PEAP およびパスワードでワイヤレス LAN のセキュリティを保護する
-
[アーティクル]
-
-
第 8 章: セキュリティ保護されたワイヤレス LAN ソリューションを維持する
公開日: 2004年9月7日
トピック
はじめに
概要
章の前提条件
基本的な保守タスク
WLAN インフラストラクチャを運用する
トラブルシューティング
要約
参照情報
はじめに
この章では、「PEAP とパスワードでワイヤレス LAN のセキュリティを保護する」ソリューションの管理で必要となる操作手順について説明します。インターネット認証サービス (IAS)、証明機関 (CA)、ワイヤレス アクセス ポイント (AP)、WLAN クライアントなどのワイヤレス ローカル エリア ネットワーク (WLAN) セキュリティ インフラストラクチャを維持するために実行する必要がある主な操作タスクやサポート タスクについて説明します。この章では、セキュリティ サービス以外の管理、つまりネットワーク トラフィックの分析や最適化などの一般的なネットワーク管理については説明していません。
ページのトップへ
概要
この章の主な内容は以下のとおりです。
基本的な保守タスク: 管理システムを設定するために必要な主なタスク (バックアップ ジョブの構成など)、およびシステムを維持するために定期的に実行する必要があるタスク (週単位で実行するハウスキーピング タスクなど) について説明します。
WLAN インフラストラクチャを運用する: WLAN セキュリティ インフラストラクチャを維持するために実行する必要のあるさまざまなタスクの詳細について説明します。サブセクションで、標準的な運用タスク、実装変更、サポート タスク、および最適化タスクに関する情報について説明します。
トラブルシューティング: WLAN インフラストラクチャで発生する可能性のある一般的な問題のトラブルシューティングに役立つ手順やフローチャートについて説明します。さまざまなコンポーネントのログを有効にする便利なトラブルシューティング ツールや手順についても説明します。
参照情報: この章で参照している補足情報の一覧について説明します。
ページのトップへ
章の前提条件
Microsoft® Windows® Server 2003 または Windows 2000 Server の管理に習熟している必要があります。特に、以下の知識が重要です。
Microsoft Windows Server 2003 の基本的な操作および保守 (イベント ビューア、コンピュータの管理、NTBackup などのツールの使用を含みます)
IAS
証明書サービス
Microsoft Active Directory® ディレクトリ サービス (Active Directory 構造とツール)、ユーザーやグループなどの Active Directory オブジェクトの管理、およびグループ ポリシーの使用
ユーザー、グループ、監査、アクセス制御リスト (ACL)、セキュリティ テンプレートの使用、グループ ポリシーやコマンド ライン ツールを使用したセキュリティ テンプレートの適用などの、Windows システムのセキュリティ概念
ワイヤレス LAN や一般的なネットワークの概念
Windows スクリプト ホストや Microsoft Visual Basic® Scripting Edition (VBScript) に関する知識 (このソリューションに用意されているスクリプトの理解と使用に役立ちます)
また、以下の章を読み、このソリューションのアーキテクチャと設計を十分に理解している必要があります。
第 2 章: ワイヤレス LAN のセキュリティの実装を計画する
第 3 章: 環境を準備する
第 4 章: ネットワーク証明機関を構築する
第 5 章: ワイヤレス LAN のセキュリティ インフラストラクチャを構築する
第 6 章: ワイヤレス LAN クライアントを構成する
ページのトップへ
基本的な保守タスク
ここでは、WLAN インフラストラクチャを正常に運用するために実行する必要のある主要なタスクについて説明します。これらのタスクは、以下の 2 つに分類されます。
また、この章で説明する手順で使用するツールやテクノロジについても説明します。
最初に行うセットアップ タスク
以下の表は、WLAN セキュリティ インフラストラクチャの運用を開始するために実行する必要のあるタスクを示しています。
表 8.1: 最初に行うセットアップ タスク
| IAS バックアップを構成する |
運用タスク |
| 警告の種類を構成する |
監視 |
| IAS の監視を有効にする |
監視 |
| CA の監視を有効にする |
監視 |
#### 保守タスク
以下の表は、LAN セキュリティ インフラストラクチャを正常に運用するために定期的に実行する必要のあるタスクを示しています。この表は、システムを管理するために必要なリソースや運用スケジュールを計画するのに役立ちます。
**表 8.2: 保守タスク**
#### 必要なツールとテクノロジ
以下の表は、このガイドで説明する手順で使用するツールとテクノロジの一覧です。
**表 8.3: 必須テクノロジ**
| [Active Directory ユーザーとコンピュータ] 管理コンソール (MMC) |
Windows Server 2003 |
| 証明機関 MMC |
Windows Server 2003 |
| Certutil.exe |
Windows Server 2003 |
| DCDiag.exe |
Windows Server 2003 サポート ツール |
| DSquery.exe |
Windows Server 2003 |
| イベント ビューア |
Windows Server 2003 |
| グループ ポリシー管理コンソール (GPMC) |
Microsoft.com からの Web ダウンロード |
| MSS WLAN Tools |
このソリューションの一部としてインストールされるスクリプト |
| Netdiag.exe |
Windows Server 2003 サポート ツール |
| パフォーマンス モニタ |
Windows Server 2003 |
| PKI Health |
Windows Server 2003 Resource Kit |
| ルート CA をバックアップするためのリムーバブル メディア |
CD-RW またはテープ |
| SchTasks.exe |
Windows Server 2003 |
| テキスト エディタ |
Windows Server 2003 のメモ帳 |
| Windows バックアップ |
Windows Server 2003 |
| Windows タスク スケジューラ サービス |
Windows Server 2003 |
**表 8.4: 推奨テクノロジ**
| 運用警告用の電子メール インフラストラクチャ |
SMTP/POP3/IMAP サーバーとクライアント (Microsoft Exchange Server、Microsoft Outlook® など) |
| 運用警告コンソール |
Microsoft Operations Manager またはその他のサービス監視システム |
| オペレーティング システム更新プログラムの配布 |
Microsoft Systems Management Server (SMS) または Microsoft Software Update Services (SUS) |
[](#mainsection)[ページのトップへ](#mainsection)
### WLAN インフラストラクチャを運用する
ここでは、WLAN セキュリティ インフラストラクチャを維持するために実行する必要のある主なタスクについて説明します。
#### 運用タスク
運用タスクには、WLAN インフラストラクチャを正常に機能させるために定期的に実行する必要のあるジョブが含まれます。
##### IAS および証明機関をバックアップする
CA を実行している IAS サーバーなどの IAS サーバーを定期的にバックアップする必要があります。IAS では、設定をファイルにエクスポートする特別な手順が必要です。エクスポート後、そのファイルを通常のファイル バックアップを使用してバックアップできます。証明書サービスは、Windows バックアップ ツールにある Windows システム状態バックアップを使用してバックアップできます。IAS が実行されているすべてのサーバーについて、適切なバックアップ手順を確立してください。
以下の 2 つの手順は併用できます。IAS のバックアップとサーバーのバックアップは、どちらも構成する必要があります。
###### IAS バックアップを構成する
制限されたアクセスを持つフォルダを作成する必要があります。そのフォルダに、IAS 構成を毎晩エクスポートします。また、IAS 構成のバックアップを毎晩実行する、スケジュールされたジョブを作成する必要があります (バックアップ スクリプトは、バックアップ処理中に IAS のシャットダウンを必要としません)。バックアップが成功すると、Windows アプリケーション ログにイベントが書き込まれます。バックアップに失敗した場合は、エラー イベントがログに記録されます。
**注意:** IAS バックアップ ファイルには、RADIUS クライアントのシークレットがすべて含まれます。これは非常に機密性の高い情報なので、バックアップ データがセキュリティ保護された状態で格納されるよう十分注意してください。
**IAS バックアップを構成するには**
1. サーバーで、\[MSS WLAN Tools\] ショートカットを使用してコマンド シェルを開き、以下のコマンドを入力して IAS 設定の保存先となるフォルダを作成します。
**mdc:\\IASBackup**
(IAS 構成は通常 100 KB 以下で、上記のようにシステム ドライブに保存できます)
2. 以下のコマンドを使用してフォルダのアクセス許可を設定し、内容の読み取りや変更を管理者とバックアップ担当者だけに許可します。
**cacls c:\\IASBackup /G system:F administrators:F "Backup Operators":C**
(コマンドが折り返されて表示されることがありますが、実際には 1 行で入力してください。)
3. バックアップをテストするには、以下のコマンドを発行します。
**"C:\\Documents and Settings\\<ユーザー名>\\My Documents\\Securing\_Wireless\_LANs\_with\_PEAP\_and\_Passwords\\Tools and templates\\msstools.cmd" BackupIAS /path:C:\\IASBackup**
(コマンドが折り返されて表示されることがありますが、実際には 1 行で入力してください。文字列 "Tools and templates" には、"Tools" の後ろと "and" の後ろにスペースがあります。)
**注:** バックアップが正常に終了した場合、イベントが Windows アプリケーション ログと画面に出力されます。異常があった場合は、エラー イベントがログ記録されます。
4. IAS 構成のエクスポートを毎晩実行する、スケジュールされたタスクを作成します。たとえば、以下のコマンドを実行すると、毎晩午後 10:00 に実行されるジョブをスケジュールできます。
**SCHTASKS /Create /RU system /SC Daily /TN "IAS Backup"/TR "\\"C:\\Documents and Settings\\<ユーザー名>\\My Documents\\Securing\_Wireless\_LANs\_with\_PEAP\_and\_Passwords\\Tools and templates\\msstools.cmd\\" BackupIAS /path:C:\\IASBackup" /ST 22:00**
(コマンドが折り返されて表示されることがありますが、実際には 1 行で入力してください。文字列 "Tools and templates" には、"Tools" の後ろと "and" の後ろにスペースがあります。)
