次の方法で共有


NAP サーバー側のアーキテクチャ

Note

ネットワーク アクセス保護プラットフォームは、Windows 10以降は使用できません

 

NAP サーバー側プラットフォーム アーキテクチャでは、Windows Server 2008 を実行しているコンピューターが使用されます。 次の図は、Windows ベースの NAP 強制ポイントと NAP 正常性ポリシー サーバーで構成される、NAP プラットフォームのサーバー側サポートのアーキテクチャを示しています。

nap プラットフォームのサーバー側サポートのアーキテクチャ

Windows ベースの NAP 強制ポイントには、NAP 強制サーバー (ES) コンポーネントのレイヤーがあります。 各 NAP ES は、異なる種類のネットワーク アクセスまたは通信に対して定義されます。 たとえば、リモート アクセス VPN 接続用の NAP ES と DHCP 構成用の NAP ES があります。 NAP ES は通常、特定の種類の NAP 対応クライアントと一致します。 たとえば、DHCP NAP ES は、DHCP ベースの NAP 強制クライアント (EC) と連携するように設計されています。 サードパーティのソフトウェア ベンダーまたは Microsoft は、NAP プラットフォーム用に追加の NAP ES を提供できます。 NAP ES は、対応する NAP EC からシステム正常性ステートメント (SSoH) を取得し、RADIUS Access-Request メッセージのリモート認証ダイヤルイン ユーザー サービス (RADIUS) ベンダー固有属性 (VSA) として NAP 正常性ポリシー サーバーに送信します

サーバー側アーキテクチャ図に示すように、NAP 正常性ポリシー サーバーには次のコンポーネントがあります。

  • ネットワーク ポリシー サーバー (NPS) サービス

    RADIUS Access-Request メッセージを受信し、SSoH を抽出して NAP 管理サーバー コンポーネントに渡します。 NPS サービスは Windows Server 2008 で提供されます。

  • NAP 管理サーバー

    NPS サービスとシステム正常性検証ツール (SHV) 間の通信を容易にします。 NAP 管理サーバー コンポーネントは、NAP プラットフォームで提供されます。

  • SHV コンポーネントのレイヤー

    各 SHV は、1 つまたは複数の種類のシステム正常性情報に対して定義され、SHA と照合できます。 たとえば、ウイルス対策プログラムの SHV が存在する可能性があります。 SHV は、1 つまたは複数の正常性要件サーバーと一致する可能性があります。 たとえば、ウイルス対策署名を確認するための SHV は、最新の署名ファイルを含むサーバーと照合されます。 SHV には、対応する正常性要件サーバーが必要ありません。 SHV は、ホスト ベースのファイアウォールが有効になっていることを確認するために、ローカル システム設定をチェックするように NAP 対応クライアントに指示するだけです。 Windows Server 2008 には、Windows セキュリティ正常性検証コントロール (WSHV) が含まれています。 その他の SHV は、サードパーティのソフトウェア ベンダーまたは Microsoft によって NAP プラットフォームへのアドオンとして提供されます。

  • SHV API

    SHV が NAP 管理サーバー コンポーネントに登録し、NAP 管理サーバー コンポーネントから正常性ステートメント (SoHs) を受信し、正常性ステートメント応答 (SoHR) を NAP 管理サーバー コンポーネントに送信できるようにする一連の関数呼び出しを提供します。 SHV API は NAP プラットフォームで提供されます。 次の NAP インターフェイスを参照してください。 INapSystemHealthValidatorINapSystemHealthValidationRequest

前述のように、NAP サーバー側インフラストラクチャのより一般的な構成は、特定の種類のネットワーク アクセスまたは通信を提供する NAP 強制ポイントと、システム正常性の検証と修復を提供する個別の NPS 正常性ポリシー サーバーで構成されています。 NPS サービスを個々の Windows ベースの NAP 強制ポイントに NAP 正常性ポリシー サーバーとしてインストールできます。 ただし、この構成では、各 NAP 適用ポイントをネットワーク アクセスポリシーと正常性ポリシーで個別に構成する必要があります。 推奨される構成は、個別の NAP 正常性ポリシー サーバーを使用することです。

NAP アーキテクチャ全体は、次のコンポーネントのセットで構成されます。

  • 3 つの NAP クライアント コンポーネント (SHA レイヤー、NAP エージェント、NAP EC レイヤー)。
  • 4 つの NAP サーバー側コンポーネント (Windows ベースの NAP 強制ポイント上の SHV レイヤー、NAP 管理サーバー、NPS サービス、NAP ES レイヤー)。
  • 正常性要件サーバー。NAP 正常性ポリシー サーバーの現在のシステム正常性要件を提供できるコンピューターです。
  • 修復サーバー。NAP クライアントがアクセスして非準拠状態を修復できる正常性更新リソースを含むコンピューターです。

次の図は、NAP プラットフォームのコンポーネント間の関係を示しています。

nap プラットフォームのコンポーネント間の関係

次のコンポーネント セットの一致に注意してください。

  • 通常、NAP EC と NAP ES は一致します。

    たとえば、NAP クライアントの DHCP NAP EC は、DHCP サーバー上の DHCP NAP ES と一致します。

  • SHA と修復サーバーを一致させることができます。

    たとえば、クライアント上のウイルス対策 SHA は、ウイルス対策署名修復サーバーと一致します。

  • SHV と正常性要件サーバーを一致させることができます。

    たとえば、NAP 正常性ポリシー サーバー上のウイルス対策 SHV は、ウイルス対策の正常性要件サーバーと一致させることができます。

サードパーティのソフトウェア ベンダーは、次の方法で NAP プラットフォームを拡張できます。

  • NAP クライアントの正常性を評価する新しいメソッドを作成します。

    サードパーティのソフトウェア ベンダーは、NAP クライアント用の SHA、NAP 正常性ポリシー サーバー用の SHV、および必要に応じて正常性要件と修復サーバーを作成する必要があります。 ウイルス対策署名配布サーバーなど、正常性要件または修復サーバーが既に存在する場合は、対応する SHA および SHV コンポーネントのみを作成する必要があります。 場合によっては、正常性要件または修復サーバーは必要ありません。

