Microsoft Windows を使用したセキュリティで保護された 802.11 ネットワークの企業における展開

Microsoft Corporation

発行年月 : 2003 年 2 月

概要

この記事では、ワイヤレス アクセス ポイント、ワイヤレス クライアント コンピュータ、およびワイヤレス認証インフラストラクチャを使用して、IEEE 802.1x 認証を用いてセキュリティで保護された IEEE 802.11 ワイヤレス アクセスを展開する方法について説明します。ここで言うワイヤレス クライアント コンピュータは、Windows XP、Windows Server 2003、Windows 2000 のいずれかが稼働しているものとします。また、ワイヤレス認証インフラストラクチャは、Windows Server 2003 または Windows 2000 の Active Directory ドメイン コントローラ、認証機関、およびインターネット認証サービス サーバーから構成されます。

トピック

はじめに
イントラネットにワイヤレスを展開するステップ
その他のイントラネット ワイヤレス展開の構成
まとめ
関連リンク

はじめに

この記事では、Windows ワイヤレス クライアントを使用している組織にセキュリティで保護されたワイヤレス接続を行うための、認証、承認、およびアカウンティングのインフラストラクチャを構築する方法について説明します。そのような組織が使用する典型的な構成を下に示します。

Windows が稼働しているワイヤレスクライアントコンピュータ

Windows XP および Windows Server 2003 には、拡張認証プロトコル (EAP) を用いた、Wi-Fi (IEEE 802.11b) ワイヤレス アクセスおよびIEEE 802.1X 認証のサポートが組み込まれています。Windows 2000 では、Microsoft 802.1X Authentication Client (英語) がインストールされているときに、IEEE 802.1X 認証をサポートします。

少なくとも 2 台のインターネット認証サービス (IAS) サーバー

Remote Authentication Dial-In User Service (RADIUS) ベースの認証にフォールト トレランス性を持たせるために、少なくとも 2 台 (1 台はプライマリ、もう 1 台はセカンダリ) のサーバーが使用されます。RADIUS サーバーを 1 台しか構成しておらず、そのサーバーが利用不能になると、ワイヤレス アクセス クライアントを接続することはできません。IAS サーバーを 2 台使用し、すべてのワイヤレス アクセス ポイント (AP) (RADIUS クライアント) をプライマリとセカンダリの両方の IAS サーバーに接続するように構成することにより、RADIUS クライアントはプライマリRADIUS サーバーが利用不能になったことを検出して、セカンダリ IAS サーバーに自動的にフェール オーバーすることができます。

IAS には、Windows Server 2003 または Windows 2000 Server のどちらかを使用することができます。Windows 2000 が稼働している IAS サーバーの場合は、Service Pack 3 (SP3) 以降を適用し、Microsoft 802.1X Authentication Client (英語) をインストールなければなりません。Windows Server 2003 の Web Edition には IAS は含まれていません。

Active Directory ｮサービスドメイン

Active Directory ドメインにはユーザー アカウント、コンピュータ アカウント、およびダイアルイン プロパティが含まれています。これらは各 IAS サーバーが資格情報を認証し承認できるかどうかを判定するために必要です。必須ではありませんが、IAS による認証および承認の応答時間を最適化するとともにネットワーク トラフィックを最小化するために、Active Directory ドメイン コントローラに IAS をインストールすべきでしょう。

ドメイン コントローラには、Windows Server 2003 または Windows 2000 Server のどちらかを使用することができます。Windows 2000 のドメイン コントローラの場合は、Service Pack 3 (SP3) 以降をインストールしなければなりません。

IAS サーバーにインストールされたコンピュータ証明書

どのワイヤレス認証方法を使用するかにかかわらず、IAS サーバーにコンピュータ証明書をインストールしなければなりません。

EAP-TLS 認証に関する、証明書インフラストラクチャ

ワイヤレス クライアント上のコンピュータ証明書およびユーザー証明書と共にExtensible Authentication Protocol-Transport Level Security (EAP-TLS) 認証プロトコルを使用するとき、証明書を発行するために、公開キー基盤 (PKI) ともよばれる証明書インフラストラクチャが必要になります。

Microsoft Challenge Handshake Authentication Protocol バージョン 2 (MS-CHAP v2) を併用した保護された EAP (PEAP) のための、各ワイヤレスクライアント上のルート認証機関 (CA) 証明書

PEAP-MS-CHAP v2 はパスワードに基づくセキュリティで保護されたワイヤレス接続のための認証方法です。ISA サーバー コンピュータ証明書の発行者しだいでは、各ワイヤレス クライアントにルート CA 証明書をインストールする必要がありえます。

ワイヤレスリモートアクセスポリシー

社員が組織のイントラネットにアクセスできるように、ワイヤレス接続に関するリモート アクセス ポリシーを構成します。

複数のワイヤレス AP

サード パーティによる複数のワイヤレス AP により、企業内の各建物にワイヤレス アクセスできるようにします。ワイヤレス AP はIEEE 802.1X、RADIUS、および Wired Equivalent Privacy (WEP) をサポートしていなければなりません。

典型的な企業内のワイヤレス構成を図 1 に示します。

図 1: 企業内のワイヤレス構成

これらのコンポーネントおよびセキュリティで保護されたワイヤレス認証のプロセスの背景については、記事「Windows XP Wireless Deployment Technology and Component Overview」 (https://www.microsoft.com/technet/network/wifi/wificomp.mspx) (英語) を参照してください。

イントラネットにワイヤレスを展開するステップ

上記の構成に関して、以下の手順で処理を進めます。

1. 証明書インフラストラクチャを構成します。

2. アカウントおよびグループ用の Active Directory を構成します。

3. あるコンピュータ上にプライマリ IAS サーバーを構成します。

4. 別のコンピュータ上にセカンダリ IAS サーバーを構成します。

5. ワイヤレス AP を展開して構成します。

6. ワイヤレス ネットワーク (IEEE 802.11) ポリシー グループ ポリシーの設定を構成します。

7. ワイヤレス クライアント コンピュータ (EAP-TLS) にコンピュータ証明書をインストールします。

8. ワイヤレス クライアント コンピュータ (EAP-TLS) にユーザー証明書をインストールします。

9. EAP-TLS 用にワイヤレス クライアント コンピュータを構成します。

10. PEAP-MS-CHAP v2 用にワイヤレス クライアント コンピュータを構成します。

ステップ 1: 証明書インフラストラクチャを構成する

認証の種類ごとに必要な証明書を表 1 にまとめて示します。

認証の種類	ワイヤレス クライアント上の証明書	IAS サーバー上の証明書
EAP-TLS	コンピュータ証明書 ユーザー証明書 IAS サーバーのコンピュータ証明書の発行者に関するルート CA 証明書	コンピュータ証明書 ワイヤレス クライアントのコンピュータ証明書およびユーザー証明書の発行者に関するルート CA 証明書
PEAP-MS-CHAP v2	IAS サーバーのコンピュータ証明書の発行者に関するルート CA 証明書	コンピュータ証明書

表 1 認証の種類と証明書

ワイヤレス接続、EAP-TLS、または PEAP-MS-CHAP v2に関してどの認証方法を適用するかにかかわらず、IAS サーバーにコンピュータ証明書をインストールしなければなりません。

PEAP-MS-CHAP v2 の場合、各ワイヤレス クライアント コンピュータに関してコンピュータ証明書およびユーザー証明書を発行するための、証明書インフラストラクチャを展開する必要はありません。その代りに、企業内の各 IAS サーバーに関する個々の証明書を、商用の認証機関から入手して IAS サーバーにインストールすることができます。詳細については、後述する「ステップ3: プライマリ IAS サーバーを構成する」および「ステップ4: セカンダリ IAS サーバーを構成する」を参照してください。Windows ワイヤレス クライアントには著名な信用できる商用の CA に関するルート CA 証明書が数多く含まれています。ルート CA 証明書が既にインストールされている商用の CA からコンピュータ証明書を入手する場合、Windows ワイヤレス クライアントにインストールすべき追加の証明書はありません。ルート CA 証明書がまだインストールされていない商用の CA からコンピュータ証明書を入手する場合は、IAS サーバーにインストールされているコンピュータ証明書の発行者に関するルート CA 証明書を、各 Windows ワイヤレス クライアントにインストールしなければなりません。詳細については、後述する「ステップ 10: PEAP-MS-CHAP v2 用にワイヤレス クライアント コンピュータを構成する」を参照してください。

EAP-TLS を用いてコンピュータを認証する場合、ワイヤレス クライアント コンピュータにコンピュータ証明書 (マシン証明書とも言います) をインストールしなければなりません。ワイヤレス クライアント コンピュータにインストールされたコンピュータ証明書はワイヤレス クライアント コンピュータを認証するために使用されます。それにより、ワイヤレス クライアント コンピュータは企業のイントラネットに接続できるようになり、ユーザーがログインするのに先立ってコンピュータ構成グループ ポリシーの更新情報を入手できるようになります。ネットワークに接続されユーザーがログインした後でEAP-TLS を用いてユーザーを認証する場合は、ワイヤレス クライアント コンピュータ上でユーザー証明書を使用しなければなりません。

コンピュータ証明書は IAS サーバー コンピュータにインストールされています。EAP-TLS 認証を行う際に、IAS サーバーはその証明書をワイヤレス クライアント コンピュータに送って、相互の認証に使用することができます。このことは、ワイヤレス クライアント コンピュータの認証にコンピュータ証明書とユーザー証明書のどちらが用いられても同じです。EAP-TLS 認証の間にワイヤレス クライアント コンピュータおよび IAS サーバーによって提出されるコンピュータ証明書およびユーザー証明書は、後述する「サード パーティの CA の利用」に示されている要件を満たしていなければなりません。

Windows Server 2003、Windows XP、および Windows 2000 においては、証明書スナップイン内の証明書プロパティの [証明のパス] タブから証明書のチェーンを参照することができます。Trusted Root Certification Authorities\Certificates フォルダにインストールされているルート CA 証明書を参照することができます。また、Intermediate Certification Authorities\Certificates フォルダ内の中間 CA 証明書を参照することができます。

典型的な企業での展開においては、ルート CAと中間 CA と発行 CA の 3 レベルで構成される CA 階層中の単一のルート CA を使用して、証明書インフラストラクチャが構成されます。発行 CA はコンピュータ証明書またはユーザー証明書を発行するように構成されています。ワイヤレス クライアントにコンピュータ証明書またはユーザー証明書がインストールされるときに、発行 CA 証明書、中間 CA 証明書、およびルート CA 証明書もインストールされます。IAS サーバー コンピュータにコンピュータ証明書がインストールされるときに、発行 CA 証明書、中間 CA 証明書、およびルート CA 証明書もインストールされます。IAS サーバー証明書の発行 CA がワイヤレス クライアント証明書の発行 CA と違っていてもかまいません。その場合、EAP-TLS 認証に関する証明書の検証を行うために必要なすべての証明書を、ワイヤレス クライアントとIAS サーバー コンピュータの両方が保持します。

ベストプラクティス EAP-TLS 認証を行う場合、ユーザーおよびコンピュータの両方の認証にユーザー証明書とコンピュータ証明書の両方を使用します。

EAP-TLS 認証を行う場合、PEAP-TLS を使用しません。同じ種類のネットワーク接続にセキュリティで保護された認証トラフィックとセキュリティで保護されていない認証トラフィックとを混在させると、保護されている認証トラフィックがスプーフィング攻撃の被害を受けやすくなります。

EAP-TLS 認証の証明書インフラストラクチャを既に備えており、ダイアルアップまたは仮想プライベートネットワーク (VPN) によるリモートアクセス接続にRADIUS を使用している場合、証明書インフラストラクチャ構築ステップをいくつか省略することができます。ワイヤレス接続に同じ認証インフラストラクチャを使用することができます。しかし、コンピュータの認証にはコンピュータ証明書が必ずインストールされているようにする必要があります。 Windows XP (Service Pack 1 [SP1] よりも前) が稼働しているコンピュータに関しては、ユーザー認証用のコンピュータにユーザー証明書を格納しておかなければなりません (スマートカードを使用するのではなく)。Windows Server 2003、Windows XP (SP1 以降)、または Windows 2000 が稼働しているコンピュータに関しては、ユーザー認証用のコンピュータとスマートカードのどちらに格納されているユーザー証明書を使用してもかまいません。

ステップ 1a: 証明書インフラストラクチャをインストールする

証明書インフラストラクチャをインストールする際には、以下のベスト プラクティスに従います。

• CA を展開する前に、公開キー基盤 (PKI) の計画を立てます。

• ルート CA をオフラインにし、ハードウェア セキュリティ モジュール (HSM) によって署名キーのセキュリティを保護し、防犯装置付きの部屋に設置して、キーのセキュリティが脅かされる危険を最小限にとどめるべきです。

• 企業組織はユーザーまたはコンピュータに対して証明書をルート CA から直接発行することはせず、以下のように展開すべきです。

  • オフラインのルート CA

  • オフラインの中間 CA

  • オンラインの発行 CA (エンタープライズの CA としての Windows Server 2003 または Windows 2000 の証明書サービス)

  • この CA 階層により柔軟性が増すとともに、悪意のあるユーザーが秘密キーを盗もうとする企てからルート CA を隔離することができます。オフラインのルート CA および中間 CA はWindows Server 2003 または Windows 2000 のCA である必要はありません。発行 CA はサード パーティの中間 CA の下位にあってもかまいません。

