基本は以下のサイトからダウンロードできる「WirelessSystem_SteypByStep.doc」(以下、参考資料と記載) を参考に構築します。
Windows Server 2003 と Windows XP Professional による IEEE 802.1x 無線 LAN 構築ガイド
http://www.microsoft.com/japan/windowsserver2003/techinfo/planning/walkthroughs/wirelesssystem.mspx
ただ、いくつか悩んだ点があったため、それらのメモを残しておきます。
環境
- ドメインコントローラー:Windows Server 2003 R2 Standard
- クライアント:WindowsXPとWindows7
- Active Directory に参加しているコンピュータ・ユーザのみ無線LANを許可する
- 認証の種類:PEAP
- 認証プロトコル:MS-CHAP-v2
- パスワード認証方式:Active Directory連携(Windowsログオン認証)
1.ドメイン機能レベルの確認
ドメイン機能レベルが「Windows Server 2003」以上であることを確認する。(フォレスト機能レベルは不要)
ドメイン機能レベルの確認方法は、参考資料のPage17、18を参照。
2.ActiveDirectoryオブジェクトの作成・編集
セキュリティグループの作成
無線LAN接続専用のセキュリティグループを作成する。(ユーザは既存のものを利用するため、不要)
項目名 | 設定する値 |
---|---|
グループ名 | 任意(「無線LAN接続」など) |
グループ名(Windows2000以前 | 任意 |
グループのスコープ | グローバル |
グループの種類 | セキュリティ |
セキュリティグループへのメンバー追加
ドメインに参加しているコンピュータ・ユーザはすべて接続可能とするため、上記で作成したセキュリティグループに以下のオブジェクトをメンバーとして追加する。
オブジェクト名称 | オブジェクトの説明 |
---|---|
Domain Computers | ドメインに参加している全コンピュータ |
Domain Users | ドメインに参加している全ユーザ |
ユーザのプロパティ編集
無線LANに接続する全土メインユーザに対し、以下のプロパティを変更する。
ただし、今回の場合はドメインの機能レベルが2003であるため、規定値のままとなるはず。
参考資料では、Page 25 の14、15。
名称 | 値 |
---|---|
タブ | ダイヤルイン |
リモートアクセスの許可(ダイヤルインまたはVPN) | リモートアクセスポリシーでアクセスを制御 |
3.認証機関の構築(スタンドアロンCA)
ドメインコントローラーを認証機関(CA)として利用する。
今回は認証の種類を「PEAP - Windowsログオン認証」とするため、ユーザ/コンピュータの証明書配布は不要(IISは構築しない)。また、Standard Editionであるため、認証機関はスタンドアロンCAとなる。
設定方法は、参考資料のPage 30 to 33。(以下は読み替えする部分)
名称 | 値 |
---|---|
「CAの種類」画面 | スタンドアロンのルートCA |
「CA識別情報」画面 | 「このCAの共通名」 -> 任意の名称 |
4.RADIUSサーバの構築
Windows Server 2003 R2 では標準でRADIUSサーバ機能を実装しているため、利用する。
インターネット認証サービス(IAS)のインストール
参考資料のPage 37、38を参照し、インストールする。
インターネット認証サービスの Active Directory への登録
参考資料のPage 38、39を参照し、登録する。
5.RADIUSクライアントとして無線LANアクセスポイントを登録
参考資料のPage 39 to 41 を参照し、無線LANアクセスポイントをRADIUSクライアントとして登録する。
読み替え部分は以下の通り。
画面名 | 項目名 | 値 |
---|---|---|
名前とアドレス(図74) | フレンドリ名 | 任意(Windows LAN など) |
クライアントのIPアドレス | アクセスポイントのIPアドレス | |
追加情報(図75) | 共有シークレット | 任意(ただし、アクセスポイントと同一とすること) |
6.リモートアクセスポリシーの設定
パスワード認証用にリモートアクセスポリシーを作成。
参考資料のPage 42 to 47 を参照し、設定する(以下は読み替え部分)
画面名 | 項目名 | 値 |
---|---|---|
ポリシーの構築方法(図78) | ポリシー名 | 任意 |
グループの選択(図71) | 選択するオブジェクト名 | 上記2.で作成したセキュリティグループ |
ダイヤルインプロファイルの編集 - 認証(図87) | Microsoft 暗号化認証バージョン2 | チェックする |
7.アクセスポイントの設定
RADIUSサーバの設定が可能なアクセスポイントにて、以下の設定を行う。
RADIUSサーバ設定の主な内容は以下の通り。
項目名 | 値 |
---|---|
サーバアドレス | RADIUSサーバのIPアドレス |
ポート番号 | 1812(基本的に規定値) |
共有シークレット | 上記5.にて設定した共有シークレットの値 |
8.WindowsXP用のグループポリシー作成
WindowsXPとWindowsVista以降ではグループポリシーの実装が異なるため*1、それぞれで設定を行う。
WindowsXP用は、参考資料のPage 58 to 63 を参照・設定する。(以下は読み替え部分)
画面名 | 項目名 | 値 |
---|---|---|
ワイヤレスネットワークポリシー名(図108) | 名前 | 任意 |
編集プロパティ - ネットワークのプロパティタブ(図113) | ネットワーク名 | アクセスポイントのSSID |
ネットワーク認証 | WPA | |
データの暗号化 | AES | |
保護されたEAPのプロパティ(EAPの種類にある、「設定」ボタン押下) | サーバー証明書の有効化 | チェックする |
信頼されたルート証明機関 | 上記3.にて作成した証明機関 |
9.WindowsVista以降のグループポリシー作成
