「Windows Server 2008 PKI & 認証セキュリティ大全」（以下、参考資料）を参考に構築しようとしたものの、その本では PEAP-TLS での接続を想定しているようなので、差分などをメモ。

構築前の環境

• Windows Server 2008 R2 Standard (以下、2008R2)が Active Directory のドメインコントローラー (ドメイン機能レベルは 2003)
• クライアントは Windows7 とWindows XP

構築したい環境

• 無線LANの認証は Active Directory に参加していればOKとする
• 認証の種類は PEAP-MS-CHAP-V2 のパスワード形式とし*1、無線LANクライアントの証明書は不要とする
• 認証機関は 2008R2 に同居させる
• 認証機関のWebサービス系は不要
• 無線LANのアクセスポイントは、ステルスSSID + WPA2 AES

実際の手順

1. 2008R2 に、Active Directory証明書サービスの役割を追加

基本はデフォルト。指定する部分は以下の通り。

分類	項目	値
役割サービスの選択	証明機関	左記のみチェックする
セットアップの種類の指定	エンタープライズ	チェックする
CAの種類の指定	ルートCA	チェックする
秘密キーの設定	新しい秘密キーを作成する	チェックする

2.ネットワークポリシーサーバー(NPS)の役割を追加

ネットワークポリシーとアクセスサービス(NPS) がRADIUSサーバーとして利用できるため、役割を追加する。指定する部分は以下の通り。

分類	項目	値
サーバーの役割の選択	ネットワークポリシーとアクセスサービス	チェックする
役割サービスの選択	ネットワークポリシーサーバー	左記のみチェックする

3.サーバー証明書のテンプレート追加

認証の種類を PEAP-MS-CHAP-V2 としている今回は、サーバー側の証明書のみ必要となる*2。

サーバーの証明書としては「RASおよびIASサーバー」証明書テンプレートを利用すればよいため*3 *4、その証明書テンプレートを元に複製を行い、その証明書テンプレートを展開する。

1. サーバーマネージャーの左側ペインより、「Active Directory 証明書サービス」->「証明書テンプレート」と展開
2. 右側ペインより、「RASおよびIASサーバー」を右クリック、「テンプレートの複製」を選択
3. セットアップしている認証機関は Windows Server 2008 R2 であるため、証明書バージョン3を扱えることから、「Windows Server 2008 Enterprise」を選択
4. あとは以下の通りに入力

タブ	項目	値
全般	テンプレート表示名	（任意の名前）
セキュリティ	RAS and IAS Servers	読取、登録、自動登録をチェックする

4.証明機関で扱えるテンプレートの追加

上記3.で作成したテンプレートを、サーバー上の証明機関で扱えるように設定する。

1. サーバーマネージャー左ペインより、「Active Directory 証明書サービス」->「＜サーバー名＞CA」->「証明書テンプレート」を選択
2. 左ペインの「証明書テンプレート」の上で右クリック、「新規作成」->「発行する証明書テンプレート」を選択
3. 上記3.にて作成した証明書テンプレートを選択
4. 証明書テンプレートが追加されれば、OK

5.RADIUSサーバー(NPS)のセキュリティグループ確認

「RAS and IAS Servers」グループに所属しているか確認する。
ドメインコントローラーに同居しているので、所属しているはず。

6.RADIUSクライアントの設定

RADIUSクライアントの無線アクセスポイントを設定する。
なお、無線アクセスポイントは、RADIUS周りの設定があるものを選択すること。

1. サーバーマネージャーの左ペインより、「ネットワークポリシーとアクセスサービス」->「NPS（ローカル）」->「RADIUSクライアントとサーバー」と展開
2. 「RADIUSクライアント」の上で右クリック、「新規」を選択
3. 以下の内容を設定（「詳細設定」はそのまま）

項目	値
フレンドリ名	（任意の名前）
アドレス	無線LANアクセスポイントのIPアドレス
既存の共有シークレット	なし
共有シークレットの選択	手動
共有シークレット	無線LANアクセスポイントで設定するものと共通の値

7.ワイヤレスコンピューターと利用ユーザーのアクセスポリシー設定

コンピューターとユーザーの認証のための初期接続を可能にするため、設定を行う。

なお、認証の種類で「PEAP-MS-CHAP-V2」を選択しているため、ユーザーの認証も必要*5。

1. サーバーマネージャーの左ペインより、「ネットワークポリシーとアクセスサービス」->「NPS（ローカル）」を選択
2. 右ペインの標準構成より「802.1xワイヤレス接続または・・・」を選択、「802.1xを構成する」をクリック
3. ウィザードでは以下の項目を指定

画面	項目	値
802.1x接続の種類の選択	802.1x接続の種類	ワイヤレス接続
	名前	（任意の名前）
802.1xスイッチの設定	RADIUSクライアント	上記6.にて設定したRAIDUSクライアントを指定
認証方法の構成	種類	Microsoft 保護されたEAP(PEAP)
→構成ボタン	証明書の発行先	＜サーバー名＞.＜ドメイン名＞.local
	高速再接続	チェックを外す
	暗号化バインド	チェックを外す
	EAPの種類	セキュリティで保護されたパスワード(EAP-MSCHAP-V2)
ユーザーグループの設定	ユーザーグループ	「Domain Computers」と「Domain Users」を指定
トラフィック制御の構成	(何もしない)

その後、作成したポリシーを編集する。
「NPS(ローカル)」->「ポリシー」->「ネットワークポリシー」->作成したポリシーをダブルクリック

タブ名	項目	値
条件	NASポートの種類	「その他」欄にある、「Wireless - other」のチェックを外す
制約	認証方法	「セキュリティレベルの低い認証方法」にある項目全てのチェックを外す
設定	暗号化	「最強の暗号化(MPPE 128ビット)以外のチェックを外す

