証明書サービスを使用してワイヤレス LAN のセキュリティを保護する

  • [アーティクル]

第 9 章 : ワイヤレス LAN のセキュリティに対応したインフラストラクチャを実装する

最終更新日: 2005年5月24日

トピック

はじめに
802.1X WLAN 計画ワークシート
セキュリティで保護された WLAN の環境を準備する
WLAN 認証証明書を構成、配置する
WLAN アクセス インフラストラクチャを構成する
ユーザーとコンピュータの WLAN アクセスを有効にする
802.1X ネットワークのワイヤレス AP を構成する
テストと確認
要約

はじめに

この章では、Microsoft® Windows Server™ 2003 と Microsoft Windows® XP Service Pack 1 (SP1) に基づいた、802.1X プロトコルを使用したワイヤレス LAN (WLAN) のセキュリティを実装する方法について詳しく説明します。 この章の説明には、Active Directory® ディレクトリ サービス セキュリティ グループの構成、WLAN 用の X.509 証明書の展開、Microsoft インターネット認証サービス (IAS) サーバーの設定の変更、WLAN グループ ポリシーの配置、ワイヤレス アクセス ポイント (AP) の構成に関するヒントが含まれます。 この章には、802.1X および EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)を使用した WLAN セキュリティの実装に必要なすべての設定が含まれています。

この章の目的は、「第 6 章 802.1X を使用してワイヤレス LAN のセキュリティを設計する」で説明したセキュリティで保護された WLAN の設計の実装ガイドを提供することです。この章では、802.1X、EAP、RADIUS (リモート認証ダイヤルイン ユーザー サービス) の一般的な概念、または 802.1X ベースのセキュリティで保護された WLAN の実装の詳細については説明しません。 これらのテクノロジの多くの概要については、この章の最後の「関連情報」に記載されている「Windows XP Wireless Deployment Technology and Component Overview」(英語) を参照してください。

この章は、公開キー基盤 (PKI)、RADIUS、および WLAN の設計ガイドおよび運用ガイドの補足として利用できるように構成されています。 計画ガイドの各章では、ここで使用する実装に関する決定の背後にある論理的な根拠について説明されています。 運用ガイドの章では、802.1X インフラストラクチャの保守を正常に行うために必要なタスクと処理について説明されています。 計画ガイドの章をまだ読んでいない場合は、この章を読む前に読むことをお勧めします。 さらに、この章のガイダンスを運用環境に実装する前に、運用ガイドのサポート要件の影響を読んで理解する必要があります。

章の前提条件

ここでは、組織で 802.1X ベースの WLAN を実装する準備を整えるために役立つチェックリストを記載しています ("準備" とは、ビジネス上の準備ではなくロジスティックス上の準備を意味します。このソリューションを実装するためのビジネス上の理由については、計画ガイドの前半の章で説明します)。

知識の前提条件

802.1X の概念と、Windows Server 2003 および Windows XP Service Pack 1 などマイクロソフトの関連製品へのこの標準の実装の概念について詳しく知っている必要があります。 次の領域については、Windows 2000 Server または Windows Server 2003 に関する詳しい知識も必要です。

  • Active Directory の概念 (Active Directory の構造とツール、ユーザーの操作、他の Active Directory オブジェクト、グループ ポリシーの使用など)。

  • Windows システム セキュリティ。ユーザー、グループ、アクセス制御リスト (ACL) などのセキュリティの概念。

  • バッチ ファイル スクリプトの概要。 Windows スクリプト ホストと Microsoft Visual Basic® Scripting Edition (VBScript) 言語に関する知識があると、提供されているスクリプトを最も有効に活用できますが、これは必須ではありません。

この章を読む前に、計画ガイドを読んで、ソリューションのアーキテクチャと設計を詳しく理解する必要があります。

組織の前提条件

このソリューションの実装に参加する必要がある、次のような組織の他のメンバに相談する必要があります。

  • 企業のスポンサー

  • セキュリティおよび監査の担当者

  • Active Directory のエンジニアリング、管理、および運用の担当者

  • デスクトップ エンジニアリング、管理、および運用の担当者

  • DNS (ドメイン ネーム システム)、ネットワーク エンジニアリング、管理、および運用の担当者

前提となる IT インフラストラクチャ

この章では、次のことも想定しています。

  • 展開済みの Windows Server 2003 Active Directory ドメイン インフラストラクチャが存在している。 802.1X ソリューションのすべてのユーザーが、同じ Active Directory フォレスト内のドメインのメンバである。

    注 : 以前のバージョンの Microsoft Windows との互換性の詳細については、「付録 A: Windows のバージョン サポート表」を参照してください。

  • 既存の 802.1X ベースの WLAN ソリューションがない。 このソリューションは、既存の 802.1X WLAN ソリューションと共に展開できないわけではありませんが、既存の 802.1X インフラストラクチャに統合するためのガイダンスは含まれていません。

  • 「第 7 章 : 公開キー基盤を実装する」の説明に従って PKI が展開され、証明書の自動登録を実行する準備が整っている。

  • DNS や Dynamic Host Configuration Protocol (DHCP) などのサポート インフラストラクチャが展開され、WLAN クライアント コンピュータにサービスを提供する準備が整っている。

  • 「第 8 章 : RADIUS インフラストラクチャを実装する」の説明に従って、2 台以上のサーバーで IAS を RADIUS サーバーとして実行している。この章では、これらのサーバーの追加の構成を実行します。

  • 802.1X 互換のワイヤレス AP を使用した WLAN、および 128 ビット Wired Equivalent Privacy (WEP) または WPA および 802.1X 互換 WLAN ネットワーク インターフェイス カード (NIC) を搭載した Windows XP Professional Service Pack 1 クライアント。 この章では、これらのコンポーネントの追加の構成を実行します。

章の概要

この図は、この章で説明する 802.1X を使用した WLAN セキュリティの実装プロセスを示したものです。

図 9.1: 802.1X インフラストラクチャの実装プロセスのフロー

これらの手順は、この章の構成と一致しています。それぞれの手順についての説明は次の一覧のとおりです。 それぞれの手順はインストール タスクまたは構成タスクで構成されます。 各手順にはさらに検証手順が含まれており、次の手順に進む前にすべてが機能していることを確認できます。

  • 802.1X WLAN 計画ワークシート。 この章で使用する 802.1X WLAN のさまざまなコンポーネントの構成に関する構成情報の一覧です。 このワークシートには、この章のガイダンスの実装を開始する前に準備しておくべき情報の一覧が含まれています。

  • セキュリティで保護された WLAN の環境を準備する。 802.1X WLAN の構成および長期的な管理に必要な Active Directory セキュリティ グループの準備について説明します。 さらに、DHCP に関する高度な推奨事項も紹介します。

  • WLAN 認証証明書を構成、展開する。 802.1X WLAN 認証に必要な X.509 証明書テンプレートの作成および展開について詳しく説明します。 展開の確認についても説明します。

  • WLAN アクセス インフラストラクチャを構成する。 802.1X および EAP-TLS ネットワーク用の IAS リモート アクセス ポリシーの作成および構成について説明します。 IAS サーバーに AP を RADIUS クライアントとして追加する方法についても説明します。

  • ユーザーとコンピュータの WLAN アクセスを有効にする。 セキュリティで保護された WLAN へのアクセスを有効にするために Active Directory を通してユーザーとコンピュータのアクセス許可を設定する方法について説明します。 このセクションには、適切な 802.1X および 802.11 設定を備えた WLAN クライアントを構成するために、Active Directory グループ ポリシーを作成して展開する手順についての説明も含まれています。

  • 802.1X ネットワークのワイヤレス AP を構成する。 802.1X ベースのネットワーク用のワイヤレス AP を構成する際の検討事項について説明します。

