ポリシー規制サーバーをIISで立ち上げる
シン・テレワークシステムを使いたおす(11)
前回はHTML5版の使い方について解説しました。
今回はエンタープライズ環境用ポリシー規制サーバー機能の使い方について説明します。
エンタープライズ環境用ポリシー規制サーバーとは?
これまでシン・テレワークシステムの便利さを隅々まで説明してきましたが、IT管理者こと社内SE目線では別の懸念が生じます。
それは管理者の意図しない設定でシン・テレワークシステムをユーザーに使われてしまう、いわばシャドーIT的な状態です。
既にご存じの通り、シン・テレワークシステムは会社に置いてあるPCを自宅などの遠隔地から操作できるソフトウェアです。
それも実に簡単かつ無料で利用できるため、制御が利いていない状態だとユーザーが至極簡単なパスワードや識別IDといった設定もできてしまいます。
最悪、第三者によって社内PCを遠隔操作されてしまう、という恐ろしい状況を招く可能性があります。
そういった懸念を解消するためにシン・テレワークシステムにはエンタープライズ環境用ポリシー規制サーバー(以下、ポリシーサーバー)機能が備わっています。
この機能を利用することで社内PCのシン・テレワークシステムサーバー設定をある程度強制することができるようになります。
具体的にはワンタイムパスワードの利用を強制する、共有機能を無効にするなどです。
ポリシー規制サーバーを設置するには”HTTPS接続に応答するWEBサーバー”が必要です。
WEBサーバーといっても必ずしもWindows ServerやRed Hat EnterpriseのようなサーバーOSは必要ありません。
Linux+Apacheで構築すればソフト費用は無償ですし、今回ご紹介するIISも構築はWindows Server2022でやっていますがWindows10でもIISを機能追加すれば同じようにポリシー規制サーバーとして使えると思います(未検証)。
既に社内向けオンプレWEBサーバーが稼働していれば、そこにポリシー規制サーバーの機能を兼用させることもできます。
1つ注意点として、ポリシー規制サーバーはグローバルIPアドレスを持つWEBサーバーには使えません。
多くの企業がホームページをWEB公開していると思いますが、このようなWEBサーバーをポリシー規制サーバーとして兼用することはできません。
ポリシー規制サーバーを設定する
前提条件
今回は以下の環境でポリシー規制サーバーを構築します。
- Windows Server 2022 Standard
- IIS Version 10.0
- 利用する証明書:IISの自己署名証明書
- ポリシー規制サーバーのアドレス:https://thin-telework-policy-server.syanaise-soudan.local
- ポリシー規制ファイルの保存場所:C:\Users\Administrator\Desktop\thin-telework-policy\get-telework-policy
- DNSサフィックス:syanaise-soudan.local
- Windows Server DNS稼働中
ポリシー規制サーバーのアドレスはthin-telework-policy-server.の後ろに社内ネットワークのDNSプレフィックスを追加してください。
今回検証するDNSプレフィックスはsyanaise-soudan.localのため、上記のようなアドレスになっています。
また、事前準備としてポリシー規制ファイルを保存するディレクトリは作成しておいてください。
IISのウェブサイトを追加する
ポリシー規制サーバーはHTTPSに対応する必要があるため、まずはサーバー証明書を準備します。
IISのホーム設定からサーバー証明書設定を開きます。
右ペインの操作から”自己署名入り証明書の作成”をクリックします。
今回構築するポリシー規制サーバーのドメイン名をフレンドリ名に指定します。
OKボタンをクリックするとこのように自己署名証明書が作成されます。
続いてウェブサイトの追加を行います。
左ペインのサイトを右クリックして”Webサイトの追加”をクリックします。
Webサイトの追加画面で下記の設定を行います。
- サイト名:thin-telework-policy(任意の分かりやすい名前をつけます)
- 物理パス:事前に準備したディレクトリのget-telework-policyを除いたパスを指定
- バインドの種類:https(ポートは既定の443のまま)
- ホスト名: thin-telework-policy-server.syanaise-soudan.local
- IISサーバーのIPアドレス:192.168.110.10
- SSL証明書で先ほど作成した自己署名証明書を指定
OKボタンをクリックするとポリシー規制サーバー用のWEBサイトが登録されます。
続いてget-telework-policyディレクトリの既定のドキュメントを設定します。
左ペインからウェブサイトを展開し、get-telework-policyディレクトリを開きます。
その後、メニューアイコンから”既定のドキュメント”をダブルクリックします。
右ペインの操作から”追加”をクリックして既定のドキュメントを追加します。名前には設置する予定のポリシーファイルのファイル名を指定します。
既定のドキュメントの一覧に指定したファイル名が追加されました。ポリシーファイルのファイル名が一番上の項目になっていない場合は、ファイル名をクリックしてから右ペインの”上へ移動”を使って位置調整しましょう。
これでIISの設定は完了です。
物理パスのアクセス許可
サイトを右クリックし”アクセス許可の編集”をクリックします。
セキュリティタブから”編集”ボタンをクリックします。
追加ボタンをクリックしてEveryoneと入力しOKをクリックします。
アクセス許可は”読み取りと実行”、”フォルダーの内容の一覧表示”、”読み取り”にチェックが入っていることを確認してOKで確定します。
フルコントロールや編集権限を付与しないよう注意しましょう。
DNSの設定を追加する