  • ネットワーク アクセスまたは通信の正常性要件を適用するための新しい方法を作成します。

    サードパーティのソフトウェア ベンダーは、NAP クライアントで NAP EC を作成する必要があります。 適用方法で Windows ベースのサービスを使用する場合、サード パーティのソフトウェア ベンダーは、RADIUS プロトコルを使用するか、NAP 適用ポイントにインストールされている NPS サービスを RADIUS プロキシとして使用して、NAP 正常性ポリシー サーバーと通信する対応する NAP ES を作成する必要があります。

以降のセクションでは、NAP サーバー側アーキテクチャのコンポーネントについて詳しく説明します。

NAP 強制サーバー

NAP 強制サーバー (ES) は、ある程度のネットワーク アクセスまたは通信を許可し、評価のために NAP クライアントの正常性状態をネットワーク正常性ポリシー サーバーに渡すことができます。また、応答に基づいて、制限されたネットワーク アクセスを適用できます。

Windows Server 2008 に含まれる NAP ES は次のとおりです。

  • IPsec で保護された通信用の IPsec NAP ES。

    IPsec で保護された通信の場合、正常性登録機関 (HRA) は、準拠しているコンピューターの証明機関 (CA) から正常性証明書を取得する Windows Server 2008 およびインターネット インフォメーション サービス (IIS) を実行しているコンピューターで、NAP クライアントの正常性状態情報を NAP 正常性ポリシー サーバーに渡します。

  • DHCP ベースの IP アドレス構成用の DHCP NAP ES。

    DHCP NAP ES は、業界標準の DHCP メッセージを使用して NAP クライアント上の DHCP NAP EC と通信する DHCP サーバー サービスの機能です。 限られたネットワーク アクセスに対する DHCP の適用は、DHCP オプションを使用して行われます。

  • TS ゲートウェイ サーバーベースの接続用のターミナル サービス (TS) ゲートウェイ NAP ES。

リモート アクセス VPN と 802.1X 認証接続の場合、NPS サービスの機能では、NAP クライアントと NAP 正常性ポリシー サーバー間の PEAP-TLV メッセージが使用されます。 VPN の適用は、VPN 接続に適用される IP パケット フィルターを使用して行われます。 802.1X の適用は、接続に IP パケット フィルターを適用するか、接続に制限されたネットワークに対応する VLAN ID を割り当てることによって、802.1X ネットワーク アクセス デバイスで行われます。

NAP 管理サーバー

NAP 管理サーバー コンポーネントは、次のサービスを提供します。

  • NPS サービスを介して NAP ES から SSoHs を取得します。
  • SSoHs 内の SoHs を適切なシステム正常性検証ツール (SHV) に配布します。
  • SHV から SoHR を収集し、評価のために NPS サービスに渡します。

NPS サービス

RADIUS は、ネットワーク アクセスの一元化された認証、承認、アカウンティングを可能にする広くデプロイされたプロトコルです。これは、「Requests for Comments (RFC) 2865 および 2866」で説明されています。 ダイヤルアップ リモート アクセス用に開発された RADIUS は、ワイヤレス アクセス ポイント、認証イーサネット スイッチ、VPN サーバー、デジタル サブスクライバー 回線 (DSL) アクセス サーバー、およびその他のネットワーク アクセス サーバーでサポートされるようになりました。

NPS は、Windows Server 2008 での RADIUS サーバーとプロキシの実装です。 NPS は、Windows Server 2003 のインターネット認証サービス (IAS) に代わるものです。 NAP プラットフォームの場合、NPS サービスには NAP 管理者サーバー コンポーネント、SHV API とインストール可能な SHV のサポート、正常性ポリシーを構成するためのオプションが含まれます。

NPS サービスは、SHV からの SoHR と構成された正常性ポリシーに基づいて、正常性応答のシステム ステートメント (SSoHR) を作成します。これは、NAP クライアントが準拠しているか非準拠であるかを示し、SHV からの SoHR のセットを含みます。

システム正常性検証ツール (SHV)

SHV は NAP 管理サーバーから SoH を受信し、システムの正常性状態情報と必要なシステム正常性状態を比較します。 たとえば、SoH がウイルス対策 SHA からのものであり、最後のウイルス署名ファイルのバージョン番号が含まれている場合、対応するウイルス対策 SHV は最新バージョン番号のウイルス対策正常性要件サーバーとチェックして NAP クライアントの SoH を検証できます。

SHV は、NAP 管理サーバーに SoHR を返します。 SoHR には、NAP クライアントの対応する SHA が現在のシステム正常性要件を満たす方法に関する情報を含めることができます。 たとえば、ウイルス対策 SHV によって送信される SoHR は、名前または IP アドレスで特定のウイルス対策署名サーバーから最新バージョンのウイルス対策署名ファイルを要求するように NAP クライアントのウイルス対策 SHA に指示できます。