• 重要なデータが失われることを防止するためには、CA データベース、CA 証明書、および CA キーをバックアップすることが不可欠です。同じ期間に発行された証明書の数に基づいて、定期的に (毎日、毎週、毎月) CA をバックアップすべきです。証明書の発行件数が多ければ多いほど、CA をバックアップする頻度を高めるべきです。

• Windows におけるセキュリティに関するアクセス許可およびアクセス制御について、レビューすべきです。エンタープライズの CA では、証明書の要求者のセキュリティに関するアクセス許可に基づいて証明書が発行されるからです。

• さらに、コンピュータ証明書の自動登録を活用したい場合には、Windows 2000 または Windows Server 2003 の証明書サービスを利用し、発行 CA のレベルでエンタープライズ CA を作成します。ユーザー証明書の自動登録を活用したい場合には、Windows Server 2003 Enterprise Edition または Windows Server 2003 Datacenter Editionの証明書サービスを利用し、発行 CA のレベルでエンタープライズ CA を作成します。

詳細情報については、Windows 2000 Server のヘルプの「Checklist: Deploying certification authorities and PKI for an intranet」と題するトピック、または Windows Server 2003 のヘルプとサポート センターの「Checklist: Creating a certification hierarchy with an offline root certification authority」と題するトピックを参照してください。

PKI および Windows 2000 の証明書サービスの追加の詳細情報および展開の進め方とベスト プラクティスについては、Windows 2000 セキュリティ サービス (https://www.microsoft.com/japan/windows2000/technologies/security/default.asp) を参照してください。Windows Server 2003 のセキュリティ サービスの追加の詳細情報については、Windows Server 2003 セキュリティ サービス (https://www.microsoft.com/japan/windowsserver2003/technologies/security/default.mspx) を参照してください。

既定では、EAP-TLS 認証プロセスの間にワイヤレス クライアントから送信されてきた証明書チェーン中のすべての証明書に関して、IAS サーバーは証明書が失効していないかどうかチェックします。証明書チェーン内のいずれかの証明書が失効チェックに引っかかった場合、接続の試みは認証されず拒否されます。以下の場合に、証明書の失効チェックに引っかかります。

• 証明書が失効している。

• 証明書の発行者が明示的に証明書を失効させました。

• 当該証明書の証明書失効リスト (CRL) にアクセスできないか、または CRL を利用できない。

• CA は CRL を維持更新し、特定の CRL 配布ポイント宛てに発行します。CRL 配布ポイントは当該証明書の CRL 配布ポイント プロパティに収められています。証明書の失効チェックのために CRL 配布ポイントにアクセスできない場合、証明書の失効チェックに引っかかります。

• さらに、当該証明書に CRL 配布ポイントが存在しない場合、IAS サーバーは証明書が失効していないことを検証することができません。したがって、証明書の失効チェックに引っかかります。

• CRL の発行者が証明書を発行していない。

• CRL には発行 CA が含まれています。証明書の失効チェック対象の証明書発行 CA が CRL の発行 CA と合致しない場合、証明書の失効チェックに引っかかります。

• CRL が最新でない。

• 発行された各 CRL には有効期間があります。CRL の次回の更新日が過ぎていると、CRL は無効であるとみなされ、証明書の失効チェックに引っかかります。最後に発行された CRL の有効期限が切れる前に、次の CRL が発行されるべきです。

レジストリを設定することにより、IAS のための証明書失効チェックの方法を変更することができます。詳細情報については、記事「Troubleshooting Windows XP IEEE 802.11 Wireless Access」 (https://www.microsoft.com/technet/network/wifi/wifitrbl.mspx) (英語) を参照してください。

証明書の失効チェックにおいて、証明書チェーン内の各証明書の CRL が利用できないかまたは有効期限が切れているために、ワイヤレス アクセスが認められないことがありえます。したがって、CRL の可用性が高くなるように、PKI を設計する必要があります。たとえば、証明書階層内の各 CA に関して複数の CRL 配布ポイントを構成し、常に最新の CRL を利用できるように発行スケジュールを構成します。

証明書の失効チェックの精度は発行された最新の CRL によって決まります。たとえば、ある証明書が失効しても、既定では、新たに失効した証明書が含まれる新しい CRL が自動的に発行されることはありません。CRL は通常は構成可能なスケジュールに基づいて発行されます。このことは、発行されている CRL が最新ではなく、失効した証明書が含まれず、その証明書が認証に使用されて、ワイヤレス接続ができてしまう可能性があることを意味します。そのような状況が発生することを防止するために、ネットワーク管理者は新たに失効した証明書に関する新しい CRL を手作業で発行しなければなりません。

既定では、IAS サーバーは証明書に記されている CRL 配布ポイントを使用します。しかし、IAS サーバー上に CRL のローカル コピーを格納しておくことも可能です。その場合、証明書の失効チェックにはローカル CRL が使用されます。新しい CRL が手作業でActive Directory に対して発行された場合、IAS サーバー上のローカル CRL は更新されません。有効期限が切れるときには、ローカル CRL は更新されます。このことから、証明書が失効し、CRL が手作業で発行されたが、ローカル CRL が更新されないために、依然として IAS サーバーが接続を許してしまうことが起こりえます。

ステップ 1b: コンピュータ証明書をインストールする

Windows Server 2003 または Windows 2000 の証明書サービスのエンタープライズ CA を発行 CA として使用している場合、Active Directory のシステム コンテナ内のコンピュータに関するコンピュータ証明書の自動登録用のグループ ポリシーを構成することにより、IAS サーバーにコンピュータ証明書をインストールすることができます。

エンタープライズ CA に関するコンピュータ証明書の自動登録を構成するには

1. Active Directory ユーザーとコンピュータ スナップインを開きます。

2. コンソール ツリー内で、[Active Directory ユーザーとコンピュータ] をダブルクリックし、CA が属するドメイン名を右クリックし、それから [プロパティ] をクリックします。

3. [ グループポリシー ] タブ上で、適切なグループ ポリシー オブジェクト (既定のオブジェクトは既定のドメインポリシーのオブジェクト) をクリックし、それから [編集] をクリックします。

4. コンソール ツリー内で、[コンピュータの構成]、[Windows の設定]、[セキュリティの設定]、[公開キーのポリシー]、[自動証明書要求の設定] を順に開きます。

5. [ 自動証明書要求の設定 ] を右クリックし、**[新規作成]**をポイントし、それから [自動証明書要求] をクリックします。

6. すると、自動証明書要求セットアップ ウィザードが起動されます。[次へ] をクリックします。

7. [ 証明書テンプレート ] 内の [コンピュータ] をクリックし、それから [次へ] をクリックします。

8. すると、リスト上にエンタープライズ CA が表示されます。

9. エンタープライズ CA をクリックし、[次へ] をクリックし、それから [完了] をクリックします。

10. Windows 2000 Server が稼働している CA に関するコンピュータ証明書を直ちに入手するためには、コマンド プロンプトの後に以下のように入力します。

11. secedit /refreshpolicy machine_policy

12. Windows Server 2003 が稼働している CA に関するコンピュータ証明書を直ちに入手するためには、コマンド プロンプトの後に以下のように入力します。

13. gpupdate /target:computer

ドメインが自動登録用に構成された後で、コンピュータのグループ ポリシーが更新されたときに、ドメインのメンバである各コンピュータはコンピュータ証明書を要求します。既定では、Winlogon サービスが 90 分ごとにグループ ポリシーの変更をポーリングします。コンピュータのグループ ポリシーを強制的に更新するには、コンピュータを再起動するか、またはコマンド プロンプトの後に secedit /refreshpolicy machine_policy　(Windows 2000 が稼働しているコンピュータの場合) または gpupdate /target:computer　(Windows XP またはWindows Server 2003 が稼働しているコンピュータの場合) と入力します。

必要に応じて、各ドメイン システム コンテナにこの手続きを実施します。

ベストプラクティス Windows Server 2003 または Windows 2000 のエンタープライズ CA を発行 CA として使用している場合、すべてのコンピュータにコンピュータ証明書をインストールするために、コンピュータ証明書の自動登録を構成します。親システムコンテナのグループポリシーの設定を継承するかまたは明示的に構成することを通じて、コンピュータ証明書が自動登録されるように、すべての適切なドメインシステムコンテナを構成します。

ステップ 1c: ユーザー証明書をインストールする

Windows Server 2003 Enterprise Edition または Windows Server 2003 Datacenter Edition のエンタープライズ CA を発行 CA として使用している場合、自動登録を通じてユーザー証明書をインストールすることができます。ユーザー証明書の自動登録は Windows XP および Windows Server 2003 のワイヤレス クライアントによってのみサポートされています。

エンタープライズ CA に関するユーザー証明書の自動登録を構成するには

1. [ スタート ] をクリックし、[ファイル名を指定して実行] をクリックし、mmcと入力し、それから **[OK]**をクリックします。

2. [ ファイル ] メニューの [スナップインの追加と削除] をクリックし、それから **[追加]**をクリックします。

3. [ スナップイン ] の下にある [証明書テンプレート] をクリックし、[閉じる] をクリックし、それから **[OK]**をクリックします。

4. コンソール ツリー内で、[証明書テンプレート] をクリックします。すると、すべての証明書テンプレートが [詳細] ペインに表示されます。

5. [ 詳細 ] ペイン内の [ユーザー] テンプレートをクリックします。

6. [ 操作 ] メニューの [Duplicate Templates] をクリックします。

7. [ 表示名 ] フィールドに WirelessUser (例) と入力します。

8. [Active Directory の証明書を発行する ] 　チェック ボックスがオンになっていることを確認します。

9. [ セキュリティ ] 　タブをクリックします。

10. [ グループ名またはユーザー名 ] フィールド内の [ドメインユーザ] をクリックします。

11. [Permissions for Domain Users] リスト内で [登録] および [自動登録] チェック ボックスをオンにし、それから **[OK]**をクリックします。

12. 認証機関スナップインを開きます。

13. コンソール ツリー内で、 [認証機関]、[Example CA]、[証明書テンプレート] の順に開きます。

14. [ 操作 ] メニューの [新規作成] をポイントし、それから **[発行する証明書]**をクリックします。

15. **[WirelessUser]**をクリックし、それから **[OK]**をクリックします。

16. Active Directory ユーザーとコンピュータ　 スナップインを開きます。

17. コンソール ツリー内で、[Active Directory ユーザーとコンピュータ] をダブルクリックし、CA が属するドメイン名を右クリックし、それから **[プロパティ]**をクリックします。

18. [ グループポリシー ] タブの適切なグループ ポリシー オブジェクト (既定のオブジェクトは既定のドメインポリシー) をクリックし、それから **[編集]**をクリックします。

19. コンソール ツリー内で、[ユーザーの構成]、[Windows の設定]、[セキュリティの設定]、[公開キーのポリシー] の順に開きます。

20. [ 詳細 ] ペイン内で、[自動登録の設定] をダブルクリックします。

21. [ 証明書を自動的に登録する ] をクリックします。

22. [ 有効期限が切れた証明書を更新、保留中の証明書を更新、及び破棄された証明書を削除する ] チェック ボックスをオンにします。

23. [ 証明書テンプレートを使用する証明書を更新する ] チェック ボックスをオンにし、それから **[OK]**をクリックします。

24. 必要に応じて、各ドメイン システム コンテナにこの手続きを実施します。

ベストプラクティス Windows Server 2003 の Enterprise Edition または Datacenter Edition のエンタープライズ CA を発行 CA として使用している場合、すべてのコンピュータにユーザー証明書をインストールするために、ユーザー証明書の自動登録を構成します。親システムコンテナのグループポリシーの設定を継承するかまたは明示的に構成することを通じて、ユーザー証明書が自動登録されるように、すべての適切なドメインシステムコンテナを構成します。

ステップ 2: アカウントおよびグループ用の Active Directory を構成する

Active Directory ユーザーとコンピュータのアカウントおよびグループをワイヤレス アクセス用に構成するには、以下の手順で操作を行います。

1. Windows 2000 ドメイン コントローラを使用している場合、すべてのドメイン コントローラに Windows 2000 SP3 以降をインストールします。

2. ワイヤレス接続を行うすべてのユーザーに、対応するユーザー アカウントがあることを確認します。

3. ワイヤレス接続を行うすべてのコンピュータに、対応するコンピュータ アカウントがあることを確認します。

4. ユーザー アカウントおよびコンピュータ アカウントのリモート アクセス許可を適切に設定します (アクセスを許可またはリモートアクセスポリシーでアクセスを制御)。リモート アクセス許可の設定は、Active Directory ユーザーとコンピュータ スナップイン内のユーザー アカウントまたはコンピュータ アカウントのプロパティの [ダイアルイン] タブ上にあります。

5. ワイヤレス アクセスを行うユーザー アカウントおよびコンピュータ アカウントを適切なグループに編成します。ネイティブモードのドメインに関しては、ユニバーサル グループおよびネストしたグローバル グループを使用することができます。たとえば、WirelessUsers という名前のユニバーサル グループを作成し、その中にイントラネット アクセス用のワイヤレス ユーザー アカウントのグローバル グループおよびコンピュータ アカウントのグローバル グループを含めます。

