企業における機動性とコラボレーションの展開
Jerry Honeycutt、Roslyn Lutsch
2002 年 12 月発行
概要
Microsoft Windows XP のワイヤレス ネットワーク機能と Microsoft Office XP のコラボレーション機能によって、ユーザーの生産性が向上すると共に、組織内のインフラ ストラクチャのコストを削減することができます。このドキュメントでは、これらの製品を組み合わせて展開する際の検討事項および技術について説明します。また、マイクロソフトが自社の巨大なワイヤレスおよびコラボレーションの展開プロジェクトから学んだベスト プラクティスについても説明しています。
トピック
はじめに
計画の概要
範囲
環境の計画
構成の計画
試験的な導入の計画
本格的な展開の計画
まとめ
関連情報
用語集
はじめに
Windows XP とワイヤレスネットワークによって、モバイルコンピューティングのコストが削減され、効果的な活用が可能になりました。ユーザーは、パブリックおよびプライベートワイヤレスネットワークを使用して、企業ネットワークリソースにアクセスしたり、ノートパソコン持って、ネットワークに接続したまま建物の中を移動したりできるので、生産性を向上させることができます。また、Office XP のコラボレーション機能によって、ユーザーは、いつでも、どこでも、パートナー、顧客、および同僚と連絡を取ることができます。
Windows XP、Office XP、ワイヤレスネットワークの組み合わせは、モバイルユーザーの役に立つだけでなく、IT 部門の担当者にとってもメリットがあります。インフラストラクチャのコスト削減に役立ち、ネットワーク接続が容易になるため、会議室や食堂など、これまでには考えられなかった場所からの接続が可能になります。ワイヤレスゼロ設定などの機能によって、一般的なモバイルユーザーは容易にワイヤレスネットワークを構成することができ、展開やサポートにかかるコストが大幅に削減されます。Windows XP とワイヤレスネットワークの利点の詳細については、ドキュメント 『Wireless Networking for Mobility and Collaboration』 で説明します。このドキュメントでは、検討が必要な重要な問題と、Windows XP と最新のワイヤレス規格によるこれらの問題への対応についても説明しています。
このドキュメントでは、Windows XP、Office XP と、ワイヤレスネットワークを展開する際の問題および検討が必要な事項について説明します。また、これらを組み合わせた展開計画を作成する方法についても説明します。技術面の意思決定者は、このドキュメントを読むことによって、ワイヤレスネットワークの展開に関連する問題、展開計画の作成に必要な手順、およびマイクロソフトが自社のプロジェクトから得たベストプラクティスを理解できます。
このドキュメントの内容は次のとおりです。
セクション |
内容 |
|---|---|
計画の概要 |
展開計画の内容 |
範囲 |
プロジェクトの範囲を定義する方法 |
環境の計画 |
必要な環境の変更を計画する方法 |
構成の計画 |
Windows XP をワイヤレスネットワーク用に構成する方法 |
試験的な導入の計画 |
ワイヤレスおよびコラボレーションの計画を試験的に導入する方法 |
本格的な展開の計画 |
ワイヤレスおよびコラボレーションの構成を本格的に展開する方法 |
計画の概要
このドキュメントでは、ワイヤレスおよびコラボレーションの展開計画を作成する方法について説明します。プロジェクトの範囲によって、他のドキュメントを参照する必要がある場合や、一部を省略できる場合があります。図 1 は、このドキュメントで説明する展開計画のそれぞれの部分を示しています。
.gif "entmobility1")
図 1: ワイヤレスおよびコラボレーションの展開のフェーズ
**範囲。**展開計画のこの部分では、プロジェクトの全体的な範囲、つまり、プロジェクトに含まれる内容を明確に定義します。既に展開が決定されている場合でも、ワイヤレスおよびコラボレーション技術を展開するビジネスの事例を検討することから始めます。また、時期、予算、ユーザーの協力を促す方法、予想されるサービスのレベル、および許容される結果についても文書化します。最も重要なことは、プロジェクトで実現しようとする目標を明確にすることです。
**環境の計画。**展開計画ドキュメントのこの部分では、現在の環境、および計画されているワイヤレスおよびコラボレーション環境について文書化します。これには、プロジェクトの実現に必要なハードウェア、ソフトウェア (Windows XP、Office XP、サーバーオペレーティングシステムなど)、およびネットワークインフラストラクチャが含まれます。また、計画のこの部分では、各会議室で計画されているワイヤレスアクセスポイント (AP) の場所および接続可能範囲についても記述します。
**構成の計画。**展開計画のこの部分では、現在の環境から、計画されたワイヤレスおよびコラボレーション環境に移行する方法を記述します。計画の実現に必要なWindows XP および Office XP の構成を明確に定義します。また、リモート認証ダイヤルインユーザーサービス (RADIUS)、Active Directoryョ、および証明書サービスなど、サーバーの構成も定義します。たとえば、クライアントコンピュータ、AP、サーバーのセキュリティの構成は、計画のこの部分に記述します。
**試験的な導入の計画。**展開計画のこの部分では、ユーザーの小規模で代表的なグループを対象に、プロジェクトを試験的に実施する方法について説明します。このフェーズからのフィードバックは、展開計画に反映されます。
**本格的な展開の計画。**展開計画のこの部分では、新しい環境を本格的に展開するための詳細な戦略を記述します。また、本格的な展開の詳細なスケジュールと実際に展開する際の実務的な計画も含まれます。
このドキュメントでは、Windows XP と Office XP によるワイヤレスネットワークとコラボレーションの展開計画について説明します。この展開は、2 つの製品の完全な展開に比べると複雑ではありません。ただし、大規模な展開プロジェクトの中でワイヤレスネットワークおよびコラボレーション機能を展開する場合は、展開計画は必然的により複雑になります。マイクロソフトでは、Windows XP と Office XP の展開に役立つ 2 つのドキュメントを用意しています。そのうちの 1 つが 『Deployment Planning Blueprint for Windows XP and Office XP』 (英語) です。このドキュメントは、企業内で Office XP の展開を計画し、本格的に展開する際に役立つガイドです。もう 1 つのドキュメントは 『Windows XP の導入 パート 1: 計画』 です。このドキュメントでは、Windows XP を展開する際の検討事項について説明しています。これらのドキュメントはどちらも技術面での意思決定者に適しています。また、『Windows XP の導入パート 2 : 実装』 は、その大部分が Windows XP を展開するための技術を使用する際の具体的なガイドであるため、計画を実行する専門家に適しています。このドキュメントの一部は、前述のドキュメントで説明されているアドバイスや方法論に基づいています。
範囲
.gif "entmobility2")
展開計画の最初の部分では、プロジェクトの範囲および目標を定義し、それらが企業の長期的な目標に沿ったものであることを確認します。計画は、プロセスの具体的なフェーズを明確に識別し、わかりやすく有効なアウトラインを提供するものです。計画では、プロジェクトの範囲、プロジェクトの影響を受ける人やグループ、プロジェクトの実行期間を明確化する必要があります。
ここでは、展開計画で文書化を検討する必要がある項目について説明します。組織において確立された手法や事例に基づいて項目を選択します。プロジェクトの範囲を文書化する際に検討しなければならない項目として、次のようなものがあります。
展開に関する数量 (コンピュータ、ネットワーク、ユーザー、建物)
展開の範囲 (Windows XP のアップグレード、ハードウェアのアップグレード、サーバーの構成)
ワイヤレスの設置場所 (AP を展開する会議室、食堂、その他の場所)
ワイヤレスの要件(帯域幅、セキュリティの要件、帯域幅の要件)