  • テストと確認。 802.1X ベースの WLAN のテストを行うための手順について説明します。

ページのトップへ

802.1X WLAN 計画ワークシート

このセクションの表では、このソリューションで使用する設定パラメータを示します。 この表は、計画の決定を行う際のチェックリストとして使用してください。

表のパラメータの多くは、この章で説明されている手順に従い手動で設定します。 多くのパラメータは、手順の一部として実行されるスクリプトによって設定されます。他の構成や運用タスクを完了するために、スクリプトから参照されるパラメータもあります。

注 : 構築ガイドで使用されているスクリプトの詳細については、スクリプトに付属する ToolsReadme.txt ファイルを参照してください。

ユーザー定義の構成項目

次の表に、Woodgrove Bank という架空の組織に固有なパラメータの一覧を示します。 次の表のすべての項目に対応する自社の設定を収集または決定してから、セットアップ手順を開始してください。 この章では、次に示す架空の値をサンプル コマンドで使用しています。 これらの値は、対象となる環境に応じて適切な値に置き換える必要があります。 置き換える必要がある部分は斜体で表記されています。

表 9.1: ユーザー定義の構成項目

構成項目 設定
Active Directory フォレストのルート ドメインの DNS 名 woodgrovebank.com
ドメインのネットワーク基本入出力システム (NetBIOS) 名 WOODGROVEBANK
プライマリ IAS サーバーのサーバー名 HQ-IAS-01
セカンダリ IAS サーバーのサーバー名 HQ-IAS-02
支社オフィスの IAS サーバーのサーバー名 (オプション) BO-IAS-03
#### ソリューションで規定されている構成項目 ソリューション設計とは異なる設定を使用する必要がある場合以外は、この表で指定されている設定を特定のインストール用に変更する必要はありません。 ここに示す設計パラメータを変更する場合は、パラメータの変更によりテスト済みのソリューションとは異なる仕様になることを十分に理解してから行ってください。 設定の変更による影響、および値を変更する前に存在していた各設定の依存関係 (構成の手順や提供されているスクリプト) についてよく確認してください。 **表 9.2: ソリューションで規定されている構成項目**

