証明書サービスを使用してワイヤレス LAN のセキュリティを保護する

  • [アーティクル]

第 8 章 : RADIUS インフラストラクチャを実装する

最終更新日: 2005年5月24日

トピック

はじめに
RADIUS インフラストラクチャ計画ワークシート
サーバーを構築する
IAS サーバーをインストールおよび構成する
プライマリ IAS サーバーを構成する
構成を複数の IAS サーバーに展開する
要約

はじめに

この章では、Microsoft® Windows Server™ 2003 Internet Authentication Service (IAS) に基づいて、ワイヤレス LAN (WAN) セキュリティ用のリモート認証ダイヤルイン ユーザー サービス (RADIUS) インフラストラクチャを構築する方法について詳しく説明します。 この章の内容には、RADIUS サーバーのインストールと構成、Active Directory® ディレクトリ サービスの準備、および IAS サーバー設定の構成が含まれます。 RADIUS インフラストラクチャは、完全なワイヤレス LAN ソリューションを構築するために次の章で使用します。

この章の目的は、「第 5 章 : ワイヤレス LAN のセキュリティに対応した RADIUS インフラストラクチャを設計する」で説明した RADIUS 設計の実装ガイドを提供することです。この章では、RADIUS の一般的な概念または IAS での RADIUS プロトコルの具体的な実装方法は説明しません。

この章は、RADIUS および WLAN の設計ガイドおよび運用ガイドの各章の補足として利用できるように構成されています。 設計ガイドの各章では、この章での実装に関する決定の背後にある論理的な根拠について説明されています。運用ガイドの各章では、RADIUS インフラストラクチャを正常に保守するために必要なタスクとプロセスについて説明されています。 計画ガイドの章をまだ読んでいない場合は、この章を読む前に読むことをお勧めします。 さらに、この章のガイダンスを使用して RADIUS インフラストラクチャを実装する前に、運用ガイドのサポート要件を読んで内容を理解する必要があります。

章の前提条件

ここでは、組織で RADIUS インフラストラクチャを実装する準備を整えるために役立つチェックリストを記載しています ("準備" とは、ビジネス上の準備ではなくロジスティックス上の準備を意味します。このソリューションを実装するためのビジネス上の理由については、計画ガイドの前半の章で説明します)。

知識の前提条件

特に RADIUS と IAS の概念について詳しく知っている必要があります。 次の領域については、Windows 2000 Server または Windows Server 2003 に関する詳しい知識も必要です。

  • Microsoft Windows® オペレーティング システムのインストール。

  • Active Directory の概念 (Active Directory の構造とツール、ユーザーの操作、他の Active Directory オブジェクト、グループ ポリシーの使用など)。

  • Windows システム セキュリティ。ユーザー、グループ、監査、アクセス制御リスト (ACL) などのセキュリティの概念、セキュリティ テンプレートの使用、グループ ポリシーまたはコマンド ライン ツールを使用したセキュリティ テンプレートの適用。

  • バッチ ファイル スクリプトの概要。 Windows スクリプト ホストと Microsoft Visual Basic® Scripting Edition (VBScript) 言語に関する知識があると、提供されているスクリプトを最も有効に活用できますが、これは必須ではありません。

この章を読む前に、「第 5 章 : ワイヤレス LAN のセキュリティに対応した RADIUS インフラストラクチャを設計する」を読み、ソリューションのアーキテクチャと設計を詳しく理解する必要があります。

組織の前提条件

このソリューションの実装に参加する必要がある、次のような組織の他のメンバに相談する必要があります。

  • 企業のスポンサー。

  • セキュリティおよび監査の担当者。

  • Active Directory のエンジニアリング、管理、および運用の担当者。

  • DNS (ドメイン ネーム システム)、ネットワーク エンジニアリング、管理、および運用の担当者。

前提となる IT インフラストラクチャ

この章では、既存の IT インフラストラクチャについて次の事項を想定しています。

  • 展開済みの Windows Server 2003 Active Directory ドメイン インフラストラクチャが存在している。 このソリューションの RADIUS インフラストラクチャのすべてのユーザーが、同じ Active Directory フォレスト内のドメインのメンバである。

    注 : 以前のバージョンの Microsoft Windows との互換性の詳細については、「付録 A: Windows のバージョン サポート表」を参照してください。

  • このソリューションには、既存の RADIUS インフラストラクチャに統合するためのガイダンスは含まれていません。ただし、このソリューションを既存の RADIUS インフラストラクチャと共に展開できないわけではありません。

  • Windows Server 2003 IAS の実行に適したサーバー ハードウェアが利用できる。 このガイダンスには、推奨される構成が記載されています。

  • Windows Server 2003 Standard Edition および Enterprise Edition のライセンス、インストール メディア、およびプロダクト キーが利用できる。

章の概要

次の図に、この章で説明する RADIUS インフラストラクチャの構築プロセスを示します。

図 8.1: RADIUS インフラストラクチャ構築プロセスのフロー

これらの手順は、この章の構成と一致しています。それぞれの手順についての説明は次の一覧のとおりです。 各手順には、インストール タスクまたは構成タスクと、1 つ以上の確認処理があります。このため、実行した処理の結果を検査してから、次の処理に進むことができます。

  • IAS 計画用ワークシート。 この章で IAS をインストールおよび設定するときに使用する、設定情報の一覧です。 このワークシートには、実装を開始する前に準備しておくべき情報の一覧が含まれています。

  • サーバーを構築する。 ハードウェアの選定と設定、Windows Server 2003 のインストール、およびオプション コンポーネントのインストールについて説明します。 さらに、Active Directory 管理セキュリティ グループの作成、管理タスクを委任するための正しいアクセス許可の設定方法、およびセキュリティ テンプレートの適用によるオペレーティング システム レベルのセキュリティの実装についても説明します。 使用するテンプレートは、「Windows Server 2003 セキュリティ ガイド」から入手します。 このガイドの入手方法については、この章の最後を参照してください。 また、このセクションでは、サーバーの基本的なインストールに関する共通タスクについても説明します。

  • IAS サーバーをインストールおよび構成する。 準備作業、ソフトウェアのインストール、および IAS データ ディレクトリの作成とセキュリティ保護を含む IAS の構成について説明します。

  • プライマリ IAS サーバーを構成する。プライマリ IAS サーバーの構成について説明します。このサーバーは、同様のロールの IAS サーバーを環境に追加する際に構成テンプレートとして使われます。 また、他の IAS サーバー用に IAS の構成をエクスポートする方法についても説明します。 この手順は、より広い範囲の構成を実施した後で、後の章で再び使用します。

  • セカンダリ IAS サーバーを構成する。 障害復旧や負荷分散を目的としてプライマリ RADIUS サーバーとペアで稼動するセカンダリ IAS サーバーの構成方法について説明します。 プライマリ IAS 構成をインポートして自動展開する方法についても説明します。 この手順は、より広い範囲の構成を実施した後で、後の章で再び使用します。

  • 支社オフィスの IAS サーバーを構成する。 分散環境の例として使用できるオプションの支社オフィスの IAS サーバーの構成について説明します。また、プライマリ IAS 構成をインポートして自動展開する方法についても説明します。 この手順は、より広い範囲の構成を実施した後で、後の章で再び使用します。

