Table of contents
TOC
目次を折りたたむ
目次を展開する

ワイヤレス アクセス展開計画

James McIllece|最終更新日: 2017/03/10
|
1 投稿者

適用対象: Windows Server 2016

ワイヤレス アクセスを展開する前に、次の項目を計画する必要があります。

  • ワイヤレス アクセス ポイントのインストール(Ap)、ネットワーク上

  • ワイヤレスのクライアントの構成とアクセス

以下のセクションでは、計画の手順の詳細を提供します。

ワイヤレスAPインストールの計画

ワイヤレス ネットワーク アクセス ソリューションを設計する場合は、次の操作を行う必要があります。

  1. ワイヤレスApがサポートする必要がどのような標準を決定します。
  2. ワイヤレスのサービスを提供する可能エリアを決定します。
  3. ワイヤレスApを検索する場所を決定します。

さらに、ワイヤレスAPのIPアドレスの設定を計画し、クライアントのワイヤレスする必要があります。 セクションを参照してくださいNPSでのワイヤレスのAPの構成を計画以下の関連情報。

標準のワイヤレスAPサポートを確認します。

一貫性の目的上、および展開とAP管理が容易では、同じブランドとモデルのワイヤレスApを展開することをお勧めします。

展開ワイヤレスAp次をサポートする必要があります。

  • IEEE 802.1 X

  • 半径の認証

  • ワイヤレス認証と暗号します。 少なくとも優先するほとんどの順序で表示されます。

    1. WPA2-AESを使用してEnterprise

    2. WPA2-TKIP企業

    3. WPA-AESを使用してEnterprise

    4. WPA-TKIP企業

メモ

WPA2を展開するには、ワイヤレス ネットワーク アダプターともWPA2をサポートするワイヤレスApを使用する必要があります。 そうしないと、WPAを使用して-エンタープライズします。

さらに、ネットワークの高度なセキュリティを提供するワイヤレスApは、次のセキュリティ オプションをサポートする必要があります。

  • DHCPをフィルター処理します。 ワイヤレスAPは、ワイヤレス クライアントがDHCPサーバーとして構成されている場合、DHCPブロードキャスト メッセージの送信を防ぐために、IPポートをフィルター処理する必要があります。 ワイヤレスAPには、UDPポート68からネットワークにIPパケットを送信できないクライアントをブロックする必要があります。

  • DNSはフィルター処理します。 ワイヤレスAP IPポートに接続すると、クライアントが、DNSサーバーとして実行するを防ぐフィルターを適用する必要があります。 ワイヤレスAPには、ポート53ネットワークへのTCPまたはUDPからIPパケットを送信できないクライアントをブロックする必要があります。

  • クライアント分離、ワイヤレス アクセス ポイントは、分離機能をクライアントに提供する場合は、アドレス解決プロトコルの可能性を防ぐために機能を有効にする必要があります(ARP)悪用スプーフィング (なりすまし)。

ワイヤレス ユーザーのカバレッジの領域を特定します。

ワイヤレス カバレッジを提供する領域を特定するのにには、各構成の各フロアのアーキテクチャの描画を使用します。 たとえば、適切なオフィス、会議室、ロビー、カフェテリア、またはcourtyardsを識別します。

描画、医療装置、ワイヤレスのビデオ_カメラ、2.4 GHz 2.5工業、科学および医学 ~ で動作するコードレス電話など、ワイヤレス信号に干渉する任意のデバイスを示す(ISM)範囲、およびBluetooth-デバイスを有効にします。

描画、ワイヤレス信号; と干渉する可能性があるビルドの側面をマークします。建築物を作成するときに使われる金属製のオブジェクトには、ワイヤレス信号が影響します。 たとえば、次の一般的なオブジェクト干渉する可能性が信号の伝達: エレベーター、加熱と空気-ダクト、や具体的なサポートgirders安定化します。

ワイヤレスAPラジオの周波数の減衰を引き起こす可能性のあるソースについては、AP製造元に問い合わせます。 ほとんどのApでは、シグナルの強さ、エラー率、およびデータ スループットの確認に使用できるテストのソフトウェアを提供します。

ワイヤレスApをインストールする場所を決定します。

アーキテクチャの描画でを提供する十分な距離が十分なワイヤレス カバレッジ間隔相互に干渉しないいないこと、ワイヤレスAp閉じるを十分な一緒探します。

APの種類に依存するために必要なAp距離とAPアンテナ、ブロックするビルドの側面ワイヤレス信号、およびその他のソースが干渉を受けたりできます。 各ワイヤレスAPが300フィート以上、隣接するワイヤレスAPからではありませんされるように、ワイヤレスAPに基づいて代金をマークすることができます。 AP仕様については、ワイヤレスAP製造元のマニュアルおよび配置するためのガイドラインをご覧ください。