**注:** msstools.cmd スクリプト ファイルへのパスをバックスラッシュ (日本語システムの場合は円記号 (¥)) で囲むことにより、Windows コマンド シェルでは二重引用符 (") は解釈されずにコマンドから除外されます。タスク スケジューラに渡されて格納されるコマンドは、手順 3 に示されているとおりになります。
###### サーバーをバックアップする
IAS 構成をディスクにバックアップするようスケジュールされたタスクを設定したら、サーバーのシステム状態とエクスポートされた IAS 構成ファイルを、リムーバブル メディアやネットワークの場所に定期バックアップするよう構成する必要があります。これを行う最も簡単な方法は、組み込みの Windows バックアップ ツールを使用することです。別なバックアップ システムを使用する場合、Windows システム状態バックアップと同等の機能が含まれているかどうかを確認する必要があります (使用するバックアップ システムのドキュメントを参照してください)。システム状態バックアップ (またはその同等機能) は、Active Directory や、証明書サービスのキーと証明書データベースを正しくバックアップするために不可欠です。
使用するバックアップ ソフトウェアに Windows システム状態バックアップ機能がない場合は、以下の手順を実行します。
- Windows バックアップで、システム状態をサーバー上のファイルにバックアップするよう構成します (システム状態バックアップのサイズは 500 MB 以上になるため、十分な空きディスク容量があることを確認してください)。手順の詳細については、Windows バックアップのオンライン ヘルプを参照してください。
- 使用するバックアップ ソフトウェアを、前述の手順で説明した IAS バックアップ ファイルの他に、システム状態バックアップ ファイルもコピーするよう構成します。
バックアップのセキュリティと整合性を確保するため、以下を実行してください。
- 複数のバックアップ操作をスケジュールする場合は、お互いに重ならないよう注意します。重なると、バックアップ データが破損する危険があります。
- サーバーやシステム状態のバックアップは、IAS バックアップの開始から最低でも 10 分後に開始します。
- システム状態とサーバー ファイルを別々にバックアップする場合は、システム状態のバックアップに少なくとも 1 時間を見込み、その後にサーバー ファイルのバックアップを開始します。
- バックアップ データの最新コピーは、必ず、バックアップするサーバー以外の物理的な場所に格納します。こうすると、そのサイトのコンピュータ設備がすべて破壊されたりアクセスできなくなった場合のサーバーの回復に役立ちます。
**注意:** このバックアップ データは非常に機密性が高く、サーバー上のすべての AP に関する RADIUS シークレット、CA のすべての秘密キー マテリアル、および Active Directory データベースが含まれています。バックアップ メディアの運搬と格納についてセキュリティを確保してください。このデータへの許可されていないアクセスがあると、組織全体のセキュリティが侵害される危険性があります。
##### バックアップをテストする
システム バックアップが適切かどうかをテストする唯一の方法は、バックアップをテスト サーバー上に復元して、復元されたサーバーが予期したとおりに機能するかどうかを検証することです。システム状態バックアップは、バックアップ対象サーバーとディスク レイアウトが同一のシステムに復元してください。たとえば、Windows は、テスト復元サーバーとバックアップ対象サーバーで同じパスにインストールされる必要があり、Windows ファイル (ページ ファイルなど) が格納されるドライブ レイアウトもこの 2 つのサーバーで同一である必要があります。
**重要:** 名前と IP アドレスがテスト復元サーバーと元のサーバーとで衝突しないようにするため、システム状態の復元を開始したら、テスト サーバーはオフラインにしてください。
**サーバーを復元するには**
1. バックアップ データの復元先となる復元サーバーを用意します。復元サーバーでは、バックアップ対象サーバーと同じエディションの Windows Server 2003 を使用する必要があります (このサーバーに、ソリューション スクリプトもインストールする必要があります。詳細については、「第 3 章: 環境を準備する」の「ソリューション ツールをインストールする」を参照してください)。
2. システム状態バックアップとファイル バックアップを分けている場合は、バックアップ ソフトウェアを使用して、システム状態バックアップ ファイルと IAS 設定バックアップ ファイルをバックアップ メディアからサーバーに復元します。IAS 設定は、同じパス C:\\IASBackup に復元してください。
3. Windows バックアップ ユーティリティを実行して、復元されたシステム状態バックアップ ファイルを選択します。このとき、そのコンピュータでバックアップと復元の権限を持つグループ (Backup Operators、Administrators など) のメンバである必要があります。
4. \[復元\] をクリックします。
5. システムを再起動します。
6. 再起動後にすべてが正常に機能すること、および Active Directory および証明書サービスがエラーなく起動したこと を確認します (実際には、サーバーがネットワークに接続されていないことに起因するエラーがイベント ログに記録されます)。
7. \[MSS WLAN Tools\] ショートカットを使用して、コマンド シェルを開きます。以下のコマンドを実行して IAS 構成を復元します。
**MSSTools RestoreIAS /path:C:\\IASBackup**
8. IAS 管理コンソールを開き、RADIUS クライアント フォルダと \[リモート アクセス ポリシー\] フォルダをチェックすることにより、IAS 設定が復元されたことを確認します。
#### 監視
ここでは、WLAN セキュリティ インフラストラクチャの IAS および CA コンポーネントの監視について説明します。ワイヤレス AP などのネットワーク デバイスの監視についてや、Windows サーバーの監視に関する一般的なアドバイスについては説明していません。Windows サーバーの監視に関する情報については、この章の末尾の「参照情報」を参照してください。
ここで説明するほとんどの手順は、このソリューションに付属している自動監視スクリプトを使用しています。これらのスクリプトは、エラーを検出すると警告を生成し、場合によってはエラーからの回復を試行します。
##### 警告の種類を構成する
監視スクリプトが生成したあらゆる警告は、Windows アプリケーション イベント ログまたは 1 つ以上の電子メールの宛先 (もしくはその両方) に送信できます。監視ツールを有効にする前に、必要な警告の種類を指定する必要があります。また、電子メールで警告を送信する場合は、受信者の電子メール アドレスとメッセージの送信先となる電子メール サーバーの名前を指定する必要があります。
これらのパラメータを指定するには、constants.vbs ファイルを編集する必要があります。このファイルの該当部分を以下に示します。変更が必要な可能性がある項目は "*斜体*" で示されています。
```
' Alerting parameters
CONST ALERT_EMAIL_ENABLED = FALSE 'set to enable/disable e-mail
CONST ALERT_EVTLOG_ENABLED = TRUE 'set to enable/disable eventlog entries
' set to comma-separated list of recipients to get e-mail alerts
CONST ALERT_EMAIL_RECIPIENTS
= "Admin@woodgrovebank.com,Ops@woodgrovebank.com"
'SMTP server to use (use DNS name or IP address)
CONST ALERT_EMAIL_SMTP = "mail.woodgrovebank.com"
```
IAS を監視する
IAS は、Windows のシステム ログに多数のさまざまなイベントを記録します。このようなイベントには、サービスの開始や停止 (および関連するエラーや警告)、認証の試行の通知などがあります (認証要求ログ エントリについては、この章で後述する「トラブルシューティング」で詳しく説明します)。
IAS の監視を有効にする
このソリューションには、IAS の応答を監視する簡単なスクリプトが含まれています。このスクリプトでは、IAS プロセスが実行されているかどうかを確認します。実行されている場合、このスクリプトは "サーバー データ オブジェクト" インターフェイスを使用して IAS のクエリを試行します。以下のいずれかのチェックがエラーになった場合は、スクリプトによって警告が発行されます。
注: 監視スクリプトは、成功した RADIUS 認証をチェックしません。IAS プロセスの一般的な応答だけをチェックします。エンドツーエンドの RADIUS 操作をチェックするには、ワイヤレス AP による WLAN クライアント要求のリレーを RADIUS クライアントでエミュレートする必要があります。
以下の手順では、監視スクリプトをスケジュールされたタスクとして実行し、IAS の応答が停止した場合に自動的に警告を生成するよう構成する方法について説明します。ただし、スクリプトはサーバーで実行されるので、サーバーそのものがエラーになった場合には警告は生成されません。したがって、サーバーも監視して、サーバーがアクティブであり応答していることを確認する必要があります。以下の手順を実行して、各 IAS サーバーでスクリプトをスケジュールされたタスクとして実行するよう構成する必要があります。
エラーが検出されるたびに、警告が電子メールで送信され (電子メール警告が構成されている場合)、イベントがアプリケーション ログに書き込まれます (ログに記録されるイベントの種類の詳細については、次の表を参照してください)。CA 監視スクリプトとは異なり、IAS の再起動による問題の解決は試行されません。これは、IAS は CA とは異なり、WLAN クライアントを継続的に認証する必要があり、監視スクリプトが IAS を無条件に再起動することを許可すると、問題が解決されるどころか、問題を引き起こす可能性があるからです。したがって、スクリプトが生成するあらゆる警告を監視し、警告の原因を正しく診断してから、問題の解決を手動で図る必要があります。
IAS 監視を構成するには
[MSS WLAN Tools] ショートカットを使用して、コマンド シェルを開きます。
以下のコマンドを実行して、スクリプトが午前 1:30 から毎時に実行されるようスケジュールします (IAS バックアップ ジョブと重ならないように、毎正時から 30 分後に実行します)。
SCHTASKS /Create /RU system /SC Hourly /TN "IAS Check"/TR "\"C:\Program Files\Microsoft\Microsoft WLAN-PEAP Tools\msstools.cmd\" CheckIAS" /ST 01:30
(コマンドが折り返されて表示されることがありますが、実際には 1 行で入力してください。文字列 "Microsoft WLAN-PEAP Tools" には、"Microsoft" の後ろと "WLAN-PEAP" の後ろにスペースがあります。)
注: msstools.cmd スクリプト ファイルへのパスをバックスラッシュ (日本語システムの場合は円記号 (¥)) で囲むことにより、Windows コマンド シェルでは二重引用符 (") は解釈されずにコマンドから除外されます。円記号 (¥) を二重引用符 (") の前に使用することにより、タスク スケジューラに渡されて格納されるコマンドは手順 2 に示されているとおりになります。
MSS スクリプトによりログ記録される IAS イベント
監視スクリプトと IAS バックアップ スクリプトがイベント ログに記録するイベントの種類は、以下のとおりです。
表 8.5: このソリューションで IAS ツール スクリプトが返す IAS イベント
| IAS Backup OK |
IAS 構成のファイルへのバックアップが正常に終了しました。 |
情報 |
IAS Operations |
210 |
| IAS Invalid Backup Path |
バックアップに失敗しました。指定されていたパスが正しくありません。 |
エラー |
IAS Operations |
211 |
| IAS No Access to Backup Path |