ページのトップへ

RADIUS インフラストラクチャ計画ワークシート

このソリューションで使用する構成パラメータを次の表に示します。 この表は、計画の決定を行う際のチェックリストとして使用してください。

表のパラメータの多くは、この章で説明されている手順に従い手動で設定します。 他のパラメータは、手順の一部として実行されるスクリプトによって設定されます。他の構成や運用タスクを完了するために、スクリプトから参照されるパラメータもあります。

注 : 構築ガイドで使用されているスクリプトの詳細については、スクリプトに付属する ToolsReadme.txt ファイルを参照してください。

ユーザー定義の構成項目

次の表に、Woodgrove Bank という架空の組織に固有なパラメータの一覧を示します。 次の表のすべての項目に対応する自社の設定を収集または決定してから、セットアップ手順を開始してください。 この章では、次に示す架空の値をサンプル コマンドで使用しています。 これらの値は、自社に適した設定値に置き換える必要があります。 置き換える必要がある部分は斜体で表記されています。

表 8.1: ユーザー定義の構成項目

構成項目 設定
Active Directory フォレストのルート ドメインの DNS 名 woodgrovebank.com
ドメインの NetBIOS (ネットワーク基本入出力システム) 名 WOODGROVEBANK
プライマリ IAS サーバーのサーバー名 HQ-IAS-01
セカンダリ IAS サーバーのサーバー名 HQ-IAS-02
セカンダリ IAS サーバーのサーバー名 BO-IAS-03
#### ソリューションで規定されている構成項目 ソリューション設計とは異なる設定を使用する必要がある場合以外は、この表で指定されている設定を特定のインストール用に変更する必要はありません。 ここに示す設計パラメータを変更する場合は、パラメータの変更によりテスト済みのソリューションとは異なる仕様になることを十分に理解してから行ってください。 設定の変更による影響、および値を変更する前に存在していた各設定の依存関係 (構成の手順や提供されているスクリプト) についてよく確認してください。 **表 8.2: ソリューションで規定されている構成項目**
構成項目 設定
アカウント - IAS の構成を制御する管理グループの完全な名前 IAS Admins
アカウント - IAS の構成を管理する管理グループの Windows 2000 以前の名前 IAS Admins
アカウント - セキュリティ目的で IAS 認証とアカウンティング要求のログを確認するグループの完全な名前 IAS Security Auditors
アカウント - セキュリティ目的で IAS 認証とアカウンティング要求のログを確認するグループの Windows 2000 以前の名前 IAS Security Auditors
[スクリプト] インストール スクリプトのパス C:\MSSScripts
スクリプト - IAS 構成のエクスポート バッチ ファイル IASExport.bat
スクリプト - IAS 構成のインポート バッチ ファイル IASImport.bat
スクリプト - IAS RADIUS クライアント構成のエクスポート バッチ ファイル IASClientExport.bat
スクリプト - IAS RADIUS クライアント構成のインポート バッチ ファイル IASClientImport.bat
[構成] 構成バックアップ ファイルのパス D:\IASConfig
要求ログ - IAS 認証および監査要求ログの場所 D:\IASLogs
要求ログ - RADIUS 要求ログの共有名 IASLogs
#### IAS を準備する ソリューションの中心は、WLAN アクセス制御を行う RADIUS として構成された 2 台の IAS サーバーです。 分散されたインフラストラクチャが必要な環境では、RADIUS サーバーとして構成されたオプションの支社オフィス IAS サーバーを設置できます。 IAS サーバーの配置の詳細については、「第 5 章 : ワイヤレス LAN のセキュリティに対応した RADIUS インフラストラクチャを設計する」を参照してください。 IAS のインストールを実行する前に、次のような準備作業を完了する必要があります。 - サーバー ハードウェアの構成 - サーバー オペレーティング システム ソフトウェアのインストール - Active Directory の準備 - サーバーセキュリティ補強タスクの実行 [](#mainsection)[ページのトップへ](#mainsection) ### サーバーを構築する 以降のセクションでは、サーバーを構築する手順を説明します。 各サーバーは個別に構築できますが、各サーバーに対してすべての手順を完了する必要があります。 #### サーバー ハードウェアを指定する IAS に使用するサーバー ハードウェアは、[Windows Server カタログ](https://www.windowsservercatalog.com/) (英語) の中から選択する必要があります。Windows Server 2003 と互換性のあるサーバー ハードウェアをカタログから選択しておけば、テストされていないハードウェアや正しく記述されていないデバイスドライバによって生じる可能性のある信頼性や互換性の問題を回避することができます。 Windows Server 2003 HCL の詳細については、この章の最後の「関連情報」を参照してください。 ##### テスト済みのサーバー ハードウェア仕様 ラボ環境でのテストでは、次の仕様のハードウェアを使用しました。 これらのハードウェア仕様は参考のみを目的としたものであり、必須ではありません。 IAS サーバーのハードウェア要件の詳細については、「第 5 章 : ワイヤレス LAN のセキュリティに対応した RADIUS インフラストラクチャを設計する」を参照してください。 **表 8.3: テスト済みのサーバー ハードウェア仕様**
リソース 要件
CPU 850 MHz 以上のデュアル CPU
メモリ 512 MB
ネットワーク インターフェイス 障害からの復旧用に 2 枚のネットワーク インターフェイス カード (NIC)
ディスク記憶域 integrated device electronics (IDE) 規格または small computer system interface (SCSI) 規格の redundant array of independent disks (RAID) コントローラ RAID 1 ボリューム (ドライブ C) として設定された 2 台の 9 GB ハード ディスク ドライブ (SCSI または IDE) RAID 1 ボリューム (ドライブ D) として設定された 2 台の 18 GB ハード ディスク ドライブ (SCSI または IDE) (ネットワーク上でバックアップするしくみがない場合) ローカルのリムーバブル メディア ドライブ (CD-RW またはテープ) (バックアップ用) 1.44 MB のフロッピー ディスク ドライブ (データ移動用)
ハードウェアを準備する

ハードウェア ベンダの推奨に従って、すべてのハードウェアを構成します。 この構成には、ハードウェア ベンダが提供する最新の BIOS (基本入出力システム) およびファームウェアへのアップデートも含まれます。

ハードウェアに付属するディスク コントローラ管理ソフトウェアで、上記の表を参照して RAID 1 ボリュームを作成します。

Windows Server 2003 をインストールする

ここでは、IAS サーバーへの Windows Server 2003 のインストールについて説明します。 既に多くの組織ではサーバーのインストール プロセスが自動化されています。 次の手順で使用されているパラメータが構築に含まれていれば、自動インストール プロセスを使用してサーバーを構築してもまったく問題ありません。 Windows Server 2003 Standard Edition または Windows Server 2003 Enterprise Edition のどちらを使用するかについては、「第 5 章 : ワイヤレス LAN のセキュリティに対応した RADIUS インフラストラクチャを設計する」を参照してください。

IAS サーバーに Windows Server 2003 をインストールするには、次の手順を実行します。

Windows Server 2003 をインストールするには

  1. サーバーの BIOS 設定で、CD-ROM からの起動が有効になっていることを確認します。 Windows Server 2003 の CD を CD-ROM ドライブに挿入した状態でシステムを再起動します。

  2. プライマリ ボリュームにパーティションを 1 つ作成し、NTFS としてフォーマットして、そのパーティションを Windows のインストール先として指定するオプションを選択します。

