オラクる。

oracle専門ブログにしてみようかな~っと

2013年10月

今日からはWSUSの検証です。
インターネットにつながる環境が必要なことに注意してください。
 
さて、まずはインストールから

 DHCP_000240

サーバの役割としてWindows Server Update Serviceを選択します。

DHCP_000241

IISの役割も一緒に追加されます。

DHCP_000245

WSUSの詳細情報を確認し、「次へ」をクリックします。

DHCP_000246

 内容を確認し、「インストール」ボタンを押下するとインストールが始まります。

DHCP_000247
 
WSUSのコンポーネント自体はインターネットよりダウンロードしてくるようです。

DHCP_000248
 
インストールが止まっているなぁと思ったら、セットアップウィザードが起動していました。

DHCP_000249
 
使用許諾契約書に同意して、次へ進みます。

DHCP_000250
 
Microsoft Report Viewerというのが必要になるようです。
一緒にダウンロードしてくれればいいのに

DHCP_000251
 
パッチをローカルに保存する場合、保管場所を選択します。
ローカルに保存せずに、都度ダウンロードしていくということもできます。

なお、保管場所には6GB以上の空きが必要です。

DHCP_000252
 
WSUS標準のInternal Databaseをインストールして利用するか、構成済みのデータベース(ローカル/リモート)を利用するかを選択します。

DHCP_000253

WSUSのWebサイトの構成方法を指定します。
 既存のWebサイトと共存する場合は下側を選択します。

DHCP_000254

内容を確認し、次へ進みます。

DHCP_000255

ウィザードが完了しました。

DHCP_000256

 役割の追加ウィザードも完了しています。

NAPの設定が完了したので、早速クライアントの接続検証です。
まず、ドメインに参加していない状態
ワークグループはNAP非対応ですが、その場合デフォルトでは制限付きアクセスが与えられます。

 ad_000229

ad_000228

DHCPの制限付きアクセスのサーバオプションで設定した「restricted.contoso.com」が割り当てられています。

ad_000230

続いてはドメインに参加している状態

nap_000310

コンピューターアカウントを「NAP Client~」のセキュリティグループに追加します。
このセキュリティグループに入っているコンピューターアカウントだけが、NAPによる検証の対象です。

ad_000232

ファイアーウォールを有効にしている状態

ad_000231

DHCPの 既定のユーザクラスで設定したcontoso.comが割り当てられています。

 ad_000233

ファイアーウォールを無効にした場合

ad_000234
 
DHCPのネットワークアクセス保護クラスで設定した「restricted.contoso.com」が割り当てられています。

ad_000235
ad_000236
 
ネットワークのアクセスが制限されていることが表示されています。
また、修復方法も確認することが出来ます。 

修復サーバの設定をしてみましょう。
ここで設定したサーバはNAP非準拠でアクセスが制限されたサーバからもアクセスできます。
言い換えるとNAP非準拠のサーバは修復サーバにしかアクセスすることが出来ません。

 nap_000301

ファイル名を指定して実行から「nps.msc」を実行し、NPSのコンソールを開きます。

nap_000302

 
ポリシー→ネットワークポリシーを選択し、NAP DHCP非準拠、NAP DHCP NAP非対応のいずれかをダブルクリックします。

nap_000303
 
設定タブの「NAP強制」から構成ボタンを押下します。

nap_000304
 
修復サーバはグループ単位で管理されます。
新しいグループボタンを押下して、新しいグループを作成します。

nap_000306
 
新しい修復サーバーグループ画面で新しいグループ名を入力します。
「追加」ボタンを押下し、新しいグループに含めるコンピューターを選択します。

nap_000305
 
新しいサーバの追加画面です。

nap_000308

nap_000307

もう1つのポリシーにも設定を行ないます。
修復サーバグループは先ほど作成したグループを利用します。

nap_000309

新しい修復サーバグループが作成されました、

IMG_6924

私が初めて行った二郎がひばりヶ丘
客先の近くにあったので、前から気になっていたのだが・・・
敷居が高いような気がしたので中々行くことが出来なかった
でも、ある日、勇気を出して行ってみたら・・・ものの見事にハマってしまったのである

いや、でも最初は「何だここは!2度と行くもんか!」だったんですよ
でも、数カ月後に他の二郎に行ってみて、「あれ?何か美味しくない?他の店はどうなのだろう?」となり他の二郎に行ってみる
そして、ひばりヶ丘の二郎にも再び行ってみる
立派なジロリアンの出来上がりです( ̄ー ̄)bグッ!

ひばりヶ丘は私が一番好きな二郎
二郎は「味がブレる」と言われていて、行くたびに味が変わったりするけれど、ここはいつ行っても同じ味
いつ行っても、シャキシャキの野菜とふんわりとろとろ豚肉が味わえるんです

こんなこと書いてるとまた食べたくなった(^_^;)
 

NAP用にGPOを構成してみましょう。

nap_000283

gpme.mscでGPOの参照画面を開きます。

nap_000284
nap_000285

左から二番目のボタンを押下して、新規GPOを作成
新規GPOの名前をNAP client settingsと名付けます。
OKボタンを押下して、編集画面に移ります。

nap_000289

 「コンピューターの構成」→「ポリシー」→「Windowsの設定」→「セキュリティの設定」→「システムサービス」の「Network Access Protection Agent」を選択

nap_000288
 
サービスのスタートアップモードを「自動」に設定します。

nap_000290

 「コンピューターの構成」→「ポリシー」→「Windowsの設定」→「セキュリティの設定」→「ネットワークアクセス保護」→「NAPクライアントの構成」→「強制クライアント」から「DHCP検疫強制クライアント」を選択

nap_000291

 「この強制クライアントを有効にする」にチェックを入れます。

nap_000292

「コンピューターの構成」→「ポリシー」→「[管理用テンプレート」→「Windows コンポーネント」→「セキュリティ センター」の「セキュリティセンターをオンにする(ドメイン上のコンピューターのみ)」を選択します。

nap_000293
 
有効を選択します。

--

GPOの編集は以上です。
今回は作成したGPOにセキュリティフィルター処理を設定して、GPOが適用されるグループを限定させています。

nap_000295

グループポリシーの管理画面(gpmc.msc)を開き、先ほど作成したGPOを選択します。
セキュリティフィルター処理の項目から「Authenticated Users」を選択し、削除ボタンを押下します。

nap_000296

OKを押して、削除を行ないます。

次に追加ボタンを押下します。

nap_000298

GPOを適用したいグループを選択してOKボタンを押下します。

nap_000299

これで、GPOが適用されるのは「NAP Client Computers」に属するコンピューターのみになりました。 

このページのトップヘ