アーキテクチャの描画に指定された場所でワイヤレスApが一時的にインストールします。 次に、ワイヤレス アダプターを搭載した802.11ワイヤレス アダプターと通常付属しているサイト アンケート ソフトウェアを備えたラップトップを使用すると、各カバレッジ領域内で、シグナルの強さが決定します。

信号の強度が低い、カバレッジ分野でカバレッジ領域のシグナルの強さを向上させ、必要な範囲を含む、再配置、または信号の干渉のソースを削除するその他のワイヤレスApをインストールするAPを配置します。

すべてのワイヤレスApの最終的な位置を示すために、アーキテクチャの描画を更新します。 正確なAP配置マップは、操作のトラブルシューティング時に、後で、またはアップグレードまたはApを交換するときに役立ちます。

ワイヤレスAPとNPS RADIUSクライアント構成を計画します。

NPSを使用して、個別にまたはグループには、ワイヤレスApを構成することができます。

Apが多数含まれていますが、大規模なワイヤレス ネットワークを展開している場合は、グループ内でApを構成しやすくします。 Apとしてnps RADIUSクライアントのグループを追加するには、これらのプロパティを持つApを構成する必要があります。

  • ワイヤレスApは、同じIPアドレスの範囲からIPアドレスで構成されます。

  • ワイヤレスApはすべて、同じ共有シークレットを構成します。

PEAPが高速再接続の使用を計画します。

802.1 X、インフラストラクチャでワイヤレス アクセス ポイントはRADIUSサーバーに対するRADIUSクライアントとして構成されます。 PEAPの高速に再接続すると、展開されると、2つ以上のアクセス ポイント間でローミングされるワイヤレス クライアントは、新しい関連付けをごとに認証する必要はありません。

PEAPのすばやい再接続クライアントの接続要求の認証と承認を最初に実行しているNPSサーバーに、新しいアクセス ポイントから認証要求を転送するために、クライアントと認証システムの間での認証の応答時間を短縮できます。

PEAPクライアントと以前の両方を使用NPSサーバーの両方は、トランスポート層セキュリティがキャッシュされるため(TLS)接続のプロパティ(TLSハンドルという名前の集まり)、NPSサーバーは、クライアントが再接続の権限があるすばやく確認できます。

重要

高速に正常に機能する再接続、Apは同じNPSサーバーのRADIUSクライアントとして構成する必要があります。

元NPSサーバーが利用可能になるいない場合、またはクライアントが別のRADIUSサーバーにRADIUSクライアントとして構成されているアクセス ポイントに移動する場合は、クライアントと新しい認証システムの間で完全な認証が発生する必要があります。

ワイヤレスAP構成

以下にまとめますよく802.1 Xで構成されているアイテム-対応ワイヤレスAp:

メモ

項目の名前は、ブランドとモデルによって異なることができ、次の一覧とは異なる場合があります。 構成については、ワイヤレスAPドキュメントを参照してください-特定の詳細情報。

  • サービス セット識別子(SSID)します。 これは、ワイヤレス ネットワークの名前(などExampleWlan)、ワイヤレス クライアントに提供されている名前とします。 混乱を減らすためには、アドバタイズを選択したSSIDと一致しないように、ワイヤレス ネットワークの受信範囲内にあるすべてのワイヤレス ネットワークがブロードキャストされるSSID。

    複数のワイヤレスApが同じワイヤレス ネットワークの一部として展開される場合、同じSSIDと各ワイヤレスAPを構成します。 複数のワイヤレスApが同じワイヤレス ネットワークの一部として展開される場合、同じSSIDと各ワイヤレスAPを構成します。

    特定のビジネス ニーズを満たすために別のワイヤレス ネットワークを展開する必要がある場合、ワイヤレスAPの1つのネットワークでがSSID、その他のネットワークよりも別のSSIDをブロードキャストします。(s)します。 たとえば、別のワイヤレス ネットワークを従業員やゲストの必要がある場合でしたを構成する、ワイヤレスApビジネス ネットワークのSSIDブロードキャストするように設定ExampleWLANします。 ゲスト ネットワーク、ワイヤレス各APのSSIDブロードキャストするように設定できますGuestWLANします。 この方法で、従業員やゲストが不要な混乱することがなく、意図したネットワークに接続できます。