WindowsVista以降のクライアントOSに実装する場合、標準のWindows Server 2003 のグループポリシーではWindwosVista以降のグループポリシーをサポートしていない*2。
そのため、
などの問題があることから、Windows Server 2003 のグループポリシーを拡張し、その後にグループポリシーを作成する。
9.1.Windows Server 2003 のグループポリシー拡張
Active Directory Schema Extensions for Windows Vista Wireless and Wired Group Policy Enhancement (英文)*4を参照しながら以下の作業を実施。
Darren Watt氏のブログにも同様の記載があります。*5
802.11Schema.ldfファイルの作成
Active Directory Schema Extensions for Windows Vista Wireless and Wired Group Policy Enhancementより、「Contents of 802.11Schema.ldf」の次の行から、「Top of page (Extending the Schema for Wired Group Policy Settings直前のもの)」の前の行(-)までをメモ帳などにコピペ(最後の「-」も忘れずに)。
その後、エンコードを「ANSI」として、Windows Server 2003 R2 上の任意のフォルダへ保存。
# ----------------------------------------------------------------------- # Copyright (c) 2006 Microsoft Corporation # # MODULE: 802.11Schema.ldf # ----------------------------------------------------------------------- # ----------------------------------------------------------------------- # define schemas for these attributes: #ms-net-ieee-80211-GP-PolicyGUID #ms-net-ieee-80211-GP-PolicyData #ms-net-ieee-80211-GP-PolicyReserved # ----------------------------------------------------------------------- dn: CN=ms-net-ieee-80211-GP-PolicyGUID,CN=Schema,CN=Configuration,DC=X changetype: ntdsSchemaAdd objectClass: attributeSchema ldapDisplayName: ms-net-ieee-80211-GP-PolicyGUID adminDisplayName: ms-net-ieee-80211-GP-PolicyGUID adminDescription: This attribute contains a GUID which identifies a specific 802.11 group policy object on the domain. attributeId: 1.2.840.113556.1.4.1951 attributeSyntax: 2.5.5.12 omSyntax: 64 isSingleValued: TRUE systemOnly: FALSE searchFlags: 0 rangeUpper: 64 schemaIdGuid:: YnBpNa8ei0SsHjiOC+T97g== showInAdvancedViewOnly: TRUE systemFlags: 16 dn: CN=ms-net-ieee-80211-GP-PolicyData,CN=Schema,CN=Configuration,DC=X changetype: ntdsSchemaAdd objectClass: attributeSchema ldapDisplayName: ms-net-ieee-80211-GP-PolicyData adminDisplayName: ms-net-ieee-80211-GP-PolicyData adminDescription: This attribute contains all of the settings and data which comprise a group policy configuration for 802.11 wireless networks. attributeId: 1.2.840.113556.1.4.1952 attributeSyntax: 2.5.5.12 omSyntax: 64 isSingleValued: TRUE systemOnly: FALSE searchFlags: 0 rangeUpper: 4194304 schemaIdGuid:: pZUUnHZNjkaZHhQzsKZ4VQ== showInAdvancedViewOnly: TRUE systemFlags: 16 dn: CN=ms-net-ieee-80211-GP-PolicyReserved,CN=Schema,CN=Configuration,DC=X changetype: ntdsSchemaAdd objectClass: attributeSchema ldapDisplayName: ms-net-ieee-80211-GP-PolicyReserved adminDisplayName: ms-net-ieee-80211-GP-PolicyReserved adminDescription: Reserved for future use attributeId: 1.2.840.113556.1.4.1953 attributeSyntax: 2.5.5.10 omSyntax: 4 isSingleValued: TRUE systemOnly: FALSE searchFlags: 0 rangeUpper: 4194304 schemaIdGuid:: LsZpD44I9U+lOukjzsB8Cg== showInAdvancedViewOnly: TRUE