ネットワーク ポリシーとアクセス サービスの概要

ネットワーク ポリシーとアクセス サービスをインストールすると、次の役割サービスが利用できるようになります。

• ネットワーク ポリシー サーバー (NPS)。NPS は、Microsoft が実装する RADIUS サーバーおよびプロキシです。NPS を使用すると、ワイヤレス アクセス ポイント、VPN サーバー、ダイヤルアップ サーバー、802.1X 認証スイッチなどのさまざまなネットワーク アクセス サーバーを介してネットワーク アクセスを一元的に管理できます。さらに、NPS を使用して、ワイヤレス接続に対する PEAP (Protected Extensible Authentication Protocol )-MS-CHAP v2 を使用したセキュリティで保護されたパスワード認証を展開できます。NPS には、ネットワークに NAP を展開するための主要なコンポーネントも含まれています。
  
  次のテクノロジは NPS 役割サービスのインストール後に展開できます。
  
  
  • NAP 正常性ポリシー サーバー。NPS を NAP 正常性ポリシー サーバーとして構成すると、NPS では、ネットワーク上の通信相手の NAP 対応のクライアント コンピューターによって送信された正常性ステートメント (SoH) が評価されます。NPS の NAP ポリシーを構成して、クライアント コンピューターが自分の構成を組織のネットワーク ポリシーに適合するように更新できるようにすることが可能です。
    
    
  • IEEE 802.11 ワイヤレス。NPS MMC スナップインを使用すると、IEEE 802.11 ワイヤレス クライアント ネットワーク アクセスに対する 802.1X ベースの接続要求ポリシーを構成できます。NPS のリモート認証ダイヤルイン ユーザー サービス (RADIUS) クライアントとしてワイヤレス アクセス ポイントを構成し、NPS を RADIUS サーバーとして、802.11 ワイヤレス接続に対する接続要求の処理と共に認証、承認、およびアカウンティングを実行するために使用することもできます。ワイヤレス 802.1X 認証インフラストラクチャを展開すると、IEEE 802.11 ワイヤレス アクセスを NAP と完全に統合でき、ワイヤレス クライアントがネットワークへの接続を許可される前に、クライアントの正常性の状態が正常性ポリシーに照らして検証されます。
    
    
  • IEEE 802.3 ワイヤード。NPS MMC スナップインを使用すると、IEEE 802.3 ワイヤード クライアントのイーサネット ネットワーク アクセスに対する 802.1X ベースの接続要求ポリシーを構成できます。NPS の RADIUS クライアントとして 802.1X 対応スイッチを構成し、NPS を RADIUS サーバーとして、802.3 イーサネット接続に対する接続要求の処理と共に認証、承認、およびアカウンティングを実行するために使用することもできます。ワイヤード 802.1X 認証インフラストラクチャを展開すると、IEEE 802.3 ワイヤード クライアント アクセスを NAP と完全に統合できます。
    
    
  • RADIUS サーバー。NPS は、ワイヤレス、認証スイッチ、リモート アクセス ダイヤルアップと VPN の各接続に対して、一元化された接続の認証、承認およびアカウンティングを実行します。NPS を RADIUS サーバーとして使用する場合、ワイヤレス アクセス ポイントや VPN サーバーなどのネットワーク アクセス サーバーを NPS の RADIUS クライアントして構成します。また、NPS が接続要求を承認するために使用するネットワーク ポリシーを構成して、NPS がアカウンティング情報をローカル ハード ディスク上のログ ファイルまたは Microsoft® SQL Server™ データベースに記録するように RADIUS アカウンティングを構成できます。
    
    
  • RADIUS プロキシ。NPS を RADIUS プロキシとして使用する場合、どの接続要求を他の RADIUS サーバーに転送し、どの RADIUS サーバーに接続要求を転送するかを NPS に指示する接続要求ポリシーを構成します。アカウンティング データを転送して、リモート RADIUS サーバー グループの 1 つ以上のコンピューターに記録されるように構成することもできます。
    
    
• ルーティングとリモート アクセス。ルーティングとリモート アクセスでは、VPN とダイヤルアップ リモート アクセス サービス、およびマルチプロトコル LAN-to-LAN、LAN-to-WAN、VPN、およびネットワーク アドレス変換 (NAT) ルーティング サービスを展開できます。
  
  次のテクノロジは、ルーティングとリモート アクセス役割サービスのインストール時に展開できます。
  
  
  • リモート アクセス サービス。ルーティングとリモート アクセスを使用すると、Point-to-Point トンネリング プロトコル (PPTP)、Secure Socket トンネリング プロトコル (SSTP)、またはインターネット プロトコル セキュリティ (IPSec) を利用したレイヤー 2 トンネリング プロトコル (L2TP) の各 VPN 接続を展開して、エンド ユーザーが組織のネットワークにリモート アクセスできるようになります。異なる場所にある 2 台のコンピューター間に、サイト間 VPN 接続を作成することもできます。各サーバーはルーティングとリモート アクセスを使用して、プライベート データを安全に送信するように構成されます。2 つのサーバー間の接続は、固定 (常にオン) とオン デマンド (デマンド ダイヤル) のどちらでもかまいません。
    
