次の方法で共有

NAP サーバー側アーキテクチャ

手記

ネットワーク アクセス保護プラットフォームは、Windows 10 以降では使用できません

 

NAP サーバー側プラットフォーム アーキテクチャでは、Windows Server 2008 を実行しているコンピューターを使用します。 次の図は、Windows ベースの NAP 強制ポイントと NAP 正常性ポリシー サーバーで構成される NAP プラットフォームのサーバー側サポートのアーキテクチャを示しています。

nap プラットフォーム

Windows ベースの NAP 強制ポイントには、NAP 強制サーバー (ES) コンポーネントのレイヤーがあります。 各 NAP ES は、異なる種類のネットワーク アクセスまたは通信に対して定義されます。 たとえば、リモート アクセス VPN 接続用の NAP ES と DHCP 構成用の NAP ES があります。 NAP ES は通常、特定の種類の NAP 対応クライアントと照合されます。 たとえば、DHCP NAP ES は、DHCP ベースの NAP 強制クライアント (EC) と連携するように設計されています。 サードパーティのソフトウェア ベンダーまたは Microsoft は、NAP プラットフォーム用に追加の NAP ES を提供できます。 NAP ES は、対応する NAP EC からシステム正常性ステートメント (SSoH) を取得し、RADIUS Access-Request メッセージ のリモート認証ダイヤルイン ユーザー サービス (RADIUS) ベンダー固有属性 (VSA) として NAP 正常性ポリシー サーバーに送信

サーバー側アーキテクチャ図に示すように、NAP 正常性ポリシー サーバーには次のコンポーネントがあります。

  • ネットワーク ポリシー サーバー (NPS) サービス

    RADIUS Access-Request メッセージを受信し、SSoH を抽出して、NAP 管理サーバー コンポーネントに渡します。 NPS サービスは Windows Server 2008 で提供されます。

  • NAP 管理サーバー

    NPS サービスとシステム正常性検証コントロール (SHV) の間の通信を容易にします。 NAP 管理サーバー コンポーネントは、NAP プラットフォームと共に提供されます。

  • SHV コンポーネントのレイヤー

    各 SHV は、1 つまたは複数の種類のシステム正常性情報に対して定義され、SHA と照合できます。 たとえば、ウイルス対策プログラムの SHV が存在する可能性があります。 SHV は、1 つまたは複数の正常性要件サーバーと照合できます。 たとえば、ウイルス対策署名を確認するための SHV は、最新の署名ファイルを含むサーバーと照合されます。 SHV には、対応する正常性要件サーバーが必要ありません。 SHV は、ホスト ベースのファイアウォールが有効になっていることを確認するために、ローカル システムの設定を確認するように NAP 対応クライアントに指示するだけです。 Windows Server 2008 には、Windows セキュリティ正常性検証ツール (WSHV) が含まれています。 その他の SHV は、サードパーティのソフトウェア ベンダーまたは Microsoft によって NAP プラットフォームへのアドオンとして提供されます。

  • SHV API

    SHV が NAP 管理サーバー コンポーネントに登録し、NAP 管理サーバー コンポーネントから正常性ステートメント (SoHs) を受信し、正常性応答ステートメント (SoHR) を NAP 管理サーバー コンポーネントに送信できるようにする一連の関数呼び出しを提供します。 SHV API は NAP プラットフォームと共に提供されます。 次の NAP インターフェイスを参照してください。INapSystemHealthValidatorINapSystemHealthValidationRequestします。

前述のように、NAP サーバー側インフラストラクチャのより一般的な構成は、特定の種類のネットワーク アクセスまたは通信を提供する NAP 強制ポイントと、システム正常性の検証と修復を提供する個別の NPS 正常性ポリシー サーバーで構成されます。 個々の Windows ベースの NAP 強制ポイントに、NPS サービスを NAP 正常性ポリシー サーバーとしてインストールできます。 ただし、この構成では、各 NAP 強制ポイントをネットワーク アクセスポリシーと正常性ポリシーで個別に構成する必要があります。 推奨される構成は、個別の NAP 正常性ポリシー サーバーを使用することです。

NAP アーキテクチャ全体は、次のコンポーネントのセットで構成されています。

  • 3 つの NAP クライアント コンポーネント (SHA レイヤー、NAP エージェント、NAP EC レイヤー)。
  • 4 つの NAP サーバー側コンポーネント (SHV レイヤー、NAP 管理サーバー、NPS サービス、Windows ベースの NAP 強制ポイント上の NAP ES レイヤー)。
  • 正常性要件サーバー。NAP 正常性ポリシー サーバーの現在のシステム正常性要件を提供できるコンピューターです。
  • 修復サーバー。NAP クライアントがアクセスして準拠していない状態を修復できる正常性更新リソースを含むコンピューターです。

次の図は、NAP プラットフォームのコンポーネント間の関係を示しています。

nap プラットフォームのコンポーネント間の関係を

次のコンポーネント セットの一致に注意してください。

  • 通常、NAP EC と NAP ES は一致します。

    たとえば、NAP クライアント上の DHCP NAP EC は、DHCP サーバー上の DHCP NAP ES と照合されます。

  • SHA サーバーと修復サーバーを照合できます。

    たとえば、クライアント上のウイルス対策 SHA は、ウイルス対策署名修復サーバーと照合されます。

  • SHV と正常性要件サーバーを照合できます。

    たとえば、NAP 正常性ポリシー サーバー上のウイルス対策 SHV は、ウイルス対策の正常性要件サーバーと照合できます。

サードパーティのソフトウェア ベンダーは、次の方法で NAP プラットフォームを拡張できます。

  • NAP クライアントの正常性を評価する新しいメソッドを作成します。

    サードパーティのソフトウェア ベンダーは、NAP クライアント用の SHA、NAP 正常性ポリシー サーバー用の SHV、および必要に応じて正常性要件と修復サーバーを作成する必要があります。 ウイルス対策署名配布サーバーなど、正常性要件または修復サーバーが既に存在する場合は、対応する SHA および SHV コンポーネントのみを作成する必要があります。 場合によっては、正常性要件または修復サーバーは必要ありません。