    ヒント

    一部のワイヤレスAPに複数の対応するための複数のSSIDをブロードキャストする機能がある-ネットワーク展開します。 複数のSSIDにブロードキャストできますれるワイヤレスのAPには、展開と運用保守のコストを削減できます。

  • ワイヤレス認証と暗号化します。

    ワイヤレス認証は、ワイヤレス クライアント ワイヤレス アクセス ポイントに関連付けられますときに使用されるセキュリティ認証です。

    ワイヤレスの暗号化とは、ワイヤレス認証ではワイヤレスAPおよびワイヤレスのクライアント間で送信する通信を保護するために使用されるセキュリティ暗号です。

  • AP IPアドレスをワイヤレス(静的)します。 ワイヤレスAPごとに、一意の静的IPアドレスを構成します。 サブネットは、DHCPサーバーによって処理された場合、は、DHCPサーバーしようとせずに別のコンピューターまたはデバイスに同じIPアドレスを発行できるようにDHCP除外範囲内にあるすべてのAP IPアドレスが入ることを確認します。 除外範囲は、"を作成し、新しいDHCPスコープをアクティブ化"の手順について詳しくは、コア ネットワーク ガイドします。 NPS内のグループのRADIUSクライアントとしてApを構成する計画している場合、グループ内の各APは同じIPアドレスの範囲からIPアドレスが必要です。

  • DNS名します。 DNS名では、一部のワイヤレスApを構成できます。 一意の名前と各ワイヤレスAPを構成します。 マルチに展開されたワイヤレスApがある場合など-ストーリー構築、3つ目のフロアAP3に展開されている最初の3つのワイヤレスApという名前を付けます-01、AP3-02、およびAP3-03します。

  • ワイヤレスAPサブネット マスクします。 Ipアドレスのどの部分のアドレスがネットワークIDやIPアドレスのどの部分は、ホストを指定するマスクを構成します。

  • AP DHCPサービスします。 場合は、ワイヤレスAPがある組み込み-、DHCPサービスでそれを無効にします。

  • 半径の共有シークレットします。 グループにどのような状況にする必要がありますを構成するすべてのグループでAp同一の共有シークレットNPS RADIUSクライアントを構成することを計画している場合を除き、ワイヤレスAPごとにシークレットが共有一意の半径を使用します。 共有シークレットには、少なくとも22文字、大文字の両方でのランダムな順序と小文字の英字、数字、句読点があります。 確認するには、ランダムに、共有シークレットを作成するのにランダムな文字世代プログラムを使用することができます。 ワイヤレスAPごとに共有シークレットを記録し、安全なオフィスなど、安全な場所に保存することをお勧めします。 NPSコンソールでRADIUSクライアントを構成するときに各APの仮想のバージョンを作成します。 各仮想AP NPS内で構成した共有シークレットは、実際、物理AP上の共有シークレットと一致する必要があります。

  • RADIUSサーバーのIPアドレスします。 使って認証し、このアクセス ポイントへの接続要求を承認するNPSサーバーのIPアドレスを入力します。

  • UDPポート(s)します。 既定では、NPSはRADIUS認証メッセージとUDPポート1813および1646 RADIUSアカウンティング メッセージ用の1812および1645 UDPポートを使用します。 半径UDPポートの既定の設定を変更しないことをお勧めします。

  • Vsaします。 一部のワイヤレスApには、ベンダーが必要とする-固有の属性(Vsa)完全ワイヤレスAP機能を提供します。

  • DHCPフィルターします。 UDPポート68からネットワークにIPパケットを送信できないワイヤレス クライアントをブロックするワイヤレスApを構成します。 DHCPフィルターを構成する、ワイヤレスAPのマニュアルを参照してください。

  • DNSフィルターします。 ワイヤレス ネットワークへのTCPまたはUDPポート53からIPパケットを送信するクライアントをブロックするワイヤレスApを構成します。 DNSフィルターを構成する、ワイヤレスAPのマニュアルを参照してください。

ワイヤレスのクライアントの構成とアクセスの計画

802.1 Xの展開を計画するときに-認証ワイヤレス アクセスは、いくつかのクライアントを検討する必要があります-要因。

  • 複数の標準のサポートを計画します。

    かどうか、ワイヤレス コンピューターはすべてを使って同じバージョンのWindowsまたは別のオペレーティング システムを実行しているコンピューターを組み合わせているかどうかを決定します。 それらが異なる場合は、オペレーティング システムでサポートされている標準の任意の違いを理解していることを確認します。