ベストプラクティス ワイヤレスアカウントを単一のグループに編成するには、ネイティブモードのドメインおよびユニバーサルグループとグローバルグループを使用します。

ステップ 3: プライマリ IAS サーバーを構成する

コンピュータ上にプライマリ IAS サーバーを構成するには、以下の手順で操作を行います。

• アカウント情報、ログ、UDP ポート、およびワイヤレス AP に対応するRADIUS クライアントにアクセスできるように、IAS を構成します。

• ワイヤレス アクセス用にリモート アクセス ポリシーを構成します。

ステップ 3a: IAS を構成する

コンピュータ上にプライマリ IAS サーバーを構成するには、以下の手順で操作を行います。

1. コンピュータ証明書の自動登録およびWindows 2000 IAS を使用している場合、コマンド プロンプトの後に secedit /refreshpolicy machine_policyと入力して、コンピュータのグループ ポリシーを強制的に更新します。コンピュータ証明書の自動登録およびWindows Server 2003 IAS を使用している場合、コマンド プロンプトの後に gpupdate /target:computerと入力して、コンピュータのグループ ポリシーを強制的に更新します。

2. PEAP-MS-CHAP v2 認証を使用しており商用の CA からコンピュータ証明書を入手した場合、証明書スナップインを使用して、そのコンピュータ証明書をCertificates (Local Computer)\ Personal\Certificates フォルダにインポートします。

3. オプションのネットワーク コンポーネントとして IAS をインストールします。

4. Windows 2000 IAS を使用している場合、Windows 2000 SP3 以降をインストールします。

5. Windows 2000 IAS および PEAP-MS-CHAP 認証を使用している場合、Microsoft 802.1X 認証クライアントをインストールします。

6. プライマリ IAS サーバー コンピュータは適切なドメイン内のアカウントのプロパティにアクセスできなければなりません。ドメイン コントローラに IAS をインストールした場合には、ドメイン コントローラのドメイン内アカウントのプロパティに IAS がアクセスできるようにするために、追加構成を行う必要はありません。

7. ドメイン コントローラに IAS がインストールされていない場合、ドメイン内のユーザー アカウントのプロパティを読めるように、プライマリ IAS サーバー コンピュータを構成しなければなりません。詳細については、このセクションで後述する「Active Directory 内のユーザー アカウントを IAS サーバーが読めるようにする」手順を参照してください。

8. 他のドメインに属するユーザー アカウントに対して IAS サーバーがワイヤレス接続を認証し承認する場合、IAS サーバーが属しているドメインと当該ドメインとの間に相互信頼関係が確立されていることを確認してください。次に、当該ドメイン内のユーザー アカウントのプロパティを読めるように、IAS サーバー コンピュータを構成します。詳細情報については、このセクションで後述する「Active Directory 内のユーザー オブジェクトを IAS サーバーが読めるようにする」手順を参照してください。

9. 他のドメイン内にアカウントがあり、IAS サーバーが属しているドメインと当該ドメインとの間に相互信頼関係が確立されていない場合、それらのドメインの間にRADIUS プロキシを構成しなければなりません。他のActive Directory フォレスト内にアカウントがある場合、フォレスト間にRADIUS プロキシを構成しなければなりません。詳細情報については、後述する「クロスフォレスト認証」を参照してください。

10. 接続状況を分析しセキュリティ状況を調査する目的で認証およびアカウンティングに関する情報を格納したい場合、アカウンティングおよび認証に関するイベントのロギングを有効にします。Windows 2000 IAS はログ情報をローカル ファイルに記録することができます。Windows Server 2003 IAS はログ情報をローカル ファイルおよび構造化照会言語 (SQL) サーバー データベースに記録することができます。詳細情報については、Windows 2000 のヘルプ内の「ログ ファイルのプロパティの構成」と題するトピックおよびWindows Server 2003 のヘルプとサポート センター内の「ユーザー認証およびアカウンティングのためのロギングの構成」と題するトピックを参照してください。

11. 必要があれば、RADIUS クライアント (ワイヤレス AP) から送信されてくる認証およびアカウンティングに関するメッセージのための追加の UDP ポートを構成します。詳細情報については、このセクションで後述する「IAS ポート情報を構成する」手順を参照してください。既定では、IAS は認証に関するメッセージには UDP ポートの 1812 と 1645を使用し、アカウンティングに関するメッセージには UDP ポート 1813 と 1646 を使用します。

12. IAS サーバーのRADIUS クライアントとして、ワイヤレス AP を追加します。詳細情報については、このセクションで後述する「RADIUS クライアントを追加する」手順を参照してください。各ワイヤレス AP に関して、正しい名前または IP アドレスと共有シークレットを構成していることを確認します。

13. ワイヤレス AP ごとに別々の共有シークレットを使用します。各共有シークレットは大文字、小文字、数字、および句読点を 22 文字以上ランダムに並べたものとします。ランダム性を保証するために、ランダムに文字を生成するプログラムを使用して共有シークレットを作成し、IAS サーバーおよびワイヤレス AP 上に構成します。

14. RADIUS メッセージに関するセキュリティを最大限に保証するために、Internet Protocol security (IPSec) Encapsulating Security Payload (ESP) と証明書認証とを併用して、IAS サーバーとワイヤレス AP との間で送信されるRADIUS トラフィックに関して、データの秘匿性とデータの一貫性を保ち、データ発生源の認証を行うよう、推奨します。IPSec は Windows 2000 および Windows Server 2003 でサポートされています。ワイヤレス AP でもIPSec がサポートされていなければなりません。

Active Directory 内のユーザーアカウントを IAS サーバーが読めるようにする

インターネット認証サービスを使用して、既定のドメインに IAS サーバーを登録するには、以下の手順で操作を行います。

1. ドメイン管理アクセス許可を有するアカウントを用いて、IAS サーバーにログオンします。

2. インターネット認証サービス スナップインを開きます。

3. [ インターネット認証サービス ] を右クリックし、それから [Active Directory にサーバーを登録] をクリックします。[インターネット認証サービスの Active Directory への登] ダイアログ ボックスが表示されたら、**[OK]**をクリックします。

netsh ツールを使用して既定のドメインに IAS サーバーを登録するには、以下の手順で操作を行います。

1. ドメイン管理アクセス許可を有するアカウントを用いて、IAS サーバーにログオンします。

2. コマンド プロンプトを開きます。

3. コマンド プロンプトの後に、netsh ras add registeredserverと入力します。

Active Directory ユーザーとコンピュータを使用して、既定のドメインに IAS サーバーを登録するには、以下の手順で操作を行います。

1. ドメイン管理アクセス許可を有するアカウントを用いて、IAS サーバーにログオンします。

2. Active Directory ユーザーとコンピュータ スナップインを開きます。

3. コンソール ツリー内で、適切なドメインに属する [ユーザー] フォルダをクリックします。

4. [ 詳細 ] ペイン内で、[RAS と IAS サーバ] を右クリックし、それから [プロパティ] をクリックします。

5. [RAS と IAS サーバのプロパティ **]**ダイアログ ボックスの [メンバ] 　タブ上で、IAS サーバーを追加します。

Active Directory ユーザーとコンピュータを使用して、他のドメインに IAS サーバーを登録するには、以下の手順で操作を行います。

1. ドメイン管理アクセス許可を有するアカウントを用いて、IAS サーバーにログオンします。

2. Active Directory ユーザーとコンピュータ スナップインを開きます。

3. コンソール ツリー内で、適切なドメインに属する [ユーザー] フォルダをクリックします。

4. [ 詳細 ] ペイン内で、[RAS と IAS サーバ] を右クリックし、それから [プロパティ] をクリックします。

5. [RAS と IAS サーバのプロパティ **]**ダイアログ ボックスの [メンバ] 　タブ上で、適切な各IAS サーバーを追加します。

netsh ツールを使用して他のドメインに IAS サーバーを登録するには、以下の手順で操作を行います。

1. ドメイン管理アクセス許可を有するアカウントを用いて、IAS サーバーにログオンします。

2. コマンド プロンプトを開きます。

3. コマンド プロンプトの後に netsh ras add registeredserverDomain IASServer と入力します。

ここで、Domainはドメインの DNS ドメイン名であり、IASServerはIAS サーバー コンピュータの名前です。

IAS ポート情報を構成する

1. インターネット認証サービス スナップインを開きます。

2. [ インターネット認証サービス ] を右クリックし、それから [プロパティ] をクリックします。

3. Windows 2000 IAS の場合は、[RADIUS] タブをクリックします。Windows Server 2003 の場合は、[ポート] タブをクリックします。ポートの設定をチェックします。使用するRADIUS 認証ポートおよび RADIUS アカウンティング UDP ポートが既定値(認証に関しては1812 と1645、アカウンティングに関しては 1813 と1646) と異なる場合、[認証] および [アカウンティング] に実際のポート番号を入力します。

4. 認証またはアカウンティングの要求に複数のポートを使用するには、ポートをコンマで区切ります。

RADIUS クライアントを追加する

1. インターネット認証サービス スナップインを開きます。

2. Windows 2000 IAS の場合、コンソール ツリー内で [クライアント] を右クリックし、それから [新しいクライアント] をクリックします。Windows Server 2003 IAS の場合、コンソール ツリー内で [RADIUS クライアント] を右クリックし、それから [新しいRADIUS クライアント] をクリックします。

3. [ フレンドリ名 ] にわかりやすい名前を入力します。

4. [ プロトコル ] 内で [RADIUS] をクリックし、それから [次へ] をクリックします

5. [ クライアントアドレス (IP または DNS)] にクライアントの DNS 名または IP アドレスを入力します。DNS 名を使用している場合、[確認] をクリックします。[DNS 名の解決] ダイアログ ボックスの **[解決]**をクリックし、それからその名前に関連付けたい IP アドレスを [検索結果] から選択します。

6. 構成上の目的でワイヤレス AP に固有のリモート アクセス ポリシー (たとえば、ベンダ固有の属性が含まれるリモート アクセス ポリシー) を使用するよう計画している場合、[クライアント製造元] をクリックし、それから製造元の名前を選択します。製造元がわからないかまたは一覧に含まれていない場合、[RADIUS Standard] をクリックします。

7. [ 共有シークレット ] にクライアントの共有シークレットを入力し、それから [共有シークレットの確認入力] にもう一度、共有シークレットを入力します。

8. [ 完了 ] をクリックします。

ベストプラクティス 可能な場合には、IPSec ESP を使用して、ワイヤレス AP と IAS サーバーとの間のRADIUS トラフィックにデータの秘匿性を持たせます。少なくとも 3DES 暗号化方式を使用し、可能な場合には、インターネットキー交換 (IKE) メインモード認証のための証明書を使用します。

大文字、小文字、数字、および句読点を 22 文字以上ランダムに並べた共有シークレットを使用します。ワイヤレス AP ごとに別々の共有シークレットを適用します。可能な場合には、ランダムに文字列を生成するプログラムを使用して共有シークレットを作成します。

ステップ 3b: ワイヤレスリモートアクセスポリシーを構成する

プライマリ IAS サーバー用のワイヤレス リモートアクセス ポリシーを構成するには、以下の手順で操作を行います。

1. Windows 2000 IAS の場合、以下の設定により、ワイヤレス イントラネット アクセスに関する新しいリモート アクセス ポリシーを作成します。

2. ポリシー名: イントラネットへのワイヤレス アクセス (例)

3. 条件: NAS-Port-Type=Wireless-Other and Wireless-IEEE 802.11, Windows-Groups=WirelessUsers

4. 許可: [リモートアクセス許可を与える] を選択します。

5. プロファイル、[認証] 　タブ: EAP-TLS 認証を使用している場合、[拡張認証プロトコル ] およびEAP の種類として [スマートカードまたはその他の証明書] を選択します。その他のチェック ボックスをすべてオフにします。IAS サーバーに複数のコンピュータ証明書をインストールしている場合には、[構成] をクリックし、それから適切なコンピュータ証明書を選択します。PEAP-MS-CHAP v2 認証を使用している場合には、[拡張認証プロトコル ] およびEAP の種類として [保護された EAP (PEAP)] を選択し、それから [構成] をクリックします。[保護された EAP のプロパティ] ダイアログ ボックスにおいて、適切なコンピュータ証明書を選択し、EAP の種類として [セキュリティで保護されたパスワード (EAP-MSCHAP v2)] が選択されていることを確認します。

6. プロファイル、[暗号化] 　タブ: [最強] チェック ボックス以外のすべてのチェック ボックスをオフにします。これにより、すべてのワイヤレス接続において、必ず 128 ビットの暗号化が適用されます。[暗号化] 　タブ上での設定はRADIUS 属性のMS-MPPE-Encryption-Policy と MS-MPPE-Encryption-Types に相当し、ワイヤレス AP でサポートされているでしょう。これらの属性がサポートされていない場合は**、[暗号化なし]** チェック ボックス以外のすべてのチェック ボックスをオフにします。

7. 詳細情報については、このセクションで後述する「リモート アクセス ポリシーを追加する」手順を参照してください。

8. Windows Server 2003 IAS の場合、新しいリモート アクセス ポリシー ウィザードを使用して、共通のリモート アクセス ポリシーを作成します。その手順は以下のとおりです。

9. ポリシー名: イントラネットへのワイヤレス アクセス (例)

10. アクセス方法: ワイヤレス

11. ユーザー アクセスまたはグループ アクセス: WirelessUsers グループ (グループ名の例) を選択してグループ化します。

12. 認証方法 (EAP の種類): スマートカードまたはその他の証明書 タイプ(EAP-TLS の場合) または 保護された **EAP (PEAP)**タイプ(EAP-MS-CHAP v2 の場合)

13. ワイヤレス AP にベンダ固有の属性 (VSA) が必要な場合、リモート アクセス ポリシーに VSA を追加しなければなりません。詳細情報については、このセクションで後述する「リモートアクセス ポリシーのためにベンダ固有の属性を構成する」手順を参照してください。

