DHCP フェールオーバー機能と DHCP の NAP 強制を併用する場合の注意点について

Last Update: feedback 共有

こんにちは、Windows Commercial Networking チームです。
本記事では DHCP (Dynamic Host Configuration Protocol) サーバーと NAP (Network Access Protection) をご利用いただく際、NAP クライアントの検疫動作について制限となる動作をご報告致します。

概要

DHCP サーバーにおいて、NAP 強制を構成する方法を下記サイトにて公開しております。

チェックリスト : DHCP の NAP 強制を構成する (https://technet.microsoft.com/ja-jp/library/cc772356(v=ws.10).aspx)

Windows Server 2012 以降、DHCP サーバーの冗長化を実現する方法として、DHCP フェールオーバーの機能が実装されました。

上記公開情報の構成を、DHCP フェールオーバーで構成する場合、下記に示す挙動が確認できております。
当該挙動については 2016 年 3 月 4 日時点で NAP 強制利用時の機能制限となることが判明しておりますので、下記のような構成をご検討中の場合には予めご考慮下さいますようお願い申し上げます。

DHCP フェールオーバー状態: 正常

上記状態においては、赤線に記載される NAP クライアントのユニキャストに対し、DHCP サーバー (アクティブ) が正常に応答を返します。

DHCP フェールオーバー状態: パートナー停止中

上記状態において、NAP クライアントに IP アドレスがリースされますが、NAP 検疫動作によって送信される赤線部分のユニキャスト パケットは DHCP サーバー (スタンバイ) によって破棄されます。

この動作は、以下公開情報に記載されますように、DHCP フェールオーバー スタンバイ側の仕様動作となります。

DHCP Failover Protocol (http://tools.ietf.org/html/draft-ietf-dhc-failover-12)
※ 3.1.1. および 3.1.2. に該当致します。

これによって、NAP クライアント側のネットワーク アクセスが制限される場合がございます。
当該制限を回避しつつ、DHCP サーバーおよび NPS サーバーの冗長構成を実現したい場合、DHCP フェールオーバーを使用せず、それぞれ DHCP 兼 NPS サーバーを単体で複数台構成し、全クラアントの IP アドレスを予約レコードとして登録することで実現可能です。
ご検討いただけますと幸いです。


特記事項

本記事は 2016 年 3 月 4 日に公開された記事を本ブログに移行した記事になります。
また本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。