バックアップに失敗しました。指定された宛先パスにバックアップ ファイルを書き込めませんでした。 |
エラー |
IAS Operations |
212 |
| IAS Restore OK |
IAS 設定が、保存されていた構成から正常に復元されました。 |
情報 |
IAS Operations |
220 |
| IAS Restore Failed |
IAS 設定の復元に失敗しました。 |
警告 |
IAS Operations |
221 |
| IAS Policy Query Failed |
IAS にサーバー データ オブジェクト インターフェイスを使用してアクセスできませんでした。IAS が実行されていない可能性があります。 |
エラー |
IAS Operations |
230 |
| IAS No Policies Detected |
IAS にリモート アクセス ポリシーがありません。
これは、通常の構成の IAS サーバーでは発生しないイベントであり、 IAS またはネットワークに問題があることを示しています。 |
エラー |
IAS Operations |
231 |
| IAS Not Installed |
IAS がコンピュータにインストールされていません。 |
エラー |
IAS Operations |
232 |
| IAS Had Stopped |
IAS サービスが実行されていません。起動は正常に終了しています。 |
警告 |
IAS Operations |
233 |
| IAS Not Running |
IAS サービスの起動を試行しましたが、失敗しました。 |
エラー |
IAS Operations |
234 |
##### 証明機関を監視する
CA の場合、サーバーの状態をひととおり監視し、適切なバックアップを実行していれば、あまり注意を必要としません。このソリューションで CA が必要となるのは、新しい IAS サーバーに証明書を発行する、年に 1 度既存の証明書を更新するなど、比較的実行頻度の少ないタスクに対してのみです。したがって、CA は、通常はクリティカルなサービスではありません。
CA は、管理者が失効化した証明書の一覧も発行します。証明書失効リスト (CRL) として知られているこの一覧は、毎週 Active Directory に発行されます。この CA が発行する証明書の数は少ないので、CRL も小さく、通常は空です。ただし、CRL が Active Directory にタイムリーに発行されており、それにより CA が発行したあらゆる証明書の失効状態をアプリケーションがチェックできるということが重要です。たとえば、CA は、証明書の要求があった場合、証明書を送信する前に、自身が発行したあらゆる証明書の失効状態をチェックする必要があります。
CA 監視スクリプトは、CA が要求に応答していること、および有効な CRL が Active Directory に存在することをチェックします。以下のいずれかのチェックがエラーになった場合は、スクリプトによって CA の再起動がを試行されます。CRL エラーの場合は、新しい CRL の発行も試行します。これらの回復試行の後でもエラーが検出された場合は、警告が生成され、構成されている電子メール アカウントに電子メールとして送信され、イベント ログに書き込まれます。
###### 証明機関の監視を有効にする
以下の手順では、監視スクリプトをスケジュールされたタスクとして実行し、エラーが検出された場合に自動的に警告を生成して回復を試行する方法について説明します。このスクリプトは、CA サーバー上でのみ実行されるようにしてください。
**CA 監視スクリプトを構成するには**
1. \[MSS WLAN Tools\] ショートカットを使用して、コマンド シェルを開きます。
2. 以下のコマンドを使用して、スクリプトが午前 1:20 から毎時に実行されるようスケジュールします (他のスケジュールされたタスクと重ならないように、毎正時から 20 分後に実行されるようスケジュールします)。
**SCHTASKS /Create /RU system /SC Hourly /TN "CA Check" /TR "\\"C:\\Program Files\\Microsoft\\Microsoft WLAN-PEAP Tools\\msstools.cmd\\" CheckCA" /ST 01:20**
(コマンドが折り返されて表示されることがありますが、実際には 1 行で入力してください。)
**注:** msstools.cmd スクリプト ファイルへの完全なパスをバックスラッシュ (日本語システムの場合は円記号 (¥)) で囲むことにより、Windows コマンド シェルでは二重引用符 (") は解釈されずにコマンドから除外されます。タスク スケジューラにより格納されたパスにスペースが含まれている場合は ("Program Files" など)、パスを二重引用符で囲む必要があります。円記号 (¥) を二重引用符 (") の前に使用することにより、タスク スケジューラにより格納されたパスが二重引用符で囲まれます。
###### MSS スクリプトによりログ記録される証明機関イベント
CA 監視スクリプトがイベント ログに記録するイベントは、以下のとおりです。
**表 8.6: このソリューションで CA 監視スクリプトが返す CA イベント**
| CRL expired |
有効な CRL にアクセスできません。これにより、現在サービスが停止しています。 |
エラー |
CA Operations |
20 |
| CRL overdue |
CRL はまだ有効ですが、既に公開されたはずの新しい CRL が延着しています。 |
エラー |
CA Operations |
21 |
| CRL cannot be retrieved from Active Directory |
CRL が、公開された CRL 配布ポイントで利用できません。これにより、サービスが停止している可能性があります。 |
エラー |
CA Operations |
22 |
| Certificate Services service not responding:
Event ID 1—Client Interface offline
Event ID 2—Admin Interface offline |
証明書サービス リモート プロシージャ コール (RPC) インターフェイスがオフラインです。証明書を発行できません。サーバーの再起動が必要な場合があります。 |
エラー |
CA Operations |
1 および
2 |
| その他のイベント |
CA 監視スクリプトの実行エラー |
エラー |
CA Operations |
100 |
#### 変更を管理する
ここでのタスクは、WLAN セキュリティ インフラストラクチャを構成するために必要な変更に関連しています。
##### Windows セキュリティ アップデート マネジメント
Windows Server 2003 のベース サービス パックおよび修正プログラムには、IAS と証明書サービスの両方のアップデートが含まれています。これらのコンポーネントを別途更新する必要はありません。
このガイドの「第 3 章: 環境を準備する」の「サーバーのセキュリティ アップデート」を参照して、その指示に従ってください。
##### IAS サーバーの変更を管理する
「第 5 章: ワイヤレス LAN のセキュリティ インフラストラクチャを構築する」では、IAS サーバーの 1 つを "マスタ" サーバーに指定し、このサーバーで、あらゆる IAS 構成変更を実行することを推奨しています (第 5 章の「設定を複数の IAS サーバーに展開する」を参照してください)。この変更は、IAS 構成データベースの自動エクスポート/インポートを使用して組織内にある他のサーバーに複製され、IAS インフラストラクチャ全体における設定の整合性を保証します。
ただし、各 IAS 上で構成されている RADIUS クライアント (ワイヤレス AP) のセットについては、通常は複製されません。各サーバーがサポートするワイヤレス AP が大きく異なる場合があり、同じクライアント セットを使用する IAS サーバーが複数存在することはまれです (たとえば、組織内のすべてのワイヤレス AP に対してサービスを提供する中央 IAS サーバーが 2 つ存在する場合)。
###### 変更する前に IAS 設定をバックアップする
サーバーのバックアップを毎晩実行するようスケジュールしていても、サーバーに変更を加える前に IAS を手動でバックアップすることをお勧めします。これにより、すべての変更をロールバックして、変更を行う直前のサーバー状態を復元できます。以下の手順では、バックアップ スクリプトを使用して、サーバー構成、ポリシー、ログ設定、および RADIUS クライアントをエクスポートします。
**IAS 構成をバックアップするには**
1. サーバーで、\[MSS WLAN Tools\] ショートカットを使用してコマンド シェルを開き、以下のコマンドを入力して IAS エクスポート ファイルの保存先となるフォルダを作成します。
**md c:\\IASSaveState**
(例に示されているように、IAS 構成は通常 100 KB 以下で、システム ドライブに保存できます。この例や後述のコマンドで使用されているように、パスの長さに制限はありません。)
2. 以下のコマンドを実行してフォルダのアクセス許可を設定し、内容の読み取りや変更を管理者とバックアップ担当者だけに許可します。
**cacls c:\\IASSaveState /G system:F administrators:F "Backup Operators":C**
(コマンドが折り返されて表示されることがありますが、実際には 1 行で入力してください。)
3. 以下のコマンドにより、バックアップ スクリプトを実行して IAS 設定をエクスポートします。
**MSSTools BackupIAS /path:C:\\IASSaveState**
###### 設定を他の IAS サーバーに複製する
繰り返し可能な独自の手順を確立して、マスタ サーバーの設定が組織内の他の全 IAS サーバーに複製されるようにしてください。このためには、ローカル サポート スタッフに設定をインポートするよう指示する必要がある場合もあります。一般的には、構成ファイルをコピーし、リモート デスクトップ セッションを使用して構成インポート スクリプトを実行することにより、リモートで実行されます。
設定を他の IAS サーバーに複製するには、「第 5 章: ワイヤレス LAN のセキュリティ インフラストラクチャを構築する」の「1 台目の IAS サーバーの設定を複製する」で説明している手順に従います。
**注:** リモート アクセス ポリシー名にバージョン番号を使用して、すべての IAS サーバーが同じ設定バージョンを使用していることが簡単にチェックできるようにしておくと便利です。
##### IAS サーバーを環境に追加する
新しい IAS サーバーをインストールする前に、「第 2 章: ワイヤレス LAN のセキュリティの実装を計画する」で説明されているガイドラインに従って、そのサーバーのクライアントとして構成されるワイヤレス AP を特定する必要があります。また、セカンダリ RADIUS サーバーとして構成された別の IAS サーバーを用意し、サーバーに障害が発生した場合に備えて AP に障害許容力を持たせる必要があります。新しいサーバーを使用するために既存の AP を構成し直す場合、移行計画を慎重に練り、AP の切り替え中にユーザーに対するサービスが中断しないようにしてください。一般的には、AP に少なくとも 1 つアクティブな認証 RADIUS サーバーがあれば、中断することはありません。
**IAS を新しいサーバーにインストールするには**
1. 「第 3 章: 環境を準備する」のガイドラインに従い、サーバーを準備します。
2. 「第 5 章: ワイヤレス LAN のセキュリティ インフラストラクチャを構築する」の「IAS をインストールする」と「Active Directory で IAS を登録する」の手順に従います。
3. マスタ IAS サーバーから新しいサーバーに変更を複製するには、「第 5 章: ワイヤレス LAN のセキュリティ インフラストラクチャを構築する」の「1 台目の IAS サーバーの設定を複製する」で説明している手順に従います。
4. 最後に、ワイヤレス AP の RADIUS クライアント エントリを IAS に追加し、そのワイヤレス AP で新しい IAS サーバーを使用するよう構成します。
