも、Technet libraryに嘘…というか2012での手順が書いていなくてかなり困りました。後で自分もわからなくならないように記録しておきます。まずは概要です。 構築する環境 構築するのは以下のようなシンプルな環境です。 ちょっとわかりづらいので補足します。 実際の動作の流れは以下のようになります。 NAPはコンポーネントが多く、それぞれで個別の設定を行うので全体の流れを把握していないと、設定していてもその意味がよくわからなくなってしまうのでまずは上記の流れをよく把握する必要があります。次回移行で設定方法を具体的に紹介していきます。 参考情報 Windows Server 2012 - DHCP Enforcement Configuration [**http://technet.microsoft.com/en-us/library/dd125315(v=ws.10).aspx**](http://technet.microsoft.com/en-us/library/dd125315(v=ws.10).aspx) - Configure Policies for DHCP Enforcement [**http://technet.microsoft.com/en-us/library/dd314192(v=ws.10).aspx**](http://technet.microsoft.com/en-us/library/dd314192(v=ws.10).aspx) - Install the DHCP Server Role and the NPS Role Service [**http://technet.microsoft.com/en-us/library/dd314144(v=ws.10).aspx**](http://technet.microsoft.com/en-us/library/dd314144(v=ws.10).aspx) - Configure a DHCP Server for NAP [**http://technet.microsoft.com/en-us/library/dd296905(v=ws.10).aspx**](http://technet.microsoft.com/en-us/library/dd296905(v=ws.10).aspx) Windows Server 2008, 2008 R2 ...

「インターネットに繋がらない！」という発言をよく聞きます。テクノロジーを理解していないお客さんならともかく、プロとしてはこのような発言はしたくないものです。「インターネットに繋がらない」時には具体的にどのようなことが原因として考えられるのか考えてみます。 ※ここでは「インターネットに繋がる」という言葉の正確さに関しては議論しないことにします。 大まかな流れとその確認確認ポイント 通常お客さんが「インターネットに繋がらない」と言ったときにはブラウザでWeb上のコンテンツを表示できなくなったときでしょうから、そのときの大まかな流れを見てみます。 PCが起動する 有線または無線にてEthernetに接続する 固定またはDHCPにてTCP/IPの設定がなされる ブラウザにてURLが指定される DNSにホスト名に対応するIPアドレスを問い合わせ、回答を得る 該当のWeb Serverに接続する Web Serverからコンテンツを得る ブラウザにコンテンツを表示する これはかなり大まかな流れであって、実際にはまだまだいくらでも細かく処理を記述することが可能ですが、最低この程度の粒度では事象を抑えてもらいたいです。 このレベルでの確認ポイントは以下です。 きちんとケーブルが刺さっているか IPアドレス、サブネットマスク、デフォルトゲートウェイ、DNSの設定がきちんとなされているか DNSでの名前解決(ホスト名からIPアドレスへの変換)がきちんとなされているか 該当のWeb Serverに接続できているか コンテンツを得られるか それぞれ確認方法を紹介してみましょう。 きちんとケーブルが刺さっているか これはどうやって確認すればいいかというと････。目で見て確認してください(笑)。でも、せっかくなのでコマンドで確認する方法も紹介しましょう。 このように「ipconfig」というコマンドを使うとネットワークの状態を見ることができます。今、上の図ではきちんとIPアドレス等が表示されているので、この状態であれば「ケーブルがきちんと刺さっている」と言うことがわかります。ケーブルがきちんと刺さっていない場合にはここには「media disconnected」と表示されます。このように表示された場合にはケーブルが刺さっていない状態ですので、ケーブルの確認をしてください。 IPアドレス、サブネットマスク、デフォルトゲートウェイ、DNSの設定がきちんとなされているか ケーブルが刺さっていることを確認したら次はIPアドレス、サブネットマスク、デフォルトゲートウェイ、DNS等のTCP/IPの設定がきちんとなされているかを確認します。これも先ほどと同じく「ipconfig」コマンドで確認できるのですが、「ipconfig」コマンドだけではDNSの設定が確認できないので「ipconfig /all」コマンドを実行することで確認します。 ここできちんとIPアドレス(IP Address)、サブネットマスク(Subnet Mask)、デフォルトゲートウェイ(Default Gateway)、DNS(DNS Servers)が設定されていることを確認します。 ここでこれらのパラメータを自分で設定している人(固定的に設定している人)と自動的に設定している人とで若干確認、修正方法が異なります。 固定になっているのか、自動になっているのかの判別は上記コマンド結果の「Dhcp Enabled」の部分がYesになっているかNoになっているかでわかります。上記のサンプルではDHCPが有効になっていて、DHCPサーバー(192.168.1.254)からTCP/IPの設定を自動取得していることがわかります。 固定で設定している場合には「インターネットプロトコル(TCP/IP)」のプロパティから手動で値を設定、修正します。 自動になっている場合にはDHCPサーバーがきちんと稼動して、正しい設定を配布してくれている必要があります。自動的に取得する設定になっているにもかかわらず「169.254.x.x」、あるいは「0.0.0.0｣というアドレスになっている場合には正常にDHCPサーバーから設定を取得できていない状態です。DHCPサーバーの正常動作を確認するか、あるいは固定で設定してしまうかなどの対応が必要です。 参考：APIPA - Wikipedia そもそもどんな値を設定すればいいのか、設定されていればいいのかわからない人はTCP/IPの基礎を勉強しなくてはいけないですね。後日書く予定です。 ここまでの設定の確認としては、「デフォルトゲートウェイまでのpingが通ることを確認する」という方法が有効です。 「ping デフォルトゲートウェイのIPアドレス」を実行して、Pingに対してReplyがあることを確認しましょう。 DNSでの名前解決(ホスト名からIPアドレスへの変換)がきちんとなされているか 次にDNSでの名前解決がきちんとなされているかの確認方法です。「nslookup」というコマンドをつかって「nslookup ホスト名」とすることで調べられます。「ホスト名」というのはURLのうち下の例で言うとxxxx.xxx.xxの部分です。 「http://xxxx.xxx.xx/yyy/xxx/」 http://の直後からはじめの「/」の前までの部分ですね。 このようにホスト名からIPアドレスへの変換がうまくいっている必要があります。そもそもここでスペルミスなどをすると以下のように答えが返ってきません。 ここがうまくいかない場合には以下の2つの可能性があります。 TCP/IPの設定でDNSの設定を間違えている(正しいDNSサーバーを利用していない) 接続しようとしている先のサイトの情報を保持しているDNSサーバーに障害が起きている どちらなのかを判断するためには、その他のホスト名の名前解決ができるかどうかを調べましょう。私はいつも「www.google.com」が解決できるかどうか試しています。 ここまでのこと(ケーブル、TCP/IP設定、DNS)を一度に試す方法があります。それは「ping www.google.com」を実行することです。 ケーブルが繋がっていなければPingに応答があるわけはありませんし、TCP/IPの設定がただしいからgoogleのサーバーまで通信できています。また、www.google.comをDNSをつかってIPアドレスに変換できているからPingが打てているのです。www.google.comのホストはきちんとpingのReplyを返してくれるので確認が取れるわけです。 該当のWeb Serverに接続できているか ここまでの確認でクライアント側のTCP/IPおよびDNSの設定は問題ないことがわかりました。もう少し上の層に視点を切り替えていきます。まずは、該当のWeb Serverに接続できているかどうかです。 ...