  3. 適切な地域設定を選択します。

  4. Windows を登録するユーザー名と会社情報を入力します。

  5. ローカル Administrator アカウント用の強力なパスワードを入力します (10 文字以上の大文字と小文字の英字、数字、および区切り記号の組み合わせ)。

  6. コンピュータ名の入力を要求されたら、次のようなコンピュータ名を入力します (この値は、お使いのコンピュータの名前に置き換えてください)。

    • プライマリ IAS: HQ-IAS-01

    • セカンダリ IAS: HQ-IAS-02

    • 支社オフィス IAS: BO-IAS-03

  7. ワークグループまたはドメインの選択を要求されたら、ドメインに参加するように指定します。 サーバーが参加する Active Directory ドメイン名 (WOODGROVEBANK ) を入力します (このドメイン名は、RADIUS サーバーがインストールされるドメイン名で置き換えてください)。 コンピュータをこのドメインに参加させる承認を得たユーザーについて、その資格情報を入力するよう要求されたら、所定の欄に入力します。

    注 : 複数のドメインで構成されているフォレストの場合、通常 IAS サーバーはフォレスト ルート ドメインにインストールされます。Kerberos の動作を最適化するためです。 この設定は必須ではありませんが、このソリューションではフォレスト ルート ドメインにインストールするものと想定して説明を続けます。

  8. オプションのコンポーネントはインストールしないでください。

    主要なセットアップ プロセスが終了すると、コンピュータが再起動されます。 次の処理に進んでください。

  9. 最新の Service Packとすべての必要な更新をインストールします。

  10. CD-ROM/DVD ドライブのドライブ文字を R に変更します。

  11. 2 番目のハード ディスクのボリュームにパーティションを作成し、そのパーティションのドライブ文字として D を割り当て、NTFS でフォーマットします。

  12. この Windows のコピーをアクティベートします。

ネットワークを設定する

IAS サーバーには 1 つのネットワーク インターフェイスが装備されています。ただし、障害回復性を高めるため、2 枚の NIC が装着されることもあります。 ネットワーク インターフェイスは、ネットワークに応じて、固定 IP アドレスおよびその他の IP 構成パラメータ (既定のゲートウェイや DNS の設定など) で構成されます。

インストールを確認する

オペレーティング システムのインストールが正常に完了したこと、およびパラメータが意図どおりに正しく構成されていることを確認する必要があります。

現在のシステム構成を表示するには

  1. コマンド プロンプトで systeminfo プログラムを実行します。

  2. systeminfo の出力結果について、次の項目を確認します (一部の項目については省略)。

    ホスト名: HQ-IAS-01

    OS 名: Microsoft® Windows® Server 2003, Enterprise Edition

    ...

    OS 構成: メンバ サーバー

    登録されている所有者: <YourOwnerName>

    登録されている組織: <YourOwnerOrganization>

    ...

    Windows ディレクトリ: C:\WINDOWS

    システム ディレクトリ: C:\WINDOWS\System32

    起動デバイス: \Device\HarddiskVolume1

    システム ロケール: <YourSystemLocale>

    入力ロケール: <YourInputLocale>

    タイム ゾーン: <YourTimeZone>

    ...

    ドメイン: <woodgrovebank.com>

    ログオン サーバー: <\\DomainControllerName>

    ホットフィックス: <X> ホットフィックスがインストールされています。

                               [01]: Qxxxxxx

    ...

                               [nn]: Qnnnnnn

    ネットワーク カード: 1 NIC(s) インストール済みです。

    [01]: <ModelAndVendorofNetworkCard

    接続名: ローカル エリア接続

    DHCP が有効: いいえ

    IP アドレス

    [01]: xxx.xxx.xxx.xxx

  3. この設定が意図したものと異なる場合は、[コントロール パネル] でサーバーを再構成するか、もう一度インストールを実行してください。

構成スクリプトをサーバーにインストールする

構成および運用の一部を簡略化する目的で、このソリューションには多くのスクリプトおよび構成ファイルが含まれています。 これらのスクリプトおよび構成ファイルは、各サーバーにインストールする必要があります。 これらのスクリプトの一部は、「第 12 章 : RADIUS およびワイヤレス LAN のセキュリティ インフラストラクチャを管理する」で説明している運用作業で必要になるので、CA のインストールが完了しても削除しないでください。

各サーバーにセットアップ スクリプトをインストールするには

  1. C:\MSSScripts という名前のフォルダを作成します。

  2. 配布されたメディアからこのフォルダにスクリプトをコピーします。

Service Pack とセキュリティ更新プログラムを確認する

この段階でインストールされている Service Pack と更新プログラムを再確認します。 Microsoft Baseline Security Analyzer (MBSA) などのツールを使って確認を行い、必要な更新プログラムを取得します。 適切なテストを実行した後で、それらをサーバーにインストールします。

MBSA の詳細については、この章の最後にある「関連情報」を参照してください。

追加ソフトウェアをインストールする

ここでは、IAS サーバーに追加する必要のあるソフトウェアのインストールについて説明します。

CAPICOM

このソリューションで提供されている一部のセットアップ スクリプトおよび管理スクリプトを実行するには、RADIUS サーバーに CAPICOM 2.0 をインストールする必要があります。 最新バージョンの CAPICOM の入手方法については、この章の最後の「関連情報」を参照してください。

このガイダンスを続行する前に、自己解凍型の実行可能ファイルの指示に従って、CAPICOM ダイナミック リンク ライブラリ (DLL) のインストールおよび登録を行います。

ネットワークと Active Directory の接続を検証する

IAS には、正しいネットワーク構成と Active Directory への接続が必要です。 そのため、IAS を展開する前に、サーバーに対するネットワーク診断を実行するようにしてください。

ネットワーク診断は、Windows Server 2003 CD に収録されている Windows Server 2003 サポート ツールの NETDIAG.EXE コマンドを使って実行できます。 Netdiag.exe は、次のコマンドで展開できます。

expand r:\support\tools\support.cab –f:netdiag.exe c:\mssscripts

展開が完了したら、次のコマンドを入力して、ユーティリティを実行します。

C:\mssscripts\netdiag.exe

エラーや警告が出力された場合は、必ず原因を調査してください。

ドメインの機能レベルを確認する

ネットワーク アクセス制御の優先モデルは、Active Directory 内のユーザーアカウントへの [リモート アクセス ポリシーでアクセスを制御] を利用しています。 [リモート アクセス ポリシーでアクセスを制御] の設定は、Windows 2000 ネイティブモード以上で Active Directory を実行している場合にのみ使用可能です。 そのため、IAS にリモート アクセス ポリシー (RAP) を展開する前に、ドメインの機能レベルを確認する必要があります。

ドメインの機能レベルを確認するには、Active Directory ドメインと信頼関係ツールでドメインのプロパティを表示します。 IAS が属するドメインが Windows 2000 混在モードで構成されている場合は、Active Directory 管理者に連絡して、ネイティブモードへの移行ができるかどうか確認してください。

この問題の詳細については、この章の最後にある「関連情報」を参照してください。

Active Directory セキュリティ グループを構成する

IAS はネットワーク セキュリティ インフラストラクチャの一部です。 そのため、IAS の構成とログ ファイルへのアクセスの承認は厳格に管理する必要があります。 Active Directory のグローバル グループと Windows Server 2003 のローカル グループを組み合わせることにより、必要なアクセス制御を実装することができます。