目標
計画から展開に至るまで、意思決定はプロジェクトに対する組織のビジョンに基づいて行います。このビジョンは、組織の仕組みや変更の管理方法に関連する要素によって決まります。たとえば、IT 部門がユーザーに自分のデスクトップコンピューティングのニーズを処理することを許可するか、または IT 部門が意思決定、ソフトウェア配布の管理、およびユーザーデスクトップのサポートを行うか (ロックされた環境) ということです。この質問に対する答えは、仕事の切り分けと、誰がさまざまな作業の責任者になるかに関係します。
展開に対するビジョンが明確であると、意思決定および計画への参加の促進が容易になるので、次の段階に進む前にプロジェクトのすべての関係者がこのビジョンに同意し、承認している必要があります。関係者は、経営陣だけではなく、ユーザー、設計者、およびサポート部門も含まれます。たとえば、ワイヤレスネットワークおよびコラボレーション機能を展開する理由、プロジェクトの開始時期、プロジェクトの期間、プロジェクトの責任者を記述します。記述は簡潔 (1 段落程度) にして、プロジェクトの関係者すべてに通知します。このビジョンの記述を意思決定の指針として使用します。
また、プロジェクトが成功した場合に達成される目標も定義します。目標は、1 項目ごとにリスト形式にして読みやすくします。たとえば、次のような目標が考えられます。
**アクセス。**障害物を考慮してワイヤレスアクセスを保証する。
**接続。**ワイヤレスラップトップユーザー向けの接続を向上させる。
**利用可能性。**ワイヤレスネットワークの利用可能性を保証する。
**セキュリティ。**ワイヤレスセキュリティプロトコルを実装することによりワイヤレスネットワークをセキュリティで保護する。
**コラボレーション。**ユーザーと他のユーザーやパートナーとのコラボレーションを実現する。
ユーザー プロファイル
4 種類のモバイルユーザー (外出の多いユーザー、社内を移動することが多いユーザー、在宅勤務者、データ収集者) を検討し、それぞれに固有の要件を文書化します。各種モバイルユーザーの詳細については、ホワイトペーパー 「Windows XP and Office XP for Mobile Users」 を参照してください。それぞれのプロファイルの概要を以下に示します。
**外出の多いユーザー。**外出の多いユーザーは、同僚、パートナー、および顧客と常に連絡を取り合う必要があります。このようなユーザーは、受け取った情報に基づいて、迅速に意思決定を行います。勤務時間の 80% 程度は外出しており、通常、公衆ワイヤレスネットワークを使って企業ネットワークにアクセスします。
**社内を移動することが多いユーザー。**社内を移動することが多いユーザーも、同僚、パートナー、および顧客と常に連絡を取り合いますが、外出はしません。その代わりに、建物内を移動し、次々と会議に出席します。ワイヤレスネットワークによって、自分の席から離れているときでも、常に連絡を取り合い、企業ネットワークにアクセスすることができます。
**在宅勤務者。**在宅勤務者にとって、会社と自宅の間を移動する時間は全体の 25% 程度です。通常は、移動中に企業ネットワークにアクセスする必要はなく、ケーブルモデムまたは DSL モデムを使用して仮想プライベートネットワーク (VPN) 接続経由でネットワークに接続します。ワイヤレスネットワークは、在宅勤務者が低コストで自宅をネットワーク化するときに役立ちます。また、ノートパソコンを使用する在宅勤務者が、オフィスでワイヤレスネットワークを使用する場合にも役立ちます。
**データ収集者。**データ収集者は勤務時間の 80% 以上外出しており、従来からの方法で企業ネットワークに接続していますが、この方法は、特に顧客を訪問しているときには不便です。データ収集者は、主に、公衆ワイヤレスネットワークを使用して企業ネットワークにアクセスします。
環境の計画
.gif "entmobility3")
Windows XP および Office XP のワイヤレス構成を設計する前に、現在のネットワークのインフラストラクチャおよび使用状況を文書化します。この評価によって、ネットワークの長所と短所を見極め、ワイヤレスネットワークを既存のネットワーク統合する方法を容易に決定することができます。もし、もうすでに資産のデータベースを持っているならば、そこから始めることができます。文書化する一般的な項目としては、次のようなものがあります。
ワイドエリアネットワーク (WAN) 回線はいくつあるか。
ネットワークにワイヤレスデバイスはいくつあるか。
ワイヤレス AP はいくつあるか。
IP サブネットはいくつあるか。
ネットワークにレイヤ 2 スイッチはいくつあるか。
ネットワークに世界規模のサーバーはいくつあるか。
LAN ポートはいくつあるか。
使用しているネットワークオペレーティングシステムは何か。
使用しているリソースおよび必要となるリソースは何か。
既存のネットワークのトポロジはどのようなものか。
Windows XP のアップグレードが必要なコンピュータはどれか。
Office XP のアップグレードが必要なコンピュータはどれか。
これらの質問に対する答えは、既存のネットワークの物理的なトポロジを把握するのに役立ちます。次に、古いデバイスを同時にアップグレードするかどうか、つまり、将来の技術および会社の成長に対する準備をしておくかどうか検討します。ネットワークの専門家に相談して、将来に備えておく必要があるか、または現在の機能で十分であるかを判断します。
マイクロソフトでは、この作業に役立つツールを用意しています。Microsoft Systems Management Server (SMS) を使用して、ハードウェアとソフトウェアの資産を管理できます。SMS を使用した展開の手順の詳細については、ホワイトペーパー 『SMS 2.0 を使った Windows 2000 の展開』 を参照してください。また、Microsoft Visio Professional は、ネットワークのトポロジを文書化する際に役立つ、優れたツールです。
ネットワーク インフラストラクチャ
ネットワークインフラストラクチャに含まれるハードウェアとソフトウェアの両方に関する情報を収集します。ネットワークの論理的な構成、名前解決およびアドレス解決の方法、名前付け規則、および使用しているネットワークサービスの情報を含めます。ネットワークサイトの場所およびサイト間の利用可能な帯域幅を文書化することは、展開方法を決定する際に役立ちます。
また、サーバーオペレーティングシステム、ファイルサーバーやプリントサーバー、ディレクトリサービス、ドメインとツリーの構造、サーバーのプロトコル、ファイル構造を含む、ネットワークの構造を文書化します。バックアップと復元の方法、ウィルス対策、データの格納とアクセスのポリシーなど、ネットワーク管理の手順も含める必要があります。複数のサーバーオペレーティングシステムを使用する場合は、異なるプラットフォーム上のリソースのセキュリティおよびユーザーのアクセスを管理する方法も記述します。ネットワークの調査には、ネットワークのセキュリティ対策も含める必要があります。クライアントの認証、ユーザーとグループのリソースへのアクセス、インターネットのセキュリティを管理する方法を記述します。ネットワークのファイアウォールおよびプロキシの構成も文書化します。
ネットワークの物理構成図と論理構成図を作成して、収集する情報を整理します。ネットワークの物理構成図と論理構成図には、次の情報を含める必要があります。
物理構成図 |
論理構成図 |
|---|---|
|
|
既存のネットワークインフラストラクチャに加えて、ワイヤレスネットワークで必要になる変更についても文書化します。たとえば、ネットワークのセキュリティインフラストラクチャに対する変更をすべて文書化します。ワイヤレス接続の認証および承認を集中管理するために RADIUS サーバーを追加する必要がある場合は、それも文書化します。ワイヤレスネットワークおよびコラボレーションのための特定のインフラストラクチャ要件については、ホワイトペーパー『Wireless Networking for Mobility and Collaboration』を参照してください。Windows XP を使った一般的なワイヤレスネットワークで必要とされるインフラストラクチャについては、構成の計画も参照してください。
ワイヤレス トポロジ
