locked
Active Directory 環境での DHCP NAP の段階的展開について RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    お世話になっております。

    Windows Server 2008 R2 の AD 環境でDHCPによるNAPを展開する予定です。
    1.DHCPサーバにNPSをインストールし、設定する。
    2.グループポリシーでクライアントに必要な設定を行う。(Network Access Protection Agent サービス等)
    3.各拠点のDHCPスコープで、順次NAPを有効にする。
    という手順を予定しています。
    全拠点に一気に展開するとうまくいかなかったときに大変なので様子を見ながら拠点数を増やしたいと思っています。

    不安な点があるのですが、上記の手順でクライアントがポリシー非準拠と判断されフルアクセスのIPアドレスを割り当てられなくなってしまうような事は無いでしょうか。
    とくに気になっているのが、スコープでNAPを有効にする直前です。
    クライアントがDHCPサーバに対してIPアドレス要求を投げると、DHCPサーバは何の確認もなしにフルアクセスのIPアドレスを割り当てるのではないでしょうか。
    そうすると、NPSからNAPクライアントへ正常性の検証結果が送信されないので、NAPクライアントは自分がポリシー非準拠だと判断するのではないでしょうか。

    テスト環境でnetsh nap client show statusを確認してみたところ、非準拠となっていませんでした。
    動作としては望んだとおりなのですが、何故こうなるのか納得がいかないため少し不安です…。

    よろしくおねがいします。

    • 移動 Robin_Ren 2012年10月2日 21:17 merge forum (移動元:Windows Server 2008 R2 全般)
    2010年9月30日 6:56

回答

  • Question
    サインインして投票
    1
    サインインして投票

    R2 ではなく、Windows Server 2008 での動作検証しかした事が無いので、R2 で状況が変わっているかもですが....

    DHCPサーバーと異なるセグメントに対するクライアントに対しては、ルータ or L3-SW 等の L3 中継装置が持つ DHCP リレーエージェントを使われる予定でしょうか?

    一般的な L3 中継装置が持っている DHCP リレーエージェントは、NAP が必要とする状態ステートメントをリレーする事が出来ません。つまり、DHCP サーバーと異なるセグメントで NAP-DHCP を構築しようとした場合、NAP が正しく機能しません。

    RFC で DHCP リレーエージェントの NAP 拡張が定義されているかまでは確認できていませんが、NAP 対応の DHCP リレーエージェントを搭載した L3 中継機器を使わないとセグメント越え難しいと思った方が良いかと思います。

    余談ですけど、2008 の NAP-DHCP は IPv4 のみを対象にしていました。このため、IPv6 ネットワークを展開していると、NAP-DHCP は効果がなくなってしまいます。

    僕が検証した時に感じたのは、NAP-DHCP は1セグメント内で収まるような小規模ネットワーク用か、動作を見るためのテスト用なのだと感じました。
    複数セグメント展開するのであれば、NAP-802.1x がシンプルに構成できるので NAP-802.1x が妥当のように思います。(NAP-IPsec って手もありますが、サーバー台数が多いと設計が複雑になります)

    MVP for Virtual Machine : Networking
    • 回答としてマーク Yoshio 2010年10月5日 1:41
    2010年9月30日 8:38

すべての返信

  • Question
    サインインして投票
    1
    サインインして投票

    R2 ではなく、Windows Server 2008 での動作検証しかした事が無いので、R2 で状況が変わっているかもですが....

    DHCPサーバーと異なるセグメントに対するクライアントに対しては、ルータ or L3-SW 等の L3 中継装置が持つ DHCP リレーエージェントを使われる予定でしょうか?

    一般的な L3 中継装置が持っている DHCP リレーエージェントは、NAP が必要とする状態ステートメントをリレーする事が出来ません。つまり、DHCP サーバーと異なるセグメントで NAP-DHCP を構築しようとした場合、NAP が正しく機能しません。

    RFC で DHCP リレーエージェントの NAP 拡張が定義されているかまでは確認できていませんが、NAP 対応の DHCP リレーエージェントを搭載した L3 中継機器を使わないとセグメント越え難しいと思った方が良いかと思います。

    余談ですけど、2008 の NAP-DHCP は IPv4 のみを対象にしていました。このため、IPv6 ネットワークを展開していると、NAP-DHCP は効果がなくなってしまいます。

    僕が検証した時に感じたのは、NAP-DHCP は1セグメント内で収まるような小規模ネットワーク用か、動作を見るためのテスト用なのだと感じました。
    複数セグメント展開するのであれば、NAP-802.1x がシンプルに構成できるので NAP-802.1x が妥当のように思います。(NAP-IPsec って手もありますが、サーバー台数が多いと設計が複雑になります)

    MVP for Virtual Machine : Networking
    • 回答としてマーク Yoshio 2010年10月5日 1:41
    2010年9月30日 8:38
  • Question
    サインインして投票
    0
    サインインして投票
    Murashimaさん 返信ありがとうございます。 心配になったので、転がっていたWindows2000AdvancedServerにルーティングとリモートアクセスをインストールしてルーターに仕立ててテストしてみました。 結果としてはルータを挟むと正常に動作しませんでした。 (再現テストとしてはWindows2000というのがまた良かったかもしれません…) クライアントでNAPエージェントを有効にし、DHCPスコープでもNAPを有効にすると、クライアントにサブネットマスク255.255.255.255のIPアドレスが振られデフォルトゲートウェイが空になりましたが、修復サーバへの静的ルートが入って来ず、結果としてまったく通信が行えない状態となってしまいました…。 そのままの状態でDHCPサーバと同じサブネットへクライアントを移動させ再起動を掛けると修復サーバへの静的ルートが追加され通信が出来ました。 ルータがNAPに対応しているか調べたいのですが、可能でしょうか。 「NAP が必要とする状態ステートメントをリレーする」機能に一般的な呼び名があれば良いのですが…。 よろしくお願いします。
    2010年10月1日 7:29
  • Question
    サインインして投票
    0
    サインインして投票

    ルータはそのままでDHCPスコープの設定を追加したところ期待通りに動作しました。

    ご回答頂きありがとうございました。

    2010年10月5日 1:41