IAS Administration グループを作成する

ドメイン管理者として次のスクリプトを実行し、IAS 管理セキュリティ グループを作成します。

Cscript //job:CreateIASGroups C:\MSSScripts\IAS_Tools.wsf

このスクリプトは、ドメイン グローバル グループとして次のセキュリティ グループを作成します。

  • IAS Admins

  • IAS Security Auditors

マルチフォレスト ドメインで構成されている場合、IAS サーバーと同じドメイン内にこれらのグループを作成します。

注 : 複数の管理者が複数のドメインに配置されている組織では、ここで作成するグローバル グループの代わりにユニバーサル グループを使用することを検討する必要があります。 セキュリティ グループを作成するスクリプトは、次の章で Remote Access Policy – Wireless Access グループを作成するために使用する構文を使用して簡単に変更できます (第 9 章の「WLAN アクセスに必要な Active Directory グループを作成する」を参照してください)。

IAS Administrators グループを構成する

IAS は Windows Server 2003 オペレーティング システムの中核となるコンポーネントです。このため、IAS 構成タスクを実行するには、ローカル Administrators セキュリティ グループのメンバになる必要があります。

各 IAS サーバー上で、IAS Admins ドメイン グローバル グループをローカル Administrators グループに追加する必要があります。 IAS がドメイン コントローラにインストールされている場合、[Active Directory ユーザーとコンピュータ] Microsoft 管理コンソール (MMC) スナップインを使用して、IAS Admins をドメインの Administrators グループに追加する必要があります。

警告 : ビルトイン Administrators ドメイン グループにグループを追加するとセキュリティに重大な影響を与える可能性があります。 詳細については、「第 5 章 : ワイヤレス LAN のセキュリティに対応した RADIUS インフラストラクチャを設計する」で、ドメイン コントローラへの IAS の配置に関する説明を参照してください。

IAS Admins と IAS Security Auditors グループに、社内の適切な管理担当者のアカウントを追加する必要があります。 これらのグループに IAS の管理役割を対応付ける方法の詳細については、「第 5 章 : ワイヤレス LAN のセキュリティに対応した RADIUS インフラストラクチャを設計する」で、管理者用アクセス許可についての説明を参照してください。

後述のセットアップ処理では、IAS Admins グループのメンバであるアカウントを使用する必要があります。

IAS 用に Windows Server 2003 をセキュリティで保護する

IAS サーバーを不正なアクセスから保護するために必要なすべての手順を実行する必要があります。 IAS サーバーはセキュリティ インフラストラクチャの中核なので、ファイアウォールやその他のセキュリティ アクセス インフラストラクチャと同様に慎重に扱う必要があります。

物理的なセキュリティ

IAS サーバーは物理的なアクセスを厳重に管理できる場所に設置する必要があります。 これらのサーバーは、継続的にオンライン状態である必要があるので、一般的なコンピュータ サーバー ルーム施設 (空調設備、防塵フィルタ、防火設備などが完備された部屋) に設置する必要があります。

可能であれば、サーバーの設置場所にはできるだけ外的な災害 (火災、洪水など) の心配がない場所を選んでください。

バックアップ、ドキュメント、およびその他の構成データへの物理的アクセスの管理および物理的な安全対策も同様に重要です。 これらの情報は、サーバーが設置されている場所とは物理的に別の場所に保管してください。

サーバーにシステムセキュリティ設定を適用する

IAS サーバーは、「Windows Server 2003 セキュリティ ガイド」で定義されている IAS サーバー ロールによってセキュリティで保護されます。 このガイドの詳細とセキュリティ テンプレートのダウンロード場所については、この章の最後にある「関連情報」を参照してください。

IAS サーバーはドメインのメンバなので、セキュリティ ポリシー設定は、ドメインベースのグループ ポリシーを使って適用されます。 セキュリティ設定を適用するには、IAS サーバー コンピュータ オブジェクトとグループ ポリシー オブジェクト (GPO) 構造を格納する適切な組織単位 (OU) の構成を作成する必要があります。 IAS を専用のサーバーで実行する場合 (つまりドメイン コントローラにインストールしない場合)、次の 2 つの GPO を作成します。

  • Enterprise Client – Member Server Baseline

  • Enterprise Client – Internet Authentication Service

一部またはすべての IAS サービスをドメイン コントローラ上で実行することを決定する前に、設計ガイドのモジュール「第 5 章 : ワイヤレス LAN のセキュリティに対応した RADIUS インフラストラクチャを設計する」を一読することをお勧めします。 ドメイン コントローラのセキュリティの強化は複雑であるため、このガイドではドメイン コントローラ セキュリティ テンプレートの適用方法については説明しません。 「Windows Server 2003 セキュリティ ガイド」にも、Member Server Baseline ポリシーと同様のロックダウンを実行するドメイン コントローラ用のテンプレートが含まれています。 ドメイン コントローラ セキュリティ テンプレートを既存のドメイン コントローラに適用する場合は、その前に必ず「Windows Server 2003 セキュリティ ガイド」をよく読み、ドメインのクライアントおよびアプリケーションに与える可能性がある影響を調べてください。

Enterprise Client – Domain Controller セキュリティ テンプレートを IAS とドメイン コントローラの両方の役割を持つサーバー上で使用する場合は、さらに Enterprise Client – IAS Server セキュリティ テンプレートをそれらのコンピュータに適用する必要があります。 このテンプレートは、IAS サービスを有効にする追加の設定を適用します (IAS サービスは、Enterprise Client – Domain Controller テンプレートでは無効になっています)。このテンプレートを適用するには、次の新しい GPO を 1 つ作成して、ドメインコントローラ OU の下の新しいサブ OU に適用します。

  • Enterprise Client – IAS on Domain Controllers

この GPO に Enterprise Client - IAS Servers テンプレートをインポートするには、次の手順を実行します。 この手順では、OU および GPO を作成する方法を説明します。 GPO と OU の名前は単なる例です。組織でのドメイン OU と GPO の名前付け基準に従って置き換えてください。

IAS サーバーの OU および GPO を作成するには

  1. Windows Server 2003 セキュリティ ガイド」から次のセキュリティ テンプレートを入手します。

    • Enterprise Client – Domain

    • Enterprise Client – Member Server Baseline

    • Enterprise Client – IAS Server

    • Enterprise Client – Domain Controller

  2. Domain Admins のメンバ、または次に示す OU を作成する権限を持つユーザーとしてログオンします。 GPO を作成するには、Domain Admins グループまたは Group Policy Creator Owners グループのメンバである必要があります。

  3. [Active Directory ユーザーとコンピュータ] MMC スナップインを開きます。

  4. 次の OU 構造を作成します。

    woodgrovebank.com

    • Member Servers

    • IAS

    • Domain Controllers

    • Domain Controllers with IAS

    警告 : 手順 5 ~ 7 では、ドメイン内のすべてのコンピュータ上のローカル アカウント ポリシーを設定するドメイン ポリシーを適用します。 Enterprise Client – Domain セキュリティ テンプレートの設定を調べる必要があります。 このテンプレートをドメイン全体に適用する代わりに、IAS OU にリンクされたこの GPO を作成し、IAS サーバーのみに適用範囲を制限することもできます。

