みなさん、こんにちは。今回は NAP を DHCP 方式で構成する場合にサーバーを冗長化する方法についてご説明します。

 

DHCP サーバーを RADIUS クライアントとして構成

NAP の各種ドキュメントや書籍には、1台のマシンで DHCP サーバーとネットワーク ポリシー サーバー(NPS) を構成するパターンが記載されていますが、2つのマシンに分かれるケースについてはあまり触れられていません。実は NAP 環境では DHCP サーバーは RADIUS クライアントとして動作し、RADIUS サーバーである NPS と通信します。システム構成を図解すると下記のようになります。

image

DHCP サーバーを RADIUS クライアントとして構成するには、 Windows Server 2008 / 2008 R2 に「DHCP サーバー」とともに「ネットワーク ポリシー サーバー(NPS)」の役割もインストールする必要があります。少しややこしいですが、実は NPS とは RADIUS サーバー機能と RADIUS クライアント機能の両方を提供します。 ここでインストールする NPS は RADIUS クライアントのためのものです。

image

image

 

RADIUS クライアント側の NPS 設定

RADIUS クライアント側となる DHCP サーバー上の NPS には [リモート RADIUS サーバー グループ]を設定します。

image

[リモート RADIUS サーバー グループ] には NAP 管理サーバーとなる RADIUS サーバー(つまり リモートの NPS)を指定します。複数のサーバーを登録して、どのサーバーに RADIUS 要求するかの優先順位や重み付けを指定することもできます。

image

なお、各サーバーに対する[共有シークレット]設定は、RADIUS サーバー側の設定の際にも同じものを指定する必要があります。

image

ローカルの NPS で NAP のポリシー処理をするのではなく、リモートの NPS (NAP 管理サーバー)で処理させるため、[接続要求ポリシー]を設定します。

image

ポリシーのプロパティにて、[設定]タブの[接続要求の転送]で[次のリモート RADIUS サーバー グループに要求を転送して認証する]を選択します。

image

 

RADIUS サーバー側の NPS 設定

RADIUS サーバー(NAP 管理サーバー)側の NPS には、RADIUS クライアント(DHCP サーバー)を登録します。

image

RADIUS クライアントとなる DHCP サーバー(IP アドレスまたは DNS 名)と、それに対する共有シークレットを設定します。

image

※ Windows Server の エディションによって、サポートする RADIUS クライアント数(今回のケースでは NAP 実施ポイントとなる DHCP サーバー数に相当)が異なります。Standard エディションの場合は RADIUS クライアント数が 50 台までの制限がありますので、それ以上必要な場合は Enterprise 以上のエディションをご使用ください。

 

DHCP サーバーの冗長化

DHCP サーバーの冗長化は、フェールオーバー クラスタリング(MSFC)上にDHCP サーバーを構成する方法と、 DHCP 分割スコープ を使用する方法の 2 つがあります。

MSFC 構成:

MSFC 上に DHCP サーバー サービスを構成することにより、マシンの障害時に DHCP サーバーをフェールオーバーさせることができます。

image

[フェールオーバー クラスタ マネージャー] から [高可用性ウィザード] にて DHCP サーバーを登録します。

image

MSFC 構成では、共有ストレージを介して 2 台の マシン間で DHCP の構成情報(スコープやリース情報など)が共有され、フェールオーバー時に引き継がれるので、個々に設定する必要がありません。

※ MSFC を構成するためには Windows Server のエディションは、Enterprise または Datacenter が必要です。


分割スコープ構成 :

同一スコープを分割して2台の DHCP サーバーで IP アドレスのリースをさせる構成です。

image

各サーバーがリースするアドレスが重複しないようにアドレスプールを分割させる事が必要となりますが、Windows Server 2008 R2 では DHCP サーバーの新機能として[DHCP 分割スコープ ウィザード]が提供されますので、容易に構成できます。(分割スコープにしては以前のブログ記事も参照ください)

 

NPS の冗長化

 NPS を冗長化するにためには、単純に複数台 NPS を構成します。複数の NPS が同じ設定、ポリシーを保持するよう、構成のエクスポート/インポートを行います。

image

 

如何でしたでしょうか? やはり、RADIUS クライアントとして NPS が必要というところが盲点だった方も多いと思います。実は私も NAP に取り組み始めた当初 ここで混乱しました。

最後に、「Windows Server 2008 / 2008 R2 関連ドキュメント」サイトできましたので紹介します。今後 技術系のホワイトペーパーなどのドキュメントは、こちらに集約していく予定です。是非ご活用ください。
http://technet.microsoft.com/ja-jp/windowsserver/ff627818.aspx

 

瀧本 文男