続いてDNSの設定を追加します。
クライアントPCにインストールしたシン・テレワークシステムサーバーは5分に1回、”thin-telework-policy-server.+DNSサフィックス"というDNSの名前解決を試行しています。
この名前解決の結果、得られるIPアドレスとしてIISサーバーのIPアドレス(今回は192.168.110.10)にする必要があるためDNSのAレコードを追加します。
今回はWindows Server DNSに追加しますが、ご自身が使われているDNSサーバーの種類に合わせて設定してください。
DNSマネージャーを開き、前方参照ゾーンの中から社内DNSゾーンを開きます(大抵はDNSサフィックスと同じです)。
空白の場所どこでもよいので右クリックして”新しいホスト(AまたはAAAA)”をクリックします。
名前に”thin-telework-policy-server”(DNSサフィックスは不要)、IPアドレスにIISサーバーのIPアドレスを入力してホストの追加をします。
Aレコードが追加されればOKです。
念のため、社内クライアントPCで名前解決してIPアドレスが応答するか確認しておきましょう。
ポリシー定義ファイルの設置
続いてどんなポリシーを適用するか記述するための定義ファイルをIISのWebサイトに設置します。
シン・テレワークシステム公式サイトの下記URLにアクセスしてポリシーファイルを開きます。
https://telework.cyber.ipa.go.jp/enterprise/
アクセスするとポリシー定義ファイルのサンプルが表示されますので、全てのテキストを選択してコピーします。
メモ帳を起動し、コピーしたテキストを全て貼り付けます。
policy.txtと名前(既にIISに設定した既定のファイル名と合わせること)をつけて保存します。注意点としてWindows環境でも文字コードUTF-8(BOMは有無どちらでもOK)で保存しましょう。
保存場所はIISのWebサイト追加で設定した物理パスに get-telework-policyというディレクトリを作成して保存します(ここは名前固定です、入力ミスに注意)。
なお、Windows環境ですと文字コードUTF-8では2バイト文字が化けますが問題ありません。
ポリシー規制サーバーの稼働確認
以上の設定をすることで、Aレコードを追加したDNSサーバーを参照する社内PCにインストールしたシン・テレワークシステムサーバーはポリシーの規制対象になります。
ポリシー規制を受けているかどうか確認するには、シン・テレワークシステムサーバー機能をインストールした社内PCで設定画面を開いたときに下記のようなメッセージが表示されるか試してみましょう。
ポリシー規制サーバーの存在確認は5分に1回となっているため、ポリシー規制サーバーの設定が完了した直後はメッセージが表示されないかもしれません。
その場合は5分以上待ってからもう一度試してみましょう。
トラブルシューティング
うまくいかないときは下記の項目を確認してみましょう。
IISログの確認
IISログは”C:\inetpub\logs\LogFiles”に保存されています。
複数のフォルダがあると思いますが、末尾の数字はWebサイトIDを示しています。
WebサイトIDはIISの設定から”Webサイトを右クリック⇒Webサイトの管理⇒詳細設定”で確認できます。
今回はID2でしたので、W3SVC2の中にあるログファイルを開きます。
このログファイルにどのような内容が記述されているかによって対応を検討します。
GETログが残っていない
正常にクライアントPCとポリシー規制サーバーの通信が成功している場合は下記のようなログが5分ごとに記録されます。
2021-12-18 12:57:33 192.168.110.10 GET /get-telework-policy/ server_build=9902&server_hostname=Win10-VM1.syanaise-soudan.local 443 – 192.168.120.101 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64;+rv:75.0)+Gecko/20100101+Firefox/75.0 – 200 0 0 1
このようなGETログ自体が記録されていない場合はクライアントPCがWEBサーバーと通信できていません。
原因としては
- DNSの設定が間違っている
- IISのWebサイトホスト名が間違っている
- ファイアウォールによって通信が遮断されている(特にWindows Server側)
などが考えられます。nslookupやファイアウォールの一時無効化などを試して原因の切り分けを行いましょう。
特にドメイン名の入力ミスなどは非常に起きやすいので、その辺も再確認しましょう。
GETログは残っているがエラーになっている
上記のようなGETログは残っていても、エラーになっていることがあります。
GETログの赤字で示した部分は、処理の結果どうなったのかというコードを示しています(HTTPステータスコードと呼ばれます)。
このステータスコードは200番台が処理成功、400や500番台がエラー発生を意味します。
ここに400番台が記録されている場合はIISの設定ミスが疑われます。
403や500が記録されている場合はWebサイトの物理パスとして指定しているディレクトリのアクセス権限が適切に設定されていない可能性があります。
404が記録されている場合はポリシー規制ファイルを保存しているディレクトリの名称に入力ミスがあるかもしれません。
正しいパス名( get-telework-policy )が設定されているか確認しましょう。
まとめ
- シン・テレワークシステムはポリシー規制サーバーを使って一部設定の一元管理が可能
- WEBサーバーはIISでなくてもよい(ただしグローバルIPは不可)
- DNSの設定変更が必要(DNSサーバーを使わない方法もありますがここでは割愛)
次回は非管理者権限のPCにサーバー機能をインストールする方法と注意点を解説します。
目次はこちら。