構築しているワイヤレスネットワークトポロジ、およびワイヤレスネットワークを既存の有線ネットワークにどのように統合するかを文書化します。2 種類のワイヤレストポロジが可能ですが、企業内ではインフラストラクチャトポロジが一般的です。
**インフラストラクチャトポロジ。**インフラストラクチャトポロジでは、ワイヤレスクライアントは有線ネットワークにアクセスするために AP を必要とします。AP は、ワイヤレスクライアントから有線ネットワークにネットワークトラフィックを渡すブリッジです。このトポロジでは、各建物全体に、展開計画に示された接続可能範囲とパフォーマンスを提供するために必要な数だけ、ワイヤレス AP を展開します。図 2 に、このトポロジの例を示します。
**アドホックトポロジ。**アドホックトポロジでは AP を必要としません。その代わりに、ワイヤレスクライアントは別のワイヤレスクライアントと直接接続し、一時的なピアツーピアネットワークを形成します。Windows XP では、ワイヤレス AP が見つからない場合や、ユーザーがワイヤレスクライアントを排他的にアドホックモードに構成している場合、自動的にアドホックネットワーク接続を作成しようとします。排他的なアドホックトポロジは、多くの企業の展開には適しません。
.gif "entmobility4")
図 2: インフラストラクチャ トポロジの例
インフラストラクチャトポロジとアドホックトポロジの詳細については、ホワイトペーパー 『Windows XP Wireless Deployment Technology and Component Overview』 (英語) を参照してください。このホワイトペーパーでは、ワイヤレス AP の仕組みや、ワイヤレスクライアントからのトラフィックを有線ネットワークに渡すために AP が使用する技術についても説明しています。
配置と接続可能範囲
マイクロソフトが自社で行った大規模な展開の経験 (詳細については 『Microsoft Wireless LAN Deployment and Best Practices』 (英語) を参照) からすると、各ワイヤレス AP の配置と共に、各 AP の接続可能範囲を計画して文書化する必要があります。AP の配置を計画するときには、さまざまな問題を考慮する必要があります。各建物について文書化および計画する必要がある問題の概要を、次の一覧に示します。
無線信号の障害物を文書化します。このような障害物の撤去や、障害物の周辺にアクセスを提供するような AP の配置を計画する必要があります。
ワイヤレス接続が必要な建物の区域を文書化します。たとえば、特定の会議室ではワイヤレス接続が必要だが、他の会議室には必要ではない、食堂とコミュニティ区域ではワイヤレス接続が必要であるなどを特定します。
各ワイヤレス接続区域の最大ユーザー数を決定します。小さな会議室など、限られた数のユーザーにワイヤレスアクセスを提供する区域では、食堂などの多数のワイヤレスユーザーが見込まれる区域ほど心配する必要はありません。ユーザー数の多い区域でパフォーマンスを最大化するための技術は既に存在します。次に示す注意事項は、特定の接続可能区域でワイヤレスのパフォーマンスを調整する際の詳細を説明しています。
ワイヤレス AP を選択および展開する場合、マイクロソフトが自社のワイヤレスおよびコラボレーション展開プロジェクトから学んだ次のようなベストプラクティスを参考にしてください。
802.1X、128 ビット WEP をサポートするワイヤレス AP を使用し、マルチキャスト/グローバル暗号化キーおよびユニキャストセッション暗号化キーの両方を使用します。
管理者レベルのユーザー名とパスワードなど、ワイヤレス AP の管理に関する構成を、既定の構成から変更します。
プレナム区域 (天井の内装材と天井の間の空間) にワイヤレス AP を設置する場合は、防火基準に準拠したプレナム定格のワイヤレス AP を使用する必要があります。
ISN 周波数帯域における 802.11b ワイヤレス周波数でのクロストークを最小化するために、オーバーラップする接続可能範囲では、5 チャネルのセパレーションが必要です。たとえば、米国内では、チャネル 1、6、11 を使用します。
SNMP を使用してワイヤレス AP を管理または構成する場合は、既定の SNMP コミュニティを変更します。可能であれば、SNMPv2 をサポートするワイヤレス AP を使用します。
注意 AP が過負荷の状態になると、問題が発生しやすくなり、ワイヤレスネットワークのパフォーマンスが低下します。接続するワイヤレスクライアントの数を 20 ~ 25 に制限することによって、AP の負荷が大きくなりすぎないようにします。ワイヤレスネットワークのパフォーマンスを最大化するには、AP あたりの平均ユーザー数を 2 ~ 4 人に設定します。ワイヤレス接続が集中すると予想される場合、ワイヤレス AP の信号強度を低くします。これによって、各 AP の接続可能範囲が小さくなり、より多くの AP が隣接している状態になり、より多くの帯域幅が多くのクライアントに分散されるため、パフォーマンスが向上します。パフォーマンスの詳細については、『Windows XP パフォーマンス』 を参照してください。
ワイヤレス クライアント
ワイヤレスクライアントについて、次の情報を文書化します。必要に応じて、その他の情報をこの一覧に追加してください。
社内の潜在的なワイヤレスユーザーおよびクライアントの詳細
潜在的なワイヤレスクライアントコンピュータの Windows のバージョンの詳細
既に展開されているワイヤレスネットワークアダプタの詳細
既に展開されているワイヤレスデバイスドライバの種類およびバージョンの詳細
Windows XP のアップグレードが必要な既存のワイヤレスクライアントの詳細
スマートカードおよびリーダーなどの必要な追加ハードウェア
Windows XP はさまざまなワイヤレス LAN アダプタをサポートしています。つまり、このオペレーティングシステムには、さまざまなワイヤレス NIC 用のデバイスドライバが同梱されています。その他の NIC も Windows XP をサポートしている場合があり、独立系ハードウェアベンダ (IHV) の Web サイトからデバイスドライバをダウンロードできます。ただし、Windows XP と共に使用するワイヤレス NIC を選択する場合は、ハードウェア互換性リスト (HCL) を確認します。Microsoft ハードウェア互換性リストの Web サイト を参照してください。このサイトには、最新バージョンの Windows XP のハードウェア互換性テスト (HCT) に合格したワイヤレス NIC のリストが用意されています。このリストは、完全なものでも、包括的なものでもありません。互換性のあるデバイス識別子を使用するデバイスや、Windows XP で操作する他のデバイスをエミュレートするデバイスも数多く存在します。
ワイヤレスネットワークアダプタを選択する場合は、次の点を参考にしてください。
ドライバがWindows XP のワイヤレスゼロ設定サービスをサポートしているワイヤレスネットワークアダプタを使用します。
IEEE 802.1x、128 ビット WEP 暗号化キー、およびマルチキャスト/グローバルキーとユニキャストセッションキーの両方をサポートするワイヤレスネットワークアダプタを使用します。
展開を容易にするには、プラグアンドプレイ (PnP) ドライバが Windows XP に同梱されているか、または Windows Update で入手可能なワイヤレスネットワークアダプタを使用します。
ワイヤレスネットワークアダプタに同梱されているワイヤレス構成ユーティリティをインストールせずに、Windows XP のワイヤレスゼロ設定サービスを使用します。
構成の計画
.gif "entmobility5")
ここで説明する内容を参考にして、ワイヤレスクライアント、ワイヤレス AP、およびインフラストラクチャのサーバーの構成を文書化します。ここでは、決定しなければならない事項の概要を示し、各トピックに関する詳細な技術情報を入手できるリソースを紹介します。このホワイトペーパーでは、次のような一般的なワイヤレスの構成を展開することを想定しています。