14. Windows 2000 IAS の場合、ダイヤルインのアクセス許可が有効な場合、アクセスを許可する という名前の既定のリモート アクセス ポリシーを削除します。リモート アクセス ポリシーを削除するには、インターネット認証サービス スナップイン内のポリシー名を右クリックし、それから [削除] をクリックします。

ベストプラクティス ユーザーアカウントおよびコンピュータアカウントに対するリモートアクセス許可をアカウントごとに管理している場合、接続の種類を指定するリモートアクセスポリシーを使用します。リモートアクセスポリシーを通じてリモートアクセス許可を管理している場合、接続の種類とグループを指定するリモートアクセスポリシーを使用します。リモートアクセスポリシーを通じてリモートアクセス許可を管理する方法を推奨します。

リモートアクセスポリシーを追加する

1. インターネット認証サービス スナップインを開きます。

2. コンソール ツリー内で、[リモートアクセスポリシー] を右クリックし、それから [新しいリモートアクセスポリシー] をクリックします。

リモートアクセスポリシーのためのベンダに固有の属性を構成する

1. インターネット認証サービス スナップインを開きます。

2. コンソール ツリー内で、[リモートアクセスポリシー] をクリックします。

3. [ 詳細 ] ペイン内で、ベンダに固有の属性 (VSA) を構成する対象のポリシーをダブルクリックします。

4. [ プロファイルの編集 ] をクリックし、[詳細設定] タブをクリックし、それから [追加] をクリックします。

5. 一覧を見て、利用可能なRADIUS 属性の一覧の中に既に対象のベンダに固有の属性が存在するかどうかをチェックします。存在する場合には、それをダブルクリックし、それからワイヤレス AP のドキュメントに指定されているように構成します。

6. 利用可能なRADIUS 属性の一覧の中にベンダに固有の属性が存在しない場合には、[ベンダ固有] 属性をクリックし、それから [追加] をクリックします。

7. [ 複数値の属性情報 ] ダイアログ ボックス内の [追加] をクリックします。

8. ワイヤレス AP のベンダを指定します。一覧から名前を選択してベンダを指定するには、[一覧から選択する] をクリックし、それから VSA を構成する対象のワイヤレス AP のベンダを選択します。ベンダが一覧に挙げられていない場合には、ベンダ コードを入力して指定します。

9. ベンダ コードを入力しベンダを指定するには、[ベンダコードを入力する] をクリックし、それから示されたスペースにベンダ コードを入力します。SMI ネットワーク管理プライベート エンタープライズ コードの一覧については、RFC 1007 を参照してください。

10. RFC 2865 に指定されている VSA の形式に属性が準拠しているかどうかを指定します。不確かな場合には、ワイヤレス AP のドキュメントを参照してください。

11. 属性が形式に準拠している場合には、[準拠する] をクリックし、それから [属性の構成] をクリックします。[ベンダが割り当てた属性の番号]に属性に割り当てられている番号 (0 ～ 255 の整数) を入力します。[属性の形式] に属性の形式を指定し、[属性の値] に属性に割り当てる値を入力します。

12. 属性が形式に準拠していない場合には、[準拠しない] をクリックし、それから [属性の構成] をクリックします。[属性の値 (16 進数)] に属性の値を入力します。

ベストプラクティス ワイヤレス AP に VSA が必要かどうかを調査し、リモートアクセスポリシーを構成する間にそれらを構成します。ワイヤレス AP を構成した後で VSA を構成した場合は、プライマリ IAS サーバーとセカンダリ IAS サーバーとの間の構成の同期を取り直す必要があります。

ステップ 4: セカンダリ IAS サーバーを構成する

他のコンピュータ上にセカンダリ IAS サーバーを構成するには、以下の手順で操作を行います。

1. コンピュータ証明書の自動登録を適用しWindows 2000 IAS を使用している場合、コンピュータのグループ ポリシーを強制的に更新します。そのためには、コマンド プロンプトの後に secedit /refreshpolicy machine_policy　と入力します。コンピュータ証明書の自動登録を適用しWindows Server 2003 IAS を使用している場合、コンピュータのグループ ポリシーを強制的に更新します。そのためには、コマンド プロンプトの後に gpupdate /target:computer と入力します。

2. PEAP-MS-CHAP v2 を使用しており商用の CA からコンピュータ証明書を取得した場合、証明書スナップインを使用して、Certificates (Local Computer)\ Personal\Certificates フォルダにインポートします。

3. オプションのネットワーク コンポーネントとして、IAS をインストールします。

4. Windows 2000 IAS を使用している場合、Windows 2000 SP3 以降をインストールします。

5. Windows 2000 IAS および PEAP-MS-CHAP v2 認証を使用している場合、Microsoft 802.1X 認証クライアントをインストールします。

6. セカンダリ IAS サーバー コンピュータから適切なドメイン内のアカウントのプロパティにアクセスできる必要があります。ドメイン コントローラに IAS がインストールされている場合は、IAS からドメイン コントローラ内のアカウントのプロパティにアクセスできるようにするために、追加構成を行う必要はありません。

7. ドメイン コントローラに IAS がインストールされていない場合、ドメイン内のユーザー アカウントのプロパティを読むように、セカンダリ IAS サーバー コンピュータを構成する必要があります。詳細情報については、前述した「Active Directory 内のユーザー アカウントを IAS サーバーが読めるようにする」手順を参照してください。

8. 他のドメイン内のユーザー アカウントを求める接続の試みをセカンダリ IAS サーバーが認証し承認する場合、セカンダリ IAS サーバーが属しているドメインと当該ドメインとの間に相互信頼が確立されていることを確認します。次に、当該ドメイン内のユーザー アカウントのプロパティを IAS サーバー コンピュータが読めるように構成します。詳細については、前述した「Active Directory 内のユーザー オブジェクトを IAS サーバーが読めるようにする」手順を参照してください。

9. 他のドメインにアカウントがあるが、セカンダリ IAS サーバー コンピュータが属しているドメインと当該ドメインとの間に相互信頼が確立されていない場合、それらのドメインの間にRADIUS プロキシを構成しなければなりません。他のActive Directory フォレストにアカウントがある場合、フォレスト間にRADIUS プロキシを構成しなければなりません。詳細情報については、後述する「クロス フォレスト認証」を参照してください。

10. プライマリ IAS サーバーの構成をセカンダリ IAS サーバーにコピーするには、プライマリ IAS サーバーのコマンド プロンプトの後に **netsh aaaa show config >**パス \ ファイル.txt と入力します。それにより、レジストリの設定を含む構成の設定がテキスト ファイルに格納されます。パスは相対パス、絶対パス、ネットワーク パスのいずれでもかまいません。

11. ステップ 7 で作成されたファイルをセカンダリ IAS サーバーにコピーします。セカンダリ IAS サーバーのコマンド プロンプトの後に netsh execパス\ ファイル.txt と入力します。それにより、プライマリ IAS サーバー上に構成されているすべての設定がセカンダリ IAS サーバーにコピーされます。

注 Windows Server 2003 が稼働している IAS サーバーからWindows 2000 Serverが稼働している IAS サーバーに IAS の設定をコピーすることはできません。

ベストプラクティス 何らかの形で IAS サーバーの構成を変更した場合、インターネット認証サービススナップインを使用してプライマリ IAS サーバーの構成を変更し、それから上記のステップ 7 と 8 を実施して、それらの変更をセカンダリ IAS サーバーと同期させます。

ステップ 5: ワイヤレス AP を展開して構成する

ワイヤレス ネットワークの全領域をカバーするように、ワイヤレス AP を展開します。WEP 暗号化および 802.1X 認証をサポートするように、ワイヤレス AP を構成します。さらに、以下の事項に関して、ワイヤレス AP 上でRADIUS の設定を構成します。

1. プライマリ RADIUS サーバーの IP アドレスまたは名前、共有シークレット、認証およびアカウンティング用の UDP ポート、および障害検出の設定

2. セカンダリ RADIUS サーバーの IP アドレスまたは名前、共有シークレット、認証およびアカウンティング用の UDP ポート、および障害検出の設定

2 つの IAS サーバーの間の RADIUS トラフィックの負荷を分散させるために、ワイヤレス AP の半分ではプライマリ IAS サーバーをプライマリ RADIUS サーバーとして、セカンダリ IAS サーバーをセカンダリ RADIUS サーバーとして、残りの半分のワイヤレス AP ではセカンダリ IAS サーバーをプライマリ RADIUS サーバーとして、プライマリ IAS サーバーをセカンダリ RADIUS サーバーとして、それぞれ構成します。

詳細情報については、ワイヤレス AP に関するドキュメントを参照してください。Enterasys ワイヤレス AP の情報については、http://www.enterasys.com/ を参照してください。Cisco のアクセス ポイントの情報については、同社のホーム ページ http://www.cisco.com/ を参照してください。Agere Systems のアクセス ポイントの情報については、同社の ORiNOCO Web サイト http://www.orinocowireless.com/ を参照してください。

ワイヤレス AP にベンダ固有の属性 (VSA) が必要な場合、IAS サーバーのリモート アクセス ポリシーに VSA を追加しなければなりません。詳細情報については、前述した「リモート アクセス ポリシーのためにベンダ固有の属性を構成する」手順を参照してください。プライマリ IAS サーバー上でリモート アクセス ポリシーに VSA を追加する場合、「ステップ4: セカンダリ IAS サーバーを構成する」のステップ 7 と 8 を実行して、プライマリ IAS サーバーの構成をセカンダリ IAS サーバーにコピーします。

ステップ 6: ワイヤレスネットワーク (IEEE 802.11) ポリシーグループポリシーの設定を構成する

Windows Server 2003 に備わっているワイヤレス ネットワーク(IEEE 802.11) ポリシー グループ ポリシー拡張機能を使用して、優先するネットワークの一覧、およびWindows XP (SP1 以降) または Windows Server 2003 が稼働しているワイヤレス クライアントのワイヤレス LAN の設定を自動的に設定するための設定を、指定することができます。各優先ネットワークに、関連の設定 (SSID や WEP の使用) および認証の設定 (802.1X 認証および認証プロトコルの使用) を指定することができます。

ワイヤレス ネットワーク(IEEE 802.11) ポリシー グループ ポリシーを設定するには、以下の手順で操作を行います。

1. Active Directory ユーザーとコンピュータ スナップインを開きます。

2. コンソール ツリー内で、[Active Directory ユーザーとコンピュータ] をダブルクリックし、ワイヤレス コンピュータ アカウントが含まれるドメイン システム コンテナを右クリックし、それから [プロパティ] をクリックします。

3. [ グループポリシー ] タブ上で適切なグループ ポリシー オブジェクト (既定のオブジェクトは既定のドメインポリシー) をクリックし、それから [編集] をクリックします。

4. コンソール ツリー内で、[コンピュータの構成]、[Windows の設定]、[セキュリティの設定]、[ワイヤレスネットワーク (IEEE 802.11) ポリシー] の順に開きます。

5. [ 詳細 ] ペイン内で、[新しいワイヤレスネットワークポリシー] をダブルクリックします。

6. 必要に応じて、[全般] タブ上の設定を変更します。

7. [ 優先するネットワーク ] タブをクリックします。優先するネットワークを追加するために、[追加] をクリックします。

8. [ ネットワークのプロパティ ] タブ上で、ワイヤレス ネットワーク名 (SSID) を入力し、必要に応じて WEP の設定を変更します。

9. [IEEE 802.1x] タブをクリックし、必要に応じて802.1X の設定を変更します。正しい EAP の種類を指定および構成することも含みます。**[OK]**を 2 回クリックして、変更を保存します。

10. Windows XP (SP1 以降) および Windows Server 2003 のワイヤレス クライアントがコンピュータの構成のグループ ポリシーを次回に更新するときに、ワイヤレス ネットワークの構成が自動的に構成されます。

ステップ 7: EAP-TLS 用のワイヤレスクライアントコンピュータにコンピュータ証明書をインストールする

EAP-TLS を用いたコンピュータ認証に関しては、ワイヤレス クライアント コンピュータにコンピュータ証明書をインストールする必要があります。

Windows Server 2003、Windows XP、または Windows 2000 が稼働しているワイヤレス クライアント コンピュータにコンピュータ証明書をインストールするには、Ethernet ポートを使用して組織のイントラネットに接続し、以下の操作を行います。

• コンピュータ証明書を自動登録するようにドメインが構成されている場合、コンピュータのグループ ポリシーが更新されたときに、当該ドメインに属する各コンピュータはコンピュータ証明書を要求します。Windows Server 2003 または Windows XP が稼働しているコンピュータのコンピュータ グループ ポリシーを強制的に更新するには、コンピュータを再起動するかまたはコマンド プロンプトの後に gpupdate /target:computerと入力します。Windows 2000 が稼働しているコンピュータのコンピュータ グループ ポリシーを強制的に更新するには、コンピュータを再起動するかまたはコマンド プロンプトの後に secedit /refreshpolicy machine_policyと入力します。

• 自動登録するようにドメインが構成されていない場合、証明書スナップインを使用して「コンピュータ」証明書を要求するか、またはCAPICOM スクリプトを実行してコンピュータ証明書をインストールすることができます。

• コンピュータ証明書をインストールすることは、通常はノートブック パソコンであるコンピュータがユーザーに届けられる前に、組織の情報技術 (IT) グループに実施してもらうことができます。

CAPICOM の情報については、CAPICOM (https://msdn.microsoft.com/library/en-us/security/security/using\_capicom.asp) (英語) を参照してください。