  5. ドメイン コンテナのプロパティを開きます。 [グループ ポリシー] タブの [新規] をクリックして、新しい GPO を作成し、Domain Policy という名前を付けます。

  6. 作成した GPO を編集し、コンピュータの設定\Windows の設定\セキュリティの設定に移動します。 セキュリティの設定フォルダを右クリックして、[インポート] をクリックします。 Enterprise Client - Domain.inf を参照し、インポートするテンプレートとして選択します。

  7. GPO を閉じます。

  8. 次の表に示す OU、GPO、およびセキュリティ テンプレートの組み合わせに対して、前の 3 つの手順を繰り返します (これらの GPO は、IAS サーバーにのみ適用されるので、前の警告は該当しません)。

    表 8.4: グループ ポリシー オブジェクトとその場所

    OU GPO セキュリティ テンプレート
    Member Servers Enterprise Client – Member Server Baseline Enterprise Client – Member Server Baseline.inf
    IAS Enterprise Client – Internet Authentication Service Enterprise Client – IAS Server.inf
    Domain Controllers with IAS Enterprise Client – IAS on Domain Controllers (IAS がドメイン コントローラで実行されている場合のオプション) Enterprise Client – IAS Server.inf

GPO を作成してテンプレートをインポートしたら、次の手順で GPO の設定をカスタマイズして IAS サーバーのコンピュータに適用する必要があります。

Enterprise Client-Internet Authentication Service GPO をカスタマイズして適用するには

  1. [Active Directory ユーザーとコンピュータ] で Enterprise Client - Internet Authentication Service GPO を編集します。 コンピュータの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプションで、組織のセキュリティ標準に応じて次の項目を変更します。

    • アカウント : Administrator アカウント名の変更 : NewAdminName

    • アカウント : Guest アカウント名の変更 : NewGuestName

    • 対話型ログオン : ログオン時のユーザーへのメッセージのテキスト : LegalNoticeText

    • 対話型ログオン : ログオン時のユーザーへのメッセージのタイトル : LegalNoticeTitle

  2. ローカル ポリシー\ユーザー権利の割り当てで、次のローカルおよびドメイン グループを "ローカル ログオンを許可する" 権限に追加します。

    • (ローカル) Administrators

    • (ローカル) Backup Operators

    • (ドメイン) IAS Security Auditors

  3. システム サービス フォルダにある次のサービスのプロパティを表示し、[このポリシーの設定をテンプレートで定義する] をクリックします。 [OK] をクリックして、既定のアクセス許可を適用します。 [サービスのスタートアップ モード] の値を [自動] に設定します。

    • Removable Storage

    • Volume Shadow Copy

    • MS Software Shadow Copy Provider

    • Task Scheduler

    注 : これらのサービスは Member Server Baseline セキュリティ テンプレートでは無効になっていますが、最初の 3 つは NTBackup.exe の実行に必要です。 タスク スケジューラ サービスは、一部の操作スクリプトの実行に必要です。

  4. IAS サーバー コンピュータ アカウントを IAS OU に移動します。

  5. IAS サーバーで、gpupdate コマンドを実行して GPO 設定をコンピュータに適用します。

    注 : セキュリティ設定の詳細については、「Windows Server 2003 セキュリティ ガイド」を参照してください。 このガイドの入手方法については、この章の最後にある「関連情報」を参照してください。

Enterprise Client-IAS on Domain Controllers GPO をカスタマイズして適用するには

  1. [Active Directory ユーザーとコンピュータ] で、Enterprise Client - IAS on Domain Controllers GPO を編集します。 コンピュータの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプションで、組織のセキュリティ標準に応じて次の項目を変更します。

    • アカウント : Administrator アカウント名の変更 : NewAdminName

    • アカウント : Guest アカウント名の変更 : NewGuestName

    • 対話型ログオン : ログオン時のユーザーへのメッセージのテキスト : LegalNoticeText

    • 対話型ログオン : ログオン時のユーザーへのメッセージのタイトル : LegalNoticeTitle

  2. ローカル ポリシー\ユーザー権利の割り当てで、次のローカルおよびドメイン グループを "ローカル ログオンを許可する" 権限に追加します。

    • (ビルトイン) Administrators

    • (ビルトイン) Backup Operators

    • (ドメイン) IAS Security Auditors

  3. システム サービス フォルダにある次のサービスのプロパティを表示し、[このポリシーの設定をテンプレートで定義する] をクリックします。 [OK] をクリックして、既定のアクセス許可を適用します。 [サービスのスタートアップ モード] の値を [自動] に設定します。

    • Removable Storage

    • Volume Shadow Copy

    • MS Software Shadow Copy Provider

    • Task Scheduler

      注 : これらのサービスは Member Server Baseline セキュリティ テンプレートでは無効になっていますが、最初の 3 つは NTBackup.exe の実行に必要です。 タスク スケジューラ サービスは、一部の操作スクリプトの実行に必要です。

  4. IAS サーバー コンピュータ アカウントを Domain Controllers with IAS OU に移動します。

  5. IAS サーバーで、gpupdate コマンドを実行して GPO 設定をコンピュータに適用します。

    注 : セキュリティ設定の詳細については、「Windows Server 2003 セキュリティ ガイド」を参照してください。 このガイドの入手方法については、この章の最後にある「関連情報」を参照してください。

セキュリティ設定を確認する

セキュリティ設定が正しく適用されていることを確認するには、次の手順を実行します。

IAS サーバーのセキュリティ設定を確認するには

  1. アプリケーション イベント ログで SceCli ソースからのイベントを確認します。 gpupdate コマンドの後にイベント ID 1704 が出力されていることを確認します。 イベントのテキストは次のとおりです。

    グループ ポリシー オブジェクトのセキュリティ ポリシーは正しく適用されました。

  2. サーバーを再起動し、必要なサービスがすべて開始されていること、およびシステム イベント ログにエラーが記録されていないことを確認します。

  3. ログオンするときに正規の通知が表示されます。

ターミナル サービスのセキュリティを確認する

RADIUS クライアントに使用するパスワード (RADIUS シークレット) の変更をスケジュールするには、ターミナル サービスが必要です。 ターミナル サービスのトラフィック暗号化機能は、ネットワーク経由で送信される RADIUS シークレットを保護します。

重要 : ネットワークから RADIUS クライアント シークレットを設定または変更する際に別の手段 (telnet または他の単純なリモート実行ツール) を使う場合は、転送中の情報を保護するためにインターネット プロトコル セキュリティ (IPSec) またはその他の適切なテクノロジを使用してください。

次のターミナル サービスの設定は、IAS サーバーに適用する Enterprise Client-IAS on Domain Controllers GPO および Enterprise Client-Internet Authentication Service GPO で構成します。

