このページの本文へ移動

複数サイトでのNAPの構築と効率的な運用

~Windows Server 2008 Beta版 移行・導入・運用の豆情報~

複数サイトへのNAP導入

DHCPによるNetwork Access Protection (以降、NAP)構築を拡張し、複数拠点に導入するケースについてPCサーバPRIMERGYで実施した検証をご紹介します。
複数拠点にNAP機能を導入するためには、NAPの中核となるネットワークポリシーサーバ(以降、NPS)のサイトを越えた冗長化構成設計やその運用管理を考慮する必要があります。
以下にその具体的な方法について検証した結果をご紹介します。

システム構成について

本検証ではDHCPサーバを使用した検疫とし、NAPをシングルドメインのActive Directory環境に導入しています。さらに、本社(サイト1)・支社(サイト2)と別々のサイトとしています。 また、本社のNPSは負荷分散のため2重化を行い、支社のNPSはサイト1のNPSとグループ化を行い障害時にサイト1のNPSを使用して検疫を行えるように構成しています。

図1 構築環境のイメージ

サイト配置 役割 OS サーバ
サイト1 DC1 Windows Server 2003 R2 PRIMERGY TX200 S2
DHCP1 Windows Server 2008 PRIMERGY TX200 S3
NPS1 Windows Server 2008 同上
NPS1-2 Windows Server 2008 同上
サイト2 DC2 Windows Server 2003 R2 PRIMERGY TX150 S5
DHCP2 Windows Server 2008 同上
NPS2 Windows Server 2008 同上

NPSの構成とリモート管理

今回の検証ではNPSとDHCPサーバを分離した構成にしています。そのためNPSにはNAP ポリシーの設定を行い、DHCPサーバにはNAP検疫のゲートウェイとなる設定を行って、役割を分担しています。

複数台のNPSが同じ設定を利用する場合、NPSには設定情報を自動的に同期するような機能がありません。そのため、複数のNPSを運用する構成では、NPS間で構成情報のエクスポート/インポートを行って設定情報を同期します。ですが、物理的に離れた拠点にあるNPSではとても煩わしい作業になります。
しかし、Windows Server 2008では以下のようなリモート管理が強化され、複数台のサーバ設定や管理を容易に行うことができるようになりました。

  • リモートシェルによる設定の同期

    リモート管理される側(支社)ではWinRM(注1)を有効にしてリモート操作を受け付けるようにし、リモート管理する側(本社)ではWinRS(注2)を使いリモート管理を行います。リモートシェル上で、バッチファイル化されたコマンドを実行することで簡単にNPSの設定を同期させることができます。

  • イベントログ転送による簡易システム管理

    さらに、Windows Server 2008にはイベントログの転送機能が強化されています。この機能を利用することで、各NPSで登録されるNAP関連のイベントログを、本社サーバに転送、集約し、1つのイベントビューアで管理することができます。

注1)リモートからコンピュータの管理を受け付けるように構成するコマンド
注2)WinRMが有効なコンピュータをリモート操作するリモートシェル

検証の詳細はこちらを参照ください。
PDF 複数サイトでのNAPの効率的な運用(4.34MB) [2008年6月17日]

まとめ

検証の結果、以下のことがわかりました。

  1. サイトを越えたNAP検疫が、NPSの冗長化と耐障害性を含め実運用で利用できること。
  2. リモート管理によるNPS構成の同期、イベントログ集約が可能であること。

この検証により、NAPシステムの堅牢性向上と運用効率の向上が可能であることを確認できたのではないでしょうか。

富士通のSR-S シリーズによる検疫ソリューションご紹介

富士通のスイッチSR-Sシリーズは、マイクロソフト社のNAPパートナーとしてお客様に検疫ソリューションをご提供します。 SR-S シリーズは、富士通ミドルウェア (Systemwalker Desktop Inspection) による認証・検疫ソリューション、NAPによる検疫ソリューションをサポートしており、お客様要件に合わせた幅広いソリューションを提供致します。

詳細情報

【ご注意】
動作確認したWindows Server 2008は開発段階にあるため仕様変更の可能性があります。

PCサーバ PRIMERGYに関する資料請求・お見積もり・ご相談

Webでのお問い合わせ

入力フォーム

当社はセキュリティ保護の観点からSSL技術を使用しております。

お電話でのお問い合わせ

0120-933-200 富士通コンタクトライン(総合窓口)

受付時間 9時~17時30分
(土曜・日曜・祝日・当社指定の休業日を除く)