~Windows Server 2008 Beta版 移行・導入・運用の豆情報~
DHCPによるNetwork Access Protection (以降、NAP)構築を拡張し、複数拠点に導入するケースについてPCサーバPRIMERGYで実施した検証をご紹介します。
複数拠点にNAP機能を導入するためには、NAPの中核となるネットワークポリシーサーバ(以降、NPS)のサイトを越えた冗長化構成設計やその運用管理を考慮する必要があります。
以下にその具体的な方法について検証した結果をご紹介します。
本検証ではDHCPサーバを使用した検疫とし、NAPをシングルドメインのActive Directory環境に導入しています。さらに、本社(サイト1)・支社(サイト2)と別々のサイトとしています。 また、本社のNPSは負荷分散のため2重化を行い、支社のNPSはサイト1のNPSとグループ化を行い障害時にサイト1のNPSを使用して検疫を行えるように構成しています。
図1 構築環境のイメージ
サイト配置 | 役割 | OS | サーバ |
---|---|---|---|
サイト1 | DC1 | Windows Server 2003 R2 | PRIMERGY TX200 S2 |
DHCP1 | Windows Server 2008 | PRIMERGY TX200 S3 | |
NPS1 | Windows Server 2008 | 同上 | |
NPS1-2 | Windows Server 2008 | 同上 | |
サイト2 | DC2 | Windows Server 2003 R2 | PRIMERGY TX150 S5 |
DHCP2 | Windows Server 2008 | 同上 | |
NPS2 | Windows Server 2008 | 同上 |
今回の検証ではNPSとDHCPサーバを分離した構成にしています。そのためNPSにはNAP ポリシーの設定を行い、DHCPサーバにはNAP検疫のゲートウェイとなる設定を行って、役割を分担しています。
複数台のNPSが同じ設定を利用する場合、NPSには設定情報を自動的に同期するような機能がありません。そのため、複数のNPSを運用する構成では、NPS間で構成情報のエクスポート/インポートを行って設定情報を同期します。ですが、物理的に離れた拠点にあるNPSではとても煩わしい作業になります。
しかし、Windows Server 2008では以下のようなリモート管理が強化され、複数台のサーバ設定や管理を容易に行うことができるようになりました。
リモート管理される側(支社)ではWinRM(1)を有効にしてリモート操作を受け付けるようにし、リモート管理する側(本社)ではWinRS(2)を使いリモート管理を行います。リモートシェル上で、バッチファイル化されたコマンドを実行することで簡単にNPSの設定を同期させることができます。
さらに、Windows Server 2008にはイベントログの転送機能が強化されています。この機能を利用することで、各NPSで登録されるNAP関連のイベントログを、本社サーバに転送、集約し、1つのイベントビューアで管理することができます。
(1)リモートからコンピュータの管理を受け付けるように構成するコマンド
(2)WinRMが有効なコンピュータをリモート操作するリモートシェル
検証の詳細はこちらを参照ください。
PDF 複数サイトでのNAPの効率的な運用(4.34MB) [2008年6月17日]
検証の結果、以下のことがわかりました。
この検証により、NAPシステムの堅牢性向上と運用効率の向上が可能であることを確認できたのではないでしょうか。
富士通のスイッチSR-Sシリーズは、マイクロソフト社のNAPパートナーとしてお客様に検疫ソリューションをご提供します。 SR-S シリーズは、富士通ミドルウェア (Systemwalker Desktop Inspection) による認証・検疫ソリューション、NAPによる検疫ソリューションをサポートしており、お客様要件に合わせた幅広いソリューションを提供致します。
【ご注意】
動作確認したWindows Server 2008は開発段階にあるため仕様変更の可能性があります。