Windows **を実行するワイヤレスクライアントコンピュータ。**Windows XP には、Wi-Fi (IEEE 802.11b) ワイヤレスネットワーク、および拡張認証プロトコル (EAP) を使用するIEEE 802.1X 認証のサポートが組み込まれています。ワイヤレスネットワークにはWindows XP が最適ですが、Windows 2000 でも Microsoft 802.1X 認証クライアント がインストールされている場合は、IEEE 802.1X 認証をサポートしています。
最低 2 台の Windows 2000インターネット認証サービス(IAS) **サーバー。**2 台の IAS サーバー(1 台はプライマリ、もう 1 台はセカンダリ) を使用することによって、RADIUS ベースの認証のフォールトトレランスが実現されます。RADIUS サーバーが 1 台だけ構成されており、そのサーバーが利用できなくなった場合、ワイヤレスアクセスクライアントは接続できません。2 台の IAS サーバーを使用し、プライマリ IAS サーバーとセカンダリ IAS サーバーの両方ですべてのワイヤレス AP (RAIDUS クライアント) を構成することによって、RADIUS クライアントはプライマリ RADIUS サーバーが利用できなくなったことを検出し、自動的にセカンダリ IAS サーバーにフェールオーバーすることができます。Windows 2000 IAS サーバーの場合は、Service Pack 3 (SP3) 以降および Microsoft 802.1X 認証クライアント がインストールされている必要があります。
Active Directory **サービスドメイン。**Active Directory ドメインには、IAS サーバーが資格情報を認証し、承認と接続の両方の制約を評価するために必要とするユーザーやコンピュータのアカウント、およびそのダイヤルインのプロパティが含まれます。必須ではありませんが、IAS の認証および承認の応答時間を最適化し、ネットワークのトラフィックを減少させるには、IAS を Active Directory ドメインコントローラにインストールすることをお勧めします。ドメインコントローラには、SP3 以降がインストールされている必要があります。
IAS **サーバーにインストールされたコンピュータ証明書。**使用するワイヤレス認証方式に関係なく、IAS サーバーにコンピュータ証明書をインストールする必要があります。
EAP-TLS(Transport Level Security)による認証の場合は証明書インフラストラクチャ。EAP-TLS 認証プロトコルは、ローカルにインストールされたコンピュータ証明書、ユーザー証明書、およびスマートカードを使用して、ワイヤレスクライアントを認証するために使用されます。証明書インフラストラクチャは、公開キー基盤 (PKI) とも呼ばれ、証明書の発行や証明書の検証を行うために必要です。
PEAP (Protected EAP) と Microsoftチャレンジハンドシェイク認証プロトコルバージョン 2 (MS-CHAP v2) による認証の場合は、ルート証明機関 (CA) 証明書を各ワイヤレスクライアントにインストールします。PEAP-MS-CHAP v2 は、ワイヤレス接続向けの、パスワードベースのセキュリティで保護された認証方式です。IAS サーバーのコンピュータ証明書の発行者によっては、各ワイヤレスクライアントにルート CA 証明書もインストールしなければならない場合があります。
**ワイヤレスリモートアクセスポリシー。**リモートアクセスポリシーをワイヤレス接続用に構成し、従業員が企業のイントラネットにアクセスできるようにします。
複数のワイヤレス AP **。**複数のサードパーティのワイヤレス AP によって、企業の複数の建物でワイヤレスアクセスを提供します。ワイヤレス AP は IEEE 802.1X をサポートしている必要があります。各 AP の配置と接続可能範囲の計画については、「配置と接続可能範囲」を参照してください。
証明書
表 1 は、さまざまな種類の認証で必要な証明書をまとめたものです。
表 1 認証の種類と証明書
認証の種類 |
ワイヤレスクライアント上の証明書 |
IAS サーバー上の証明書 |
|---|---|---|
PEAP-MS-CHAP v2 |
アカウント名とパスワード IAS サーバーのコンピュータ証明書発行者のルートCA 証明書 |
コンピュータ証明書 |
EAP-TLS または PEAP-TLS |
コンピュータ証明書 ユーザー証明書 IAS サーバーのコンピュータ証明書発行者のルートCA 証明書 |
コンピュータ証明書 ワイヤレスクライアントのコンピュータ証明書とユーザー証明書発行者のルート CA 証明書 |
ワイヤレス接続にEAP-TLS と PEAP-MS-CHAP v2 のどちらの認証方式を使用するかに関係なく、IAS サーバーにはコンピュータ証明書をインストールする必要があります。
PEAP-MS-CHAP v2 の場合、各ワイヤレスクライアントコンピュータ用のコンピュータ証明書とユーザー証明書を発行するために証明書インフラストラクチャを展開する必要はありません。その代わりに、社内の IAS サーバー用の個々の証明書を商用 CA から取得し、IAS サーバーにインストールすることができます。詳細については、『セキュリティ保護されたパスワード ベースのワイヤレス アクセスのための PEAP および MS-CHAP v2』 を参照してください。Windows XP ワイヤレスクライアントには、既知の信頼される商用 CA 用のルート CA 証明書が数多く用意されています。商用 CA からコンピュータ証明書を取得した場合で、既にその CA のルート CA 証明書がインストールされている場合、Windows ワイヤレスクライアントに新しい証明書をインストールする必要はありません。商用 CA からコンピュータ証明書を取得した場合で、ルート CA 証明書がまだインストールされていない場合は、IAS サーバーにインストールされているコンピュータ証明書の発行者のルート CA 証明書を、各 Windows ワイヤレスクライアントにインストールする必要があります。
EAP-TLS を使用したコンピュータ認証の場合、コンピュータ証明書 (マシン証明書とも呼ばれる) をワイヤレスクライアントコンピュータにインストールする必要があります。ワイヤレスクライアントコンピュータにインストールされたコンピュータ証明書は、ワイヤレスクライアントコンピュータを認証し、ユーザーがログインする前に、コンピュータが企業のイントラネットへのネットワーク接続を取得できるようにするために使用されます。ネットワークに接続し、ユーザーがログインした後に EAP-TLS によってユーザー認証を行う場合は、ワイヤレスクライアントコンピュータにユーザー証明書をインストールする必要があります。コンピュータ証明書は IAS サーバーコンピュータにインストールされます。これは、EAP-TLS 認証の際に、ワイヤレスクライアントコンピュータがコンピュータ証明書とユーザー証明書のどちらを使って認証されるかに関係なく、相互認証のためにワイヤレスクライアントコンピュータに送信できる証明書が IAS サーバーに存在しているようにするためです。
標準的な実装では、証明書インフラストラクチャは、ルート CA/中間 CA/発行元 CA の3 階層で、単一のルート CA を使用することによって構成されます。発行元 CA は、コンピュータ証明書またはユーザー証明書を発行するように構成されます。ワイヤレスクライアントにコンピュータ証明書またはユーザー証明書をインストールする場合、発行元 CA 証明書、中間 CA 証明書、およびルート CA 証明書もインストールされます。IAS サーバーコンピュータにコンピュータ証明書をインストールする場合、発行元 CA 証明書、中間 CA 証明書、およびルート CA 証明書もインストールされます。IAS サーバーの証明書の発行元 CA は、ワイヤレスクライアントの証明書の発行元 CA と異なる場合があります。この場合、EAP-TLS 認証の証明書の検証を実行するには、ワイヤレスクライアントと IAS サーバーコンピュータの両方に必要な証明書がインストールされている必要があります。
証明書インフラストラクチャをインストールする場合は、マイクロソフトが自社の展開プロジェクトから得た次のベストプラクティスを参考にしてください。
CA を展開する前に PKI を計画します。