    リモート アクセスでは、組織のイントラネットにダイヤルイン接続するモバイル ユーザーやホーム ユーザーをサポートするために、従来のダイヤルアップ リモート アクセスも提供されています。ルーティングとリモート アクセスを実行するサーバーにインストールされたダイヤルアップ機器が、着信したダイヤルアップ ネットワーク クライアントからの接続要求に応答します。リモート アクセス サーバーはこの呼び出しに応答し、呼び出し元を認証および承認し、ダイヤルアップ ネットワーク クライアントと組織のイントラネットとの間でデータを転送します。
    
    
  • ルーティング。ルーティングでは、多機能なソフトウェア ルーター、およびルーティングとネットワーク相互接続のためのオープン プラットフォームが提供されます。また、ローカル エリア ネットワーク (LAN) およびワイド エリア ネットワーク (WAN) 環境のビジネスにルーティング サービスが提供されます。
    
    NAT を展開すると、プライベート ネットワーク上のコンピューターとインターネット接続を共有し、そのパブリック アドレスとプライベート ネットワーク間のトラフィックを変換するように、ルーティングとリモート アクセスを実行するサーバーが構成されます。NAT を使用することで、プライベート ネットワークのクライアントが要求したトラフィックである場合またはそのトラフィックが明示的に許可されている場合を除いて、NAT 構成済みのルーターはインターネットからプライベート ネットワーク方向のトラフィックを転送しないため、プライベート ネットワーク上のコンピューターは一定の防御手段を得ることになります。
    
    VPN と NAT を展開すると、プライベート ネットワークに NAT を提供して VPN 接続を受け付けるように、ルーティングとリモート アクセスを実行するサーバーが構成されます。インターネット上のコンピューターは、プライベート ネットワーク上のコンピューターの IP アドレスを判断できません。しかし VPN クライアントは、物理的にプライベート ネットワークに接続されているかのように、プライベート ネットワーク上のコンピューターに接続できます。
    
    
• 正常性登録機関 (HRA)。HRA は、NPS でクライアント SoH を使用して実行される正常性ポリシーの検証に合格したクライアントに正常性証明書を発行する NAP コンポーネントです。HRA は NAP IPsec 強制方法によってのみ使用されます。
  
  
• HCAP (Host Credential Authorization Protocol)。HCAP を使用すると、構築した Microsoft NAP ソリューションを Cisco のネットワーク制御サーバーと統合できます。HCAP を NPS および NAP と共に展開した場合、NPS はクライアントの正常性評価と Cisco 802.1X アクセス クライアントの承認を実行します。
  
  

ネットワーク ポリシーとアクセス サービスのサーバー役割を管理するために、次のツールが用意されています。

• NPS MMC スナップイン。NPS MMC を使用して、RADIUS サーバー、RADIUS プロキシ、または NAP テクノロジを構成します。
  
  
• NAP 用の Netsh コマンド。NAP 用の Netsh コマンドは、NPS MMC スナップインを介して利用できるすべての構成設定と完全に等価なコマンド セットを提供します。Netsh コマンドは、Netsh プロンプトから手動で実行するか、管理者のスクリプトで実行できます。
  
  
• HRA MMC スナップイン。HRA MMC を使用して、クライアント コンピューターに対する正常性証明書を取得するために HRA が使用する証明機関 (CA) を指定し、正常性ポリシーに対する検証を行うためにクライアント SoH を NPS サーバーがどの HRA に送信するかを定義します。
  
  
• HRA 用の Netsh コマンド。HRA 用の Netsh コマンドは、HRA MMC スナップインを介して利用できるすべての構成設定と完全に等価なコマンド セットを提供します。Netsh コマンドは、Netsh プロンプトから手動で実行するか、管理者が作成したスクリプトで実行できます。
  
  
• NAP クライアントの構成 MMC スナップイン。NAP クライアントの構成スナップインを使用して、NAP アーキテクチャをサポートするクライアント コンピューターのセキュリティ設定とユーザー インターフェイス設定を構成できます。
  
  
• NAP クライアント設定構成用の Netsh コマンド。NAP クライアント設定用の Netsh コマンドは、NAP クライアントの構成スナップインを介して利用できるすべての構成設定と完全に等価なコマンド セットを提供します。Netsh コマンドは、Netsh プロンプトから手動で実行するか、管理者が作成したスクリプトで実行できます。
  
  
• ルーティングとリモート アクセス MMC スナップイン。この MMC スナップインを使用して、VPN サーバー、ダイヤルアップ ネットワーク サーバー、ルーター、VPN および NAT、または VPN サイト間接続を構成できます。
  
  
• リモート アクセス用の Netsh コマンド。リモート アクセス用の Netsh コマンドは、ルーティングとリモート アクセス MMC スナップインを介して利用できるすべての構成設定と完全に等価なコマンド セットを提供します。Netsh コマンドは、Netsh プロンプトから手動で実行するか、管理者のスクリプトで実行できます。
  