構成項目 設定
[アカウント] 802.1X ユーザー認証証明書の配布を制御する Active Directory グローバル グループ AutoEnroll Client Authentication - User Certificate
[アカウント] 802.1X 認証証明書の配布を制御する Active Directory グローバル グループの Windows 2000 以前の名前 AutoEnroll Client Authentication - User Certificate
[アカウント] 802.1X コンピュータ認証証明書の配布を制御する Active Directory グローバル グループ AutoEnroll Client Authentication - Computer Certificate
[アカウント] 802.1X コンピュータ認証証明書の配布を制御する Active Directory グローバル グループの Windows 2000 以前の名前 AutoEnroll Client Authentication - Computer Certificate
[アカウント] 802.1X 認証証明書を必要とする IAS サーバーを含む Active Directory グローバル グループ AutoEnroll RAS and IAS Server Authentication Certificate
[アカウント] 802.1X 認証証明書を必要とする IAS サーバーを含む Active Directory グローバル グループの Windows 2000 以前の名前 AutoEnroll RAS and IAS Server Authentication Certificate
[アカウント] ワイヤレス ネットワークへのアクセスを許可されているユーザーを含む Active Directory グローバル グループ Remote Access Policy - Wireless Users
[アカウント] ワイヤレス ネットワークへのアクセスを許可されているユーザーを含む Active Directory グローバル グループの Windows 2000 以前の名前 Remote Access Policy - Wireless Users
[アカウント] ワイヤレス ネットワークへのアクセスを許可されているコンピュータを含む Active Directory グローバル グループ Remote Access Policy - Wireless Computers
[アカウント] ワイヤレス ネットワークへのアクセスを許可されているコンピュータを含む Active Directory グローバル グループ Remote Access Policy - Wireless Computers
[アカウント] Wireless Users グループと Wireless Computers グループの両方を含む Active Directory ユニバーサル グループ Remote Access Policy - Wireless Access
[アカウント] Wireless Users グループと Wireless Computers グループの両方を含む Active Directory ユニバーサル グループ Remote Access Policy - Wireless Access
[アカウント] ワイヤレス ネットワークのプロパティの構成が必要なコンピュータを含む Active Directory グローバル グループ Wireless Network Policy - Computer
[アカウント] ワイヤレス ネットワークのプロパティの構成が必要なコンピュータを含む Active Directory グローバル グループ Wireless Network Policy - Computer
[証明書] ユーザー クライアント認証用の証明書を生成するために使用される証明書テンプレート Client Authentication - User
[証明書] コンピュータ クライアント認証用の証明書を生成するために使用される証明書テンプレート Client Authentication - Computer
[証明書] IAS で使用されるサーバー認証証明書を生成するために使用される証明書テンプレート RAS and IAS Server Authentication
[スクリプト] インストール スクリプトのパス C:\MSSScripts
[構成] 構成バックアップ ファイルのパス D:\IASConfig
[要求ログ] IAS 認証および監査テキスト ログの場所 D:\IASLogs
[リモート アクセス ポリシー] ポリシー名 Allow Wireless Access
[グループ ポリシー] Active Directory グループ ポリシー オブジェクト (GPO) 名 Wireless Network Policy
[グループ ポリシー] GPO 内のワイヤレス ネットワーク ポリシー Client Computer Wireless Configuration
[](#mainsection)[ページのトップへ](#mainsection) ### セキュリティで保護された WLAN の環境を準備する 802.1X ベースのセキュリティで保護されたワイヤレス ネットワークを実装する前に、環境のインフラストラクチャを準備する必要があります。 サポートされるインフラストラクチャには、Active Directory と DHCP サーバーが含まれます。 詳細な WLAN 計画のガイドについては、「Windows Server 2003 Deployment Kit」の「*Deploying a Wireless LAN*」(英語) の章、およびこの章の最後にある「関連情報」のリソースを参照してください。 #### WLAN アクセスに必要な Active Directory グループを作成する Active Directory セキュリティ グループを作成する権限を持つユーザーとして、次のスクリプトを実行する必要があります。 このスクリプトは、ワイヤレス認証証明書登録、リモート アクセス ポリシー、およびワイヤレス ネットワーク グループ ポリシーに必要なグループを作成します。 Cscript //job:CreateWirelessGroups C:\\MSSScripts\\wl\_tools.wsf このスクリプトは、これ以降、このガイダンス全体で使用する次の Active Directory ベースのセキュリティ グループを作成します。 - AutoEnroll Client Authentication - User Certificate - AutoEnroll Client Authentication - Computer Certificate - AutoEnroll RAS and IAS Server Authentication Certificate - Remote Access Policy - Wireless Users - Remote Access Policy - Wireless Computers - Remote Access Policy - Wireless Access - Wireless Network Policy - Computer 複数のドメインで構成されているフォレストの場合は、これらのグループをワイヤレス ユーザーと同じドメインに作成する必要があります。 **注 :** ここで作成するほとんどのグループは、グローバル グループですが、必要な場合はユニバーサル グループに置き換えることができます。 セキュリティ グループを作成するスクリプトは、Remote Access Policy – Wireless Access ユニバーサル グループを作成するために使用する構文を使用して簡単に変更できます。 #### DHCP 設定を確認する ワイヤレス ネットワークに対応するには、ワイヤレス固有のスコープでDHCP サーバーを構成し、ワイヤード (有線) クライアントより短いインターネット プロトコル (IP) アドレスのリース時間を設定する必要があります。 DHCP サーバー管理者に連絡して、DHCP サーバーがワイヤレスソリューションを適切にサポートするように構成されていることを確認してください。 ワイヤレス ネットワーク用の詳細な DHCP 計画のガイドについては、「*Windows Server 2003 Deployment Kit*」の「Deploying a Wireless LAN」(英語) の章を参照してください。 [](#mainsection)[ページのトップへ](#mainsection) ### WLAN 認証証明書を構成、配置する このガイダンスで詳しく説明するセキュリティで保護された WLAN ソリューションは、X.509 証明書を使用して、EAP-TLS によるコンピュータとユーザーの認証を実行します。 ここでは、次の証明書の作成と展開について詳しく説明します。 - Client Authentication - Computer - Client Authentication - User - RAS and IAS Server Authentication **注 :** これらを実行するために必要なタスクと役割の詳細については、「第 11 章 : 公開キー基盤を管理する」を参照してください。 #### サーバー認証の証明書テンプレートを作成する EAP-TLS プロトコル ハンドシェイク中にクライアントに対してコンピュータを認証するために、IAS サーバー上のサーバー証明書が必要です。 証明書サービスの管理者に依頼して、証明書サービス サーバーの \[証明書テンプレート\] Microsoft 管理コンソール (MMC) スナップインを使用して次の手順を実行し、IAS サーバーで使用するサーバー認証証明書を作成してください。 **サーバー認証の証明書を作成するには** 1. RAS および IASサーバー証明書テンプレートを作成します。 