ルート CA をオフラインにして、その署名キーはハードウェアセキュリティモジュール (HSM) で保護して安全な場所に保管し、キーが漏洩しないようにします。
組織では、ルート CA から直接ユーザーやコンピュータに証明書を発行するのではなく、オフラインのルート CA、オフラインの中間 CA、およびオンラインの発行元 CA (エンタープライズ CA として Windows 2000 証明書サービスを使用) のように展開します。この CA インフラストラクチャは、柔軟性を提供すると共に、秘密キーを盗もうとする悪意を持ったユーザーからルート CA を保護します。オフラインのルートCA と中間 CA は、Windows 2000 の CA である必要はありません。発行元 CA は、サードパーティの中間 CA の下位 CA でもかまいません。
重要なデータの損失に備えて、CA データベース、CA 証明書、および CA キーをバックアップしておくことが重要です。発行済みの証明書の数に応じて、CA を同じ間隔で定期的 (日ごと、週ごと、月ごと) に、バックアップしておく必要があります。発行済みの証明書が多いほど、CA を頻繁にバックアップする必要があります。
エンタープライズ CA は、証明書要求元のセキュリティアクセス許可に基づいて証明書を発行するので、Windows でのセキュリティのアクセス許可およびアクセス制御の概念を見直す必要があります。
さらに、コンピュータ証明書の自動登録を利用する場合は、Windows 2000 証明書サービスを使用して、発行元 CA レベルでエンタープライズ CA を作成します。詳細については、Windows 2000 Server のヘルプでトピック「Checklist: Deploying certification authorities and PKI for an intranet」を参照してください。
- EAP-TLS 認証用の証明書インフラストラクチャが既に存在し、ダイヤルアップまたは VPN リモートアクセス接続用に RADIUS を使用している場合は、ワイヤレス接続にも同じ証明書インフラストラクチャを利用できます。ただし、コンピュータ認証用のコンピュータ証明書がインストールされていることを確認する必要があります。
Active Directory
Active Directory のユーザーアカウントやコンピュータアカウント、およびワイヤレスアクセス用のグループを構成するには、以下の手順に従ってください。
すべてのドメインコントローラにWindows 2000 SP3 以降をインストールします。
ワイヤレス接続を行うすべてのユーザーに対応するユーザーアカウントが存在することを確認します。
ワイヤレス接続を行うすべてのコンピュータに対応するコンピュータアカウントが存在することを確認します。
リモートアクセスポリシーの管理モデルに基づいて、ユーザーアカウントおよびコンピュータアカウントに対してリモートアクセスのアクセス許可を適切なレベルに設定します。リモートアクセスのアクセス許可の設定は、Active Directory ユーザーとコンピュータスナップインのユーザーまたはコンピュータアカウントのプロパティにある [ダイヤルイン] タブで行います。
ワイヤレスアクセスのユーザーアカウントやコンピュータアカウントを適切なグループに編成します。ネイティブモードドメインの場合は、ユニバーサルなネストされたグローバルグループを使用できます。たとえば、イントラネットアクセス用のワイヤレスのユーザーおよびコンピュータアカウントのグローバルグループを含む WirelessUsersという名前のユニバーサルグループを作成できます。
注意 ここでは、Active Directory について具体的には説明していませんが、Active Directory はネットワーク上のすべてのオブジェクトを管理するので、グループポリシーとドメインの管理にも関連します。適切なすべてのドメインシステムコンテナで、証明書の自動登録を構成します。これは、グループポリシーの継承または明示的な構成によって行うことができます。グループベースのワイヤレスリモートアクセスポリシーを使用するネイティブモードドメインの場合は、グローバルグループおよびユニバーサルグループを使用してアカウントを単一のグループに編成できます。コンピュータアカウントやユーザーアカウントのリモートアクセスのアクセス許可を、[リモートアクセスポリシーでアクセスを制御] に設定します。発行元 CA として Windows 2000 エンタープライズ CA を使用する場合は、[自動証明書要求の設定] グループポリシーで、すべてのドメインメンバに自動的にコンピュータ証明書を発行するように設定できます。詳細については、『Active Directory』 を参照してください。
RADIUS
Windows 2000 Server に含まれるIAS は、RADIUS サーバーをマイクロソフトが実装したものです。IAS は、ワイヤレス、認証スイッチ、ダイヤルアップや VPN によるリモートアクセス、およびルーター間の接続など、多くの種類のネットワークアクセスの接続認証、承認、およびアカウント処理を集中管理します。IAS は、ワイヤレス、スイッチ、リモートアクセス、VPN などの種類の異なる機器の組み合わせを可能にし、Windows 2000 のルーティングとリモートアクセスサービスと共に使用できます。IAS サーバーが Active Directory ベースのドメインのメンバである場合、IAS は Active Directory をユーザーアカウントデータベースとして使用し、シングルサインオン (SSO) ソリューションの一部になります。ネットワークのアクセス制御 (ネットワークへのアクセスの認証と承認) と Active Directory ベースのドメインへのログオンに、同じ資格情報が使用されます。
プライマリおよびセカンダリ IAS サーバーを構成するには、次の作業を行います。
IAS をアカウント情報にアクセスし、ロギングを実行できるように構成すると共に、ワイヤレス AP に対応する RADIUS クライアント用の UDP ポートを構成します。
プライマリIAS サーバーコンピュータは、適切なドメインのアカウントのプロパティにアクセスできる必要があります。ドメインコントローラに IAS がインストールされている場合は、IAS がドメインコントローラのドメインに含まれるアカウントのプロパティにアクセスするために追加の構成は必要ありません。IAS がドメインコントローラにインストールされていない場合は、プライマリ IAS サーバーコンピュータがドメイン内のユーザーアカウントのプロパティを読み取るように構成する必要があります。IAS サーバーが他のドメインに含まれるユーザーアカウントのワイヤレス接続を認証する場合、他のドメインと、IAS サーバーコンピューがメンバであるドメインとの間に双方向の信頼関係が確立されていることを確認します。次に、IAS サーバーコンピュータが他のドメイン内のユーザーアカウントのプロパティを読み取るように構成します。アカウントが他のドメインにあり、そのドメインと IAS サーバーがメンバであるドメインとの間に双方向の信頼関係がない場合は、信頼関係のない 2 つのドメインの間で RADIUS プロキシを構成する必要があります。アカウントが他の Active Directory フォレストにある場合は、フォレスト間で RADIUS プロキシを構成する必要があります。詳しい手順を含む詳細については、『Enterprise Deployment of IEEE 802.11 Using Windows XP and Windows 2000 Internet Authentication Service (英語)』 を参照してください。
ワイヤレスアクセス用のリモートアクセスポリシーを構成します。
リモートアクセスポリシーは、接続を許可するか、拒否するかを定義する規則です。各規則について、1 つ以上の条件、プロファイル設定のセット、およびリモートアクセスのアクセス許可の設定が存在します。接続が承認された場合、リモートアクセスポリシーのプロファイルによって制限が指定されます。ユーザーアカウントのダイヤルインプロパティも制限となります。ユーザーアカウントによる接続の制限が適用される場合は、リモートアクセスポリシーのプロファイルによる接続の制限よりも優先されます。グループメンバシップ、接続の種類、時間帯などの情報に基づいて、リモートアクセスポリシーを定義できます。また、接続を許可した後にアクセスを制限することもできます。たとえば、アイドルタイムアウト時間と最大セッション時間を指定できます。詳しい手順を含む詳細については、『Enterprise Deployment of IEEE 802.11 Using Windows XP and Windows 2000 Internet Authentication Service (英語)』 を参照してください。