表 8.5: コンピュータの構成\管理用テンプレート\Windows コンポーネント\ターミナル サービス構成の設定

パス ポリシー 設定
  コンソール セッションにログインしている管理者のログオフを拒否する 有効
  ローカルの管理者によるアクセス許可のカスタマイズを許可しない 有効
  ターミナル サービス ユーザー セッションのリモート制御のルールを設定する リモート制御を許可しない
クライアント\サーバー データ リダイレクト タイム ゾーン リダイレクトを許可する 無効
  クリップボードのリダイレクトを許可しない 有効
  オーディオのリダイレクトを許可する 無効
  COM ポートのリダイレクトを許可しない 有効
  クライアント プリンタのリダイレクトを許可しない 有効
  LPT ポートのリダイレクトを許可しない 有効
  ドライブのリダイレクトを許可しない 有効
  クライアントの通常使うプリンタをセッションで通常使うプリンタに設定しない 有効
暗号化とセキュリティ クライアント接続の暗号化レベルを設定する
  クライアントが接続するたびにパスワードを要求する 有効
暗号化とセキュリティ\RPC セキュリティ セキュリティで保護されたサーバー (セキュリティが必要) 有効
セッション 切断されたセッションの制限時間を設定する 10 分
  オリジナルのクライアントからの再接続のみを許可する 有効
IAS サーバーへのターミナル サービス アクセスを要求するドメイン アカウントまたはセキュリティ グループは、すべて Remote Desktop Users グループに追加する必要があります (ローカル Administrators グループのメンバである場合を除く)。 ##### その他の Windows 構成タスク 組織のインフラストラクチャや標準により異なるその他の構成タスクがあります。 次に例を示します。 - バックアップの有効化またはバックアップ エージェントのインストール - SNMP (Simple Network Management Protocol) または Windows Management Instrumentation (WMI) オプションの構成 - Microsoft Operations Manager (MOM) などの管理エージェントまたは Microsoft Systems Management Server (SMS) クライアント コンポーネントのインストール - アンチウイルス ソフトウェアをインストールする。 - 侵入検知エージェントのインストール これらの項目をインストールする場合、インストールした項目を必ず確認してください。 [](#mainsection)[ページのトップへ](#mainsection) ### IAS サーバーをインストールおよび構成する ソリューションの中心となるのは、ユーザーの認証およびネットワーク アクセスの承認を行う RADIUS サーバーとして機能する 2 台の IAS サーバーです。 ネットワーク アクセスの認証および承認が必要な分散環境には、オプションとして、支社オフィス IAS サーバーも含まれます。 IAS サーバーの配置の詳細については、「第 5 章 : ワイヤレス LAN のセキュリティに対応した RADIUS インフラストラクチャを設計する」を参照してください。 ここでは、サーバーに IAS をインストールするタスクを説明します。 すべてのインストールおよび設定の手順を各 IAS サーバーで実行する必要があります。 #### IAS ソフトウェア コンポーネントをインストールする IAS をインストールするには、\[コントロール パネル\] の **\[Windows コンポーネントの追加と削除\]** をクリックし、Windows オプション コンポーネント マネージャを開きます。 インストールするコンポーネントを次の表に示します。 インデントは、オプション コンポーネント マネージャのウィザードに表示されるコンポーネントの階層関係を表します。選択されていないコンポーネントは、この表には含まれていません。 **表 8.6: インストールする IAS コンポーネント**
インストールするオプション コンポーネント インストールの状態
ネットワーク サービス 選択する
          Internet Authentication Service 選択する
**注 :** インストールを完了するには、Windows Server 2003 のインストール用メディアが必要です。 **IAS コンポーネントをインストールするには** - 次のコマンドを実行して、各 IAS サーバー上でオプション コンポーネント マネージャを実行し、IAS のインストールを自動化します。 sysocmgr /i:sysoc.inf /u:C:\\MSSScripts\\OC\_AddIAS.txt ##### Active Directory で IAS を登録する IAS サーバーは、各ドメインで登録する必要があります。 つまり、認証を実行する必要がある各ドメインで、IAS サーバーのコンピュータ アカウントを RAS および IAS サーバー セキュリティ グループのメンバにする必要があります。 このグループのメンバになることで、ユーザーやコンピュータ アカウントのプロパティをリモートからアクセスして読み取るために必要なアクセス許可が IAS サーバーに与えられます。 \[Active Directory ユーザーとコンピュータ\] MMC スナップインまたは Netshell (**netsh**) コマンドを使用して、IAS サーバーのコンピュータ アカウント オブジェクトをこのグループに追加することができます。 **netsh コマンドを使用して既定のドメインにあるサーバー上の IAS を登録するには** 1. 目的のドメインに対するドメイン管理者特権を持つアカウントで IAS サーバーにログオンします。 2. コマンド プロンプトを開き、次のように入力します。 netsh ras add registeredserver **netsh コマンドを使用して既定のドメイン以外のドメインの IAS を登録するには** 1. 目的のドメインに対するドメイン管理者特権を持つアカウントで IAS サーバーにログオンします。 2. コマンドプロンプトを開き、次のコマンドを入力します。*DomainName* は実際に IAS サーバーを登録するドメインの名前に置き換えてください。 netsh ras add registeredserver domain = *DomainName* **注 :** \[Active Directory ユーザーとコンピュータ\] Microsoft 管理コンソール (MMC) スナップインを使用して、IAS サーバー コンピュータ オブジェクトを、RAS および IAS サーバー セキュリティ グループに直接追加することもできます。 ##### IAS データ ディレクトリを作成してセキュリティを保護する IAS 構成データとログ ファイル データを保存するデータ ディレクトリを IAS サーバーのデータ ドライブに作成します。 各 IAS サーバーでコマンド プロンプトから次の手順を実行し、セキュリティで保護された IAS データ ディレクトリを作成します。 提供されているバッチ スクリプトを使用して、この手順を自動化することもできます。 **IAS データ ディレクトリを作成し、セキュリティで保護するには** - 次のコマンドを実行します。WOODGROVEBANK はドメインの実際の NetBIOS 名で置き換えてください。 - md D:\\IASConfig - md D:\\IASLogs - cacls D:\\IASConfig /G system:F administrators:F "Backup Operators":C - cacls D:\\IASLogs /G system:F administrators:F "Backup Operators":C "WOODGROVEBANK\\IAS Security Auditors":C また、RADIUS 要求ログ データにリモートからアクセスできるように、D:\\IASLogs ディレクトリをIAS Security Auditors と共有する必要があります。 **IAS ログ ディレクトリを安全に共有するには** - 次のコマンドを実行します。WOODGROVEBANK はドメインの実際の NetBIOS 名で置き換えてください。 net share IASLogs=D:\\IASLogs /GRANT:"WOODGROVEBANK\\IAS Security Auditors",CHANGE 上のコマンドを含むオプションのバッチ ファイルが作成されますが、ドメインの実際の NetBIOS 名に合わせて編集する必要があります。 **IAS データ ディレクトリを作成、セキュリティ保護、および共有するためのバッチ ファイルを編集して実行するには** 1. メモ帳で C:\\MSSScripts\\IAS\_Data.BAT ファイルを編集し、WOODGROVEBANK をドメインの実際の NetBIOS 名に書き換えます。 2. コマンド プロンプトに次のコマンドを入力し、バッチ ファイルを実行します。 C:\\MSSScripts\\IAS\_Data.BAT [](#mainsection)[ページのトップへ](#mainsection) ### プライマリ IAS サーバーを構成する プライマリ サーバーとして、環境内の IAS サーバーの 1 台を選択します。 