##### ワイヤレス アクセス ポイントをネットワークに追加する
新しいワイヤレス AP を追加するには、以下の 2 つのタスクを実行する必要があります。
1. AP を RADIUS クライアントとしてプライマリおよびセカンダリ IAS サーバーに追加します。
2. IAS サーバーをプライマリおよびセカンダリ RADIUS サーバーとして使用するよう AP を構成します。
プライマリおよびセカンダリ RADIUS サーバーとして選択する IAS サーバーは、AP のネットワークの場所によって異なります。理想的には、プライマリ IAS サーバーとしては、AP と同じ LAN 上にあるか、最低でも AP との接続が安定しているものを選択します。セカンダリ IAS サーバーとしては、AP との接続が安定しているものを選択します。詳細については、「第 2 章: ワイヤレス LAN のセキュリティの実装を計画する」の「RADIUS サーバーに AP を割り当てる」の説明を参照してください。
AP に適した IAS サーバーを特定したら、以下の手順を実行します。これは、「第 5 章: ワイヤレス LAN のセキュリティ インフラストラクチャを構築する」で説明している、AP を IAS に追加する手順と同じです。
**AP をネットワークに追加するには**
1. AP を RADIUS クライアントとしてプライマリ IAS に追加するには、「第 5 章: ワイヤレス LAN のセキュリティ インフラストラクチャを構築する」の「アクセス ポイントを 1 台目の IAS サーバーに追加する」で説明している手順に従います。
2. AP を RADIUS クライアントとしてセカンダリ IAS に追加するには、「第 5 章: ワイヤレス LAN のセキュリティ インフラストラクチャを構築する」の「アクセス ポイントを 2 台目の IAS サーバーにインポートする」で説明している手順に従います。
3. 「第 5 章: ワイヤレス LAN のセキュリティ インフラストラクチャを構築する」の「ワイヤレス アクセス ポイントを構成する」で説明している手順に従って、AP を構成します。
##### ワイヤレス アクセス ポイントを削除する
サイトの移動や再編成を行う場合、ワイヤレス AP のネットワークからの削除が必要になることもあります。使用しない RADIUS クライアント エントリは、IAS から必ず削除してください。
**ワイヤレス AP をネットワークから削除するには**
1. 削除する AP のプライマリおよびセカンダリ IAS を確認します。
2. \[インターネット認証サービス\] MMC を使用して、該当する RADIUS クライアント エントリを AP から削除します (削除する AP の IP アドレスと RADIUS クライアント IP とが一致することを確認してください。RADIUS クライアントの名前だけで判断しないでください)。
3. セカンダリ IAS サーバーについて、手順 2 を繰り返します。
##### WLAN へのアクセスをユーザーまたはコンピュータに許可する
このソリューションの既定の設定に従った場合、IAS サーバーをインストールしたドメイン内のすべてのユーザーとコンピュータは、自動的に にWLAN にアクセスできるようになります。これは、Domain Users グループと Domain Computers グループは、それぞれ Wireless LAN Users グループと Wireless LAN Computers グループのメンバだからです。一方、これらのグループは Wireless LAN Access グループのメンバであり、IAS リモート アクセス ポリシーは Wireless LAN Access グループを使用して WLAN へのアクセスを許可します。
###### 同一ドメインに属するメンバのアクセスを制御する
WLAN に接続できるユーザーやコンピュータを明示的に制御する場合、セキュリティ グループを使用してアクセスを管理する必要があります。Domain Users グループと Domain Computers グループを、それぞれ Wireless LAN Users グループと Wireless LAN Computers グループから削除してください。代わりに、WLAN へのアクセスを許可する特定のユーザーやコンピュータを追加します。
これにより、ソリューションの既定値が変更され、セキュリティ グループに明示的に追加されたユーザー以外は WLAN にアクセスできなくなります。これは、"既定で許可する" より安全で、一般にセキュリティに対する要求が厳しい組織で採用されます。また、大規模ロールアウトのパイロット フェーズなど、WLAN にアクセスできるユーザーを少人数に制限する場合にも便利です。
**同一ドメイン内のユーザーまたはコンピュータが WLAN にアクセスできるようにするには**
1. \[Active Directory ユーザーとコンピュータ\] を使用して、ユーザーまたはコンピュータのアカウントを Wireless LAN Users グループまたは Wireless LAN Computers グループに追加します。
2. ユーザーを追加する場合は、そのユーザーにいったんログオフしてからログオンし直すよう指示します。コンピュータを追加する場合は、そのコンピュータを再起動します。
3. 追加したユーザーまたはコンピュータが WLAN にアクセスできることを確認します。
###### 別のドメインに属するメンバのアクセスを制御する
マルチドメイン フォレストがある場合、別のドメインのユーザーやコンピュータが WLAN を使用できるようにする必要がある場合もあります。これを実現するには、以下のいずれかのアカウントを使用してログオンする必要があります。
- 両方のドメインの管理者
- 別のドメインでグループを作成するためのアクセス許可と、ホーム ドメイン (つまり、IAS サーバーがインストールされているドメイン) で Wireless LAN Access グループのメンバシップを変更するためのアクセス許可を持つアカウント
**別のドメインのユーザーとコンピュータに WLAN へのアクセスを許可するには**
1. WLAN へのアクセスを許可するユーザーとコンピュータが含まれているドメイン (ターゲット ドメイン) にグループを作成するためのアクセス許可を持つアカウントでログオンします。
2. \[Active Directory ユーザーとコンピュータ\] を開き、ターゲット ドメインのドメイン コントローラを選択します。
3. ターゲット ドメインに、Wireless LAN Users という名前のドメイン グローバル グループを作成します。
4. ターゲット ドメインに、Wireless LAN Computers という名前のドメイン グローバル グループを作成します。
5. ホーム ドメインの Wireless LAN Access グループのメンバシップを変更できるアクセス許可を持つアカウントでログオンします。\[Active Directory ユーザーとコンピュータ\] を開き、目的の Wireless LAN Access グループを探して開き、プロパティを編集します。グループ プロパティの \[メンバ\] タブで、ターゲット ドメインの Wireless LAN Users グループと Wireless LAN Computers グループをこのグループのメンバとして追加します。
6. ターゲット ドメインのユーザーのうち、WLAN アクセスを必要とするユーザーを確認します。そのアカウントを、ターゲット ドメインの Wireless LAN Users グループに追加します。同様に、ターゲット ドメインのコンピュータのうち、必要なコンピュータのアカウントをターゲット ドメインの Wireless LAN Computers グループに追加します。または、Domain Users と Domain Computers をこれらのグループに追加して、ターゲット ドメインのすべてのメンバに WLAN へのアクセスを許可することもできます。
##### ユーザーまたはコンピュータの WLAN へのアクセスを拒否する
このソリューションの既定値では、IAS サーバーをインストールしたドメイン内のすべてのユーザーとコンピュータに WLAN へのアクセスが許可されます。ユーザーとコンピュータはそれぞれ Domain Users グループと Domain Computers グループのメンバなので、自動的にアクセスが許可されます。ユーザー別またはコンピュータ別に WLAN へのアクセスをブロックする必要がある場合、この設定が問題になります。ビルトインの Domain Users グループや Domain Computers グループからユーザーまたはコンピュータを削除しないでください。代わりに、以下のいずれかの方針に従います。
- ユーザーが組織を離れた場合 (コンピュータの場合は、なくなったり盗まれた場合)、該当するユーザーまたはコンピュータの Active Directory アカウントを無効にします。
- ユーザーまたはコンピュータのアカウント オブジェクトのリモート アクセス許可を使用してアクセスを許可または拒否することによって、アクセスを制御します。これについては、「第 6 章: ワイヤレス LAN クライアントを構成する」の「ユーザーおよびコンピュータに WLAN へのアクセスを許可する」に簡単な説明があります。
- ユーザーまたはコンピュータから WLAN アクセスを削除する一方で、通常のドメイン アクセスなどのネットワーク アクセスは許可したままにする場合、選択的アクセス WLAN モデルを使用するか、リモート アクセスを "拒否" するというポリシーを実装する必要があります。使用するオプションは、WLAN へのアクセスを既定で許可するか、またはアクセスを既定で拒否して指定のユーザーにだけ WLAN へのアクセスを許可するかによって異なります。
- 特定のグループ メンバシップを使用して選択的アクセス ポリシーを実装する方法については、この章の「WLAN へのアクセスをユーザーまたはコンピュータに許可する」で説明しています。WLAN へのアクセスを拒否するには、ユーザーまたはコンピュータを該当するセキュリティ グループから削除するだけで済みます。
- IAS リモート アクセス ポリシーを作成することにより選択したグループへのアクセスを拒否する方法については、以下の「WLAN へのアクセスに拒否ポリシーを使用して制御する」で説明します。
**重要:** Domain Users グループや Domain Computers グループからユーザーまたはコンピュータを削除しないでください。削除すること自体は可能ですが、そうすると、削除されたユーザーまたはコンピュータのアカウントをドメインで普通に使用することができなくなります。
###### WLAN へのアクセスに拒否ポリシーを使用して制御する
アクセスを既定で許可し、個々のユーザーやコンピュータによるアクセスを例外として拒否する場合、IAS に "拒否" リモート アクセス ポリシーを作成する必要があります。
**拒否リモート アクセス ポリシーを作成するには**
1. \[Active Directory ユーザーとコンピュータ\] で、Deny Wireless LAN Access という名前のユニバーサル グループを作成します。
2. ドメイン グローバル グループ Deny Wireless LAN Users および Deny Wireless LAN Computers を作成して、Deny Wireless LAN Access グループのメンバとして追加します。
3. グローバル IAS 設定の編集に使用するマスタ IAS サーバーにログオンします (後でこの設定が他の IAS サーバーに複製されます)。
4. \[インターネット認証サービス\] MMC で、\[リモート アクセス ポリシー\] フォルダを右クリックして、\[新しいリモート アクセス ポリシー\] をクリックします。
5. \[カスタム ポリシーを設定する\] をクリックして、ポリシー名として「Deny Wireless LAN Access」と入力します。\[次へ\] をクリックして作業を続けます。
6. \[追加\] をクリックしてポリシー条件を追加し、一覧で \[Windows-Groups\] を選択し、\[追加\] をクリックします。
7. \[追加\] をクリックしてセキュリティ グループを追加します。グループ名として「Deny Wireless LAN Access」を入力 (またはこのグループを参照) し、\[OK\] をクリックします。