新しいテンプレートのプロパティの **\[全般\]** タブの **\[テンプレートの表示名\]** フィールドに「**RAS and IAS Server Authentication**」と入力します。 2. **\[拡張機能\]** タブで、アプリケーション ポリシーに **\[サーバー認証\]** (OID 1.3.6.1.5.5.7.3.1) だけが含まれていることを確認します。 3. さらに **\[拡張機能\]** タブで発行ポリシーを編集し、**\[中保証\]** ポリシーを追加します。 4. **\[サブジェクト名\]** タブで、**\[Active Directory の情報から構築する\]** を選択します。 また、**\[サブジェクト名の形式\]** が **\[共通名\]** に設定されていること、**\[代わりのサブジェクト名に次の情報を含める\]** で、**\[DNS 名\]** だけが選択されていることを確認します。 5. **\[要求処理\]** タブで、**\[CSP\]** ボタンをクリックし、**\[以下の CSP のどれか 1 つ\]** が選択されていること、および **\[Microsoft RSA SChannel Cryptographic Provider\]** のみが選択されていることを確認します。 6. **\[セキュリティ\]** タブで、**\[読み取り\]**、**\[登録\]**、**\[自動登録\]** の許可を持つ AutoEnroll RAS and IAS Server Authentication Certificate セキュリティ グループを追加します。 **重要 :** この証明書テンプレートを登録または自動登録する権限を持つ他のグループをすべて削除する必要があります。 これらの証明書を登録する必要があるユーザーやグループは、適切な証明書テンプレート登録 (または自動登録) グループに追加する必要があります。 この構成により、ユーザーやグループが不適切な証明書を誤って登録することを防止できます。 詳細については、「第 11 章 : 公開キー基盤を管理する」の「証明書テンプレート登録グループを作成する」を参照してください。 「第 4 章 : 公開キー基盤を設計する」では、この種類の証明書で証明書マネージャの承認が必要になるように設定する方法が説明されています。 これは比較的高い価値を持つ証明書と考えられるので、このオプションを有効にして、不正な IAS サーバーが登録されることがないようにチェックすることを検討してください。 このアプローチは、証明書の発行に手動の承認が必要であることを意味します (ただし、いったん承認されれば、要求は IAS サーバーによって自動的に送信され、承認された証明書は自動的に取得されます)。 #### ユーザー認証の証明書テンプレートを作成する ユーザー証明書は、EAP-TLS 認証において、エンド ユーザーの IAS サーバーへの認証に必要です。 証明書サービス管理者に依頼して、証明書サービス サーバー上で \[証明書テンプレート\] MMC スナップインを使用して次の手順を実行し、ユーザー認証証明書テンプレートを作成してください。 **ユーザー認証の証明書テンプレートを作成するには** 1. 認証済みセッション テンプレートの複製を作成します。 新しいテンプレートの **\[全般\]** タブの **\[テンプレート表示名\]** フィールドに「**Client Authentication - User**」と入力します。 2. **\[要求処理\]** タブで **\[CSP\]** を選択し、**\[Microsoft Base DSS Cryptographic Provider\]** チェック ボックスをオフにします。 3. **\[サブジェクト名\]** タブで、**\[Active Directory の情報から構築する\]** を選択します。 **\[サブジェクト名の形式\]** で、**\[共通名\]**を選択します。 **\[代わりのサブジェクト名に次の情報を含める\]** で、**\[ユーザー プリンシパル名 (UPN)\]** のオプションだけが選択されていることを確認します。 4. **\[拡張機能\]** タブで、**\[アプリケーション ポリシー\]** に **\[クライアント認証\]** (OID 1.3.6.1.5.5.7.3.2) だけが含まれていることを確認します。 5. さらに **\[拡張機能\]** タブで発行ポリシーを編集し、**\[低保証\]** ポリシーを追加します。 6. **\[セキュリティ\]** タブで、**\[読み取り\]**、**\[登録\]**、**\[自動登録\]** の許可を持つ AutoEnroll Client Authentication - User Certificate セキュリティ グループを追加します。 **重要 :** この証明書テンプレートを登録または自動登録する権限を持つ他のグループをすべて削除する必要があります。 これらの証明書を登録する必要があるユーザーやグループは、適切な証明書テンプレート登録 (または自動登録) グループに追加する必要があります。 前の注を参照してください。 #### コンピュータ認証の証明書テンプレートを作成する 証明書は、EAP-TLS 認証において、コンピュータの IAS サーバーへの認証に必要です。 証明書サービス管理者に依頼して、証明書サービス サーバー上で \[証明書テンプレート\] MMC スナップインを使用して次の手順を実行し、コンピュータ認証証明書テンプレートを作成してください。 **コンピュータ認証の証明書テンプレートを作成するには** 1. ワークステーション認証テンプレートの複製を作成します。 新しいテンプレートの **\[全般\]** タブの **\[テンプレート表示名\]** フィールドに「**Client Authentication - Computer**」と入力します。 2. **\[サブジェクト名\]** タブで、**\[Active Directory の情報から構築する\]** を選択します。 **\[サブジェクト名の形式\]** で、**\[共通名\]** を選択します。 **\[代わりのサブジェクト名に次の情報を含める\]** で、**\[DNS 名\]** のオプションだけが選択されていることを確認します。 3. **\[拡張機能\]** タブで、アプリケーション ポリシーを編集し、**\[クライアント認証\]** (OID 1.3.6.1.5.5.7.3.2) だけが含まれていることを確認します。 4. さらに **\[拡張機能\]** タブで発行ポリシーを編集し、**\[低保証\]** ポリシーを追加します。 5. **\[セキュリティ\]**タブで、**\[読み取り\]**、**\[登録\]**、**\[自動登録\]** の許可を持つ AutoEnroll Client Authentication - Computer Certificate(WOODGROVEBANK\\AutoEnroll Client Authentication - Computer Certificate) セキュリティ グループを追加します。 **重要 :** この証明書テンプレートを登録または自動登録する権限を持つ他のグループをすべて削除する必要があります。 これらの証明書を登録する必要があるユーザーやグループは、適切な証明書テンプレート登録 (または自動登録) グループに追加する必要があります。 前の注を参照してください。 #### 証明機関に WLAN 認証証明書を追加する WLAN 認証証明書テンプレートを構成したら、証明機関 (CA) に追加して登録を有効にします。 証明書サービス管理者に依頼して次の手順を実行し、証明書テンプレートを CA に追加します。 **CA に証明書テンプレートを追加する** \[証明機関\] MMC スナップインで **\[証明書テンプレート\]** フォルダを右クリックし、**\[新規作成\]** をクリックして **\[発行する証明書テンプレート\]** をクリックします。 次の証明書を選択し、**\[OK\]** をクリックします。 - Client Authentication - Computer - Client Authentication - User - RAS and IAS Server Authentication #### IAS サーバー証明書を登録する サーバー認証証明書の IAS サーバーへの展開は、比較的簡単で自動化されています。 このタスクを実行するには、次の手順を実行します。 **CA からの IAS サーバー認証証明書を登録するには** 1. \[Active Directory ユーザーとコンピュータ\] MMC スナップインを使用して、IAS コンピュータ アカウントを AutoEnroll RAS and IAS Server Authentication Certificate セキュリティ グループに追加します。 **重要 :** サーバーが新しいグループのメンバシップを受け取るように、サーバーを再起動する必要があります。 2. ローカルの Administrators グループのメンバとして IAS にログオンし、コマンド プロンプトで GPUPDATE /force を実行します。 3. MMCを開き、**\[証明書\]** スナップインを追加します。 メッセージが表示されたら、**\[コンピュータ アカウント\]** オプションを選択し、**\[ローカル コンピュータ\]** を選択します。 4. コンソール ツリーから **\[証明書 (ローカル コンピュータ)\]** を選択し、**\[操作\]** メニューから **\[すべてのタスク\]** を選択し、**\[証明書を自動登録する\]** をクリックします。 **注 :** この種類の証明書で、証明書マネージャの許可を必要とするオプションが選択されている場合は、CA 管理者に連絡し、これが IAS サーバーからの正当な要求であることを確認する必要があります。 