プライマリおよびセカンダリ IAS サーバーをインストールした後、次のような設定を使って、サードパーティのワイヤレス AP 上で RADIUS クライアントを構成する必要があります。
プライマリ IAS サーバーのIP アドレスまたは名前、共有シークレット、認証およびアカウンティング用の UDP ポート、および障害検出の設定
セカンダリIAS サーバーのIP アドレスまたは名前、共有シークレット、認証およびアカウンティング用の UDP ポート、および障害検出の設定
詳細については、ワイヤレス AP のマニュアルを参照してください。Enterasys のワイヤレス AP については、http://www.enterasys.com/home.html.gif "leave-ms")
(英語) を参照してください。Cisco のアクセスポイントについては、Cisco のホームページ http://www.cisco.com/ (英語) を参照してください。Agere Systems のアクセスポイントについては、Agere の ORiNOCO Web サイト http://www.orinocowireless.com/ (英語) を参照してください。
ワイヤレスアクセス用に RADIUS インフラストラクチャを展開する場合は、マイクロソフトが自社のワイヤレスおよびコラボレーションの展開プロジェクトから得た次のベストプラクティスを参考にしてください。
ワイヤレス AP でサポートされている場合は、IPSec (Internet Protocol Security) および ESP (Encapsulating Security Payload)を使用して、ワイヤレス AP と IAS サーバーとの間、および IAS サーバー間の RADIUS トラフィックのデータの機密性を向上させます。3DES 暗号と、可能であればインターネットキー交換 (IKE) メインモード認証を使用します。IAS サーバー間で送信される RADIUS トラフィック用のIPSec の設定は、グループポリシーを使用して構成し、Active Directory のシステムコンテナレベルで割り当てることができます。IPSec の詳細については、Windows 2000 IPSec のWeb サイトを参照してください。
保護されていない RADIUS トラフィックのセキュリティを最大化するには、22 文字以上の大文字、小文字、数字、句読点を無作為に組み合わせた RADIUS 共有シークレットを選択します。可能であれば、無作為に文字列を生成するプログラムを使用して、IAS サーバーやワイヤレス AP で構成する共有シークレットを決定します。
できる限り多くの RADIUS 共有シークレットを使用します。RADIUS 共有シークレットの実際の数は、構成の制約と管理上の検討事項によって決まります。たとえば、IAS ではクライアントごと、またはサーバーごとに RADIUS 共有シークレットを構成できます。ただし、多くのワイヤレス AP では、プライマリおよびセカンダリ RADIUS サーバーの両方について単一の RADIUS 共有シークレットを構成できます。この場合、単一のRADIUS 共有シークレットが、2 つの異なるRADIUS クライアントとRADIUS サーバーのペア、つまり、ワイヤレス AP とそのプライマリRADIUS サーバー、およびワイヤレス AP とそのセカンダリRADIUS サーバーで使用されます。また、netsh aaaa showおよび netsh execコマンドを使用して、一方の IAS サーバー (プライマリ) の構成をもう一方 (セカンダリ) にコピーする場合は、ワイヤレス AP とプライマリ IAS サーバーの各ペアのRADIUS 共有シークレットは、ワイヤレス AP とセカンダリ IAS サーバーの各ペアのRADIUS 共有シークレットと同じでなければなりません。Windows .NET Server 2003 バージョンの IAS では、IP アドレスの範囲を指定して単一のRADIUS クライアントを定義できるので (たとえば、マイクロソフトの単一の建物内の単一のサブネット上にあるすべてのワイヤレス AP)、IAS RADIUS クライアントによって定義されるすべてのワイヤレス AP と IAS サーバーのペアは、同じRADIUS 共有シークレットを使って構成されます。
別の Active Directory フォレストや、双方向の信頼関係のないドメインなど、別のアカウントデータベースがある場合は、ワイヤレス AP と、認証や承認の処理を行うRADIUS サーバーとの間でRADIUS プロキシを使用する必要があります。Windows .NET Server 2003 のIAS では、接続要求ポリシーとリモートRADIUS サーバーグループの構成によってRADIUS プロキシ機能をサポートしています。たとえば、各アカウントデータベース (異なる Active Directory フォレストなど) に対応する
User-Name RADIUS 属性の異なる部分に一致する接続要求ポリシーを作成します。RADIUS メッセージは、接続要求ポリシーと一致するリモートRADIUS サーバーグループのメンバに転送されます。
ワイヤレス AP が RADIUS のベンダ特有の属性 (VSA) を必要とするかどうかを調べて、リモートアクセスポリシーのプロファイルにある [詳細] タブでリモートアクセスポリシーを構成する際に設定します。
Active Directory フォレスト内の認証トラフィックの量が多い場合は、ワイヤレス AP と RADIUS サーバーとの間で、Windows .NET Server 2003 のIAS を実行する RADIUS プロキシのレイヤを使用します。既定では、IAS RADIUS プロキシは、認証ごとにリモート RADIUS サーバーグループのすべてのメンバに RADIUS トラフィックの負荷を分散させ、フェールオーバーおよびフェールバックメカニズムを使用します。リモートRADIUS サーバーグループのメンバには、個々に優先順位と負荷配分を設定することができ、IAS プロキシで特定の RADIUS サーバーが優先されるようにすることもできます。
クライアントの証明書
EAP-TLS でコンピュータ認証を使用する場合は、ワイヤレスクライアントコンピュータにコンピュータ証明書をインストールする必要があります。Windows XP または Windows 2000 を実行するワイヤレスクライアントコンピュータにコンピュータ証明書をインストールする場合、ユーザーは Ethernet 接続を使ってイントラネットに接続し、次のいずれかの作業を行います。
ドメインでコンピュータ証明書の自動登録が構成されている場合、コンピュータ証明書は、コンピュータのグループポリシーが更新されたときに、ドメインのメンバである各コンピュータに対して発行されます。
ドメインで自動割り当てが構成されていない場合、証明書スナップインを使用してコンピュータ証明書を要求するか、CAPICOM スクリプトを実行してコンピュータ証明書を要求できます。CAPICOM の詳細については、『CAPICOM』 を参照してください。IT 部門では、コンピュータ (通常はノートパソコン) をユーザーに配布する前に、コンピュータ証明書をインストールできます。
EAP-TLS によるユーザー認証では、現在のユーザーの証明書ストアにインストールされているユーザー証明書を使用する必要があります。ユーザー証明書は、まず、Web 登録、証明書スナップインを使用した証明書の要求、証明書ファイルのインポート、または CAPICOM スクリプトの実行によって、取得する必要があります。次に、IAS サーバーの証明書を検証するときには、ワイヤレス LAN ネットワークアダプタがインストールされた Windows XP コンピュータで、セキュリティを強化するようにEAP-TLS を構成しなければならない場合があります。ユーザー証明書をインストールするための最も簡単な方法では、Ethernet 接続などのネットワーク接続が既に存在していることを前提としています。ユーザーはイントラネットに接続するときに、Web 登録または証明書マネージャを使用してユーザー証明書要求を送信することによって、ユーザー証明書を取得できます。企業での展開の場合は、IT 部門が提供する CAPICOM スクリプトをユーザーが実行することもできます。CAPICOM スクリプトの実行は、ユーザーログオンスクリプト、またはワイヤレスネットワークのインストールの手順を説明するイントラネット上の Web ページの中で自動化できます。