    かどうかすべてのワイヤレス ネットワーク アダプターがすべてのワイヤレス クライアント コンピューターで、同じワイヤレス標準をサポート、またはvarying標準をサポートする必要があるかどうかを決定します。 たとえば、一部のネットワーク アダプターのハードウェアのドライバーがWPA2をサポートするかどうかを判断-EnterpriseおよびAES、WPAのみをサポートしたりながら-エンタープライズとTKIPします。

  • 計画のクライアント認証モードします。 認証モードは、Windowsクライアントがドメイン資格情報を処理する方法を定義します。 ワイヤレス ネットワークのポリシーでは、次の3つのネットワーク認証モードから選択できます。

    1. ユーザーの再-認証します。 このモードでは、その認証は常に、コンピューターの現在の状態に基づくセキュリティ資格情報を使って実行を指定します。 ユーザーがログオンしていないコンピューターに、コンピューターの資格情報を使用して認証が実行されます。 ユーザーがコンピューターにログオンされた場合、認証はユーザーの資格情報を使用して、常に実行されます。

    2. コンピューターのみします。 コンピューターは、モードその認証を指定するだけでは常に実行をコンピューターの資格情報だけが使ってされます。

    3. ユーザーの認証します。 ユーザーの認証モードは、ユーザーがコンピューターにログオンするときにだけその認証が行われますを指定します。 コンピューターにログオンしたユーザーがない場合は、認証の試行は行われません。

  • ワイヤレスの制限を計画します。 ワイヤレス ネットワークへのアクセスのレベルが同じワイヤレス ユーザーのすべてを提供するかどうかや、一部のワイヤレス ユーザーのアクセスを制限するかどうかを決定します。 NPSで特定のワイヤレス ユーザー グループに対しての制限を適用することができます。 たとえば、定義できます特定日、および時間特定のグループにワイヤレス ネットワークへのアクセスが許可されていること。

  • ワイヤレスの新しいコンピューターを追加するための方法を計画します。 ワイヤレス-対応コンピューターがドメインに参加して、ワイヤレス ネットワークを展開する前に、コンピューターは、ワイヤード (有線) 802.1 X、ワイヤレス設定によって保護されていないネットワークのセグメントに接続している場合は、ワイヤレス ネットワークを構成した後に自動的に適用(IEEE 802.11)ポリシー ドメイン コント ローラー上およびワイヤレスのクライアントでグループ ポリシーを更新した後。

    ドメインに参加していないコンピューターでは、ただし、計画する必要がある802.1 Xの必要な設定を適用するためのメソッド-アクセスを認証します。 たとえば、次のいずれかを使用してコンピューターをドメインに参加するかどうかを決定します。

    1. ワイヤード (有線) 802.1 X、によって保護されていないネットワークのセグメントは、コンピューターに接続し、コンピューターをドメインに参加します。

    2. 手順とワイヤレス独自プロファイルこれにより、コンピューターをドメインに参加させるにブートス トラップの追加に必要な設定をユーザーがワイヤレスを提供します。

    3. ワイヤレス クライアントをドメインに参加させるITスタッフに割り当てます。

複数の標準のサポートの計画

ワイヤレス ネットワーク(IEEE 802.11)グループ ポリシーでのポリシーの拡張機能は、さまざまな、さまざまな展開オプションをサポートする構成オプションを提供します。

標準をサポートするために構成されているワイヤレスApを展開し、ワイヤレス ネットワークで複数のワイヤレス プロファイルを構成することができます(IEEE 802.11)ポリシーは、各プロファイルが必要な標準の1つのセットを指定するとします。

たとえば、ネットワークがあるWPA2をサポートするワイヤレスのコンピューター-EnterpriseおよびAES、WPAをサポートする他のコンピューター-EnterpriseおよびAES WPAのみをサポートする他のコンピューター-エンタープライズとTKIP、するかどうかを決定する必要があります。

  • 弱い暗号化方法を使用して、すべてのワイヤレス コンピューターをサポートする1つのプロファイルを構成するすべてのコンピューターをサポート - この例では、WPA-エンタープライズとTKIPします。
  • ワイヤレスの各コンピューターでサポートされているベスト可能なセキュリティを提供する2つのプロファイルを構成します。 この例では、強力な暗号化を指定する1つのプロファイルを構成する(WPA2-EnterpriseおよびAES)、強度の低いWPAを使用する1つのプロファイルと-エンタープライズとTKIP暗号化します。 この例ではWPA2を使用しているプロファイルを配置することが不可欠-EnterpriseおよびAESの優先順位が最も高くします。 WPA2の使用に対応していないコンピューターを-EnterpriseおよびAESを自動的に優先順位で次のプロファイルをスキップし、WPAを指定するプロファイルを処理-エンタープライズとTKIPします。
重要