確認が完了したら、CA 管理者は証明書を発行します。 #### IAS サーバー証明書の展開を確認する 登録された IAS サーバー証明書が発行され、サーバー証明書ストアに展開されるまでの時間は、証明書テンプレート上の証明書承認に関する設定に依存します。 また、サーバーが数時間に 1 回しか CA にポーリングしないために、遅延が発生することがあります。 **IAS サーバー認証証明書が展開されたことを確認するには** 1. ローカル コンピュータのローカル Administrators グループのメンバとしてログオンし、\[証明書\] MMCスナップインを開いて、**\[証明書\]** スナップインを追加します。 メッセージが表示されたら、**\[コンピュータ アカウント\]** オプションを選択し、**\[ローカル コンピュータ\]** を選択します。 2. **\[証明書 (ローカル コンピュータ)\]**、**\[個人情報\]**、**\[証明書\]** ストアの順に展開し、RAS and IAS Server Authentication 証明書テンプレートからローカル コンピュータに発行されている証明書を探します。 右のウインドウにテンプレート名が表示されます。 適切な列を表示するために、横にスクロールする必要がある場合があります。 3. 必要な証明書が \[証明書\] MMCスナップインに表示されない場合は、コンソール ツリーから **\[証明書 (ローカル コンピュータ)\]** を選択し、**\[操作\]** メニューから **\[すべてのタスク\]** を選択し、**\[証明書を自動登録する\]** を選択します。 操作が実行されるまでしばらく待機し、\[個人情報\]の証明書フォルダの表示を更新します。 **注 :** 証明書の自動登録が正しく行われたことは、アプリケーション イベント ログに記録されている自動登録のソースおよびイベント ID 19 のイベントによっても特定できます。 #### 自動登録用のグループにユーザーとコンピュータを追加する ユーザーとコンピュータへの WLAN 認証証明書の展開は、通常、エンド ユーザーに対して透過的です。 このプロセスには、ローカル エリア ネットワーク (LAN) 接続、ドメインベースのユーザー アカウント、および Active Directory ドメインに参加しているコンピュータが必要です。 新しい WLAN にアクセスする必要があるユーザーとコンピュータが、EAP-TLS 認証を確実に実行できるように、それらのユーザーとコンピュータに事前に証明書を展開しておく必要があります。 Windows XP および Windows Server 2003 を実行しているコンピュータ上では、コンピュータおよびユーザーの証明書はどちらも自動的に登録および更新されるので、エンドユーザーによる入力は不要です。 証明書の登録と更新は、Active Directory のセキュリティ グループによって制御されます。 **注 :** このソリューションでは、カスタム セキュリティ グループ (AutoEnroll Client Authentication - User Certificate および AutoEnroll Client Authentication - Computer Certificate) を使用して、WLAN 証明書に自動的に登録されるユーザーとコンピュータを制限します。 ドメインのすべてのユーザーとコンピュータが WLAN 証明書を受け取るようにする必要がある場合は、Domain Users を AutoEnroll Client Authentication - User Certificate グループに追加し、Domain Computers を AutoEnroll Client Authentication - Computer Certificate グループに追加します。 **ユーザーとコンピュータを自動登録用のセキュリティ グループに追加するには** 1. \[Active Directory ユーザーとコンピュータ\] MMC スナップインを開きます。 2. ユーザーを AutoEnroll Client Authentication - User Certificate グループに追加します。 3. コンピュータを AutoEnroll Client Authentication - Computer Certificate グループに追加します。 **重要 :** ユーザーはログオフして再びログオンするまで、この新しいグループのメンバシップをアクセス トークンに受け取りません。 コンピュータは再起動されるまで、この新しいグループのメンバシップをアクセス トークンに受け取りません。 証明書の手順を続行する前に、これらの両方の処理を実行してください。 ##### ユーザー証明書の展開を確認する AutoEnroll Client Authentication - User Certificate グループに追加されたユーザーとしてログオンしたら、次の手順を実行します。 **ユーザー認証証明書の展開を確認するには** 1. 選択したユーザーとしてログオフして再びログオンしていない場合は、その操作を実行します。 MMCを開き、**\[証明書\]** スナップインを追加します。 メッセージが表示されたら、**\[ユーザー アカウント\]** オプションを選択します。 2. **\[証明書 - 現在のユーザー\]**、**\[個人情報\]**、**\[証明書\]** ストアの順に開き、Client Authentication - User 証明書テンプレートからユーザーに対して発行された証明書を検索します。 右のウィンドウにテンプレート名が表示されます。 適切な列を表示するために、横にスクロールする必要がある場合があります。 3. 必要な証明書が **\[証明書\]** スナップインに表示されない場合、コマンド プロンプトで GPUPDATE /forceを実行し、数分間待ってから個人情報フォルダと証明書フォルダの表示を更新します。 ##### コンピュータ証明書の展開を確認する AutoEnroll Client Authentication - Computer Certificate グループに追加したクライアント コンピュータから、次の手順を実行します。 **コンピュータ認証証明書の展開を確認するには** 1. コンピュータを証明書の Autoenrollment グループに追加した後でコンピュータを再起動していない場合は、ここで再起動します。 2. ローカル コンピュータのローカル Administrators グループのメンバとしてログオンし、MMCを開いて、**\[証明書\]** スナップインを追加します。 メッセージが表示されたら、**\[コンピュータ アカウント\]** オプションを選択し、**\[ローカル コンピュータ\]** を選択します。 3. **\[証明書 (ローカル コンピュータ)\]**、**\[個人情報\]**、**\[証明書\]** ストアの順で開き、Client Authentication - Computer 証明書テンプレートからローカル コンピュータ名に対して発行された証明書を検索します。 右のウィンドウにテンプレート名が表示されます。 適切な列を表示するために、横にスクロールする必要がある場合があります。 4. 必要な証明書が **\[証明書\]** スナップインに表示されない場合、コマンド プロンプトで GPUPDATE /forceを実行し、数分間待ってから個人情報フォルダと証明書フォルダの表示を更新します。 **ヒント :** コンピュータを再起動して、証明書の自動登録を再試行することができます。 証明書の自動登録が正しく行われたことは、アプリケーション イベント ログに記録されている自動登録のソースおよびイベント ID 19 のイベントによっても特定できます。 [](#mainsection)[ページのトップへ](#mainsection) ### WLAN アクセス インフラストラクチャを構成する プライマリ IAS サーバーに、WLAN へアクセスするワイヤレス ユーザーおよびコンピュータの認証と承認を決定するリモート アクセス ポリシーと接続要求設定を構成する必要があります。 その後で、これらの設定を他の IAS サーバーに複製する必要があります。そのためには、「第 8 章 : RADIUS インフラストラクチャを実装する」の「構成を複数の IAS サーバーに展開する」で説明した手順を使用します。 さらに、ワイヤレス AP のような RADIUS クライアントからの通信を許可するように、各 IAS サーバーを一意に構成する必要があります。 802.1X ネットワークの認証とアカウンティングのソースとして IAS サーバーを使用するようワイヤレス AP を構成する必要があります。 #### WLAN の IAS リモート アクセス ポリシーを作成する \[インターネット認証サービス\] MMC スナップインを使用して次の手順を実行し、IAS にワイヤレス ネットワーク用のリモート アクセス ポリシーを構成します。 **IAS にリモート アクセス ポリシーを作成するには** 1. リモート アクセス ポリシー フォルダを右クリックし、**新しいリモート アクセス ポリシーを作成する**メニューを選択します。 2. ポリシーに「**Allow Wireless Access**」という名前を付け、ウィザードで **\[一般的なシナリオ用の標準ポリシーを設定する\]** を選択します。 3. アクセス方法として **\[ワイヤレス\]** を選択します。 4. グループに基づいてアクセス権を付与し、Remote Access Policy - Wireless Access セキュリティ グループを使用します。 5. Extensible Authentication Protocol (EAP) のタイプとして **\[スマート カードまたはその他の証明書\]** を選択し、次に IAS にインストールされているサーバー認証証明書を選択します。 