  • ネットワーク アクセスまたは通信の正常性要件を適用するための新しい方法を作成します。

    サードパーティのソフトウェア ベンダーは、NAP クライアントで NAP EC を作成する必要があります。 適用方法で Windows ベースのサービスを使用する場合、サード パーティのソフトウェア ベンダーは、RADIUS プロトコルを使用するか、NAP 強制ポイントにインストールされている NPS サービスを RADIUS プロキシとして使用して、NAP 正常性ポリシー サーバーと通信する対応する NAP ES を作成する必要があります。

以降のセクションでは、NAP サーバー側アーキテクチャのコンポーネントについて詳しく説明します。

NAP 強制サーバー

NAP 強制サーバー (ES) では、ある程度のレベルのネットワーク アクセスまたは通信が可能になり、評価のために NAP クライアントの正常性状態をネットワーク正常性ポリシー サーバーに渡すことができます。また、応答に基づいて、制限付きネットワーク アクセスの適用を提供できます。

Windows Server 2008 に含まれる NAP ES は次のとおりです。

  • IPsec で保護された通信用の IPsec NAP ES。

    IPsec で保護された通信の場合、正常性登録機関 (HRA) は、準拠しているコンピューターの証明機関 (CA) から正常性証明書を取得する Windows Server 2008 およびインターネット インフォメーション サービス (IIS) を実行しているコンピューターであり、NAP クライアントの正常性状態情報を NAP 正常性ポリシー サーバーに渡します。

  • DHCP ベースの IP アドレス構成用の DHCP NAP ES。

    DHCP NAP ES は、業界標準の DHCP メッセージを使用して NAP クライアント上の DHCP NAP EC と通信する DHCP サーバー サービスの機能です。 制限付きネットワーク アクセスに対する DHCP の適用は、DHCP オプションを使用して行われます。

  • TS ゲートウェイ サーバー ベースの接続用のターミナル サービス (TS) ゲートウェイ NAP ES。

リモート アクセス VPN と 802.1X 認証接続の場合、NPS サービスの機能では、NAP クライアントと NAP 正常性ポリシー サーバー間の PEAP-TLV メッセージが使用されます。 VPN の適用は、VPN 接続に適用される IP パケット フィルターによって行われます。 802.1X の適用は、802.1X ネットワーク アクセス デバイスで、接続に IP パケット フィルターを適用するか、接続に制限されたネットワークに対応する VLAN ID を割り当てることによって行われます。

NAP 管理サーバー

NAP 管理サーバー コンポーネントは、次のサービスを提供します。

  • NPS サービスを介して NAP ES から SSoHs を取得します。
  • SSoHs 内の SoHs を適切なシステム正常性検証コントロール (SHV) に配布します。
  • SHV から SoHR を収集し、評価のために NPS サービスに渡します。

NPS サービス

RADIUS は、一元化された認証、承認、およびネットワーク アクセスのアカウンティングを可能にする、広くデプロイされたプロトコルです。これは、「Requests for Comments (RFC) 2865 および 2866」で説明されています。 もともとダイヤルアップ リモート アクセス用に開発された RADIUS は、ワイヤレス アクセス ポイント、認証イーサネット スイッチ、VPN サーバー、デジタル サブスクライバー 回線 (DSL) アクセス サーバー、およびその他のネットワーク アクセス サーバーでサポートされるようになりました。

NPS は、Windows Server 2008 での RADIUS サーバーとプロキシの実装です。 NPS は、Windows Server 2003 のインターネット認証サービス (IAS) を置き換えます。 NAP プラットフォームの場合、NPS サービスには、NAP 管理者サーバー コンポーネント、SHV API とインストール可能な SHV のサポート、正常性ポリシーを構成するためのオプションが含まれます。

NPS サービスは、SHV からの SoHR と構成された正常性ポリシーに基づいて、システム正常性ステートメント応答 (SSoHR) を作成します。これは、NAP クライアントが準拠しているか非準拠であるかを示し、SHV からの SoHR のセットを含みます。

システム正常性検証コントロール (SHV)

SHV は NAP 管理サーバーから SoH を受信し、システムの正常性状態情報と必要なシステム正常性状態を比較します。 たとえば、SoH がウイルス対策 SHA からのものであり、最後のウイルスシグネチャ ファイルのバージョン番号が含まれている場合、対応するウイルス対策 SHV はウイルス対策の正常性要件サーバーで最新バージョン番号を確認して、NAP クライアントの SoH を検証できます。

SHV は、NAP 管理サーバーに SoHR を返します。 SoHR には、NAP クライアントの対応する SHA が現在のシステム正常性要件を満たす方法に関する情報を含めることができます。 たとえば、ウイルス対策 SHV によって送信された SoHR は、名前または IP アドレスで特定のウイルス対策署名サーバーから最新バージョンのウイルス対策署名ファイルを要求するように NAP クライアントのウイルス対策 SHA に指示できます。

 

 

  • Last updated on