8. \[追加\] をクリックして別のポリシー条件を追加し、一覧で \[NAS-Port-Type\] を選択し、\[追加\] をクリックします。
9. \[利用できる種類\] の一覧で、\[ワイヤレス - IEEE 802.11\] を選択し、\[追加\] をクリックします。次に、\[ワイヤレス - その他\] を選択し、\[追加\] をクリックしてそれらを \[選択した種類\] の一覧に追加します。\[OK\] をクリックして完了し、\[次へ\] をクリックして作業を続けます。
10. \[リモート アクセス許可を拒否する\] を選択し、\[次へ\] をクリックして作業を続けます。
11. \[プロファイル\] 画面で、\[次へ\] をクリックして先へ進み、\[完了\] をクリックして終了します。
12. ポリシーの一覧の先頭 (最高の優先順位) または最低でも "Allow Wireless LAN Access" ポリシーの上に、"Deny Wireless LAN Access" ポリシーが作成されます。そうでない場合は、ポリシー名を右クリックし、"Allow Wireless LAN Access ポリシーより上になるまで \[上へ移動\] をクリックします。
13. 前述の手順を使用して、新しい設定を組織内の他の IAS サーバーに複製します。
Deny Wireless LAN Users グループまたは Deny Wireless LAN Computers グループに追加したあらゆるユーザーまたはコンピュータは、WLAN へのアクセスが拒否されます。ただし、この設定が有効になるのは、拒否の対象がユーザーの場合は次回のログイン後、コンピュータの場合は次回の再起動後です。
#### サポート タスク
ここでは、WLAN セキュリティ インフラストラクチャで発生した問題から回復するために実行する必要がある一般的なタスクについて説明します。ここで説明するタスクの多くは、この章の「トラブルシューティング」で参照されています。
##### IAS サーバー構成をバックアップから復元する
IAS のポリシーと設定は、IAS 構成データベースに格納されています。これらは、その他のシステム設定とは別個に復元できます。IAS 設定を C:\\IASBackup フォルダに毎晩バックアップする IAS バックアップ タスクをスケジュールしてください。このトピックの詳細については、この章の「運用タスク」の「IAS バックアップを構成する」の手順を参照してください。その日の変更を元に戻す場合は、前の晩に作成した (C:\\IASBackup にある) バックアップ ファイルを使用するか、変更前に作成したバックアップを "ロールバック" して、設定を復元できます。詳細については、「変更を管理する」の「変更する前に IAS 設定をバックアップする」を参照してください。
以前のバージョンの設定を復元する必要がある場合は、エクスポートした IAS 設定をサーバー バックアップから回復する必要があります。
**警告:** この手順により、RADIUS クライアントを含むすべての IAS 設定が復元され、サーバー上の既存の設定はすべて上書きされます。復元するバックアップは、同じサーバーから作成されたものである必要があります。
**IAS 設定を復元するには**
1. 使用する IAS 設定バックアップ ファイルがサーバー上にない場合は、目的のファイルをバックアップ メディアから復元する必要があります。IASBackup フォルダにある復元対象ファイルだけを選択するよう注意してください。システム全体の設定を以前の状態に戻すのではない限り、システム状態は復元しないでください。
2. \[MSS WLAN Tools\] ショートカットを使用して、コマンド シェルを開きます。以下のコマンドを実行して IAS 構成を復元します。
**msstools RestoreIAS /path:C:\\IASBackup**
3. IAS 管理コンソールを開き、RADIUS クライアント フォルダと \[リモート アクセス ポリシー\] フォルダをチェックすることにより、IAS 設定が復元されたことを確認します。
何らかの理由で、目的のシステムで使用できるバックアップがない場合は、別の IAS サーバーの設定をエクスポートして目的のサーバーにインポートできます。一般的に、役割が同じ IAS サーバーでは、同じ構成設定を共有しますが、RADIUS クライアントのセットは異なるので、別のサーバーの設定を復元する場合はこの手順を使用しないでください。その代わりとして、「第 5 章: ワイヤレス LAN のセキュリティ インフラストラクチャを構築する」の「1 台目の IAS サーバーの設定を複製する」の手順に従います。
**重要:** 復元されたシステムに最新の修正プログラムが適用されていることを確認してください。古いバックアップから復元すると、以前適用した修正プログラムがロールバックされる場合があります。
##### サーバーの構成全体をバックアップから復元する
サーバーの復元手順は、選択するバックアップ システムにより異なります。以下の手順は、Windows システム状態バックアップを実行して、システムをファイルにバックアップし、このファイルとその他の必要なファイルをファイル バックアップしてあるという仮定に基づいています。
**サーバーを復元するには**
1. サーバーの状態によっては、サーバーを最初から構成し直す必要があります。サーバーのハードウェア障害によりサーバーのシステム ディスクが壊れた場合などは、これに該当します。そうでない場合は、オペレーティング システムを再インストールせずに、復元を直接実行できます。
2. システム状態バックアップとファイル バックアップを分けている場合は、バックアップ ソフトウェアを使用して、システム状態バックアップ ファイルと IAS 設定バックアップ ファイルをバックアップ メディアからサーバーに復元します。IAS 設定は、同じパス C:\\IASBackup に復元してください。
3. Windows バックアップ ユーティリティを実行して、復元されたシステム状態バックアップ ファイルを選択します。このとき、そのサーバーでバックアップと復元の権限を持つグループ (Backup Operators、Administrators など) のメンバである必要があります。
4. \[復元\] をクリックします。
5. システムを再起動します。
6. すべてが正常に機能することを確認します。Active Directory と証明書サービスがインストールされている場合は、これらがエラーなく起動したことを確認します。
7. \[MSS WLAN Tools\] ショートカットを使用して、コマンド シェルを開きます。以下のコマンドを実行して IAS 構成を復元します。
**MSSTools RestoreIAS /path:C:\\IASBackup**
8. IAS MMC を開き、RADIUS クライアント フォルダと \[リモート アクセス ポリシー\] フォルダをチェックすることにより、IAS 設定が復元されたことを確認します。
**重要:** IAS がドメイン コントローラで実行されている場合、システム状態バックアップを復元すると、そのサーバーの Active Directory データベースのバックアップ バージョンも復元されます。ただし、復元されたサーバーにバックアップ後の Active Directory に対する変更が複製されるのは、次の Active Directory 複製サイクルです。
#### 最適化タスク
ここでは、IAS インフラストラクチャの実行を最適化するためのタスクについて説明します。
##### IAS サーバーの最大負荷を判定する
ここでは、IAS サーバーの最大負荷の予測に関係する情報を提供します。
サイズ設定と構成が適切に行われている IAS サーバーでは、パフォーマンスが問題となることはほとんどありません。IAS サーバーの負荷が最大になるのは、多数のユーザーがいっせいにログオンする朝の時間帯などのピーク負荷時、ネットワークの大規模な停止の直後、または RADIUS サーバーに障害が発生してワイヤレス AP がバックアップ サーバーにフェールオーバーしたときです。
次の表に、さまざまな規模の組織に応じた WLAN 認証要件を示します。
**表 8.7: WLAN 認証要件**
| 100 |
> 0.1 |
0.1 |
0.1 |
| 1000 |
0.1 |
0.6 |
1.1 |
| 10,000 |
1.4 |
5.6 |
11.1 |
"1 秒あたりの新規認証" 列は、負荷が安定している場合を示しています。ユーザーがワイヤレス AP 間を移動する場合、新規の完全な認証は平均で 4 回発生すると想定します。"1 秒あたりの新規認証の最大値" 列は、すべてのユーザーが 30 分の間に認証を必要とする場合に予想される負荷を示しています (たとえば、始業時間の開始直後)。"1 秒あたりの再認証" 列は、IAS による 15 分後の強制セッション タイムアウトにより発生する高速再接続の認証数を示しています (このソリューションの既定のタイムアウトは 60 分ですが、ここでは最悪のケースを想定して 15 分を使用しています)。この数字を組織の要件に照らし合わせ、サポートする必要のある負荷の程度を予測してください。
マイクロソフトによる内部テストでは、IAS は一般的なサーバー ハードウェアで高い負荷に対処できます。IAS が処理する負荷を最も的確に表しているのは、1 秒あたりの拡張認証プロトコル (EAP) 認証数です。以下の表は、Windows Server 2003 を実行している Intel Pentium 4 2GHz サーバー上の IAS サーバーでの結果を示しています。
テストは、RADIUS ログが別のディスクに記録される設定で、Active Directory ドメイン コントローラとは別のサーバー上の IAS を使用して実施されています。したがって、これらの数値は最悪のケースと見なすことができます。このソリューションの既定の構成では、ログが無効で、IAS はドメイン コントローラと同じサーバー上に配置されています。これらは両方とも、認証スループットの向上に寄与します。
**注:** この情報の正確さは保証されていません。この情報は、容量計画用のガイドラインとしてのみ使用し、パフォーマンスの比較には使用しないでください。
**表 8.8: IAS サーバーの容量測定の例**
| 新規の保護された拡張認証プロトコル (PEAP) 認証 |
36 |
| TLS/SSL オフロード カード サポートを使用する新規 PEAP 認証 |
50 |
| 高速再接続による認証 |
166 |
IAS は、さまざまな量の RADIUS 要求情報を含めたディスクベースの RADIUS ログを生成するように構成できます。RADIUS ログを有効にした場合、サーバー、特にディスク サブシステムでのオーバーヘッドを考慮する必要があります。ディスクのスループットが低いと、IAS パフォーマンスのボトルネックになり、AP に対する IAS RADIUS の応答が遅延し、プロトコル タイムアウトや AP からセカンダリ RADIUS サーバーへの不要なフェールオーバーにつながります。高負荷が予想される場合 (前述の表の数値をガイドラインとして使用できます)、RADIUS ログを有効にするときは、RADIUS ログが Windows システム ドライブおよびページ ファイル ドライブとは異なる高パフォーマンス ディスクに書き込まれるよう IAS を構成してください。
Windows Server 2003 IAS トレース機能 (この章の「IAS サーバーでトレースを有効または無効にする」を参照してください) を有効にすると、IAS サーバーにさらに負荷がかかります。この機能は、ネットワーク アクセスに関する問題のトラブルシューティングで一時的に必要となる場合がありますが、永久的に有効にすることはしないでください。ただし、IAS サーバーには、通常時の運用の負荷に対処できるだけでなく、一時的にトレース機能を使用できるような余裕を持たせてください。
##### その他の最適化方法
IAS の最適化に関するその他のガイドラインについては、「*Windows Server 2003 Deployment Kit*」の「Deploying IAS」の章の「Designing an Optimized IAS Solution」(英語) を参照してください。
[](#mainsection)[ページのトップへ](#mainsection)