  
• ルーティング用の Netsh コマンド。ルーティング用の Netsh コマンドは、ルーティングとリモート アクセス MMC スナップインを介して利用できるすべての構成設定と完全に等価なコマンド セットを提供します。Netsh コマンドは、Netsh プロンプトから手動で実行するか、管理者のスクリプトで実行できます。
  
  
• [ワイヤレス ネットワーク (IEEE 802.11) ポリシー] - グループ ポリシー管理コンソール (GPMC)。[ワイヤレス ネットワーク (IEEE 802.11) ポリシー] 拡張は、WLAN (ワイヤレス LAN) 自動構成サービスをサポートするワイヤレス ネットワーク アダプター ドライバーを持つコンピューターでのワイヤレス ネットワーク設定の構成を自動化します。グループ ポリシー管理コンソールの [ワイヤレス ネットワーク (IEEE 802.11) ポリシー] 拡張を使用して、Windows XP と Windows Vista のワイヤレス クライアントのいずれかまたは両方の構成設定を指定できます。[ワイヤレス ネットワーク (IEEE 802.11) ポリシー] のグループ ポリシー拡張には、グローバルなワイヤレス設定、優先ネットワークの一覧、Wi-Fi Protected Access (WPA) の設定、および IEEE 802.1X の設定が含まれます。
  
  構成時、設定がドメインのメンバーの Windows ワイヤレス クライアントにダウンロードされます。このポリシーによって構成されるワイヤレス設定は、[コンピューターの構成] グループ ポリシーの一部です。既定では、[ワイヤレス ネットワーク (IEEE 802.11) ポリシー] は構成されていないか、または有効にされていません。
  
  
• ワイヤレス ローカル エリア ネットワーク (WLAN) 用の Netsh コマンド。Netsh WLAN は、Windows Vista のワイヤレス接続およびセキュリティ設定を構成するためにグループ ポリシーを使用する方法の代わりに使用します。Netsh wlan コマンドを使用して、ローカル コンピューターの構成、またはログオン スクリプトを使用した複数のコンピューターの構成を行うことができます。Netsh wlan コマンドを使用すると、ワイヤレスのグループ ポリシー設定を表示したり、ワイヤレス インターネット サービス プロバイダー (WISP) およびユーザーのワイヤレス設定を管理したりできます。
  
  ワイヤレスの Netsh インターフェイスには、次の利点があります。
  
  
  • 混在モードのサポート。管理者が、複数のセキュリティ オプションをサポートするようにクライアントを構成できます。たとえば、WPA2 および WPA 認証標準の両方をサポートするようにクライアントを構成できます。これにより、クライアントは WPA2 を使用して WPA2 をサポートするネットワークに接続できると共に、WPA を使用して WPA のみをサポートするネットワークに接続することもできます。
    
    
  • 不要なネットワークのブロック。管理者は、拒否するネットワークの一覧にネットワークまたはその種類を追加して、自社のものではないワイヤレス ネットワークへのアクセスをブロックおよび非表示にできます。同様に、管理者は自社のワイヤレス ネットワークへのアクセスを許可できます。
    
    
• [ワイヤード (有線) ネットワーク (IEEE 802.3) ポリシー] - グループ ポリシー管理コンソール (GPMC)。[ワイヤード (有線) ネットワーク (IEEE 802.3) ポリシー] を使用して、ワイヤード自動構成サービスをサポートするネットワーク アダプターおよびドライバーを実装する Windows Vista クライアントの構成設定を指定したり、変更したりできます。[ワイヤレス ネットワーク (IEEE 802.11) ポリシー] のグループ ポリシー拡張には、グローバルなワイヤードおよび IEEE 802.1X の設定が含まれています。これらの設定には、[全般] タブおよび [セキュリティ] タブに関連付けられているワイヤード設定の項目の完全なセットが含まれます。
  
  構成時、設定がドメインのメンバーの Windows ワイヤレス クライアントにダウンロードされます。このポリシーによって構成されるワイヤレス設定は、[コンピューターの構成] グループ ポリシーの一部です。既定では、[ワイヤード (有線) ネットワーク (IEEE 802.3) ポリシー] は構成されていないか、または有効にされていません。
  
  
• ワイヤード ローカル エリア ネットワーク (LAN) 用の Netsh コマンド。Netsh LAN は、Windows Vista のワイヤード接続およびセキュリティ設定を構成するために、Windows Server 2008 でグループ ポリシーを使用する方法の代わりに使用します。Netsh LAN コマンドを使用して、ローカル コンピューターの構成、またはログオン スクリプトのコマンドを使用した複数のコンピューターの構成を行うことができます。Netsh lan コマンドを使用すると、[ワイヤード (有線) ネットワーク (IEEE 802.3) ポリシー] を表示したり、クライアントのワイヤード 802.1X 設定を管理したりできます。
  
  

ネットワーク ポリシーとアクセス サービスの詳細については、次のいずれかの MMC スナップインを開き、F1 キーを押してヘルプを表示してください。

• NPS MMC スナップイン
  
  
• ルーティングとリモート アクセス MMC スナップイン
  
  
• HRA MMC スナップイン