ウィザードを終了します。 **注 :** 新しい Allow Wireless Accessポリシーは、ユーザーが作成した他のリモート アクセス ポリシーや既定のリモート アクセス ポリシーと共存できます。 ただし、既定のリモート アクセス ポリシーは、削除されているかリモート アクセス ポリシーフォルダ内で Allow Wireless Access ポリシーの後に表示されている必要があります。 ##### WLAN アクセス ポリシー プロファイル設定を変更する 作成したリモート アクセス ポリシーの既定の設定を変更し、一部のワイヤレス AP との問題を引き起こす可能性のある Active Directory からのユーザー ダイヤルイン設定を無視する設定にする必要があります。 さらに、一定の間隔でクライアントの再認証を行い、WEP セッション キーが確実に更新されるよう RADIUS 属性を設定する必要があります。 リモート アクセス ポリシーの詳細については、「第 6 章 : 802.1X を使用してワイヤレス LAN のセキュリティを設計する」を参照してください。 **ワイヤレス アクセス ポリシー プロファイル設定を変更するには** 1. Allow Wireless Access ポリシーのプロパティを開き、**\[プロファイルの編集\]** をクリックします。 2. **\[ダイヤルインの制限\]** タブで **\[クライアントが接続できる時間 (セッションタイムアウト) (分)\]** オプションを選択し、値を **10 分**に設定します。 **注 :** セキュリティを大幅に損なうことなく最大 60 分までタイムアウト値を延長することができます。 これにより、インストール環境の一時的なネットワーク停止に対する許容力を高め、IAS サーバーの負荷を減らすことができます。 3. **\[詳細設定\]** タブで、**ユーザーのダイヤルイン プロパティを無視する**属性を追加し、それを "**True**" に設定します。次に**終了の操作**の属性を追加し、それを "**RADIUS 要求**" に設定します。 ##### WLAN に対する接続要求ポリシーを確認する 既定の IAS 接続要求ポリシーは、IAS が Active Directory に直接ユーザーとコンピュータの認証を求めるよう構成されています。 既定の接続要求ポリシーの構成を確認するには、次の手順を実行します。 **既定の接続要求ポリシーの構成を確認するには** 1. \[インターネット認証サービス\] MMC スナップインを開き、**\[Windows 認証をすべてのユーザーに使用する\]**接続要求ポリシーのプロパティを表示します。 2. ポリシー条件の一覧に、**"Sun 00:00-24:00; Mon 00:00-24:00; Tue 00:00-24:00; Wed 00:00-24:00; Thu 00:00-24:00; Fri 00:00-24:00; Sat 00:00-24:00"** に**一致する日時の制限**が含まれることを確認します。 3. **\[プロファイルの編集\]** ボタンをクリックします。 **\[認証\]** タブで **\[このサーバーの要求を認証する\]** が選択されていることを確認します。 4. **\[属性\]** タブにルールが存在していないことを確認します。 **注 :** このソリューションでは、追加の接続要求ポリシー設定は必要ありません。 ただし、組織によっては多様なシナリオに対応するために追加の設定を構成している場合があります。 WLAN アクセスを構成した後は、プライマリ IAS サーバーの構成を変更するたびに、他の IAS サーバーに複製する必要があります。 そのためには、「第 8 章 : RADIUS インフラストラクチャを実装する」の「構成を複数の IAS サーバーに展開する」で説明した手順を使用します。 ##### IAS に RADIUS クライアントを追加する RADIUS プロトコルを使用して認証およびアカウンティング サービスを利用できるようにする前に、IAS に対する RADIUS クライアントとしてワイヤレス AP と RADIUS プロキシを 追加する必要があります。 IAS にワイヤレス AP を追加するには、\[インターネット認証サービス\] MMC スナップインで次の手順を実行します。 **IAS に RADIUS クライアントを追加するには** 1. RADIUS クライアントフォルダを右クリックして、**\[新しい RADIUS クライアント\]** をクリックします。 2. ワイヤレス AP のフレンドリ名と IP アドレスを入力します。 3. クライアント製造元の属性で **\[RADIUS の標準\]** を選択し、このワイヤレス AP 用の共有シークレットを入力します (次の手順で説明する GenPwd スクリプトを使用して、強力なシークレットを生成できます)。その後、**\[要求はメッセージ認証属性を含んでいる必要がある\]** を選択します。 **注 :** 一部の RADIUS クライアントは、ベンダ固有の属性 (VSA) を構成しないと正しく動作しません。 VSA の要件については、AP のドキュメントを参照してください。 このガイダンスに従って GenPwd スクリプトを使用して、RADIUS クライアントとして構成される各ワイヤレス AP 用に、ランダムで強力な 23 文字のシークレットを生成できます。 GenPwd スクリプトを実行すると暗号化されたランダム シークレットが生成され、Clients.txt ファイルに各 RADIUS クライアントのフレンドリ名と共に保存されます。 フレンドリ名とシークレットは、現在のディレクトリにある Clients.txt の末尾に、コンマ区切り形式で自動的に追加されます。 このファイルはサーバーのハード ディスクに*コピーしないでください*。 このファイルは、"サーバー ***HQ-IAS-01*** 用 RADIUS クライアント" (*HQ-IAS-01* はサーバー名に置き換えます) というラベルを付けたフロッピー ディスクまたは他のリムーバブル メディアに保存し、そのメディアを安全な場所に保管してください。 このサーバー固有のディスクは、「第 12 章 : RADIUS およびワイヤレス LAN のセキュリティ インフラストラクチャを管理する」に記述されているように、RADIUS クライアントをエクスポートおよびインポートするために使用します。 **GenPwd を使用して Client.txt ファイルに RADIUS シークレットを生成するには** 1. コマンド プロンプトを開き、ドライブ A: を現在のディレクトリにします (フロッピー ディスク以外の種類のメディアを使用している場合、適切なドライブ文字を指定します)。既定のディレクトリ内の Clients.txt ファイルに新しい情報が自動で追加されるため、ファイル システムのディレクトリの場所は重要です。 Clients.txt が存在しない場合は、新規に作成されます。 2. 次のコマンドを実行します。 *ClientName* の部分はワイヤレス AP のフレンドリ名に置き換えてください。 ここには、DNS 名やその他の文字列を指定することもできます。 Cscript //job:GenPWD C:\\MSSScripts\\wl\_tools.wsf /client:*Client Name* **重要 :** RADIUS クライアントのストレージ ディスクは、緊急に復元が必要となった際にアクセスできる安全な場所に保管する必要があります。 作成されたコンマ区切り形式ファイルは、参照や編集用としてスプレッドシートやデータベース アプリケーションに簡単にインポートできます。 [](#mainsection)[ページのトップへ](#mainsection) ### ユーザーとコンピュータの WLAN アクセスを有効にする ユーザーとコンピュータが WLAN にセキュリティで保護された状態でアクセスできるようにする最後の手順には、Active Directory オブジェクトに対して実行する必要のある操作も含まれます。 これらの操作には、アカウント許可の確認、グループ メンバシップの変更、WLAN グループ ポリシーの設定の実装が含まれます。 これらの操作は、段階的な展開スケジュールに合うように、また環境の大きな変化によるリスクを軽減するように、制御された状況で実行できます。 #### Active Directory のリモート アクセス許可を確認する Active Directory のユーザーおよびコンピュータのアカウントは、リモート アクセス ポリシーを利用するために、正しいリモート アクセス許可を持っている必要があります。 既定では、ネイティブモードの Active Directory ドメインにおけるアカウントのリモート アクセス許可は **\[リモート アクセス ポリシーでアクセスを制御\]**に設定されているので、通常は変更する必要はありません。 ただし、\[Active Directory ユーザーとコンピュータ\] MMC スナップインを使って、ターゲットのユーザーとコンピュータが正しく構成されていることを確認できます。 アカウントのプロパティで、**\[ダイヤルイン\]** タブをクリックして表示されるプロパティ ページの **\[リモート アクセス許可 (ダイヤルインまたは VPN)\]** 設定にある **\[リモート アクセス ポリシーでアクセスを制御\]** が選択されていることを確認します。 #### リモート アクセス ポリシー グループにユーザーを追加する IAS リモート アクセス ポリシーは、Active Directory ベースのセキュリティ グループを使用して、ユーザーとコンピュータが WLAN への接続を承認されているか判別します。 この章の前半で作成済みのセキュリティ グループを次の表に示します。 **表 9.3: Active Directory セキュリティ グループ**