### トラブルシューティング
ここでは、ワイヤレス LAN ソリューションを診断して問題を解決するために役立つ手順や技術について説明します。
#### トラブルシューティングの手順
以下の手順は、考えられる問題の原因とその解決方法を特定するために役立ちます。このセクションは階層的に構成されています。最初の手順「問題の種類を特定する」では、いくつかの手順の 1 つを示します。それぞれの手順で、詳細なトラブルシューティング手順を掘り下げて説明します。それらの手順で、ソリューションの個々のコンポーネントに焦点を当てたトラブルシューティング手順を確認できます。
各手順の詳細は、この章で後述します (一部は図で示されています。また、テキストによる説明が図で示すには長すぎる場合は、表または文章で示しています)。一部の手順では、この章の「トラブルシューティングのツールと技術」を利用します。トラブルシューティング手順を的確に実施できるよう、ここでの内容に習熟しておいてください。
**重要:** これから説明する診断手順では、あらゆる事態が網羅されているわけではありません。推奨する調査手順を実施しても問題の原因がわからない場合は、元に戻って別の診断手順に従ってください。現象の全体像や特性がわからないため、正しくない方向に導かれる場合があります。たとえば、部署全体に影響を及ぼす問題について、その部署で 1 人のユーザーしか報告していないケースが考えられます。この表では単一クライアントの障害に関連する診断手順が指示されますが、別の手順が適切である可能性があります。
また、この章の最後にまとめてある、WLAN や IAS のトラブルシューティング関連文書も参照してください。
##### 問題の種類を特定する
まず、以下のフローチャートを使用して、直面している問題の種類を分類します。ひし形は、質問や判断ポイントを示します。長方形には、問題の診断結果や従うべき手順名が示されます。
.gif)
**図 8.1 問題の種類を特定する**
##### クライアント接続の問題を診断する
以下の表では、影響を受けるクライアントの数と場所に基づいて、接続の問題の種類を分類しています。"予測される問題点" 列は、発生している現象の原因となると思われる要因が示されます。"実施する診断手順" 列には、問題を診断するために最初に実行すべき診断手順が示されます。各手順の詳細については、この章で後述します。
**表 8.9: どのユーザーが WLAN に接続できませんか?**
| 単一クライアント |
コンピュータの構成、またはユーザー/コンピュータ アカウント |
ユーザー/コンピュータ アカウントをチェックする
クライアント コンピュータをチェックする |
| 単一サイトの複数クライアント |
1 つ以上の AP の構成の間違い |
ワイヤレス AP 構成をチェックする |
| サイト全体 (ローカル IAS) |
オンサイトの IAS サーバーが正しく構成されていないか正しく機能していない、Active Directory の複製の問題によりローカル ドメイン コントローラが正しい情報を受信できない、IAS サーバーの障害と WLAN の接続の問題とが同時発生している |
Active Directory とネットワーク サービスをチェックする
IAS をチェックする
WAN の接続をチェックする |
| サイト全体 (非ローカル IAS) |
WLAN の接続の問題、Active Directory の複製の問題 (ローカル ドメイン コントローラの場合) |
WAN の接続をチェックする |
| すべてのサイトのすべてのクライアント |
組織全体の構成 (クライアント設定グループ ポリシー オブジェクト (GPO)、RAP グループ、証明書の更新の障害) |
Active Directory とネットワーク サービスをチェックする ("WLAN 設定 GPO をチェックする" および "Active Directory グループをチェックする" のチェック)
CA をチェックする
IAS をチェックする |
パフォーマンスの問題を診断する
ここでは、WLAN セキュリティ インフラストラクチャに関連するパフォーマンスの問題に焦点を当てます。ワイヤレス/有線ネットワークのパフォーマンスに関する一般的な問題は、この章では扱いません。
表 8.10: パフォーマンスの問題
| 認証の遅延が多数のユーザーに影響を与えている |
IAS サーバーの負荷が高すぎます。パフォーマンス モニタをチェックしてください。 |
| |
低速な WLAN リンクを介して認証が実行されています (ローカル IAS を使用している場合でも、AP がリモート IAS にフェールオーバーしていないことを確認してください)。 |
| |
IP アドレスを発行している動的ホスト構成プロトコル (DHCP) サーバーに遅延があると、全体的な接続時間に影響することがあります。 |
| AP 間でローミングする場合、再認証に遅延が発生する |
AP 間の切り替えがある場合、数秒の遅延は正常です。 |
| |
クライアントが AP の範囲外に出た場合 (10 秒以上出たまま)、AP の範囲に戻ってから再認証が開始されるまで最大 60 秒かかります。これは、Windows WLAN クライアントが WLAN から切断された場合に WLAN をポーリングする間隔が 60 秒だからです。 |
| WLAN ネットワークのスループットが低い |
この現象は、クライアントの数に対して AP の数が少なすぎる、AP の配置が正しくない、障害物があるか距離が離れすぎていて電波信号が微弱であることに起因すると考えられます。
いずれも WLAN ネットワークの設計に関する側面であり、この文書の対象ではありません。ベンダまたはソリューション プロバイダにご相談ください。
詳細については、「Windows Server 2003 Deployment Kit」の「Deploying a Wireless LAN」の章 (英語) を参照してください。 |
ユーザーは認証されるが、コンピュータが認証されない
このソリューションでは、WLAN に対するユーザー認証とコンピュータ認証の両方を使用しています。コンピュータにログオンしているユーザーがいない場合には、WLAN に対する認証にコンピュータ ドメインの資格情報が使用されます。ユーザーがログオンすると、WLAN への再認証にそのユーザーの資格情報が使用されます。この処理により、コンピュータはログオンしているユーザーがいない場合でも WLAN と通信でき、サーバー GPO 設定をダウンロードするなど、そのコンピュータをリモートで管理できます。
ユーザーが WLAN コンピュータにログオンすると、ユーザーが WLAN に認証される間、若干の遅延が発生します。ユーザーが正しく認証され接続できるようになるまで、コンピュータの認証済み WLAN セッションは引き続きアクティブです。ただし、コンピュータが WLAN に認証されなかった場合、この遅延は、ユーザーのログオン セッションの開始時にネットワーク接続がなかったことを意味します。
これにより、いくつかの小さな問題が引き起こされます。たとえば、ローミング ユーザー プロファイルの読み込みが失敗したり、一部のコンピュータの GPO 設定が適用されなかったり、ユーザー ログオン スクリプトや GPO ベースのソフトウェア展開 (これはログオン プロセスの初期に実行されます) が失敗します。
コンピュータ認証が失敗する原因を特定するには、このガイドで後述する「ユーザー/コンピュータ アカウントをチェックする」の手順に従ってください。
コンピュータは認証されるが、ユーザーが認証されない
前述の場合とは異なり、この問題は直ちに判明し、影響を受けるユーザーから直接レポートされます。ユーザー認証が失敗する原因を特定するには、後述する「ユーザー/コンピュータ アカウントをチェックする」の手順に従ってください。
診断手順
ここでは、前述した詳細なトラブルシューティング手順について説明します。
ユーザー/コンピュータ アカウントをチェックする
以下のフローチャートは、ユーザーまたはコンピュータの認証エラーの原因を診断するために役立ちます。
注: フローチャートにある矢印形のボックスでは、ボックスにも示されているように、「クライアント コンピュータをチェックする」の手順を参照するよう指示しています。
.gif)
図 8.2 ユーザーまたはコンピュータのアカウントをチェックする
拡大表示する
クライアント コンピュータをチェックする
以下のフローチャートは、クライアント コンピュータの問題を診断するために役立ちます。
.gif)
図 8.3 クライアント コンピュータをチェックする
拡大表示する
注: フローチャートの矢印形のボックスは、「ユーザー/コンピュータ アカウントをチェックする」手順からのリンクです。
WLAN カードの状態 (フローチャートの「WLAN カードを無効または有効にし、状態を観察する」の手順で必要) は、[コントロール パネル] の [ネットワーク接続] フォルダの [詳細] ウィンドウで確認できます。カードを有効にすると、カード状態が以下のフェーズを経て変化していくことを確認できます。
このプロセスがどのフェーズでエラーになるかを監視するのは、有用な診断手順の 1 つです。
IAS をチェックする
以下の表に、IAS サーバーに問題が発生している疑いがある場合に実行する一連のチェック項目を示します。
表 8.11: IAS 診断チェック
| IAS が実行されている |
[コンピュータの管理] MMC を開き、[サービス] に移動します。IAS が実行中の状態であることを確認します。 |
| IAS の基本ネットワーク構成 |
netdiag コマンドを実行して、IAS サーバーのネットワーク構成にエラーがないかどうかをチェックします。 |
| IAS サーバーに現在のサーバー証明書がある |
[証明書] MMC を開き、"\Certificate (Local Computer)\個人\証明書\個人\証明書" 内を検索します。このフォルダに、以下の特性を持つサーバー証明書があることを確認します。
- 現在の日付が証明書の有効期間内にある。
- サブジェクトの別名がサーバーのドメイン ネーム システム (DNS) 名と一致している。
- 拡張キー使用法に、サーバー認証が存在している。
- 証明書発行者が信頼されている ([証明のパス] タブ)。
- 証明書が失効していない。
IAS リモート アクセス ポリシーのプロファイル設定を表示し、[認証] タブをクリックして、802.1X 設定を表示します。上記のようなサーバー証明書が選択されていることを確認してください。 |
| IAS がドメインの RAS and IAS Servers グループのメンバである |
サーバーはこのメンバのグループである必要があります (通常は、IAS が Active Directory に登録されるときに追加されます)。 |
| IAS のリモート アクセス ポリシーまたは接続要求ポリシーが正しくない |
ポリシーの設定が (バージョン番号が含まれている場合はそれも) 予想した設定と一致しているかどうかを確認します。疑わしい点がある場合は、"マスタ" IAS から構成を展開し直します。 |
| システム イベント ログの IAS イベントを表示する |
システム イベント ログで、IAS が生成したエラーまたは警告イベントを探します。認証エラーには、問題の原因を示す理由コードが含まれています。 |
| IAS のトレースを有効にする |
この章で後述する「トラブルシューティングのツールと技術」の「IAS サーバーでトレースを有効または無効にする」の手順を参照してください。 |
| クライアントのトレースを有効にする |
この章で後述する「トラブルシューティングのツールと技術」の「クライアント コンピュータでトレースを有効または無効にする」の手順を参照してください。 |
| SChannel ログを有効にする |
証明書関連の問題や TLS の問題を診断するには、SChannel ログを有効にします。詳細については、この章で後述する「トラブルシューティングのツールと技術」の「SChannel ログを有効にするには」の手順を参照してください。また、SChannel ログをクライアントで有効にして、クライアント側の追加診断情報を取得することもできます。 |
###### 証明機関をチェックする
以下の表に、CA が正常に機能しているかどうかを判断するために実行する一連のチェックを示します。
**表 8.12: CA 診断チェック**
| 証明書サービスが実行されている |
[コンピュータの管理] MMC を開き、[サービス] に移動します。証明書サービスが実行されていることを確認します。 |