他の IAS サーバーを構成する前にこのサーバーを構成し、残りの IAS サーバーを構成するときにこれをテンプレートとして使用します。 #### 認証およびアカウンティング要求のログ記録を構成する 既定では、IAS は RADIUS 認証とアカウンティング要求をログに記録しません。 可能であれば、両方の種類の要求ログを有効にして、将来の調査のためにセキュリティ イベントが記録されるようにします。 さらに、組織での課金処理のためにアカウンティング データが必要になることもあります。 **注 :** RADIUS 要求ログの記録は、サーバーのパフォーマンスに大きな影響を与えます。また、ディスク容量がログのために不足することがないように注意する必要もあります。 容量計画の詳細については、「第 5 章 : ワイヤレス LAN のセキュリティに対応した RADIUS インフラストラクチャを設計する」を参照してください。ログ ファイルのアーカイブと削除を行う方法については、「第 3 章 RADIUS およびワイヤレス LAN のセキュリティ インフラストラクチャを管理する」を参照してください。 **IAS サーバーの認証およびアカウンティング ログを構成するには** 1. \[インターネット認証サービス\] MMC スナップインで、**\[リモート アクセス ログ\]** をクリックし、**\[ローカル ファイル\]** のプロパティを表示して \[ログの作成方法\] を表示します。 2. **\[アカウンティング要求\]** の動作 (アカウンティングの開始や停止など)、および **\[認証要求\]** の動作 (アクセスの許可やアクセスの拒否など) を選択します。 **注 :** このガイドでは、状態要求の定期的な記録は有効にしていません。 しかし、状態要求のログはユーザー ネットワーク セッション情報の正確な追跡に必要になることがあります。 詳細については、「第 5 章 : ワイヤレス LAN のセキュリティに対応した RADIUS インフラストラクチャを設計する」を参照してください。 3. ログ ファイルのディレクトリが D:\\IASLogs に設定されていること、および **\[データベース互換\]** 形式が選択されていることを確認してください。 **\[データベース互換\]** 形式を使えば、Microsoft Access および Microsoft SQL Server™ 2000 などのデータベースに要求のログを直接インポートして、データに関するクエリやレポートを簡単に行うことができます。 #### ワイヤレス LAN アクセスおよびその他のネットワーク アプリケーション用に IAS を構成する ここまでで、IAS の基本設定が完了しました。 この章の残りの部分では、最初の IAS サーバーから残りのサーバーに設定を複製する方法について説明します。 これらの設定を複製する前に、リモート アクセス ポリシーおよびアプリケーションに固有なその他の設定を構成する必要があります。 「第 9 章 : ワイヤレス LAN のセキュリティに対応したインフラストラクチャを実装する」では、ワイヤレス LAN 用に IAS を構成する方法について説明します。 最初のサーバーを構成した後で、この章に戻り、手順に従って、IAS の設定を他のサーバーに複製することができます。 [](#mainsection)[ページのトップへ](#mainsection) ### 構成を複数の IAS サーバーに展開する **netsh** コマンドを使って、IAS 構成を部分的にテキスト ファイルにエクスポートできます。 次の構成領域を個別にエクスポートできます。 - サーバー設定 - ログ設定 - リモート アクセス ポリシー - 接続要求ポリシー - RADIUS クライアント - 構成全体 これらのテキスト ファイルを使用すれば、複数の IAS サーバーに共通の構成設定を転送できます。これにより、構成の一貫性が維持され、配置作業が簡素化されます。 同様のロールのサーバーに共通する構成セクションを次に示します。 - サーバーの構成 - ログ設定 - リモート アクセス ポリシー - 接続要求ポリシー プライマリ IAS サーバーで上記の項目を構成したら、**netsh** コマンドを使って各項目をテキスト ファイルにエクスポートします。 次に、そのテキスト ファイルを同様のロールを持つ他の IAS サーバーにインポートします。 この処理により、共通の構成設定を含む構成テキスト ファイルで、すべてのサーバーを同期させることができます。 各 IAS サーバーには、通常、各サーバーで固有の共有シークレット情報を持つ RADIUS クライアントの構成が含まれています。 このため、この情報は各サーバーで別個に構成し、バックアップする必要があります。 **警告 :netsh** を使って完全なダンプを作成すると、重要な RADIUS 共有シークレット情報が構成テキスト ファイルに書き込まれる可能性があります。 このガイドでは、IAS 設定の全体をダンプせずに、設定を配布してバックアップを実行する方法について説明しています。 完全なダンプを含む構成テキスト ファイルを使用する場合は、その扱いと保管について十分に注意してください。 これらのファイルに含まれる情報を使用すると、誰でもネットワークにアクセスできます。 以降のセクションでは、プライマリ IAS サーバーから同様の役割を持つ追加の IAS サーバーに構成を転送する手順について説明します。 この段階で設定を複製できますが、これまでに IAS サーバーに加えた変更は最小限のものです。 この後の章で、ネットワーク アクセス ポリシーの作成や RADIUS クライアントの追加などのより広い範囲にわたる IAS の構成変更を行った後で、複製手順を再び実行する必要があります。 #### プライマリ IAS サーバー構成をエクスポートする このソリューションで使用する他の IAS サーバーに設定を転送するためには、プライマリ IAS サーバー構成をエクスポートする必要があります。 バッチ ファイルを使用すると、共通の IAS 構成領域をバックアップ用に自動的にエクスポートし、同じロールを持つ複数の IAS サーバー全体への IAS 設定の配布を簡素化できます。 設定を配布するためのバッチ ファイルを作成する場合は、各 IAS サーバーで使用可能な次の種類の設定だけを含めるようにしてください。 - サーバーの構成 - ログ設定 - リモート アクセス ポリシー - 接続要求ポリシー **プライマリ IAS サーバーの共通構成をエクスポートするには** - コマンド プロンプトで、次のコマンドを入力します。 C:\\MSSScripts\\IASExport.bat このバッチ ファイルには、共通構成情報を D:\\IASConfig ディレクトリにある構成テキスト ファイルにエクスポートする、一連の **netsh** コマンドが含まれています #### プライマリ サーバーからバックアップ構成を読み込む IAS では、**netsh** コマンドを使用して、1 台のサーバーから別のサーバーに構成状態を転送します。 この処理により配布時間が短縮され、複数のサーバーへの配布作業で発生するエラーも減少します。 ここで、前のセクションで作成したプライマリ IAS サーバーの構成状態テキスト ファイルを使用して、セカンダリ IAS サーバーと任意の支社オフィスの IAS サーバーに読み込むことができます。 プライマリ IAS サーバーからエクスポートされた構成テキスト ファイルを別の IAS サーバーで読み込むには、次の手順を実行します。 **プライマリ IAS サーバーの共通構成を別の IAS サーバーで読み込むには** 1. プライマリ IAS サーバーの D:\\IASConfig ディレクトリにあるすべての構成ファイルを、別の IAS サーバーの D:\\IASConfig ディレクトリにコピーします。 2. 次のバッチ ファイルを使って、プライマリ IAS サーバーの構成テキスト ファイルから構成を読み込みます。 C:\\MSSScripts\\IASImport.bat [](#mainsection)[ページのトップへ](#mainsection) ### 要約 この章に記載されたすべての処理を実行すると、次のタスクを完了したことになります。 - プライマリ IAS サーバーの基本設定のインストールと構成 - セカンダリ IAS サーバーのインストールと構成 - 支社オフィスの IAS サーバーのインストールと構成 (オプション) - IAS サーバーの管理に使用する管理グループの構成 これで、「第 9 章 : ワイヤレス LAN のセキュリティに対応したインフラストラクチャを実装する」で説明する WLAN に固有の設定の構成を始めることができます。その後で、必要に応じてこの章の最後の部分に戻り、構成した IAS の設定を複製することができます。 また、「第 12 章 : RADIUS およびワイヤレス LAN のセキュリティ インフラストラクチャを管理する」の関連する部分も参照してください。セキュリティと信頼性が確保された状態で RADIUS インフラストラクチャを動作させるための基本的な情報が掲載されています。 #### 関連情報 - CAPICOM は、[Microsoft ダウンロード センター](https://www.microsoft.com/download/details.aspx?displaylang=en&familyid=860ee43a-a843-462f-abb5-ff88ea5896f6) www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=860EE43A-A843-462F-ABB5-FF88EA5896F6 からダウンロードできます。 