ワイヤレスアクセスで使用する証明書については、マイクロソフトが自社のワイヤレスおよびコラボレーションの展開から得た次のベストプラクティスを参考にしてください。
コンピュータ証明書をインストールするには、自動登録を使用します。そのためには、発行元 CA レベルのエンタープライズ CA として Windows 2000 証明書サービスサーバーを使用します。
ユーザー証明書をインストールするには、CAPICOM スクリプトを使用します。
または、CAPICOM を使用して、コンピュータ証明書とユーザー証明書の両方をインストールすることもできます。
証明書チェーンの各証明書について、証明書失効リスト (CRL) が利用できなかったり、有効期限が切れていたりするために、証明書失効チェックによってワイヤレスアクセスが禁止される場合があるので、CRL の可用性が高くなるように PKI を設計します。たとえば、証明書階層の各 CA について複数の CRL 配布ポイントを構成し、最新の CRL が常に利用可能であるように公開スケジュールを構成します。
クライアントの構成
Windows XP では、ワイヤレスネットワークのサポートが追加および強化されています。Windows XP は、ワイヤレスネットワークへの接続に最適なデスクトップオペレーティングシステムです。
**ワイヤレスネットワークアダプタのサポート。**マイクロソフトは Wi-Fi ネットワークアダプタのベンダと協力して、ネットワークアダプタを利用可能なネットワークに関連付けるよう構成するプロセスを自動化することによって、ローミングエクスペリエンスを向上させてきました。ワイヤレスネットワークアダプタとその NDIS (Network Driver Interface Specification) ドライバでは、デバイスおよびドライバの動作を照会および設定するために使用される新しい NDIS オブジェクト識別子 (OID) をサポートする以外に、必要な処理はほとんどありません。ワイヤレスネットワークアダプタは、利用可能なワイヤレスネットワークをスキャンして、利用可能なワイヤレスネットワークのリストを Windows XP に渡します。
Windows XP **ワイヤレスゼロ設定サービス。**Windows XP ワイヤレスゼロ設定サービスは、利用可能なワイヤレスネットワークを使ってワイヤレスネットワークアダプタを構成します。2 つのネットワークが同じ区域をカバーしている場合は、ユーザーは優先するネットワークの順序を構成でき、コンピュータはアクティブなネットワークが見つかるまで、定義された順序で各ネットワークへの接続を試行します。関連付けを、構成済みの優先するネットワークだけに制限することもできます。優先するネットワークが近くに見つからない場合、Windows XP は、優先するネットワークの接続可能範囲にワイヤレスクライアントが移動するまで誤って接続しないようにワイヤレスアダプタを構成します。ユーザーは、ワイヤレスネットワークアダプタを無効にしたり、強制的にアドホックモードになるように構成したりできます。このようなネットワークアダプタの機能強化はセキュリティ機能と統合されており、認証が失敗した場合、Windows XP は別の優先するワイヤレスネットワークでの認証を試行します。ネットワークアダプタが WEP 共有キーを使って構成済みである場合、Windows XP は IEEE 802.11 共有キー認証を実行しようとします。共有キー認証が失敗した場合や、ネットワークアダプタで WEP 共有キーが構成されていない場合、ネットワークアダプタはオープンシステム認証に戻ります。詳細については、『The Windows XP Wireless Zero Configuration Service』 (英語) を参照してください。Microsoft 802.1X 認証クライアントは、ワイヤレスゼロ設定サービスをサポートしていません。
**移動のサポート。**Windows 2000 のメディア検知機能は、Windows XP では、新しいワイヤレス AP への移動を検出し、適切なネットワークアクセスを確認するために再認証を強制できるように強化されています。再認証と共に、Windows XP ワイヤレスクライアントは、ワイヤレスネットワークアダプタ用の IP アドレス構成の DHCP 更新も実行します。同一サブネット上の複数の AP で構成される同一 ESS (Extended Service Set) 内では、IP アドレス構成は変化しません。Windows XP ワイヤレスクライアントが ESS の境界を越える (新しいサブネットに入る) と、DHCP の更新によって、そのサブネットに関連する新しい IP アドレス構成が取得されます。Windows ソケットの拡張によって、ネットワーク対応アプリケーションにネットワーク接続の変更が通知され、アプリケーションはこれらの変更に基づいてその動作を更新できます。この自動検知および再構成によって、ワイヤレスノードが別のサブネットに移動した場合のモバイル IP の必要性が最小限に抑えられます。
IEEE 802.1X **認証のサポート。**Windows XP は、Ethernet やワイヤレスなど、LAN ベースのすべてのネットワークアダプタにおいて IEEE 802.1X 認証をサポートしています。既定では、EAP-TLS 認証方式を使用するIEEE 802.1X 認証が有効になっています。
Windows XP でIEEE 802.11 および 801.1x の設定を構成するための主なユーザーインターフェイスは、[ネットワーク接続] フォルダにある、インストールされたワイヤレスアダプタに対応する接続のプロパティダイアログボックスの [ワイヤレスネットワーク] タブと [認証] タブです。[ワイヤレスネットワーク] タブは、Windows XP Wireless Configuration Service をサポートするワイヤレスアダプタの場合にのみ表示されます。Windows XP SP1 では、[認証] タブはワイヤレスネットワークのプロパティと共に表示されます。Windows 2000 の場合は、[ワイヤレスネットワーク] タブは表示されません。ユーザーがワイヤレスネットワークに接続するために必要とする設定を文書化し、その説明書をイントラネット上で利用できるようにします。たとえば、ユーザーのクライアントコンピュータ上で802.1X を構成するための操作手順を示す必要があります。Windows XP でのワイヤレスネットワークの構成の詳細については、『Windows XP Wireless Deployment Technology and Component Overview』 (英語) を参照してください。
試験的な導入の計画
.gif "entmobility6")
展開プロジェクトを本格的に展開する前に、管理された環境においてその機能をテストする必要があります。ただし、テストを開始する前に、次のようなドキュメントを作成します。
実施するテストと予測される結果を記述したテスト計画。テスト計画では、目標達成の基準を指定する必要があります。テスト計画には、テストの終了時期を指定する時期を指定する終了の基準も含める必要があります。
テストの実施スケジュールおよび各テストの実施担当者。
本格的な展開の前に、エラーを修正しておかないと、1 つのエラーがすべてのサーバー、クライアント、およびアクセスポイントに拡散してしまうので、テストフェーズは不可欠です。プロジェクトの試験的な導入によって、すべてのユーザーに対して本格的に展開する前に、本稼働環境においてプロジェクトが成功するかどうかを調査できます。マイクロソフトでは、ラボ環境でプロジェクトをテストした後、小規模なユーザーグループに対して展開を実施することを推奨しています。まず、ネットワークには接続されていないが、組織のネットワークおよびハードウェア構成にできる限り近いテストラボを作成します。ユーザーの環境に合わせて、ハードウェア、ソフトウェア、およびネットワークサービスをセットアップします。各ハードウェアプラットフォーム上で総合的なテストを実施し、アプリケーションのインストールと動作の両方をテストします。このようなテストを実施することによって、プロジェクトチームおよびビジネスの意思決定者は自信を持って、高品質な展開プロジェクトを進めることができます。