ステップ 8: EAP-TLS 用のワイヤレスクライアントコンピュータにユーザー証明書をインストールする

EAP-TLS を用いたユーザー認証に関しては、ローカルにインストールしたユーザー証明書またはスマート カードを使用する必要があります。ローカルにインストールするユーザー証明書を入手する方法には、自動登録、Web 登録、証明書スナップインを使用して要求すること、証明書ファイルをインポートすること、CAPICOM プログラムまたはスクリプトを実行することがあります。

ユーザー証明書をインストールする最も簡単な方法では、Ethernet ポートを使用するなどして、ネットワーク接続が既に確立されているものと想定しています。イントラネットに接続したときに、ユーザーは自動登録を通じて、またはWeb 登録か証明書マネージャを用いてユーザー証明書要求を発することにより、ユーザー証明書を入手することができます。ユーザー証明書要求の詳細情報については、以下の「Web を通じてユーザー証明書要求を提出する」および「証明書を要求する」手順を参照してください。

その他に、ネットワーク管理者から提供されたCAPICOM プログラムまたはスクリプトをユーザーが実行することもできます。ユーザー ログオン スクリプトを通じて、CAPICOM プログラムまたはスクリプトの実行を自動化することもできます。

ユーザー証明書を自動登録するように構成した場合、ユーザー証明書を入手するためには、ワイヤレス ユーザーはユーザー証明書グループ ポリシーを更新する必要があります。

ユーザー証明書の自動登録を行っていない場合、ユーザー証明書を入手するためには、以下のどれかの手続きを使用します。

Web を通じてユーザー証明書要求を提出する

1. Internet Explorer を開きます。

2. Internet Explorer を使用して、http://サーバー名/certsrvに接続します。ここで、サーバー名はアクセス先の CA が置かれているWindows 2000 Web サーバーの名前です。

3. [ 証明書を要求 ] をクリックし、それから [次へ] をクリックします。

4. [C 要求する種類の選択 ] Web ページの [ユーザー証明書の要求] の下にある要求対象の証明書の種類を選択し、それから [次へ] をクリックします。

5. [ 識別情報 ] Web ページ上で、以下のどちらかの操作を行います。

6. "All the necessary 識別情報 has already been collected. You may now 送信 your request." というメッセージが表示されたら、[送信] をクリックします。

7. 証明書要求に関する識別情報を入力して、[送信] をクリックします。

8. [ 証明書は発行されました ] Web ページが表示されたら、[この証明書のインストール] をクリックします。

9. Internet Explorer を閉じます。

証明書を要求する

1. Certificates - Current Userが含まれている、MMC コンソールを開きます。

2. コンソール ツリー内で、[個人情報] を右クリックし、[すべてのタスク] をポイントし、それから [新しい証明書の要求] をクリックして、証明書の要求ウィザードを起動します。

3. 証明書の要求ウィザード内で以下の情報を選択します。

4. 要求する証明書の種類

5. [ 詳細設定 ] チェック ボックスをオンにした場合

   • 使用する暗号化サービス プロバイダ (CSP)

   • 証明書に関する公開キーの長さ (ビット単位)

   • [ 秘密キーの保護を強力にする ] をオフにします。

   • 複数の CA が利用可能な場合、証明書を発行する CA の名前を選択します。

6. 新しい証明書のフレンドリ名を入力します。

7. 証明書の要求ウィザードが正常に終了したら、**[OK]**をクリックします。

フロッピーディスクベースのインストール

ユーザー証明書をインストールする方法が他にもあります。それは、ユーザー証明書をフロッピー ディスクにエクスポートし、それをフロッピー ディスクからワイヤレス クライアント コンピュータにインポートすることです。フロッピー ディスクベースで登録を行うには、以下の手順で操作を行います。

1. Web ベースの登録を通じて、CA からワイヤレス クライアントのユーザー アカウント用のユーザー証明書を入手します。詳細情報については、前述した「Web を通じてユーザー証明書要求を提出する」を参照してください。

2. ダイアルイン アカウントに関するユーザー証明書を.cer ファイルにエクスポートします。詳細情報については、このセクションで後述する「証明書をエクスポートする」手順を参照してください。

3. 新たにエクスポートされたユーザー証明書 (.cer ファイル) をワイヤレス クライアントのユーザー アカウントにマッピングします。詳細情報については、このセクションで後述する「証明書をユーザー アカウントにマッピングする」手順を参照してください。

4. ワイヤレス クライアントのユーザー アカウントのユーザー証明書を.pfx ファイルにエクスポートします。詳細情報については、このセクションで後述する「証明書をエクスポートする」手順を参照してください。証明書マネージャ エクスポート ウィザード内で、秘密キーをエクスポートし、[Delete the private key if the import is successful] を選択します。このファイルをフロッピー ディスクに保存し、それをワイヤレス クライアント コンピュータのユーザーに届けます。

5. ワイヤレス クライアント コンピュータにユーザー証明書をインポートします。詳細情報については、このセクションで後述する「証明書をインポートする」手順を参照してください。

証明書をエクスポートする

1. Certificates - Current Userが含まれている、MMC コンソールを開きます。

2. [ 個人情報 ] を開き、それから [証明書] を開きます。

3. [ 詳細 ] ペイン内で、エクスポート対象の証明書を右クリックし、[すべてのタスク] をポイントし、それから [エクスポート] をクリックします。

4. 証明書エクスポート ウィザード内で、[いいえ、秘密キーをエクスポートしません] をクリックします (このオプションが表示されるのは、秘密キーにエクスポート可能の印が付けられており、ユーザーが秘密キーへのアクセスを許可されている場合だけです)。[次へ] をクリックします。

5. エクスポート ファイルの形式として DER でエンコードされたバイナリX.509 (.CER) を選択し、それから [次へ] をクリックします。

証明書をユーザーアカウントにマッピングする

1. Active Directory ユーザーとコンピュータ スナップインを開きます。

2. [ 表示 ] メニューの [詳細設定] をクリックします。

3. コンソール ツリー内で、適切なドメイン システム コンテナを開き、それから [ユーザー] をクリックします。

4. [ 詳細 ] ペイン内で、証明書のマッピング先のユーザー アカウントを右クリックし、それから [Name Mappings] をクリックします。

5. [X.509 証明書 ] 　タブ上で、[追加] をクリックします。

6. [ 証明書の追加 ] ダイアログ ボックス内で、適切な証明書ファイルを選択し、[開く] をクリックし、それから [OK] をクリックします。

証明書をインポートする

1. Certificates - Current Userが含まれている、MMC コンソールを開きます。

2. [ 個人情報 ] を開き、それから [証明書] を開きます。

3. [ 詳細 ] ペイン内で、エクスポート対象の証明書を右クリックし、[すべてのタスク] をポイントし、それから [インポート] をクリックします。

4. インポート対象の証明書が収められているファイル名を入力します ([参照] をクリックしてから、ファイルに位置付けることもできます)。

5. PKCS #12 ファイルの場合，以下の手順で操作を行います。

6. 秘密キーを暗号化するために使用するパスワードを入力します。

7. (オプション) 強力な秘密キーの暗号化を適用したい場合、[秘密キーの保護を強力にする] チェック ボックスをオンにします。

8. (オプション) 後でキーをバックアップまたはトランスポートしたい場合、[エクスポート可能なキーとしてマークする] チェック ボックスをオンにします。

9. 以下のどちらかを行います。

10. 証明書の種類に基づいて証明書を自動的に証明書ストアに収める場合、[証明書の種類に基づいて、自動的に証明書ストアを選択する] を選択します。

11. 証明書を収める場所を指定したい場合、[証明書をすべて次のストアに配置する] を選択し、[参照] をクリックして、使用する証明書ストアを選択します。

ステップ 9: EAP-TLS 用にワイヤレスクライアントコンピュータを構成する

Wireless Network (IEEE 802.11) ポリシー グループ ポリシーの設定を構成し、ワイヤレス ネットワークに関するEAP-TLS 認証 (EAP の種類としてのスマートカードまたはその他の証明書) の使用法を指定したならば、Windows XP (SP1 以降) または Windows Server 2003 が稼働しているワイヤレス クライアントに関して他に構成する必要はありません。

Windows XP (SP1 以降) または Windows Server 2003 が稼働しているワイヤレス クライアント上でEAP-TLS 認証を手作業で構成するには、以下の手順で操作を行います。

1. ネットワーク接続フォルダ内のワイヤレス接続のプロパティを入手します。[ワイヤレスネットワーク] タブをクリックし、次いで優先するネットワークの一覧内のワイヤレス ネットワークの名前をクリックし、それから [プロパティ] をクリックします。

2. [ 認証 ] タブをクリックし、[ネットワークアクセスの制御に IEEE 802.1X を使う] および EAP の種類として [スマートカードまたはその他の証明書] を選択します。既定では、これらが有効になっています。

3. [ プロパティ ] をクリックします。EAP の種類としてのスマートカードまたはその他の証明書のプロパティにおいて、レジストリベースのユーザー証明書を使用するために [このコンピュータの証明書を使う] を選択するか、またはスマートカードベースのユーザー証明書を使用するために [自分のスマートカードを使う] を選択します。

4. IAS サーバーのコンピュータ証明書を有効化したい場合、[サーバーの証明書を有効化する] を選択します (既定では有効化されています)。有効化すべき認証サーバーの名前を指定したい場合、[次のサーバーに接続する] を選択して、名前を入力します。

5. **[OK]**をクリックして、EAP の種類としてのスマートカードまたはその他の証明書の変更を保存します。

Windows XP (SP1 より前) が稼働しているワイヤレス クライアント上でEAP-TLS 認証を構成するには、以下の手順で操作を行います。

1. ネットワーク接続フォルダ内のワイヤレス接続のプロパティを入手します。[認証] タブをクリックし、[ネットワークアクセスの制御に IEEE 802.1X を使う] および EAP の種類として [スマートカードまたはその他の証明書] を選択します。既定ではこれらが有効になっています。

2. [ プロパティ ] をクリックします。EAP の種類としてのスマートカードまたはその他の証明書のプロパティにおいて、[このコンピュータの証明書を使う] を選択します。

3. IAS サーバーのコンピュータ証明書を有効化したい場合、[サーバーの証明書を有効化する] を選択します (既定では有効化されています)。

4. サーバーの DNS 名が特定の文字列で終わるようにしたい場合、[サーバー名が次で終わる場合のみ接続する] を選択し、文字列を入力します。複数の IAS サーバーが使用される通常の展開においては、DNS 名のうちのすべての IAS サーバーに共通の部分を入力します。たとえば、IAS サーバーが 2 台あって、その名前がIAS1.example.microsoft.com および IAS2.example.microsoft.com であるならば、「example.microsoft.com」と入力します。文字列を確実に正しく入力します。そうしないと、認証が正しく行われません。

5. **[OK]**をクリックして、EAP の種類としてのスマートカードまたはその他の証明書の変更を保存します。

Windows XP (SP1 より前) または (Microsoft 802.1X 認証クライアントを適用した) Windows 2000 が稼働しているワイヤレス クライアント上でEAP-TLS 認証を構成するには、以下の手順で操作を行います。

1. ネットワーク接続フォルダ (Windows XP) またはDial-up and Network Connections フォルダ (Windows 2000) 内のワイヤレス接続のプロパティを入手します。[認証] タブをクリックし、[ネットワークアクセスの制御に IEEE 802.1X を使う] および EAP の種類として [スマートカードまたはその他の証明書] を選択します。既定では、これが有効になっています。

2. [ プロパティ ] をクリックします。EAP の種類としてのスマートカードまたはその他の証明書のプロパティにおいて、レジストリベースのユーザー証明書を使用するために [このコンピュータの証明書を使う] を選択するか、またはスマートカードベースのユーザー証明書を使用するために [自分のスマートカードを使う] を選択します。

3. IAS サーバーのコンピュータ証明書を有効化したい場合、[サーバーの証明書を有効化する] を選択します (既定では有効化されています)。有効化すべき認証サーバーの名前を指定したい場合、[次のサーバーに接続する] を選択して、名前を入力します。

4. **[OK]**をクリックして、EAP の種類としてのスマートカードまたはその他の証明書の変更を保存します。

ステップ 10: PEAP-MS-CHAP v2 用にワイヤレスクライアントコンピュータを構成する

Wireless Network (IEEE 802.11) ポリシー グループ ポリシーの設定を構成し、ワイヤレス ネットワーク (セキュリティで保護されたパスワードに基づく (EAP-MSCHAP v2) 認証方法を用いた 保護された EAP (PEAP) 方式) に関するPEAP-MS-CHAP v2 認証の使用法を指定したならば、Windows XP (SP1 以降) または Windows Server 2003 が稼働しているワイヤレス クライアントに関して他に構成する必要はありません。

Windows XP (SP1 以降) または Windows Server 2003 が稼働しているワイヤレス クライアント上でPEAP-MS-CHAP v2 認証を手作業で構成するには、以下の手順で操作を行います。

1. ネットワーク接続フォルダ内のワイヤレス接続のプロパティを入手します。[ワイヤレスネットワーク] タブをクリックし、次いで優先するネットワークの一覧内のワイヤレス ネットワークの名前をクリックし、それから [プロパティ] をクリックします。

2. [ 認証 ] タブをクリックし、[ネットワークアクセスの制御に IEEE 802.1X を使う] および EAP の種類として [Protected EAP] を選択します。

3. [ プロパティ ] をクリックします。[保護された EAP のプロパティ] ダイアログ ボックスにおいて、IAS サーバーのコンピュータ証明書を有効化するために (既定では有効化されています)、[サーバーの証明書を有効化する] を選択します。有効化すべき認証サーバーの名前を指定したい場合、[次のサーバーに接続する] を選択して、名前を入力します。[認証方法を選択する] 内で [セキュリティで保護されたパスワード (EAP-MSCHAP v2)] をクリックします。