systemFlags: 16 # ----------------------------------------------------------------------- # Reload the schema cache to pick up altered classes and attributes # ----------------------------------------------------------------------- dn: changetype: ntdsSchemaModify add: schemaUpdateNow schemaUpdateNow: 1 - # ----------------------------------------------------------------------- # define schemas for the parent class: #ms-net-ieee-80211-GroupPolicy # ----------------------------------------------------------------------- dn: CN=ms-net-ieee-80211-GroupPolicy,CN=Schema,CN=Configuration,DC=X changetype: ntdsSchemaAdd objectClass: classSchema ldapDisplayName: ms-net-ieee-80211-GroupPolicy adminDisplayName: ms-net-ieee-80211-GroupPolicy adminDescription: This class represents an 802.11 wireless network group policy object. This class contains identifiers and configuration data relevant to an 802.11 wireless network. governsId: 1.2.840.113556.1.5.251 objectClassCategory: 1 rdnAttId: 2.5.4.3 subClassOf: 2.5.6.0 systemMayContain: 1.2.840.113556.1.4.1953 systemMayContain: 1.2.840.113556.1.4.1952 systemMayContain: 1.2.840.113556.1.4.1951 systemPossSuperiors: 1.2.840.113556.1.3.30 systemPossSuperiors: 1.2.840.113556.1.3.23 systemPossSuperiors: 2.5.6.6 schemaIdGuid:: Yxi4HCK4eUOeol/3vcY4bQ== defaultSecurityDescriptor: D:(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;DA)(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;SY)(A;;RPLCLORC;;;AU) showInAdvancedViewOnly: TRUE defaultHidingValue: TRUE systemOnly: FALSE defaultObjectCategory: CN=ms-net-ieee-80211-GroupPolicy,CN=Schema,CN=Configuration,DC=X systemFlags: 16 # ----------------------------------------------------------------------- # Reload the schema cache to pick up altered classes and attributes # ----------------------------------------------------------------------- dn: changetype: ntdsSchemaModify add: schemaUpdateNow schemaUpdateNow: 1 -
Ldifde.exeツールの実行
- Windows Server 2003 R2 に Domain Admin権限のユーザでログオン
- コマンドプロンプトを開き、「802.11Schema.ldf」ファイルが存在するフォルダへ移動
- コマンドプロンプトで以下のコマンドを入力
ldifde -i -v -k -f 802.11Schema.ldf -c DC=X <Dist_Name_of_AD_Domain>
例えば、「SAMPLE.local」ドメインに参加するには、以下を入力する。
ldifde -i -v -k -f 802.11Schema.ldf -c DC=X DC=SAMPLE,DC=local
上記の実行結果として「6 個のエントリを正しく修正しました。コマンドが正しく完了しました」と表示されれば、グループポリシー拡張は完了。
9.2.WindowsVista以降のグループポリシー作成
グループポリシー設定用アカウントの確認 (Domain Admins と Schema Admins )
グループポリシーを編集するため、作業用のユーザに以下の権限があるかを確認。
- Domain Admins
- Schema Admins
Windows7 端末の準備 (リモート管理ツール「RSAT」のインストール)
Windows Server 2003 のグループポリシーを作成しても、WindwosXPやWindows Server 2003 R2ではそのグループポリシーを設定することができない。
そのため、グループポリシーを設定可能なWindows7端末を用意し、リモート管理ツール「RSAT」をインストールする*6 *7 *8。
グループポリシーの管理による作成
- 「スタート」->「管理ツール」->「グループポリシーの管理」
- 左側にて、「フォレスト」->「ドメイン」->「***.local」->「Default Domain Policy」と展開
- 「Default Domain Policy」の上で右クリック、「編集」を選択