次に、小規模なユーザーグループに対して展開を実施します。主な目的は、プロジェクトチームがユーザーからのフィードバックを得ることです。たとえば、試験的な展開において、ユーザーからワイヤレスのパフォーマンスや接続可能領域についてのフィードバックを得られます。試験的な導入では、職務の内容やコンピュータのスキルにおいて、組織内で一般的なユーザーグループを選択します。最終的な展開で使用することを計画している方法と同じ方法で、試験的導入のコンポーネントをインストールします。ワイヤレスネットワークとコラボレーションの実装方法について必要な決定を行った後、最後の試験的な導入でインストールプロセスをテストします。試験的導入のプロセスは、最終的な全体の展開のスケールを縮小したテストであり、発生する問題も含む、試験的導入の結果を使って、最終的な展開計画を完成させることができます。試験的な導入の結果をまとめて、そのデータを使ってスケジュールとサポートの負荷を予測します。
本格的な展開の計画
.gif "entmobility7")
最終的な展開の手順は、規模が大きくなること以外は試験的な展開の手順と同じです。
AP **の設置。**ワイヤレス AP とそのアンテナを防火安全性の基準を満たすプレナム定格のエンクロージャ内に物理的に設置します。次に、無停電電源装置 (UPS) を使用したバックアップ電源で、集中的な低電圧電源を構成できます。最後に、RADIUS インフラストラクチャを構築します。
**配布。**設置された AP を無作為に抽出して試運転のチェックリストに適合していることを検査し、各ワイヤレス AP の RF 受信可能範囲とネットワーク接続を確認します。各ワイヤレス AP の最終的な配置を反映させた完成図のドキュメントを配布します。
**ユーザーへの本格的な展開。**既に説明したようにコンピュータ証明書とユーザー証明書を展開します。これらの証明書は、グループポリシーや CAPICOM スクリプトなどを使用して展開できます。最後に、ワイヤレスアクセスの方法およびデバイスドライバの更新方法に関する情報をユーザーに提供する Web サイトを作成して告知します。
**トレーニング。**ユーザーに対してワイヤレスアクセスの方法に関するトレーニングを実施します。実施するトレーニングの種類は、ユーザーの能力によって異なります。技術的な知識が豊富なユーザーの場合は、前の手順で作成した Web サイトを通知するだけで済みます。ユーザーが技術的なことに詳しくないユーザーの場合は、既に使用しているトレーニング手法に基づいて、ランチミーティング、オンライントレーニング、またはクラスルームトレーニングを行います。
**ヘルプデスク。**ワイヤレスの問題に関するヘルプデスクを設けます。試験的な導入は、ユーザーが突き当たる問題の種類を予測するのに最適です。また、ヘルプデスクの担当者に、Windows XP でワイヤレスネットワークを構成する手順など、技術の概要を説明します。
Windows XP でのワイヤレスネットワークの展開に関連する技術の詳細については、『Windows XP Wireless Deployment Technology and Component Overview』 (英語) を参照してください。
まとめ
Windows XP Professional および Office XP は、ワイヤレスネットワークおよびコラボレーションに最適なマイクロソフト製品の組み合わせです。Windows XP は、ワイヤレスネットワークの展開、管理、セキュリティ保護、サポートを容易にする規格をサポートしています。Windows XP によって、ユーザーは、以前はアクセスが不可能または不便であった場所から企業ネットワークリソースにアクセスできるようになり、生産性の高い時間を手に入れることができます。Windows XP によって、IT の専門家はインフラストラクチャのコストを削減でき、ユーザーは自分自身で対応できるようになるためサポートコストも削減されます。
企業ネットワークをアップグレードして、セキュリティで保護されたワイヤレスネットワークを含めるには、多くの作業を行う必要がありますが、このドキュメントで説明したように、Windows XP Professional と、Windows 2000 Server および Windows .NET Server 2003 で利用可能なインフラストラクチャサービスの組み合わせによって、このプロセスが容易になります。さらに、SMS や Visio などのツールを使うと、資産の追跡、計画、および展開が容易になります。このドキュメントおよび 「関連情報」 の一覧に示されている資料には、Windows XP と Office XP によるワイヤレスネットワークおよびコラボレーションの展開を成功させるために必要なツールが示されています。
関連情報
Windows XP Wireless Deployment Technology and Component Overview (英語)
Enterprise Deployment of Secure 802.11 Networks Using Microsoft Windows (英語)
Wi-Fi (英語)
Deployment Planning Blueprint for Windows XP and Office XP (英語)
用語集
Active Directory **。**ディレクトリ情報を集中管理する情報センター。ワイヤレスアクセスの場合、Active Directory ドメインには、認証のためのユーザーアカウントやコンピュータアカウント、およびコンピュータ証明書を展開するためのグループポリシーの設定が含まれます。
**証明書。**証明機関 (CA) によって発行されるデジタル署名されたオブジェクト。このオブジェクトは、公開キー暗号を使用して、公開キーの値を、対応する秘密キーを持つユーザー、デバイス、またはサービスの ID にバインドします。
**EAP-TLS (Extensible Authentication Protocol-Transport Level Security)**認証。セキュリティで保護された秘密キーの交換、相互認証、および整合性が保護された暗号のネゴシエーションを提供する認証プロセス。この認証プロセスは、スマートカードやローカルにインストールされたユーザー証明書で使用されます。
IEEE 802.11b **。**ワイヤレス通信の物理レイヤおよびメディアアクセスコントロール (MAC) サブレイヤを定義する業界標準。また、通信速度は最大 11 Mbps に向上しています。
IEEE 802.1X **。**拡張認証プロトコル (EAP) を使用するワイヤレスネットワークへの認証済みのアクセスを提供するポートベースのネットワークアクセス制御プロトコル。
PEAP (Protected EAP) **認証。**単方向の認証済み TLS 暗号化通信チャネルのネゴシエーションを行う EAP の 1 つ。パスワードを利用するEAP などの他の種類の EAP を、オフライン辞書攻撃の危険を回避して安全に使用できるようにします。
RADIUS ( リモート認証ダイヤルインユーザーサービス ) **。**認証、承認、およびアカウンティングを集中管理するプロトコル。当初はダイヤルアップアクセス用に開発されましたが、現在では、ワイヤレスアクセスポイント (AP)、認証を行う Ethernet スイッチ、仮想プライベートネットワーク (VPN) サーバー、デジタル加入者線 (DSL) スイッチ、およびその他のネットワークアクセスサーバーでサポートされています。
Wi-Fi **。**IEEE 802.11b を参照してください。
ダウンロード
.gif "Cc835596.icon_Word(ja-jp,TechNet.10).gif"){kind=icon}
企業における機動性とコラボレーションの展開
571 KB
Microsoft Word ファイル