Windows 2000 および Microsoft 802.1X 認証クライアントが稼働しているワイヤレス クライアント上でPEAP-MS-CHAP v2 を構成するには、以下の手順で操作を行います。

1. .Dial-up and Network Connections フォルダ内のワイヤレス接続のプロパティを入手します。

2. [ 認証 ] タブをクリックし、[ネットワークアクセスの制御に IEEE 802.1X を使う] および EAP の種類として [Protected EAP] を選択します。

3. [ プロパティ ] をクリックします。[保護された EAP のプロパティ] ダイアログ ボックスにおいて、IAS サーバーのコンピュータ証明書を有効化するために (既定では有効化されています)、[サーバーの証明書を有効化する] を選択します。有効化すべき認証サーバーの名前を指定したい場合、[次のサーバーに接続する] を選択して、名前を入力します。[認証方法を選択する] 内で [セキュリティで保護されたパスワード (EAP-MSCHAP v2)] をクリックします。

注 既定では、PEAP-MS-CHAP v2 認証では、ワイヤレス認証用のユーザーの Windows ログオン資格情報が使用されます。PEAP-MS-CHAP v2 を使用するワイヤレスネットワークに接続しており、別の資格情報を指定したい場合は、[構成] をクリックし、それから [自動的に Windows ログオン名とパスワードを使用する] チェックボックスをオフにします。

Microsoft 802.1X 認証クライアントを用いている Windows XP (SP1 以降)、Windows Server 2003、および Windows 2000 の [保護された EAP のプロパティ] ダイアログボックスには [すばやい再接続を有効にする] チェックボックスがありますが、Windows 2000 の IAS では高速再接続はサポートされていません。Windows Server 2003 の IAS では高速再接続はサポートされています。

IAS サーバーにインストールされているコンピュータ証明書の発行者のルート CA 証明書がユーザーのワイヤレス クライアントに既にルート CA 証明書としてインストールされている場合、他に構成を行う必要はありません。発行 CA がWindows 2000 Server または Windows Server 2003 のオンライン ルート エンタープライズ CA である場合、コンピュータ構成グループ ポリシーを通じて、各ドメイン メンバにルート CA 証明書が自動的にインストールされます。

検証するには、証明書スナップインを使用して IAS サーバー上のコンピュータ証明書のプロパティを入手して、[証明のパス] タブから証明書のチェーンを参照します。パスの先頭にある証明書はルート CA 証明書です。各 Windows オペレーティング システム用のワイヤレス クライアントの証明書スナップインを使用して、Certificates (Local Computer)\Trusted Root Certification Authorities\Certificates フォルダ内の信頼できるルート認証機関の一覧の中に、この証明書が含まれていることを確認します。

ルート CA 証明書が含まれていない場合、Windows オペレーティング システムが稼働していてルート CA 証明書が含まれていない各ワイヤレス クライアントに、IAS サーバーのコンピュータ証明書発行者のルート CA 証明書をインストールしなければなりません。

すべてのワイヤレス クライアントにルート CA 証明書をインストールする最も簡単な方法は以下の操作を行うことです。

1. IAS サーバー上の証明書スナップインを使用して、IAS サーバー上のコンピュータ証明書のルート CA 証明書の発行をファイル(*.PB7) にエクスポートします。ルート CA 証明書はCertificates (Local Computer)\Trusted Root Certification Authorities\Certificates フォルダに収められています。

2. Active Directory ユーザーとコンピュータ スナップインを開きます。

3. コンソール ツリー内で、[Active Directory ユーザーとコンピュータ] をダブルクリックし、適切なドメイン システム コンテナを右クリックし、それから **[プロパティ]**をクリックします。

4. [ グループポリシー ] タブの適切なグループ ポリシー オブジェクト (既定のオブジェクトは既定のドメインポリシー) をクリックし、それから **[編集]**をクリックします。

5. コンソール ツリー内で、[コンピュータの構成]、[Windows の設定]、[セキュリティの設定]、[公開キーのポリシー] の順に開きます。

6. [ 信頼されたルート証明機関 ] を右クリックし、それから **[インポート]**をクリックします。

7. 証明書インポート ウィザードにおいて、ステップ 1 で保存したファイルを指定します。

8. 適切なすべてのシステム コンテナに関して、ステップ 3 ～ 7 を繰り返します。

ワイヤレス クライアント コンピュータがコンピュータの構成のグループ ポリシーを次回に更新するときに、IAS サーバー上のコンピュータ証明書の発行 CA のルート CA 証明書がローカル コンピュータの証明書ストアに自動的にインストールされます。

別の方法として、証明書スナップインを使用して、ルート CA 証明書を各ワイヤレス クライアント コンピュータ上のCertificates (Local Computer)\Trusted Root Certification Authorities\Certificates フォルダにインポートすることもできます。

その他のイントラネット ワイヤレス展開の構成

このセクションでは、その他のイントラネット ワイヤレス展開の構成について説明します。具体的には、以下の項目を取り上げます。

• ビジネス パートナーのためのインターネット アクセス

• サード パーティの CA の使用

• クロスフォレスト認証

• 大量の認証を行うためのRADIUS の使用

ビジネスパートナーのためのインターネットアクセス

RADIUS のAccess-Accept メッセージおよび Access-Reject メッセージに関して、今日使用されている大部分のワイヤレス AP は以下のように動作します。

• Access-Accept メッセージを受け取ると、ワイヤレス AP は接続を許可します。

• Access-Reject メッセージを受け取ると、ワイヤレス AP は接続を拒否します。

社員が組織のイントラネットにアクセスするのを許すのと同じワイヤレス インフラストラクチャを使用して、ビジネス パートナーやベンダをはじめとする社員以外の関係者が別のネットワークにアクセスできるようにするためには、接続要求に対するRADIUS サーバーからの応答としてAccess-Accept メッセージが返されなければなりません。RADIUS サーバーからAccess-Accept メッセージを得るためには、ゲスト アクセスを使用するか、またはビジネス パートナーやベンダをはじめとする社員以外の関係者が有効なアカウントおよび証明書を保持している必要があります。

ゲストアクセスの使用

ワイヤレス クライアントがユーザー ID を示さずに接続を行うときに、ゲスト アクセスが用いられます。ワイヤレス クライアントからワイヤレス AP に対してユーザーの名前や資格情報は提示されません。したがって、Access-Request メッセージにユーザーの識別 (ユーザー名属性) や資格情報属性は含まれません。ユーザーの識別属性や資格情報属性が含まれていないAccess-Request メッセージを受け取ると、IAS サーバーは接続の試みに合致するリモート アクセス ポリシーに則って、認証されていないアクセスを許すかどうかを判定します。ユーザー識別属性が含まれていない場合、IAS サーバーはゲスト アカウントを使用して、ユーザー アカウントのダイアルイン プロパティおよびグループ メンバシップを取得します。ユーザー識別属性が含まれているが資格情報が含まれていない場合、IAS サーバーは示されたアカウントを使用して、ユーザー アカウントのダイアルイン プロパティおよびグループ メンバシップを取得します。

ワイヤレス AP では、IP フィルタリングまたは VLAN を使用することにより、ゲスト アクセスによるネットワーク アクセスを制限することができます。認証されていないアクセスに関する仮想 LAN 識別子を指定するために、適切なリモート アクセス ポリシーの詳細設定プロパティのTunnel-Type 属性および Tunnel-Pvt-Group-ID 属性を構成します。

IAS で認証されていないアクセスおよびゲスト アクセスの詳細情報については、Windows 2000 Server のヘルプまたは Windows Server 2003 のヘルプとサポート センターを参照してください。

検証済みのアクセスの使用

ビジネス パートナーやベンダをはじめとする社員以外の関係者に検証済みのアクセスを許すには、それらの各関係者用のコンピュータ アカウントおよびユーザー アカウントを作成して証明書を発行する必要があります。次に、それらのアカウントをメンバとするグループを作成して、グループベースのリモート アクセス ポリシーを使用してアクセスを管理できるようにします。たとえば、WirelessInternetUsers というグループを作成し、その中にビジネス パートナーやベンダをはじめとする社員以外のユーザー アカウントおよびコンピュータ アカウントのグローバル グループを含めます。

ビジネス パートナーやベンダをはじめとする社員以外の関係者のためのインターネット アクセス用のワイヤレス リモート アクセス ポリシーを構成するためには、ワイヤレス インターネット アクセス用の新しいカスタムリモート アクセス ポリシーを作成して、以下のように設定します。

• ポリシー名: インターネットへのワイヤレス アクセス(例)

• 条件: NAS-Port-Type=Wireless-Other or Wireless-IEEE 802.11, Windows-Groups=WirelessInternetUsers

• アクセス許可: [リモートアクセス許可を与える] を選択します。

• プロファイル、[認証] タブ: Windows 2000 IAS の場合、[拡張認証プロトコル] および EAP の種類として [スマートカードまたはその他の証明書] をオンにします。その他のチェック ボックスはすべてオフにします。IAS サーバーに複数のコンピュータ証明書をインストールしてある場合、[構成] をクリックし、それから適切なコンピュータ証明書を選択します。

• Windows Server 2003 IAS の場合、その他のチェック ボックスをすべてオフにします。[EAP メソッド] をクリックし、それから EAP の種類としてスマートカードまたはその他の証明書を追加します。IAS サーバーに複数のコンピュータ証明書をインストールしてある場合、[編集] をクリックし、それから正しいコンピュータ証明書を選択します。

• プロファイル、[暗号化] 　タブ: ワイヤレス AP においてRADIUS 属性のMS-MPPE-Encryption-Policy および MS-MPPE-Encryption-Types がサポートされている場合、[最強] 以外のすべてのチェック ボックスをオフにします。それにより、すべてのワイヤレス接続において、128 ビット暗号化が強制的に適用されます。それらの属性がサポートされていない場合、[暗号化なし] 以外のすべてのチェック ボックスをオフにします。

• プロファイル、[詳細設定] 　タブ(ワイヤレス AP において VLAN がサポートされている場合):

  • Tunnel-Type 属性を追加して、値を「Virtual LANs (VLAN)」と設定します。

  • Tunnel-Pvt-Group-ID 属性を追加して、インターネットに接続されている VLAN のVLAN ID を値に設定します。

• ワイヤレス AP ではベンダに固有の属性 (VSA) が必要な場合、適切なリモート アクセス ポリシーに VSA を追加する必要があります。詳細情報については、前述した「リモート アクセス ポリシーのためにベンダ固有の属性を構成する」手順を参照してください。

サードパーティの CA の利用

サード パーティの CA を使用して、ワイヤレス アクセス用の証明書を発行することができます。ただし、インストールした証明書は検証することが可能であり適切なプロパティを有している必要があります。

IAS サーバー上の証明書

IAS サーバーにインストールされているコンピュータ証明書に関して、以下の事項が真でなければなりません。

• コンピュータ証明書はローカル コンピュータ証明書ストアにインストールされていること。

• コンピュータ証明書には対応する秘密キーがあること。証明書スナップインを用いて証明書のプロパティを参照したときに、[全般] タブ上に「この証明書に対応する秘密キーを持っています。」というテキストが表示されなければなりません。

• 証明書用の暗号化サービス プロバイダではSChannel がサポートされていること。そうでない場合、IAS サーバーが証明書を使用することはできず、リモート アクセス ポリシー用のプロファイルのプロパティに関する [認証] タブからEAP の種類としてのスマートカードまたはその他の証明書のプロパティから IAS サーバーを選択することはできません。

• コンピュータ証明書に証明書の目的としてサーバーの認証 (拡張キー使用法　 [EKU] とも言います) が含まれていること。EKU はオブジェクト識別子 (OID) を使用して識別されます。サーバー認証用の OID は「1.3.6.1.5.5.7.3.1」です。

• コンピュータ証明書は、サブジェクトの別名プロパティ内に、IAS サーバー コンピュータのコンピュータ アカウントの完全修飾ドメイン名(FQDN) を保持していること。

それに加えて、ワイヤレス クライアントのコンピュータ証明書およびユーザー証明書を発行した CA のルート CA 証明書がCertificates (Local Computer)\Trusted Root Certification Authorities\Certificates フォルダにインストールされていなければなりません。

ワイヤレスクライアントコンピュータに関する証明書

ワイヤレス クライアント コンピュータにインストールされているユーザー証明書およびコンピュータ証明書に関して、以下の事項が真でなければなりません。

• それらの証明書には対応する秘密キーがあること。

• それらの証明書はクライアント認証 EKU (OID「1.3.6.1.5.5.7.3.1」) を含んでいること。

• コンピュータ証明書はローカル コンピュータ証明書ストアにインストールされていること。

• コンピュータ証明書は、サブジェクトの別名プロパティ内に、ワイヤレス クライアントのコンピュータ アカウントのFQDN を保持していること。

• ユーザー証明書は現在のユーザー証明書ストアにインストールされていること。

• ユーザー証明書は、サブジェクトの別名プロパティ内に、ユーザー アカウントのユニバーサル プリンシパル名 (UPN) を保持していること。

それに加えて、IAS サーバーのコンピュータ証明書を発行した CA のルート CA 証明書がCertificates (Local Computer)\Trusted Root Certification Authorities\Certificates または Certificates (Current User)\Trusted Root Certification Authorities\Certificates のどちらかのフォルダにインストールされていなければなりません。