セキュリティ グループ 説明
Remote Access Policy - Wireless Users WLAN にアクセスする必要があるユーザーのグローバル グループ
Remote Access Policy - Wireless Computers WLAN にアクセスする必要があるコンピュータのグローバル グループ
Remote Access Policy - Wireless Access 上記 2 つのグローバル グループを含むユニバーサル グループ
\[Active Directory ユーザーとコンピュータ\] MMC スナップインを使用して、Remote Access Policy - Wireless Users グループと Remote Access Policy - Wireless Computers を Remote Access Policy - Wireless Access グループに追加します。 **重要 :** このソリューションでは、カスタム セキュリティ グループ (Remote Access Policy - Wireless Users および Remote Access Policy - Wireless Computers) を使用して、WLAN へのアクセスを許可するユーザーとコンピュータを制限します。 ドメインのすべてのユーザーとコンピュータが WLAN にアクセスできるようにする場合は、Domain Users グループと Domain Computers グループをこれらのカスタム セキュリティ グループに追加すると、簡単に管理できるようになります。 これで、WLAN へのアクセスを承認するユーザーとコンピュータをグループ構造に含める準備ができました。 **ユーザーとコンピュータを WLAN アクセス グループに追加するには** 1. \[Active Directory ユーザーとコンピュータ\] MMC スナップインを開きます。 2. WLAN へのアクセスを許可されているユーザーを Remote Access Policy - Wireless Users (WOODGROVEBANK\\Remote Access Policy - Wireless Users) グループに追加します。 3. WLAN へのアクセスを許可されているコンピュータを Remote Access Policy - Wireless Computers (WOODGROVEBANK\\Remote Access Policy - Wireless Computers) グループに追加します。 **注 :** ユーザーとコンピュータの WLAN への認証を有効にする理由については、「第 6 章 : 802.1X を使用してワイヤレス LAN のセキュリティを設計する」を参照してください。 #### Active Directory WLAN グループ ポリシーを作成する Windows グループ ポリシーを利用して、クライアント コンピュータの WLAN 構成を自動で実行できます。 Windows Server 2003 のグループ ポリシー MMC は、802.1X ベースのセキュリティおよび 802.11 WLAN 動作に関連する設定値を含む**ワイヤレス ネットワーク ポリシー**設定を公開します。 新しい 802.1X 互換の WLAN に対するワイヤレス グループ ポリシー プロファイルをクライアント コンピュータに作成するには、\[Active Directory ユーザーとコンピュータ\] MMC スナップインを使用して次の手順を実行します。 **注 :** GPO をドメイン レベルで作成することが、すべての組織に適しているとは限りません。 組織のグループ ポリシーの方針を確認して、GPO にとって最適な場所を決定してください。 Windows 2000 または Windows XP システムで GPO を編集する場合、ワイヤレス GPO の設定は、GPO MMC に表示されません。 これらの設定は、Windows Server 2003 システムまたは Windows Server 2003 の管理ツールがインストールされたシステムで編集する必要があります。 これらの GPO の設定は、Windows 2000 または Windows Server 2003 の Active Directory 内で使用することができます。 **ワイヤレス ネットワーク グループ ポリシーを作成するには** 1. ドメイン オブジェクト (woodgrovebank.com など) のプロパティを選択し、**\[グループ ポリシー\]** タブで **\[新規作成\]** をクリックし、GPO の **\[ワイヤレス ネットワーク ポリシー\]** に名前を付けます。 2. **\[プロパティ\]** ボタンをクリックし、**\[セキュリティ\]** タブで、Wireless Network Policy - Computer セキュリティ グループに **\[読み取り\]** および **\[グループ ポリシーの適用\]** アクセス許可を与えます。 さらに、**\[グループ ポリシーの適用\]** アクセス許可を、GPO の Authenticated Users から削除します。 3. **\[全般\]** タブで、ポリシー オブジェクトについて **\[ユーザーの構成の設定を無効にする\]** を選択し、表示される警告メッセージで **\[はい\]** を選択します。 変更を適用し、GPO の **\[プロパティ\]** ウィンドウを閉じます。 4. **\[編集\]** ボタンをクリックしてポリシーを編集し、\\コンピュータの構成\\Windows の設定\\セキュリティの設定\\ワイヤレス ネットワーク (IEEE 802.11) ポリシーに移動します。 5. ナビゲーション ウィンドウで **\[ワイヤレス ネットワーク (IEEE 802.11) ポリシー\]** オブジェクトを選択し、次に **\[アクション\]** メニューから **\[ワイヤレス ネットワーク ポリシーの作成\]** を選択します。 ウィザードを使用して、ポリシーに "**Client Computer Wireless Configuration**" という名前を付けます。 **\[プロパティの編集\]** オプションを選択したまま、**\[終了\]** をクリックしてウィザードを閉じます。 6. Client Computer Wireless Configurationポリシーの **\[優先するネットワーク\]** タブで **\[追加\]** を選択し、ワイヤレス ネットワークのネットワーク名またはサービス セット ID (SSID) を入力します。 **注 :** クライアントが既存の WLAN を使用している場合、新しい 802.1X ワイヤレス LAN に異なる SSID を選択する必要があります。 この新しい SSID は、802.1X ワイヤレス ネットワーク プロファイルに追加されます。 7. **\[IEEE 802.1X\]** タブをクリックし、**\[スマート カードまたはその他の証明書\]** のEAP 設定を開きます。 **\[信頼されたルート証明機関\]** で、IAS サーバー証明書を発行した PKI (「第 7 章 : 公開キー基盤を実装する」でインストールした PKI) のルート CA 証明書を選択します。 8. **Client Computer Wireless Configuration** のプロパティとグループ ポリシー オブジェクト エディタを閉じます。 #### WLAN グループ ポリシーのセキュリティ グループにコンピュータを追加する Active Directory ベースのセキュリティ グループを使用して、802.11 および 802.1X の設定を自動的に構成するためのワイヤレス ネットワーク ポリシーが適用されているコンピュータを判別します。 ワイヤレス AP に 802.1X 設定を構成して新しい WLAN を有効にする前に、新しい 802.1X ベースのネットワークに対してワイヤレス ネットワーク グループ ポリシー設定を展開する必要があります。 このアプローチにより、クライアント コンピュータがワイヤード (有線) LAN に接続する機会が少ない場合でも、クライアント コンピュータはコンピュータ ベースのグループ ポリシーをダウンロードして適用する機会を得ることができます。 グループ ポリシー設定は WLAN ネットワーク インターフェイス カード (NIC) を増設して Windows 上での設定を完了する前でもコンピュータに適用できます。 ワイヤレス LAN NIC をインストールすると、正しいワイヤレス ネットワーク グループ ポリシーが自動的に取得され適用されます。 **重要 :** このソリューションでは、カスタム セキュリティ グループ (Wireless Network Policy - Computer) を使用して、WLAN の構成を受け取るコンピュータを決定します。 すべてのコンピュータが WLAN の構成を受け取るようにする場合は、Domain Computers または Authenticated Users グループをこのグループに追加すると、簡単に管理できるようになります。 これにより、ドメイン (Domain Computers を使用する場合) または フォレスト (Authenticated Users を使用する場合) 内のすべてのサーバーとクライアント コンピュータにポリシーの設定が適用されることに注意する必要があります。 **ワイヤレス ネットワーク グループ ポリシーのグループにコンピュータを追加するには** 1. \[Active Directory ユーザーとコンピュータ\] MMC スナップインを使って、コンピュータを Wireless Network Policy - Computer グループに追加します。 2. WLAN を使用する前に、システムを再起動します (この手順は、前の手順で構成した新しいグループ メンバシップをコンピュータが受信できるようにするために必要です)。 **注 :** クライアント コンピュータのワイヤレス ネットワーク GPO 設定は、次のコンピュータ グループ ポリシーの更新期間中に更新されるので、注意が必要です。 代わりに、コマンド プロンプトで GPUPDATE /force コマンドを使用して、コンピュータ ポリシーを強制的に更新することもできます。 #### WLAN グループ ポリシーのアプリケーションを確認する Active Directory の **Client Computer Wireless Configuration** セキュリティ グループに追加されているクライアント コンピュータで、次の手順を実行します。 **注 :** ワイヤレス ネットワーク ポリシーを表示する前に、コンピュータにワイヤレス ネットワーク アダプタをインストールして認識させておく必要があります。 **ワイヤレス ネットワーク構成の展開を確認するには** 1. ローカル コンピュータに管理者としてログオンしてから、**\[スタート\]** ボタンをクリックして、**\[ファイル名を指定して実行\]** をクリックし、次のコマンドを入力して、ネットワーク接続フォルダを開きます。 ncpa.cpl 2. ワイヤレス カードに対応する **\[ワイヤレス ネットワーク接続\]** アイコンのプロパティを表示します。 **\[ワイヤレス ネットワーク\]** タブで、**\[優先されるネットワーク\]** の下の新しいワイヤレス ネットワーク SSID 名を調べる必要があります。 新しいワイヤレス ネットワーク構成を選択し、**\[プロパティ\]** をクリックして設定を展開し、それらがワイヤレス ネットワーク グループ ポリシーで選択したものと一致していることを確認します。 3. SSID 名が **\[優先されるネットワーク\]** の下に表示されないか、またはネットワーク設定がワイヤレス ネットワーク グループ ポリシーで構成した設定と一致しない場合は、ワイヤレス ネットワークのすべてのダイアログ ボックスを閉じて、コマンド プロンプトから GPUPDATE /force を実行します。 数分後に、設定を再度検査します。 [](#mainsection)[ページのトップへ](#mainsection) ### 802.1X ネットワークのワイヤレス AP を構成する ワイヤレス AP を構成する手順は、デバイスの製造元やモデルによって大きく異なります。 ただし、一般にワイヤレス AP のベンダは、次の項目についてデバイスを構成する手順を用意しています。 - 802.1X ネットワーク設定 - プライマリ RADIUS 認証サーバーの IP アドレス - プライマリ RADIUS アカウンティング サーバーの IP アドレス - プライマリ RADIUS サーバーと共有される RADIUS シークレット - セカンダリ RADIUS 認証サーバーの IP アドレス - セカンダリ RADIUS アカウンティング サーバーの IP アドレス - セカンダリ RADIUS サーバーと共有される RADIUS シークレット 802.1X 用のワイヤレス AP の構成方法については、ベンダのマニュアルを参照してください。 環境内のユーザーが、現在ワイヤレス AP をセキュリティ設定なしで使用しているか、静的 WEP セキュリティのみを使用している場合、移行計画を作成する必要があります。 