接続先のコンピューターに対応している最初のプロファイルを使用するためのプロファイル、順序指定された一覧で高い最も安全な標準のプロファイルを配置する必要があります。

ワイヤレス ネットワークへのアクセス制限の計画

多くの場合、ワイヤレス ネットワークへのアクセスのレベルが異なりワイヤレスのユーザーに提供する可能性があります。 たとえば、任意の時間帯を曜日ごとに一部のユーザー無制限のアクセスを許可する可能性があります。 、他のユーザーのみコア時間、月曜日から金曜日、にアクセスを許可して、土曜日と日曜日にアクセスを拒否する可能性があります。

このガイドでは、ワイヤレス リソースへの一般的なアクセス権を持つグループにすべてのユーザーがワイヤレスで配置するアクセス環境を作成する手順を示します。 Active Directoryユーザーで1つのワイヤレス ユーザー セキュリティ グループを作成して、コンピューターのスナップ-で、そのグループのメンバーにワイヤレスのアクセス権を付与するすべてのユーザーを行います。

NPSネットワーク ポリシーを構成するときに、NPSが認証を決定するときに処理するオブジェクトとしてワイヤレス ユーザー セキュリティ グループを指定します。

ただし、展開では、さまざまなレベルのアクセスのサポートが必要な場合必要のみを行う次。

  1. Active Directoryユーザーとコンピューターでその他のワイヤレス セキュリティ グループを作成する、1つ以上のワイヤレスするユーザー セキュリティ グループを作成します。 たとえば、のみ定時作業中のアクセスを持っているもののグループと、要件に一致するその他の条件に合致するその他のグループのフル アクセスを持っているユーザーを含むグループを作成できます。

  2. 作成した適切なセキュリティ グループにユーザーを追加します。

  3. その他のワイヤレス セキュリティ グループごとに、追加のNPSネットワーク ポリシーを構成し、条件およびグループごとに必要な制約を適用するポリシーを構成します。

ワイヤレスの新しいコンピューターを追加するための方法を計画

ドメインとドメインにログオンし、新しいワイヤレス コンピューターに参加する推奨の方法は、いるが、ドメイン コント ローラーにアクセスし、802.1 X認証イーサネット スイッチによって保護されていないLANのセグメントにワイヤード (有線) 接続を使用してです。

場合によっては、ただし、そのできない場合があります、ドメイン、またはユーザーが既にドメインに参加しているコンピューターを使用して、最初のログオンの試行にワイヤード (有線) 接続を使用するためにコンピューターを参加させるワイヤード (有線) 接続を使用します。

ワイヤレス接続を使用するか、ユーザーがドメインに初めてを使用してログオン ドメインにコンピューターをドメインに参加する-ワイヤレス クライアント必要がありますを次のいずれかを使用して、ネットワークのドメイン コント ローラーへのアクセスを持つセグメントにワイヤレス ネットワークへの接続を確立して最初に参加しているコンピューターおよびワイヤレス接続では、します。

  1. ITスタッフのメンバーでは、ワイヤレス コンピューターをドメインに参加し、し、シングル サインオン ブートス トラップ ワイヤレス プロファイルを構成します。 この方法では、IT管理者は、ワイヤード (有線) イーサネット ネットワークへのワイヤレス コンピューターを接続し、し、コンピューターをドメインに参加します。 管理者は、コンピューター、ユーザーに配布しています。 ユーザーは、コンピューターを起動するときは、ワイヤレス ネットワークへの接続を確立して、ドメインにログオンするユーザーのログオン プロセスを手動で指定されたドメイン資格情報が使われます。

  2. ユーザーは、手動でブートス トラップのワイヤレス プロファイルと共にワイヤレス コンピューターを構成し、し、ドメインに参加します。 この方法では、ユーザーは、ワイヤレス コンピューターをIT管理者からの命令に基づいてブートス トラップ ワイヤレス プロファイルを使用して手動で構成します。 ワイヤレス プロファイルのブートス トラップでは、ワイヤレス接続を確立し、コンピューターをドメインに参加することができます。 コンピューターをドメインに参加して、コンピューターを再起動すると、ユーザーできるドメインにログオン、ワイヤレス接続と、ドメイン アカウントの資格情報を使っています。

ワイヤレス アクセスを展開するには、「ワイヤレス アクセス展開します。

© 2017 Microsoft