クロスフォレスト認証

IAS サーバーはActive Directory を使用して、資格情報を検証し、ユーザー証明書およびコンピュータ アカウントのプロパティを取得します。したがって、ワイヤレスのクライアント コンピュータおよびユーザー用のコンピュータ アカウントおよびユーザー アカウントが以下の認証データベースに存在するときに、ワイヤレス AP と IAS サーバー コンピュータとの間にRADIUS プロキシを配置する必要があります。

• 2 つの別々のActive Directory フォレスト

• 相互信頼関係のない 2 つの別々のドメイン

• 一方向の信頼関係のある 2 つの別々のドメイン

以降の説明では、クロスフォレスト構成が取られているものと想定しています。

アクセス クライアントがユーザー資格情報を送信するとき、多くの場合、ユーザー名が含まれます。ユーザー名には 2 つの要素があります。

• ユーザー アカウント名の識別

• ユーザー アカウントの場所の識別

  たとえば、user1@microsoft.com というユーザー名の場合、user1 はユーザー アカウントの名前を、 microsoft.com はユーザー アカウントの場所を、それぞれ表します。ユーザー アカウントの場所を領域とも言います。領域には以下の形式があります。

• 領域名をプレフィックスとすることができます。

  たとえば、microsoft\user1 の場合、「microsoft」は Windows NT 4.0 ドメインの名前です。

• 領域名をサフィックスとすることができます。

  たとえば、user1@microsoft.com の場合、「microsoft.com」は DNS ドメイン名または Active Directoryベース ドメインの名前のどちらかです。

  注 PEAP-MS-CHAP v2 およびWindows NT 4.0 形式のユーザー名 (たとえば、microsoft\user1) を使用している場合、RADIUS プロキシを使用する必要はありません。

接続の試みの際、認証段階中に、ユーザー名がワイヤレス クライアントからワイヤレス AP に渡されます。ユーザー名は、ワイヤレス AP から構成済みの RADIUS サーバー (この構成ではRADIUS プロキシ) に送信される Access-Request メッセージ中の RADIUS 属性の User-Name となります。RADIUS プロキシが Access-Request メッセージを受信すると、RADIUS プロキシ上の構成済みのルールまたはポリシーによって、どの IAS サーバーに Access-Request メッセージを転送するかが決定されます。

ワイヤレス AP と 2 つの別々の Active Directory フォレスト中の複数の IAS サーバーとの間で RADIUS メッセージを転送するために、IAS RADIUS プロキシが使用されるようすを、図 2 に示します。

図 2: クロスフォレスト認証のための IAS RADIUS プロキシの使用

以下の構成を用いる組織があるとします。

Active Directory ドメイン

Active Directory ドメインには、ユーザーの資格情報を認証して承認するかどうかを評価するために各 IAS サーバーが必要とする、ユーザー アカウント、パスワード、ダイアルインの各プロパティが含まれます。

各フォレストに少なくとも 2 台の IAS サーバー

各フォレストにおけるRADIUS ベースの認証、承認、およびアカウンティングにフォールト トレランス性を持たせるために、少なくとも 2 台の IAS サーバー (1 台はプライマリ サーバー、もう 1 台はセカンダリ サーバー) が使用されています。RADIUS サーバーを 1 台しか構成せず、それが利用不能になった場合、そのフォレストにアクセスするクライアントは接続できなくなります。少なくとも 2 台の IAS サーバーを使用しIAS RADIUS プロキシをプライマリ IAS サーバーとセカンダリ IAS サーバーの両方用に構成することにより、IAS RADIUS プロキシはプライマリRADIUS サーバーが利用できなくなったことを検出して、セカンダリ IAS サーバーに自動的にフェールオーバーすることができます。

リモートアクセスポリシー

グループ メンバシップに基づいて、ユーザーに対して接続に関する種々の制約を指定するために、リモート アクセス ポリシーを構成します。

少なくとも 2 台の IAS RADIUS プロキシ

ワイヤレス AP から送信されるRADIUS 要求にフォールト トレランス性を持たせるために、少なくとも 2 台の IAS RADIUS プロキシ が使用されます。

この例の IAS を構成するには、以下の手順で操作を行います。

1. アカウントおよびグループ用のActive Directory 　フォレストを構成します。

2. 最初のフォレスト内のあるコンピュータ上にプライマリ IAS サーバーを構成します。

3. 最初のフォレスト内の別のコンピュータ上にセカンダリ IAS サーバーを構成します。

4. 2 番目のフォレスト内のあるコンピュータ上にプライマリ IAS サーバーを構成します。

5. 2 番目のフォレスト内の別のコンピュータ上にセカンダリ IAS サーバーを構成します。

6. プライマリ IAS RADIUS プロキシを構成します。

7. セカンダリIAS RADIUS プロキシを構成します。

8. ワイヤレス AP 上にRADIUS 認証およびアカウンティングを構成します。

Windows 2000 用の IAS ではRADIUS プロキシはサポートされていません。しかし、Windows Server 2003 において IAS を使用して、この構成のRADIUS プロキシの働きをさせることができます。詳細情報については、Windows Server 2003 のヘルプとサポート センター内の「フォレスト間にわたる認証」と題するトピックを参照してください。

アカウントおよびグループ用に Active Directory フォレストを構成する

ユーザー アカウントおよびグループ用にActive Directory を構成するには、以下の手順で操作を行います。

1. Windows 2000 のドメイン コントローラ コンピュータにWindows 2000 SP3 以降をインストールします。

2. ワイヤレス接続を行うすべてのユーザーに、対応するユーザー アカウントを持たせます。ワイヤレス接続を行うすべてのコンピュータに、対応するコンピュータ アカウントを持たせます。

3. ユーザー アカウントおよびコンピュータ アカウントに対してリモート アクセス許可を適切に設定します。

4. グループベースのリモート アクセス ポリシーを活用するために、アカウントを適切なグループに編成します。

最初のフォレスト内のあるコンピュータ上にプライマリ IAS サーバーを構成する

最初のフォレスト内のあるコンピュータ上にプライマリ IAS サーバーを構成するには、以下の手順で操作を行います。

1. Windows 2000 IAS を使用している場合、最初のフォレスト内にあるコンピュータ上にオプションのネットワーク コンポーネントとして IAS をインストールし、それから Windows 2000 SP3 以降をインストールします。Windows Server 2003 IAS を使用している場合、最初のフォレスト内にあるコンピュータ上にオプションのネットワーク コンポーネントとして IAS をインストールします。

2. Windows 2000 IAS および PEAP-MS-CHAP v2 認証を使用している場合、Microsoft 802.1X 認証クライアントをインストールします。

3. ドメイン内のユーザー アカウントのプロパティを読むように、IAS サーバー コンピュータを構成します。

4. 他のドメイン内のユーザー アカウントによる接続の試みを IAS サーバーが認証する場合、そのドメインと IAS サーバー コンピュータが属するドメインとの間に相互信頼関係が確立されていることを検証します。次に、他のドメイン内のユーザー アカウントのプロパティを読むように、IAS サーバー コンピュータを構成します。

5. 必要があれば、アカウンティング イベントおよび認証イベントのロギングを有効にします。

6. IAS サーバーのRADIUS クライアントとして、IAS RADIUS プロキシを追加します。正しい名前または IP アドレスおよび共有シークレットを構成していることを確認します。

7. 最初のフォレスト内のワイヤレス クライアント用に適切なリモート アクセス ポリシーを設定します。

最初のフォレスト内の別のコンピュータ上にセカンダリ IAS サーバーを構成する

最初のフォレスト内の別のコンピュータ上にセカンダリ IAS サーバーを構成するには、以下の手順で操作を行います。

1. Windows 2000 IAS を使用している場合、最初のフォレスト内の別のコンピュータにオプションのネットワーク コンポーネントとして IAS をインストールし、それから Windows 2000 SP3 以降をインストールします。Windows Server 2003 IAS を使用している場合、最初のフォレスト内の別のコンピュータにオプションのネットワーク コンポーネントとして IAS をインストールします。

2. Windows 2000 IAS および PEAP-MS-CHAP v2 認証を使用している場合、Microsoft 802.1X 認証クライアントをインストールします。

3. ドメイン内のユーザー アカウントのプロパティを読むように、セカンダリ IAS サーバー コンピュータを構成します。

4. 他のドメイン内のユーザー アカウントによる接続の試みをセカンダリ IAS サーバーが認証する場合、そのドメインとセカンダリ IAS サーバー コンピュータが属するドメインとの間に相互信頼関係が確立されていることを検証します。次に、他のドメイン内のユーザー アカウントのプロパティを読むように、セカンダリ IAS サーバー コンピュータを構成します。

5. プライマリ IAS サーバーの構成をセカンダリ IAS サーバーにコピーします。

2 番目のフォレスト内のあるコンピュータ上にプライマリ IAS サーバーを構成する

2 番目のフォレスト内のあるコンピュータ上にプライマリ IAS サーバーを構成するには、以下の手順で操作を行います。

1. Windows 2000 IAS を使用している場合、2 番目のフォレスト内のあるコンピュータにオプションのネットワーク コンポーネントとして IAS をインストールし、それから Windows 2000 SP3 以降をインストールします。Windows Server 2003 IAS を使用している場合、2 番目のフォレスト内のあるコンピュータにオプションのネットワーク コンポーネントとして IAS をインストールします。

2. Windows 2000 IAS および PEAP-MS-CHAP v2 認証を使用している場合、Microsoft 802.1X 認証クライアントをインストールします。

3. 適切なドメイン システム コンテナ内のユーザー アカウントのプロパティを読むように、プライマリ IAS サーバー コンピュータを構成します。

4. 他のドメイン内のユーザー アカウントによる接続の試みを IAS サーバーが認証する場合、そのドメインと IAS サーバー コンピュータが属するドメインとの間に相互信頼関係が確立されていることを検証します。次に、他のドメイン内のユーザー アカウントのプロパティを読むように、IAS サーバー コンピュータを構成します。

5. 必要があれば、アカウンティング イベントおよび認証イベントのロギングを有効にします。

6. IAS サーバーのRADIUS クライアントとして、IAS RADIUS プロキシを追加します。正しい名前または IP アドレスおよび共有シークレットを構成していることを確認します。

7. 2 番目のフォレスト内のワイヤレス クライアント用に適切なリモート アクセス ポリシーを設定します。

2 番目のフォレスト内の別のコンピュータ上にセカンダリ IAS サーバーを構成する

2 番目のフォレスト内の別のコンピュータ上にセカンダリ IAS サーバーを構成するには、以下の手順で操作を行います。

1. Windows 2000 IAS を使用している場合、2 番目のフォレスト内の別のコンピュータにオプションのネットワーク コンポーネントとして IAS をインストールし、それから Windows 2000 SP3 以降をインストールします。Windows Server 2003 IAS を使用している場合、2 番目のフォレスト内の別のコンピュータにオプションのネットワーク コンポーネントとして IAS をインストールします。

2. Windows 2000 IAS および PEAP-MS-CHAP v2 認証を使用している場合、Microsoft 802.1X 認証クライアントをインストールします。

3. 適切なドメイン システム コンテナ内のユーザー アカウントのプロパティを読むように、セカンダリ IAS サーバー コンピュータを構成します。

4. 他のドメイン内のユーザー アカウントによる接続の試みをセカンダリ IAS サーバーが認証する場合、そのドメインとセカンダリ IAS サーバー コンピュータが属するドメインとの間に相互信頼関係が確立されていることを検証します。次に、他のドメイン内のユーザー アカウントのプロパティを読むように、セカンダリ IAS サーバー コンピュータを構成します。

5. 2 番目のフォレスト内のプライマリ IAS サーバーの構成をセカンダリ IAS サーバーにコピーします。

プライマリ IAS RADIUS プロキシを構成する

プライマリ IAS RADIUS プロキシを構成するには、以下の手順で操作を行います。

1. Windows Server 2003 が稼働しているコンピュータにオプションのネットワーク コンポーネントとして IAS をインストールします。IAS をインストールするコンピュータはRADIUS メッセージの転送専用である必要はありません。たとえば、ファイル サーバー上に IAS をインストールすることができます。

2. 必要があれば、ワイヤレス AP から送信されてくるRADIUS メッセージのために、追加の UDP ポートを構成します。既定では、IAS は認証用には UDP ポートの1812 と 1645 を使用し、アカウンティング用には UDP ポートの1813 と1646 を使用します。

3. IAS RADIUS プロキシのRADIUS クライアントとして、ワイヤレス AP を追加します。正しい名前または IP アドレスおよび共有シークレットを構成していることを確認します。

4. (最初のフォレスト内のアカウントの領域名に基づいた) RADIUS 要求メッセージを最初のフォレスト内の IAS サーバーに転送するための、接続要求ポリシーを設定します。接続要求をリモートRADIUS サーバー グループ内にあって、最初のフォレスト内のユーザー アカウントの領域名に領域名が合致する場所に、接続要求を転送するための接続要求ポリシーを、新しい接続要求ポリシー ウィザードを使用して作成します。認証用の領域名を除去するチェック ボックスをオフにします。新しい接続要求ポリシー ウィザード内で、最初のフォレスト内の IAS サーバーを 2 台含むメンバを有するリモート RADIUS サーバー グループ を、新しいリモート RADIUS サーバー グループ ウィザードを使用して作成します。