既存のワイヤレス ネットワークからの移行の詳細については、「第 6 章 : 802.1X を使用してワイヤレス LAN のセキュリティを設計する」を参照してください。さまざまなベンダのワイヤレス AP を構成する方法については、ここでは説明しませんが、第 6 章にはワイヤレス AP に関連するセキュリティについても記載されています。 [](#mainsection)[ページのトップへ](#mainsection) ### テストと確認 コンピュータ証明書、ユーザー証明書、ワイヤレス ネットワーク グループ ポリシー、および WLAN NIC を構成したクライアント コンピュータを利用して、802.1X ベースの WLAN の機能をテストする必要があります。 **ワイヤレス ネットワーク機能をテストするには** 1. Remote Access Policy - Wireless Computers セキュリティ グループのメンバーになっているクライアント コンピュータを再起動します。 2. コンピュータに、Remote Access Policy - Wireless Users グループのメンバーになっているユーザーとしてログオンします。 3. コマンド プロンプトで **ping** コマンドを実行して、ネットワーク上の他のコンピュータへのネットワーク接続をテストします。 テスト手順の詳細については、「第 13 章 : ソリューションをテストする」を参照してください。 [](#mainsection)[ページのトップへ](#mainsection) ### 要約 この章に記載されたすべての処理を実行すると、次のタスクを完了したことになります。 - WLAN セキュリティ コンポーネントの管理に使われる Active Directory セキュリティ グループの作成と構成 - 必要な証明書テンプレートの作成と IAS サーバー、選択したコンピュータ、および選択したエンド ユーザーに対するワイヤレス証明書の展開 - IAS ベースのリモート アクセス ポリシーおよびワイヤレス ネットワークに対する接続要求ポリシーの作成と構成 - 802.1X のワイヤレス AP の構成 - 選択したクライアント コンピュータに対するワイヤレス ネットワーク グループ ポリシーの作成と展開 以上の作業が完了すると、802.1X ベースの WLAN セキュリティ インフラストラクチャが完全に機能し、組織のネットワーク セキュリティを強化することができます。 #### 関連情報 - [Windows Server 2003 の製品ドキュメント](https://www.microsoft.com/windowsserver2003/proddoc/default.mspx)は、www.microsoft.com/windowsserver2003/proddoc/default.mspx (英語) から入手できます。 製品ドキュメントには、IAS 機能の概要、構成の基本手順、および展開のベスト プラクティスが記載されています。 - 「[IAS Technical Reference](https://technet.microsoft.com/ja-jp/library/cc759100.aspx)」には、IAS の詳細な技術情報が記載されています。 このドキュメントは、https://technet.microsoft.com/ja-jp/library/cc759100.aspx(英語) から入手できます。 - 「*Microsoft Windows Server 2003 Deployment Kit*」の「[Deploying a Wireless LAN](https://technet.microsoft.com/ja-jp/library/cc780901.aspx)」の章は、https://technet.microsoft.com/ja-jp/library/cc780901.aspx(英語) から入手できます。 この章には、このセキュリティで保護されたワイヤレス ネットワークのガイダンスで説明していない、設計上の決定事項に影響する IAS を使用するための展開方法が、各種シナリオで説明されています。 - 802.1X WLAN、WLAN セキュリティ項目の高度な内容、および関連する標準については、「[The Unofficial 802.11 Security Web Page](https://www.drizzle.com/~aboba/ieee/)」www.drizzle.com/~aboba/IEEE/ (英語) を参照してください。 - WLAN ソリューションおよび業界情報については、[WiFi Alliance の Web サイト](https://www.wi-fialliance.org/) https://www.wi-fialliance.org (英語) を参照してください。 - WLAN テクノロジに関する背景情報、市場調査、ホワイト ペーパー、およびトレーニング プログラムについては、「[Wireless LAN Association (WLANA) Learning Center](https://www.wlana.org/learning_center.html)」https://www.wlana.org/learning\_center.html (英語) を参照してください。 - EAP-TLS、EAP over LAN (EAPOL)、EAP-RADIUS、RADIUS、および 802.1X で使用されるその他のインターネット標準については、[IETF (Internet Engineering Task Force) の Web サイト](https://www.ietf.org/) www.ietf.org/ (英語)を参照してください。 - 関連する WLAN 標準には、802.11、802.11b、802.11a、802.11g、802.1X、802.11i その他が含まれます。 これらの標準については、「[IEEE Wireless Standards Zone](https://standards.ieee.org/wireless/)」https://standards.ieee.org/wireless/ (英語) を参照してください。 - 802.1X WLAN テクノロジの詳細については、「[Windows XP Wireless Deployment Technology and Component Overview](https://technet.microsoft.com/ja-jp/library/bb457097.aspx)」https://technet.microsoft.com/ja-jp/library/bb457097.aspx を参照してください。 [](#mainsection)[ページのトップへ](#mainsection) ##### 目次 - [概要](https://technet.microsoft.com/ja-jp/library/30f90d1c-7faa-432f-b6c8-d4927fe36229(v=TechNet.10)) - [ソリューションの概要](https://technet.microsoft.com/ja-jp/library/30b42da7-6df7-4c17-8f81-e3129a989221(v=TechNet.10)) - [第 1 章 : ソリューションの概要](https://technet.microsoft.com/ja-jp/library/178db46c-9580-45ec-8ca8-565f7eec6521(v=TechNet.10)) - [設計ガイドの概要](https://technet.microsoft.com/ja-jp/library/e6114a19-d2e2-4f4f-9354-9a973b9e3221(v=TechNet.10)) - [第 2 章 : セキュリティで保護されたワイヤレス LAN ネットワークの構築方針を決定する](https://technet.microsoft.com/ja-jp/library/798406d6-d739-4d18-879b-9ae061fa320a(v=TechNet.10)) - [第 3 章 : セキュリティ保護されたワイヤレス LAN ソリューション アーキテクチャ](https://technet.microsoft.com/ja-jp/library/40ad9fbf-71fc-4ade-af08-905a35ae95e8(v=TechNet.10)) - [第 4 章 : 公開キー基盤を設計する](https://technet.microsoft.com/ja-jp/library/26fc5cef-602a-4340-9552-f48b4d7d674e(v=TechNet.10)) - [第 5 章 : ワイヤレス LAN のセキュリティに対応した RADIUS インフラストラクチャを設計する](https://technet.microsoft.com/ja-jp/library/e3e593bb-1c1d-40ad-97fc-3798b6869f18(v=TechNet.10)) - [第 6 章 : 802.1X を使用してワイヤレス LAN のセキュリティを設計する](https://technet.microsoft.com/ja-jp/library/75fadbd9-af34-4322-96ad-c609aaaa5907(v=TechNet.10)) - [構築ガイドの概要](https://technet.microsoft.com/ja-jp/library/2b673333-12a3-4bac-affe-207d148e68a0(v=TechNet.10)) - [第 7 章 : 公開キー基盤を実装する](https://technet.microsoft.com/ja-jp/library/70a59275-e4e0-4849-af0e-1af643e7b8fe(v=TechNet.10)) - [第 8 章 : RADIUS インフラストラクチャを実装する](https://technet.microsoft.com/ja-jp/library/83bbb839-cc8d-4724-affb-a6ae08237f29(v=TechNet.10)) - [運用ガイドの概要](https://technet.microsoft.com/ja-jp/library/9519ea6d-b101-4981-b836-1168f32c7f1f(v=TechNet.10)) - 第 9 章 : ワイヤレス LAN のセキュリティに対応したインフラストラクチャを実装する - [第 10 章 : 運用ガイドの紹介](https://technet.microsoft.com/ja-jp/library/75d535e0-e9ed-454c-98ec-2ed53ce54d52(v=TechNet.10)) - [第 11 章 : 公開キー基盤を管理する](https://technet.microsoft.com/ja-jp/library/9437df75-a375-40f2-9577-17755eec9545(v=TechNet.10)) - [第 12 章 : RADIUS およびワイヤレス LAN のセキュリティ インフラストラクチャを管理する](https://technet.microsoft.com/ja-jp/library/56beab30-3f67-4633-9074-f5f85241b1ab(v=TechNet.10)) - [テスト ガイドの概要](https://technet.microsoft.com/ja-jp/library/7e4b9c88-3b35-41f8-b81d-9546743da068(v=TechNet.10)) - [第 13 章 : テスト ガイド](https://technet.microsoft.com/ja-jp/library/4d249b34-b07e-46af-b8c7-e2ab85f0c26e(v=TechNet.10)) - [付録](https://technet.microsoft.com/ja-jp/library/c60be0d8-d416-41bd-b173-23bdcf56bcf0(v=TechNet.10)) - [付録 A: Windows のバージョン サポート表](https://technet.microsoft.com/ja-jp/library/d55ba82b-f689-4e8a-bddd-37ab55d9f4f1(v=TechNet.10)) - [付録 B: スクリプトとサポート ファイル](https://technet.microsoft.com/ja-jp/library/ecfc00f9-d0a2-44b0-b92e-73d714462bbe(v=TechNet.10)) - [付録 C: 配信ガイド](https://technet.microsoft.com/ja-jp/library/7fdf9700-34db-4b0f-92d1-f6a6d8dbe5e1(v=TechNet.10)) - [付録 D: WPA のサポート](https://technet.microsoft.com/ja-jp/library/cc527037) [](#mainsection)[ページのトップへ](#mainsection)