8.無線LANアクセスポイントの設定

上記6.にあわせて、無線LANアクセスポイントを設定する

アクセスポイントのネットワーク情報関連

IPアドレス、SSID、暗号化(WPA2-AES)

RADIUS周り

RADIUSサーバー(NPS)のIPアドレス、ポート番号(1812がデフォルト)、共有シークレット

9.グループポリシーによるサーバー証明書の自動配布

Windows Server 2008 R2 からは、どのエディションであっても証明書を自動配布することが可能となったため*6、グループポリシーにて自動配布設定を行う。

1. サーバーマネージャーの左ペインより、「機能」->「グループポリシーの管理」->「フォレスト」->「ドメイン」->「ドメイン名.local」
2. 左ペインの「グループポリシーオブジェクト」の上で右クリック、「新規」を選択
3. 名前は任意、ソーススターターGPOは「なし」
4. 「コンピューターの構成」->「Windowsの設定」->「セキュリティの設定」->「公開キーのポリシー」
5. 「証明書サービスクライアント」->「自動登録」をダブルクリック
6. 以下の項目を設定

項目	値
構成モデル	有効
有効期限が切れた証明書・・・	チェックする
証明書テンプレート・・・	チェックする

その後、以下を行う。

1. 作成したグループポリシーをActiveDirectory全体に適用するため、ドメインへ割り当てる
2. コマンドプロンプトから「gpupdate /force」でグループポリシーを適用

10.クライアント(Windows7)の設定

• 「ワイヤレスネットワークの管理」を開く(「ネットワークとインターネット」->「ネットワークの状態とタスクの表示」等)
• 「追加」ボタンを押す
• 「ネットワークプロファイルを手動で構成する」を選択
• 以下の通りに入力し、「次へ」

項目	値
ネットワーク名	無線LANアクセスポイントで設定したSSID
セキュリティの種類	WPA2-エンタープライズ
暗号化の種類	AES
この接続を自動的に開始します	チェックする
ネットワークがブロードキャスト・・・	チェックする(ステルスSSID対応のため)

• 「接続の設定を変更します」を選択
• 「セキュリティ」タブより、以下の通りに入力、「設定」ボタンを押す

項目	値
ネットワーク認証の方法を選択	Microsoft 保護されたEAP(PEAP)

• 「保護されたEAPのプロパティ」にて、以下の通りに入力、「OK」ボタンを押す

項目	値
サーバーの証明書を検証する	チェックする
次のサーバーに接続する	チェックし、「＜サーバー名＞.＜ドメイン名＞.local」を入力する
信頼されたルート証明機関	「＜ドメイン名＞-＜サーバー名>-CA」を選択する
新しいサーバーまたは・・・	チェックする
認証方法を選択する	セキュリティで保護されたパスワード(EAP-MSCHAP v2)
高速再接続を・・・(それ以降の項目も同様)	チェックしない

• 「セキュリティ」タブにて、「詳細設定」ボタンを押す
• 以下の項目を入力し、全てOKボタンを押し、作業を完了させる

項目	値
認証モードを指定する	チェックする
認証モード	「ユーザーまたはコンピューターの認証」を選択する

以上で、Windows7 端末の無線LAN環境の構築完了となる。

11.クライアント(WindowsXP)の設定

• ネットワーク接続を開き、「ワイヤレスネットワーク接続」のプロパティを開く
• 「ワイヤレスネットワーク」タブにて、「追加」ボタンを押す
• 「アソシエーション」タブにて、以下の通りに入力する

項目	値
ネットワーク名	無線LANアクセスポイントで設定したSSID
このネットワークがブロードキャスト・・・	チェックする(ステルスSSID対応のため)
ネットワーク認証	WPA2
データの暗号化	AES

• 「認証」タブにて、以下の通りに設定する

項目	値
EAPの種類	保護されたEAP (PEAP)
コンピューターの情報が利用できるときは・・・	チェックしない
ユーザーまたはコンピューターの情報が・・・	チェックしない

• 「認証」タブの「プロパティ」ボタンを押し、以下の通りに入力する

項目	値
サーバーの証明書を検証する	チェックする
次のサーバーに接続する	チェックし、「＜サーバー名＞.＜ドメイン名＞.local」を入力する
信頼されたルート証明機関	「＜ドメイン名＞-＜サーバー名>-CA」を選択する
新しいサーバーまたは・・・	チェックする
認証方法を選択する	セキュリティで保護されたパスワード(EAP-MSCHAP v2)
すばやい再接続を・・・(それ以降の項目も同様)	チェックしない

以上で、Windows XP 端末の無線LAN接続環境の構築が完了となる。

参考URL

• TechNet - PEAPの概要　(http://technet.microsoft.com/ja-jp/library/cc754179.aspx)
• TechNet - チェックリスト : 802.1X ワイヤレスの NAP 強制を構成する (http://technet.microsoft.com/ja-jp/library/cc753793%28WS.10%29.aspx)

参考文献

PEAP-MS-CHAP-V2には触れているものの、メインは EAP-TLS。
今だと電子書籍の方が手に入れやすいかも。
日経BP書店｜商品詳細 - Microsoft Windows Server 2008 PKI & 認証セキュリティ大全

ワイヤレス設定はあるものの、この通りではうまくできなかった。
こちらも電子書籍あり。
日経BP書店｜商品詳細 - Windows Server 2008オフィシャルマニュアル 下

こちらも EAP-TLSがメイン。少々 PEAP-MS-CHAP-V2 にも触れている。