5. (2 番目のフォレスト内のアカウントの領域名に基づいた) RADIUS 要求メッセージを 2 番目のフォレスト内の IAS サーバーに転送するための、接続要求ポリシーを設定します。接続要求をリモートRADIUS サーバー グループ内にあって、2 番目のフォレスト内のユーザー アカウントの領域名に領域名が合致する場所に、接続要求を転送するための接続要求ポリシーを、新しい接続要求ポリシー ウィザードを使用して作成します。認証用の領域名を除去するチェック ボックスをオフにします。新しい接続要求ポリシー ウィザード内で、2 番目のフォレスト内の IAS サーバーを 2 台含むメンバを有するリモート RADIUS サーバー グループ を、新しいリモート RADIUS サーバー グループ ウィザードを使用して作成します

6. Windows 認証をすべてのユーザーに使用するという名前の既定の接続要求ポリシーを削除します。

セカンダリ IAS RADIUS プロキシを構成する

他のコンピュータ上でセカンダリ IAS RADIUS プロキシを構成するには、以下の手順で操作を行います。

1. Windows Server 2003 が稼働している他のコンピュータ上で、オプションのネットワーク コンポーネントとして、IAS をインストールします。

2. プライマリ IAS RADIUS プロキシの構成をセカンダリIAS RADIUS プロキシにコピーします。

ワイヤレス AP 上で RADIUS 認証およびアカウンティングを構成する

サードパーティのワイヤレス AP 上でRADIUS の以下の設定項目を構成します。

1. プライマリRADIUS サーバーの IP アドレスまたは名前、共通の共有シークレット、認証およびアカウンティングのための UDP ポート、および障害検出の設定

2. セカンダリRADIUS サーバーの IP アドレスまたは名前、共通の共有シークレット、認証およびアカウンティングのための UDP ポート、および障害検出の設定

2 つの IAS RADIUS プロキシの間の RADIUS トラフィックの負荷を分散するために、ワイヤレス AP の半分では、プライマリ IAS RADIUS プロキシをプライマリ RADIUS サーバーとして、セカンダリ IAS RADIUS プロキシをセカンダリ RADIUS サーバーとして、残りの半分のワイヤレス AP では、セカンダリ IAS RADIUS プロキシをプライマリ RADIUS サーバーとして、プライマリ IAS RADIUS プロキシをセカンダリ RADIUS サーバーとして、それぞれ構成します。

詳細情報については、ワイヤレス AP に関するドキュメントを参照してください。Enterasys ワイヤレス AP の情報については、http://www.enterasys.com/ を参照してください。Cisco のアクセス ポイントの情報については、同社のホーム ページ http://www.cisco.com/ を参照してください。Agere Systems のアクセス ポイントの情報については、同社の ORiNOCO Web サイト http://www.orinocowireless.com/ を参照してください。

大量の認証を行うための RADIUS の使用

EAP-TLS および証明書を使用して多数のワイヤレス クライアントの認証を行うとき、ワイヤレス クライアントの接続を保つために必要な認証トラフィックは相当の量に上ることがあります。大規模に展開する際には、認証トラフィックの負荷を複数の IAS サーバー コンピュータの間に分散させるように努めることが最善です。認証トラフィックを複数の IAS サーバーの間に一貫してまたは適切に分散させることを、ワイヤレス AP に頼ることはできません。中間の IAS RADIUS プロキシがこのサービスを提供することができます。

RADIUS プロキシが存在しない場合、各ワイヤレス APはRADIUS 要求を 1 つ以上のRADIUS サーバー宛てに送信します。その結果、利用できないRADIUS サーバーが検出されることがあります。ワイヤレス AP はRADIUS トラフィックの負荷を複数のRADIUS 　サーバーの間に分散させられることも分散させられないこともあるでしょう。IAS RADIUS プロキシを使用することにより、一貫性のある負荷分散機能を使用して、認証、承認、およびアカウンティングのトラフィック負荷を組織内のすべての IAS サーバーにわたって分散させることができます。それに加えて、一貫した方式で、障害の検出、RADIUS 　サーバーのフェール オーバーおよびフェール バックを行うことができます。

以下の構成を用いる組織があるとします。

Active Directory ドメイン

Active Directory ドメインには、ユーザーの資格情報を認証して承認するかどうかを評価するために各 IAS サーバーが必要とする、ユーザー アカウント、パスワード、ダイアルインの各プロパティが含まれます。

複数の IAS サーバー

RADIUS の認証、承認、およびアカウンティングのトラフィックの負荷を分散するために、複数の IAS サーバーが使用されています。

リモートアクセスポリシー

グループ メンバシップに基づいて、ユーザーに対して接続に関する種々の制約を指定するために、リモート アクセス ポリシーを構成します。

2 台の IAS RADIUS プロキシ

ワイヤレス AP から送信されるRADIUS 要求にフォールト トレランス性を持たせるために、少なくとも 2 台の IAS RADIUS プロキシ が使用されています。

ワイヤレス AP からのRADIUS トラフィックの負荷を複数の IAS サーバーにわたって分散するために、IAS RADIUS プロキシを使用するようすを、図 3 に示します。

図 3: 認証トラフィックの負荷を分散するための IAS RADIUS プロキシの使用

この例の IAS を構成するには、以下の手順で操作を行います。

1. ユーザー アカウントおよびグループ用のActive Directory 　フォレストを構成します。

2. 複数のコンピュータ上にRADIUS サーバーとして IAS を構成します。

3. プライマリ IAS RADIUS プロキシを構成します。

4. セカンダリ IAS RADIUS プロキシを構成します。

5. ワイヤレス AP 上にRADIUS 認証およびアカウンティングを構成します。

Windows 2000 用の IAS ではRADIUS プロキシはサポートされていません。しかし、Windows Server 2003 において IAS を使用して、この構成のRADIUS プロキシの働きをさせることができます。詳細情報については、Windows Server 2003 のヘルプとサポート センター内の「負荷分散のための IAS プロキシの使用」と題するトピックを参照してください。

ユーザーアカウントおよびグループ用に Active Directory を構成する

ユーザー アカウントおよびグループ用にActive Directory を構成するには、以下の手順で操作を行います。

1. Windows 2000 の各ドメイン コントローラ コンピュータにWindows 2000 SP3 以降をインストールします。

2. ワイヤレス接続を行うすべてのユーザーに、対応するユーザー アカウントを持たせます。ワイヤレス接続を行うすべてのコンピュータに、対応するコンピュータ アカウントを持たせます。

3. ユーザー アカウントおよびコンピュータ アカウントに対してリモート アクセス許可を適切に設定します。

4. グループベースのリモート アクセス ポリシーを活用するために、アカウントを適切なグループに編成します。

複数のコンピュータ上に RADIUS サーバーとして IAS を構成する

各コンピュータ上にRADIUS サーバーとして IAS を構成するには、以下の手順で操作を行います。

1. Windows 2000 IAS を使用している場合、オプションのネットワーク コンポーネントとして IAS をインストールし、それから Windows 2000 SP3 以降をインストールします。Windows Server 2003 IAS を使用している場合、オプションのネットワーク コンポーネントとして IAS をインストールします。

2. Windows 2000 IAS および PEAP-MS-CHAP v2 認証を使用している場合、Microsoft 802.1X 認証クライアントをインストールします。

3. 適切なドメイン システム コンテナ内のユーザー アカウントのプロパティを読むように、各 IAS サーバー コンピュータを構成します。

4. 必要があれば、アカウンティング イベントおよび認証イベントのロギングを有効にします。

5. RADIUS クライアントとして、IAS RADIUS プロキシを追加します。正しい名前または IP アドレスおよび共有シークレットを構成していることを確認します。

6. ワイヤレス ネットワーク アクセス用の適切なリモート アクセス ポリシーを設定します。

プライマリ IAS RADIUS プロキシを構成する

プライマリ IAS RADIUS プロキシを構成するには、以下の手順で操作を行います。

1. Windows Server 2003 が稼働しているコンピュータにオプションのネットワーク コンポーネントとして IAS をインストールします。IAS をインストールするコンピュータはRADIUS メッセージの転送専用である必要はありません。たとえば、ファイル サーバー上に IAS をインストールすることができます。

2. 必要があれば、ワイヤレス AP から送信されてくるRADIUS メッセージのために、追加の UDP ポートを構成します。既定では、IAS は認証用には UDP ポートの1812 と 1645 を使用し、アカウンティング用には UDP ポートの1813 と 1646 を使用します。

3. IAS サーバーのRADIUS クライアントとして、ワイヤレス AP を追加します。正しい名前または IP アドレスおよび共有シークレットを構成していることを確認します。

4. 新しいリモート RADIUS サーバー グループ ウィザードを使用して、カスタム リモート RADIUS サーバー グループを作成します。リモート RADIUS サーバー グループのメンバとして各IAS RADIUS サーバーを追加し、優先度 1 およびウェイト 50 (既定の設定) を付して各グループ メンバを構成します。

5. ドメイン内のアカウントに領域名が合致する IAS サーバーにRADIUS 要求メッセージを転送する、接続要求ポリシーを設定します。リモートRADIUS サーバーおよびフォレスト内のユーザー アカウントの領域名に領域名が合致する場所に接続要求を転送する接続要求ポリシーを、新しい接続要求ポリシー ウィザードを使用して作成します。認証用の領域名を除去するチェック ボックスをオフにします。接続要求の転送先のグループとして、前に作成したリモートRADIUS サーバー グループを選択します。

6. Windows 認証をすべてのユーザーに使用するという名前の既定の接続要求ポリシーを削除します。

セカンダリ IAS RADIUS プロキシを構成する

他のコンピュータ上でセカンダリ IAS RADIUS プロキシを構成するには、以下の手順で操作を行います。

1. Windows Server 2003 が稼働している他のコンピュータにオプションのネットワーク コンポーネントとして IAS をインストールします。

2. プライマリ IAS RADIUS プロキシの構成をセカンダリ IAS RADIUS プロキシにコピーします。

ワイヤレス AP 上で RADIUS 認証およびアカウンティングを構成する

サードパーティのワイヤレス AP 上でRADIUS の以下の設定項目を構成します。

1. プライマリRADIUS サーバーの IP アドレスまたは名前、共通の共有シークレット、認証およびアカウンティングのための UDP ポート、および障害検出の設定

2. セカンダリRADIUS サーバーの IP アドレスまたは名前、共通の共有シークレット、認証およびアカウンティングのための UDP ポート、および障害検出の設定

2 つの IAS RADIUS プロキシの間の RADIUS トラフィックの負荷を分散するために、ワイヤレス AP の半分ではプライマリ IAS RADIUS プロキシをプライマリ RADIUS サーバーとして、セカンダリ IAS RADIUS プロキシをセカンダリ RADIUS サーバーとして、残りの半分のワイヤレス AP ではセカンダリ IAS RADIUS プロキシをプライマリ RADIUS サーバーとして、プライマリ IAS RADIUS プロキシをセカンダリ RADIUS サーバーとして、それぞれ構成します。

詳細情報については、ワイヤレス AP に関するドキュメントを参照してください。Enterasys ワイヤレス AP の情報については、http://www.enterasys.com/ を参照してください。Cisco のアクセス ポイントの情報については、同社のホーム ページ http://www.cisco.com/ を参照してください。Agere Systems のアクセス ポイントの情報については、同社の ORiNOCO Web サイト http://www.orinocowireless.com/ を参照してください。

まとめ

EAP-TLS または PEAP-MS-CHAP v2 のどちらかを用いて、セキュリティで保護されたワイヤレス認証およびセッション単位の動的な WEP キー管理を実施することができます。EAP-TLS の場合、コンピュータ証明書を IAS サーバーに対して発行するとともに、コンピュータ証明書とユーザー証明書の両方をワイヤレスのクライアント コンピュータおよびユーザーに発行することのできる、証明書インフラストラクチャを展開しなければなりません。PEAP-MS-CHAP v2 の場合、IAS サーバー上にコンピュータ証明書をインストールする必要があるだけです。ただし、適切なルート CA 証明書がワイヤレス クライアント上に既にインストールされているものとします。どちらの場合も、Active Directory のユーザーおよびグループをワイヤレス アクセスのために管理し、ワイヤレス AP へのRADIUS サーバーとして IAS サーバーを構成し、IAS サーバーへのRADIUS クライアントとしてワイヤレス AP を構成しなければなりません。また、ビジネス パートナー向けにインターネット アクセスを構成し、サードパーティの CA を使用し、クロスフォレスト認証または負荷分散のためにIAS RADIUS プロキシを構成することもできます。

関連リンク

詳細情報については、以下のリソースを参照してください。

• Windows 2000 セキュリティ サービス

  https://www.microsoft.com/japan/windows2000/technologies/security/default.asp

• Windows 2000 Service Pack 3 日本語版

  https://www.microsoft.com/downloads/details.aspx?FamilyID=687646b3-fdd7-4c6b-b1a9-8441ef2157d4\&DisplayLang=ja

• Wi-Fi Web site (英語)

  https://www.microsoft.com/windowsserver2003/technologies/networking/wifi/default.mspx

• Microsoft 802.1X Authentication Client (英語)

  https://www.microsoft.com/windows2000/server/evaluation/news/bulletins/8021xclient.asp

• Internet Authentication Service Web site (英語)

  https://www.microsoft.com/windows2000/technologies/communications/ias/

• Windows XP Wireless Deployment Technology and Component Overview (英語)

  https://www.microsoft.com/technet/network/wifi/wificomp.mspx

• Troubleshooting Windows XP IEEE 802.11 Wireless Access (英語)

  https://www.microsoft.com/technet/network/wifi/wifitrbl.mspx

• Windows 2000 Server Help (英語)

  https://www.microsoft.com/windows2000/en/server/help/

Windows XP の最新情報については、Windows XP 製品サイト (https://www.microsoft.com/japan/windowsxp/) を参照してください。