| TLS がエラーになった場合 (RASTLS トレース ログまたは SChannel ログに表示される)、または CA が証明書を発行しない場合は、CRL をチェックする |
CA でコマンド msstools CheckCA を実行して、現在の CRL が発行されており、アクセス可能であることをチェックします。
特定の IAS サーバー (または特定のサイト) で問題が発生している場合、PKI Health ツール (「Windows Server 2003 Resource Kit」に収録されています) を入手してください。これは、現在の CRL または CA 証明書のアクセスに関してサーバーに問題が発生しているかどうかを表示する MMC ツールです。 |
| 登録または更新された証明書がない場合、証明書自動登録 GPO をチェックする |
- 自動登録 GPO が正しい場所 (通常はドメイン) にリンクされていることを確認する。
- GPO に "コンピュータ" テンプレートが登録対象の証明書の種類として設定されていることをチェックする ([コンピュータの構成]、[Windows の設定]、[セキュリティの設定]、[公開キーのポリシー]、[自動登録の設定] の順にクリックします)。
- RAS and IAS Servers グループに、GPO の "ポリシーの適用と読み取り" アクセス許可があること、およびこれより優先される拒否アクセス許可 ("Authenticated Users — Deny Read" など) がないことを確認する。 |
| 証明書テンプレート |
コンピュータ テンプレートが CA に割り当てられていることを確認します ([証明機関] MMC の [テンプレート] フォルダを参照してください)。
コンピュータ テンプレートに、"RAS および IAS サーバー対する登録アクセス許可" を持つグループが存在することを確認します (これより優先される拒否アクセス許可がないことをチェックします)。 |
| リモート CA DCOM インターフェイス |
以下のコマンドをリモート IAS サーバーから実行して、DCOM/RPC がサーバーと CA との間で機能していることを確認します。
certutil -ping-config CAHostName\CAName
CAHostName は、CA サーバーのコンピュータ名です。
CAName は、CA の設定時に指定されたわかりやすい名前です (この名前は、この CA が発行するあらゆる証明書の [全般] タブの [発行元] に表示されます)。 |
Active Directory とネットワーク サービスをチェックする
以下の表に、正常動作を確認するために Active Directory などのネットワーク コンポーネント上で実行する一連のチェックを示します。
表 8.13: Active Directory 診断チェック
| IAS から Active Directory との通信をチェックする |
IAS サーバーでコマンド netdiag /test:ldap /test:trust を実行します。このコマンドは、DNS の問題がないかどうかもチェックします。 |
| WLAN セキュリティ グループをチェックする |
WLAN へのアクセスを制御するためこのソリューションで使用しているセキュリティ グループのメンバシップをチェックします。既定のメンバシップについては、「第 3 章: 環境を準備する」の「セキュリティ グループを作成する」を参照してください。 |
| クライアント WLAN 設定 GPO をチェックする |
WLAN 設定 GPO の設定が正しいこと、GPO が正しい OU (またはドメイン) にリンクされていること、およびそれに適用されているアクセス許可が正しいことをチェックします (「第 6 章: ワイヤレス LAN クライアントを構成する」の「WLAN 設定 GPO を作成する」を参照してください)。 |
| Active Directory が正しく複製していることを確認する |
問題が発生している IAS サーバーで、コマンド dcdiag /test:replications を実行します (IAS がドメイン コントローラ上で実行されていない場合も、dcdiag ツールは IAS のそのインスタンスが使用しているドメイン コントローラをチェックします)。 |
| DHCP サーバーをチェックする |
DHCP サーバーが実行されていること、WLAN クライアントの有効な範囲が指定されていてアクティブであること、およびワイヤレス AP と DHCP サーバー間に接続があること (厳密に言うと、WLAN クライアントが IP リースを取得するには、AP の既定の仮想ローカル エリア ネットワーク (VLAN) と DHCP サーバー間に接続が必要です) を確認します。 |
###### ワイヤレス アクセス ポイント構成をチェックする
以下の表に、正常動作を確認するためワイヤレス AP 上で実行する一連のチェックを示します。
**表 8.14: ワイヤレス AP 診断チェック**
| AP の IP 構成および IAS との接続をチェックする |
多くの AP には、基本的な接続テスト機能 (ping など) が用意されています。プライマリおよびセカンダリの両方の IAS サーバーに対して ping を実行します (または、プライマリおよびセカンダリ IAS サーバーから AP に対して ping を実行します)。 |
| AP の RADIUS 設定をチェックする |
プライマリおよびセカンダリ RADIUS サーバーについて AP に構成されている IP アドレスとポート設定をチェックします。これらが IAS サーバー上の構成と一致していることを確認します。 |
| IAS サーバーの RADIUS クライアント エントリをチェックする |
プライマリおよびセカンダリ IAS サーバーに、この AP に対する RADIUS クライアント エントリがあることを確認します。IAS は、クライアントとして構成されていないデバイスから RADIUS 要求を受信すると、システム ログにエラーを記録します。 |
| RADIUS クライアント シークレットをチェックする |
RADIUS クライアント シークレットは、AP に入力された後では表示できない場合があり、目視で確認するのは困難なことがあります。IAS RADIUS クライアント エントリに構成されている値が AP に構成されている値と異なる場合、IAS はシステム イベント ログにエラーを記録します。 |
| AP のファームウェア リビジョンをチェックする |
AP のファームウェアが最新であることを確認します。更新について ベンダの Web サイトをチェックします。 |
| DHCP サーバーをチェックする |
DHCP サーバーが実行されていること、WLAN クライアントの有効な範囲が指定されていてアクティブであること、およびワイヤレス AP と DHCP サーバー間に接続があること (厳密に言うと、WLAN クライアントが IP リースを取得するには、AP の既定の VLAN と DHCP サーバー間に接続が必要です) を確認します。 |
###### WAN の接続をチェックする
WLAN の障害は、さまざまなコンポーネント間の WAN 接続の問題に起因する場合があります。以下の表は、問題の原因として考えられる項目の一覧です。
**表 8.15: WAN 診断チェック**
| リモート IAS サーバーへの認証を行うワイヤレス AP |
AP とプライマリおよびセカンダリ IAS サーバー間の基本的な接続をテストします。ほとんどの AP には、この目的に使用できる単純な ping または traceroute コマンドがあります。
疑わしいサイトとの間のトラフィックをフィルタ処理するファイアウォールまたはルーターがある場合は、RADIUS 認証およびアカウンティング トラフィック (User Datagram Protocol (UDP) ポート 1812 と 1813 上の要求と応答) が許可されていることを確認してください。 |
| WAN 内で複製しているドメイン コントローラ |
ドメイン コントローラ間の複製の問題は、基本的な IP 接続が確立していても発生する場合があります。遅延が長すぎると、ドメイン コントローラ間の RPC 通信がエラーになります。この章の「Active Directory とネットワーク サービスをチェックする」で説明している dcdiag ツールを使用してテストしてください。 |
| WLAN クライアントと DHCP サーバー |
DHCP サーバーが AP や認証済み WLAN クライアントと同じ LAN 上にない場合は、BOOTP/DHCP リレー エージェントを構成して、要求をリモート ネットワーク上にある正しい DHCP サーバーに転送する必要があります。 |
#### トラブルシューティングのツールと技術
ここでは、トラブルシューティングに役立つ技術とツールについていくつか説明します。
##### クライアントの \[ネットワーク接続\] フォルダの状態を確認する
\[ネットワーク接続\] フォルダと Windows XP のシステム トレイの通知アイコンには、認証の状態に関する情報が示されます。
\[ネットワーク接続\] フォルダ (\[コントロール パネル\] にあります) では、ワイヤレス ネットワーク アダプタの下の状態テキストに、現在の接続状態が示されます。アダプタを選択すると、\[ネットワーク接続\] フォルダの \[詳細\] パネルに、接続に関する追加情報が表示されます。アダプタをいったん無効にして再度有効にすると、アダプタによる WLAN への接続および認証の試行状態が表示されます。この情報は、クライアント接続の問題をデバッグするときに役に立ちます。
アダプタのアイコンを右クリックし、\[状態\] をクリックして、WLAN の信号強度 (\[全般\] タブ) と IPアドレスの詳細 (\[サポート\] タブ) を表示します。
##### イベント ログ内の IAS 関連の認証イベントを確認する
クライアント認証の成功イベントと失敗イベントは、IAS サーバーのシステム イベント ログに記録され、トラブルシューティングに役立てることができます。既定では、認証要求の成功と失敗の両方について、イベントのログが有効になっています。この設定は、\[インターネット認証サービス\] MMC の IAS サーバーのプロパティの \[全般\] タブで変更できます。
認証エラーのトラブルシューティングを行う場合は、これらのイベントを参照すると役立ちます。以下の表は、IAS が生成するイベントの種類の一覧です。
**表 8.16: IAS 認証要求イベント**
| Access Granted |
ユーザーまたはコンピュータが正常に認証され、WLAN へのアクセスが許可されました。 |
情報 |
IAS |
1 |
| Access Denied |
アクセス試行が拒否されました (理由はイベントの説明に記述されます)。 |
警告 |
IAS |
2 |
| Discarded |
アクセス試行は、タイムアウトのため破棄されました。 |
エラー |
IAS |
3 |
各イベントには、認証要求に関する以下の詳細情報が含まれます。
- クライアント名
- AP の IP アドレスと識別子
- クライアントの種類 ("ワイヤレス - IEEE 802.11" であることが必要)
- リモート アクセス ポリシーの名前
- 認証および EAP の種類
- 理由コードと説明
認証が失敗する場合、理由コードと説明を参照すると問題を特定できることがよくあります (ただし、理由は誤解を招いたりあいまいだったりする場合もあります)。以下の表に、出力される理由コードを示します。
**表 8.17: IAS 認証要求イベントの理由コード**
| 00 |
成功 |
| 01 |
内部エラー |
| 02 |
アクセス拒否 |
| 03 |
無効な要求 |
| 04 |
グローバル カタログが使用できない |
| 05 |
ドメインが使用できない |
| 06 |
サーバーが使用できない |
| 07 |
ドメインが存在しない |
| 08 |
ユーザーが存在しない |
| 16 |
認証エラー |
| 17 |
パスワード変更エラー |
| 18 |
サポートされていない認証のタイプ |
| 32 |
ローカル ユーザーのみ |
| 33 |
パスワードを変更する必要がある |
| 34 |
アカウントが無効 |
| 35 |
アカウントの有効期限切れ |
| 36 |
アカウントがロックアウトされている |
| 37 |
無効なログオン時間 |
| 38 |
アカウントの制限 |
| 48 |
一致するポリシーがない |
| 64 |