ダウンロード センター Web サイトで "CAPICOM" を検索し、最新バージョンを取得していることを確認することもできます。 - 「[*Windows Server 2003 セキュリティ ガイド*](https://go.microsoft.com/fwlink/?linkid=14846)」は、https://go.microsoft.com/fwlink/?LinkId=14846 からダウンロードできます。 - 「[*Windows Server 2003 Technical Reference*](https://go.microsoft.com/fwlink/?linkid=4630)」(英語) の「Internet Authentication Service」の章を参照してください。 このガイドは、https://go.microsoft.com/fwlink/?LinkId=4630 で参照できます。 - 「*Windows Server 2003 Deployment Kit*」の「[Deploying IAS](https://go.microsoft.com/fwlink/?linkid=4716)」の章は、https://go.microsoft.com/fwlink/?LinkId=4716 (英語) で参照できます。 - Windows ロゴ プログラムのハードウェア要件については、「[FAQ for Windows Logo Program for Hardware](https://www.microsoft.com/whdc/winlogo/default.mspx)」https://www.microsoft.com/whdc/winlogo/default.mspx を参照してください。 - 「[Microsoft Baseline Security Analyzer V1.2](https://technet.microsoft.com/ja-jp/security/cc184924.aspx)」は、https://technet.microsoft.com/ja-jp/security/cc184924.aspx (英語) から入手できます。 - 802.1X WLAN テクノロジの詳細については、「[Windows XP Wireless Deployment Technology and Component Overview](https://technet.microsoft.com/ja-jp/library/bb457097.aspx)」https://technet.microsoft.com/ja-jp/library/bb457097.aspx を参照してください。 [](#mainsection)[ページのトップへ](#mainsection) ##### 目次 - [概要](https://technet.microsoft.com/ja-jp/library/30f90d1c-7faa-432f-b6c8-d4927fe36229(v=TechNet.10)) - [ソリューションの概要](https://technet.microsoft.com/ja-jp/library/30b42da7-6df7-4c17-8f81-e3129a989221(v=TechNet.10)) - [第 1 章 : ソリューションの概要](https://technet.microsoft.com/ja-jp/library/178db46c-9580-45ec-8ca8-565f7eec6521(v=TechNet.10)) - [設計ガイドの概要](https://technet.microsoft.com/ja-jp/library/e6114a19-d2e2-4f4f-9354-9a973b9e3221(v=TechNet.10)) - [第 2 章 : セキュリティで保護されたワイヤレス LAN ネットワークの構築方針を決定する](https://technet.microsoft.com/ja-jp/library/798406d6-d739-4d18-879b-9ae061fa320a(v=TechNet.10)) - [第 3 章 : セキュリティ保護されたワイヤレス LAN ソリューション アーキテクチャ](https://technet.microsoft.com/ja-jp/library/40ad9fbf-71fc-4ade-af08-905a35ae95e8(v=TechNet.10)) - [第 4 章 : 公開キー基盤を設計する](https://technet.microsoft.com/ja-jp/library/26fc5cef-602a-4340-9552-f48b4d7d674e(v=TechNet.10)) - [第 5 章 : ワイヤレス LAN のセキュリティに対応した RADIUS インフラストラクチャを設計する](https://technet.microsoft.com/ja-jp/library/e3e593bb-1c1d-40ad-97fc-3798b6869f18(v=TechNet.10)) - [第 6 章 : 802.1X を使用してワイヤレス LAN のセキュリティを設計する](https://technet.microsoft.com/ja-jp/library/75fadbd9-af34-4322-96ad-c609aaaa5907(v=TechNet.10)) - [構築ガイドの概要](https://technet.microsoft.com/ja-jp/library/2b673333-12a3-4bac-affe-207d148e68a0(v=TechNet.10)) - [第 7 章 : 公開キー基盤を実装する](https://technet.microsoft.com/ja-jp/library/70a59275-e4e0-4849-af0e-1af643e7b8fe(v=TechNet.10)) - 第 8 章 : RADIUS インフラストラクチャを実装する - [運用ガイドの概要](https://technet.microsoft.com/ja-jp/library/9519ea6d-b101-4981-b836-1168f32c7f1f(v=TechNet.10)) - [第 9 章 : ワイヤレス LAN のセキュリティに対応したインフラストラクチャを実装する](https://technet.microsoft.com/ja-jp/library/9bd67c36-7d7a-4b52-813b-b8506e348e55(v=TechNet.10)) - [第 10 章 : 運用ガイドの紹介](https://technet.microsoft.com/ja-jp/library/75d535e0-e9ed-454c-98ec-2ed53ce54d52(v=TechNet.10)) - [第 11 章 : 公開キー基盤を管理する](https://technet.microsoft.com/ja-jp/library/9437df75-a375-40f2-9577-17755eec9545(v=TechNet.10)) - [第 12 章 : RADIUS およびワイヤレス LAN のセキュリティ インフラストラクチャを管理する](https://technet.microsoft.com/ja-jp/library/56beab30-3f67-4633-9074-f5f85241b1ab(v=TechNet.10)) - [テスト ガイドの概要](https://technet.microsoft.com/ja-jp/library/7e4b9c88-3b35-41f8-b81d-9546743da068(v=TechNet.10)) - [第 13 章 : テスト ガイド](https://technet.microsoft.com/ja-jp/library/4d249b34-b07e-46af-b8c7-e2ab85f0c26e(v=TechNet.10)) - [付録](https://technet.microsoft.com/ja-jp/library/c60be0d8-d416-41bd-b173-23bdcf56bcf0(v=TechNet.10)) - [付録 A: Windows のバージョン サポート表](https://technet.microsoft.com/ja-jp/library/d55ba82b-f689-4e8a-bddd-37ab55d9f4f1(v=TechNet.10)) - [付録 B: スクリプトとサポート ファイル](https://technet.microsoft.com/ja-jp/library/ecfc00f9-d0a2-44b0-b92e-73d714462bbe(v=TechNet.10)) - [付録 C: 配信ガイド](https://technet.microsoft.com/ja-jp/library/7fdf9700-34db-4b0f-92d1-f6a6d8dbe5e1(v=TechNet.10)) - [付録 D: WPA のサポート](https://technet.microsoft.com/ja-jp/library/cc527037.aspx) [](#mainsection)[ページのトップへ](#mainsection)