- 「コンピュータの構成」->「ポリシー」->「Windowsの設定」->「セキュリティの設定」->「ワイヤレスネットワーク(IEEE802.11)ポリシー」を選択(右側に「種類 = XP」のポリシーが存在することを確認)
- 「ワイヤレスネットワーク(IEEE802.11)ポリシーの上で右クリック、「WindowsVista以降のリリース用の新しいワイヤレスネットワークポリシーの作成」を選択
- 「Windows 7 および Windows Vista を実行するワイヤレス クライアントを PEAP-MS-CHAP v2 認証向けに構成する」(http://technet.microsoft.com/ja-jp/library/dd759176.aspx)に従い、以下の内容を入力
タイトル | タブ名 | 項目名 | 値 |
---|---|---|---|
設定前 | 作成するタイプ | インフラストラクチャ | |
プロパティ | 全般 | ポリシー名 | 任意 |
説明 | 任意 | ||
クライアントのWindows WLAN・・・ | チェックする | ||
ネットワークのアクセス許可 | 全てデフォルト値のまま |
以下は「プロファイルの追加」ボタンを押した後の入力
タイトル | タブ名 | 項目名 | 値 |
---|---|---|---|
プロファイル | 接続 | プロファイル名 | 任意 |
ネットワークID | アクセスポイントのSSID | ||
このネットワークが接続範囲内・・・ | チェックする | ||
さらに優先度の高い・・・ | チェックする | ||
ネットワークがブロードキャストしていない・・・ | ステルスSSIDの場合、チェックする | ||
セキュリティ | 認証 | WPA2-エンタープライズ | |
暗号化 | AES | ||
ネットワーク認証の選択 | Microsoft:保護されたEAP(PEAP) | ||
認証モード | コンピューターの認証 | ||
認証エラーの最大値 | 1 (デフォルト値) | ||
このネットワークへの今後の・・・ | チェックする | ||
セキュリティ - プロパティボタン | サーバの証明書を検証する | チェックしない | |
認証方法を選択する | EAP-MSCHAP v2 | ||
高速再接続を有効にする | チェックしない | ||
ネットワークアクセス保護を強制する | チェックしない | ||
サーバーに暗号化バインドのTLV・・・ | チェックしない | ||
IDプライバシーを有効にする | チェックしない | ||
セキュリティ - 詳細設定ボタン | 802.1Xの詳細設定を強制する | チェックする(EAPOL等は規定値) | |
高速ローミング | チェックしない | ||
暗号化処理を FIPS 140-2・・・ | チェックしない |
10.クライアントによる無線LAN接続設定
クライアントの無線LAN接続設定を行う。
ここではインテルPROSet/Wirelessツールを用いて設定を行うものとします。
設定区分 | 項目名 | 値 |
---|---|---|
一般設定 | プロファイル名 | 任意 |
WiFiネットワーク名 | アクセスポイントのSSID | |
セキュリティ設定 - PEAPユーザ | セキュリティの種類 | エンタープライズセキュリティ |
ネットワーク認証 | WPA2 - エンタープライズ | |
データ暗号化 | AES - CCMP | |
認証の種類 | PEAP | |
認証プロトコル | MS-CHAP-V2 | |
ユーザクリデンシャル | Windowsログオンを利用する | |
ローミングID | 規定値(ログオンアカウント) | |
セキュリティ設定 - PEAPサーバ | サーバ証明書の検証 | チェックしない |
サーバまたは証明書の名前を指定する | チェックしない |
参考:Microsoftの資料
マイクロソフトでは以下の情報を公開しています。
- Windows Server 2003 SP1 のワイヤレスのトラブルシューティング(http://technet.microsoft.com/ja-jp/library/cc773359%28WS.10%29.aspx)
- ワイヤレスネットワークのリンク集(http://technet.microsoft.com/ja-jp/network/bb530679.aspx)
*1:ワイヤレスサービスの概要:http://technet.microsoft.com/ja-jp/library/cc730957.aspx
*2:802.1X で認証されたワイヤード アクセスおよびワイヤレス アクセス:http://technet.microsoft.com/ja-jp/library/cc730878%28WS.10%29.aspx
*3:Windows Vista での非ブロードキャスト ワイヤレス ネットワークへの接続:http://support.microsoft.com/kb/929661/ja
*4:Active Directory Schema Extensions for Windows Vista Wireless and Wired Group Policy Enhancements:http://go.microsoft.com/fwlink/?LinkId=70195
*5:Applying WPA2 via Group Policy in Windows Server 2003:http://www.darrenwatt.com/applying-wpa2-via-group-policy-in-windows-server-2003/
*6:RSATツールでWindows Server 2008をリモート管理する:http://www.atmarkit.co.jp/fwin2k/win2ktips/1031rsat/rsat.html
*7:Windows 7 のリモート サーバー管理ツールの説明(対WindowsServer2003と2008の管理内容差異):http://support.microsoft.com/kb/958830/ja
*8:Windows 7 用のリモート サーバー管理ツール(管理ツールを表示させる方法の説明あり・中段10以降):http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=7d2f6ad7-656b-4313-a005-4e344e43997d