ダイヤルインがロックアウトされている |
| 65 |
ダイヤルインが無効 |
| 66 |
無効な認証の種類 |
| 67 |
無効な起呼端末 |
| 68 |
無効なダイヤルイン時間 |
| 69 |
無効な被呼端末 |
| 70 |
無効なポートの種類 |
| 71 |
無効な制限 |
| 80 |
レコードがない |
| 96 |
セッション タイムアウト |
イベント ログ エントリから収集した情報だけでは、問題の原因の診断に不十分なこともあります。このようなときは、IAS クライアントと IAS サーバーでトレースを有効にする必要があります。これについては、次の手順で説明します。
##### クライアント コンピュータでトレースを有効または無効にする
Windows では、ほとんどのコンポーネントで詳細なトレース情報をサポートしており、発生した問題の診断に役立ちます。コンポーネントのトレースを有効にすると、診断出力がテキスト ログ ファイルに書き込まれ、イベント ログの記録より詳細な情報を取得できます。
WLAN 認証プロセスに関する詳細情報を取得するには、**netsh** コマンドを使用して、EAP over LAN (EAPOL) コンポーネントと Remote Access Service-Transport Layer Security (RASTLS) コンポーネントのトレースを有効にする必要があります。トレースを有効にしたら、認証プロセスを再試行して、Eapol.log および Rastls.log ファイルに問題を示すエントリがないかどうかを検証します (両ファイルとも %Systemroot%\\Tracing フォルダに書き込まれます)。
**クライアント コンピュータのトレースを有効にするには**
- 以下のコマンドを実行します。
**netsh ras set tracing eapol enabled**
**netsh ras set tracing rastls enabled**
**クライアント コンピュータのトレースを無効にするには**
- 以下のコマンドを実行します。
**netsh ras set tracing eapol disabled**
**netsh ras set tracing rastls disabled**
**注:** トレースを有効にするとシステム リソースが大量に消費され、生成されるログ ファイルもサイズが急速に大きくなります。トラブルシューティングが完了したら、トレースを無効にしてください。
##### IAS サーバーでトレースを有効または無効にする
IAS では、クライアントの場合と同じ方法でトレースを有効にできます。
**netsh** コマンドを使用して、ネットワーク認証に関連するさまざまなコンポーネントのトレースを有効または無効にできます。PEAP 認証を使用した 802.1x に関する問題をトレースする場合、特に有用なコンポーネントは以下のとおりです。
- **IASSAM (%Systemroot%\\tracing フォルダの Iassam.log ファイル):** これは、IAS に関する問題を調べる際に最もよく使用されるトレース ファイルで、ユーザー名のクラッキング (異なるフォーマット間の変換)、ドメイン コントローラへのバインド、資格情報の妥当性検査などに関連する処理が記載されています。このファイルは、IAS トレース ファイル群の中心的存在であり、通常、認証に関連した問題をデバッグするときに必要となります。
- **RASTLS (%Systemroot%\\tracing フォルダの Rastls.log ファイル):** このトレース ファイルは、EAP と PEAP に関連するすべての認証について使用されます。このログには、ほとんどの重要デバッグ情報が含まれていますが、読んで理解するのは容易ではありません。マイクロソフトでは、この情報の解釈を容易にするための文書を発行する予定です。
- **RASCHAP (%Systemroot%\\tracing フォルダの Raschap.log ファイル):** このトレース ファイルは、MS-CHAP v2 など、すべての CHAP ベースのパスワード認証処理で使用されます。
802.1x 認証のトラブルシューティングでは、以下の IAS コンポーネントのトレースを有効にする必要はありませんが、別の問題のトラブルシューティングに役立つ場合があります。
- **IASRAD (%Systemroot%\\tracing フォルダの Iasrad.log ファイル):** このログ ファイルには、RADIUS プロトコルに関するすべての動作が記録されます。たとえば、サーバーがリッスンしているポートなどが記録されます。これは、ワイヤレス AP の互換性に関する問題をデバッグする場合に役立つことがあります。
- **IASSDO (%Systemroot%\\tracing フォルダの Iassdo.log ファイル):** IASSDO ログ ファイルには、ユーザー インターフェイス (UI) から、サーバーの構成と辞書が保存されている MDB ファイルへの、トランザクションが記録されます。このログ ファイルは、サービスや UI に関連する問題を解決する目的で使用されます。
**IAS サーバーのトレースを有効にするには**
1. 必要なトレース情報の種類に応じた **netsh** コマンドを実行します。802.1X 認証に関する問題のトラブルシューティングを行う場合、最も役に立つ情報は IASSAM、RASTLS、および RASCHAP の各ログに記録されます。
**netsh ras set tracing iassam enabled**
**netsh ras set tracing rastls enabled**
**netsh ras set tracing raschap enabled**
**netsh ras set tracing iasrad enabled**
**netsh ras set tracing iassdo enabled**
また、あらゆるカテゴリのネットワーク コンポーネントでトレースを有効にするには、以下のコマンドを実行します。
**netshras set tracing \* enabled**
**IAS サーバーのトレースを無効にするには**
1. 前述の手順で有効にしたカテゴリのトレースを無効にするには、以下の **netsh** 1 つまたは複数のコマンドを実行します。
**netsh ras set tracing iassam disabled**
**netsh ras set tracing rastls disabled**
**netsh ras set tracing raschap disabled**
**netsh ras set tracing iasrad disabled**
**netsh ras set tracing iassdo disabled**
また、あらゆるカテゴリのネットワーク コンポーネントでトレースを無効にするには、以下のコマンドを実行します。
**netshras set tracing \* disabled**
**注:** トレースはシステム リソースを大量に消費するので、ネットワークの問題を特定するための補助手段として控えめに使用する必要があります。トレース情報の取得が終了したら、または問題が特定されたら、トレースを無効にしてください。
既定では、IASSAM と RASTLS のトレース ログは上限が 1 MB に設定されており、負荷が重い場合には、ログ ファイル内の重要情報が上書きされる可能性があります。以下の手順では、トレース ログを 10 MB に設定します。ログ ファイルのサイズが上限の 10 MB に達した場合は、名前が (IASSAM.old および RASTLS.old に) 変更され、新しいログ ファイルが作成されます。これにより、トレースの種類ごとに最大 20 MB のデータがサーバーに保存されます。この手順で使用されている "IASSAM" キー名をトレース カテゴリ名 (RASTLS、RASCHAP など) に置き換えることで、すべてのトレースの種類についてこれを実行できます。
**IASSAM トレース ログ ファイルを 10 MB に設定するには**
1. Regedt.exe を起動します。
2. 以下のレジストリ キーに移動します。
**HKEY\_LOCAL\_MACHINE\\Software\\Microsoft\\Tracing**
3. サブキー **IASSAM** を探します。このキーにはレジストリ値 **MaxFileSize** (**REG\_DWORD** の一種) が設定されています。この値を編集して、データ値を **0xA00000** に設定します (これは 10 MB の 16 進表示で、既定値は 0x100000 です)。必要に応じて、10 MB 以外の値を設定できます (ただし、これ以上の大きさになると管理しにくくなります)。
**警告:** レジストリの編集を誤ると、システムが重大な損傷を受けることがあります。レジストリに変更を加える前に、コンピュータ上の重要なデータをバックアップすることをお勧めします。
##### IAS サーバーで SChannel のログを有効にする
SChannel は、SSL (Secure Sockets Layer) や TLS (Transport Level Security) などの複数のインターネット セキュリティ プロトコルをサポートするセキュリティ サポート プロバイダ (SSP) です。IAS サーバー証明書に関連する問題があると疑われる場合、または RASTLS ログに TLS セッションの作成に問題があることが示されていた場合は、SChannel ログをクライアントとサーバーの両方で有効にする必要があります。イベントはセキュリティ ログに記録されます。
クライアントとサーバーの両方で同じ手順に従います。
**SChannel ログを有効にするには**
1. Regedt.exe を起動します。
2. 以下のレジストリ キーに移動します。
**HKEY\_LOCAL\_MACHINE\\SYSTEM\\CurrentControlSet\\Control**
**\\SecurityProviders\\SCHANNEL\\**
3. 詳細な SChannel イベントを有効にします。有効にするには、**EventLogging** の値を **1** (**REG\_DWORD** 型、データ **0x00000001**) から **3** (**REG\_DWORD** 型、データ **0x00000003**) に変更します。
**警告:** レジストリの編集を誤ると、システムが重大な損傷を受けることがあります。レジストリに変更を加える前に、コンピュータ上の重要なデータをバックアップすることをお勧めします。
トラブルシューティングが終了したら、SChannel ログを無効にしてください。ログはシステム リソースを大量に消費し、不要なエントリでイベント ログがいっぱいになる可能性があります。
##### Pocket PC 診断ツール
Windows XP には、さまざまなネットワーク診断ツールが用意されています。一方、Pocket PC の場合、ベース システムに組み込まれているツールは比較的少数です。使用している Pocket PC ベンダ、マイクロソフト、およびその他の企業では、Pocket PC の問題の診断に役立つさまざまな種類のツールを提供しています。以下にいくつか例をあげます。
- **IP 構成および診断ツール:** Cambridge Software 社の VXUtil や VXIPConfig などのツールがあります。
- 使用している PC ベンダが提供している WLAN 診断ツール
[](#mainsection)[ページのトップへ](#mainsection)
### 要約
この章では、WLAN セキュリティ インフラストラクチャの健全性を維持するために必要な以下の項目について説明しました。
- 主な保守タスク
- この環境に関連した運用、監視、サポート、変更、および最適化タスク
- 主なトラブルシューティング手順と技術
[](#mainsection)[ページのトップへ](#mainsection)
### 参照情報
ここでは、この章で説明している内容の背景知識として役立つ情報の参照先を示します。
- Windows サーバーのバックアップと復元の詳細については、Microsoft.com で Windows Server 2003 の「データのバックアップと復元」 を参照してください。
.gif){kind=link}
.gif){kind=link}