| あなたは,ある会社のシステム管理部門に勤めている。社内では,外出している社員が外出先から社内ネットワークへ接続するため,Windows 2000 ServerのRASサーバーを2台使用している。現在,2台のRASサーバーは個別のリモート・アクセス・ポリシーを持っているが,常に共通のポリシーを持つように設定したい。どのように設定するのが最も効率的か。
1:[Active Directory サイトとサービス]でRASポリシーを割り当てる 2:NETSHコマンドを使って,一方のRASサーバーのポリシーを他方に複製する 3:RADIUSを使うように構成し,RADIUSサーバーでリモート・アクセス・ポリシーを構成する 4:一方のリモート・アクセス・ポリシーの画面を見ながら,他方に同じポリシーを設定する 5:すべてのRASサーバーに対して同じポリシー・ファイルを割り当てる 正解:3 |
 図1●リモート・アクセス・ポリシーの保存結果(一部) [画像のクリックで拡大表示] |
 図2●リモート・アクセス・ポリシーとRADIUS [画像のクリックで拡大表示] |
リモート・アクセス・ポリシーは,ダイヤルアップ接続クライアントが,所定の条件を満たしているかどうかを検査するルール・セットである。リモート・アクセス・ポリシーはローカル・コンピュータ上に保存されるため,複数のRASサーバーで共有できない。同じ「ポリシー」という単語でもActive Directoryの「グループ・ポリシー」とは全く違い,Active Directoryでは制御不能だ。このことから必然的に「Active Directoryサイトとサービス」は不正解になる。
リモート・アクセス・ポリシーのエクスポートは「NETSH AAAA SHOW CONFIG」コマンドの実行結果をファイルに保存すればよい(図1[拡大表示])。NETSHコマンドは,ネットワーク設定を行うためのコマンドであり,多くのサブコマンドを持つ。AAAA (Authorize,Authentication,Account,Administration)はRAS関連の情報を扱うサブコマンドである。「NETSH AAAA SHOW CONFIG」コマンドの実行結果は,NETSHコマンドに与えるスクリプトとなっているため「NETSH -f ファイル名」を実行すれば設定をインポートできる。タスク・スケジューラなどと組み合わせれば,特定のRASサーバーのリモート・アクセス・ポリシーを他のサーバーに自動複製可能だ。
ただし,この方法はリアルタイム性に欠けるため,RASサーバーの台数が多いと一貫したポリシーを保つのが難しい。そして実際にRASサーバーが多数存在していることは多い。
これに対してRADIUSサーバーを使えばリモート・アクセス・ポリシーを集中管理できる。Windows 2000 ServerおよびWindows Server 2003で標準装備されるRADIUSサーバーをIAS(インターネット認証サービス)と呼ぶ。IASは,RASサーバーと同じリモート・アクセス・ポリシーを持つため,同じIASを使うすべてのRASサーバーで共通のポリシーを設定できる(図2[拡大表示])。
実は,IASのリモート・アクセス・ポリシーとRASサーバーのリモート・アクセス・ポリシーは全く同じである。そのため前述のNETSHコマンドでIAS上のリモート・アクセス・ポリシーを他のIASに複製できる。リアルタイム性には欠けるが,一般にRASサーバーの台数に比べRADIUSサーバーの数はかなり少ないため,実用上は問題ないだろう。
