1.ドメイン機能レベルの確認

ドメイン機能レベルが「Windows Server 2003」以上であることを確認する。(フォレスト機能レベルは不要)

ドメイン機能レベルの確認方法は、参考資料のPage17、18を参照。

2.ActiveDirectoryオブジェクトの作成・編集

セキュリティグループの作成

無線LAN接続専用のセキュリティグループを作成する。(ユーザは既存のものを利用するため、不要)

　
セキュリティグループへのメンバー追加
ドメインに参加しているコンピュータ・ユーザはすべて接続可能とするため、上記で作成したセキュリティグループに以下のオブジェクトをメンバーとして追加する。

　
ユーザのプロパティ編集
無線LANに接続する全土メインユーザに対し、以下のプロパティを変更する。
ただし、今回の場合はドメインの機能レベルが2003であるため、規定値のままとなるはず。
参考資料では、Page 25 の14、15。

3.認証機関の構築(スタンドアロンCA)

ドメインコントローラーを認証機関(CA)として利用する。

今回は認証の種類を「PEAP - Windowsログオン認証」とするため、ユーザ/コンピュータの証明書配布は不要(IISは構築しない)。また、Standard Editionであるため、認証機関はスタンドアロンCAとなる。

設定方法は、参考資料のPage 30 to 33。(以下は読み替えする部分)

4.RADIUSサーバの構築

Windows Server 2003 R2 では標準でRADIUSサーバ機能を実装しているため、利用する。

インターネット認証サービス(IAS)のインストール
参考資料のPage 37、38を参照し、インストールする。

　
インターネット認証サービスの Active Directory への登録
参考資料のPage 38、39を参照し、登録する。

5.RADIUSクライアントとして無線LANアクセスポイントを登録

参考資料のPage 39 to 41 を参照し、無線LANアクセスポイントをRADIUSクライアントとして登録する。
読み替え部分は以下の通り。

6.リモートアクセスポリシーの設定

パスワード認証用にリモートアクセスポリシーを作成。
参考資料のPage 42 to 47 を参照し、設定する(以下は読み替え部分)

7.アクセスポイントの設定

RADIUSサーバの設定が可能なアクセスポイントにて、以下の設定を行う。

RADIUSサーバ設定の主な内容は以下の通り。

8.WindowsXP用のグループポリシー作成

WindowsXPとWindowsVista以降ではグループポリシーの実装が異なるため*1、それぞれで設定を行う。

WindowsXP用は、参考資料のPage 58 to 63 を参照・設定する。(以下は読み替え部分)

9.WindowsVista以降のグループポリシー作成

WindowsVista以降のクライアントOSに実装する場合、標準のWindows Server 2003 のグループポリシーではWindwosVista以降のグループポリシーをサポートしていない*2。

そのため、

• WPA2をサポートしていない
• Visata以降は、デフォルトではステルスSSIDのアクセスポイントへは接続できない*3

などの問題があることから、Windows Server 2003 のグループポリシーを拡張し、その後にグループポリシーを作成する。

9.1.Windows Server 2003 のグループポリシー拡張

Active Directory Schema Extensions for Windows Vista Wireless and Wired Group Policy Enhancement (英文)*4を参照しながら以下の作業を実施。

Darren Watt氏のブログにも同様の記載があります。*5

802.11Schema.ldfファイルの作成
Active Directory Schema Extensions for Windows Vista Wireless and Wired Group Policy Enhancementより、「Contents of 802.11Schema.ldf」の次の行から、「Top of page (Extending the Schema for Wired Group Policy Settings直前のもの)」の前の行(-)までをメモ帳などにコピペ(最後の「-」も忘れずに)。

その後、エンコードを「ANSI」として、Windows Server 2003 R2 上の任意のフォルダへ保存。

# -----------------------------------------------------------------------
#   Copyright (c) 2006 Microsoft Corporation
#
#   MODULE:     802.11Schema.ldf
# -----------------------------------------------------------------------

# -----------------------------------------------------------------------
#   define schemas for these attributes:
#ms-net-ieee-80211-GP-PolicyGUID
#ms-net-ieee-80211-GP-PolicyData
#ms-net-ieee-80211-GP-PolicyReserved
# -----------------------------------------------------------------------

dn: CN=ms-net-ieee-80211-GP-PolicyGUID,CN=Schema,CN=Configuration,DC=X
changetype: ntdsSchemaAdd
objectClass: attributeSchema
ldapDisplayName: ms-net-ieee-80211-GP-PolicyGUID
adminDisplayName: ms-net-ieee-80211-GP-PolicyGUID
adminDescription: This attribute contains a GUID which identifies a specific 802.11 group policy object on the domain.
attributeId: 1.2.840.113556.1.4.1951
attributeSyntax: 2.5.5.12
omSyntax: 64
isSingleValued: TRUE
systemOnly: FALSE
searchFlags: 0
rangeUpper: 64
schemaIdGuid:: YnBpNa8ei0SsHjiOC+T97g==
showInAdvancedViewOnly: TRUE
systemFlags: 16

dn: CN=ms-net-ieee-80211-GP-PolicyData,CN=Schema,CN=Configuration,DC=X
changetype: ntdsSchemaAdd
objectClass: attributeSchema
ldapDisplayName: ms-net-ieee-80211-GP-PolicyData
adminDisplayName: ms-net-ieee-80211-GP-PolicyData
adminDescription: This attribute contains all of the settings and data which comprise a group policy configuration for 802.11 wireless networks.
attributeId: 1.2.840.113556.1.4.1952
attributeSyntax: 2.5.5.12
omSyntax: 64
isSingleValued: TRUE
systemOnly: FALSE
searchFlags: 0
rangeUpper: 4194304
schemaIdGuid:: pZUUnHZNjkaZHhQzsKZ4VQ==
showInAdvancedViewOnly: TRUE
systemFlags: 16

dn: CN=ms-net-ieee-80211-GP-PolicyReserved,CN=Schema,CN=Configuration,DC=X
changetype: ntdsSchemaAdd
objectClass: attributeSchema
ldapDisplayName: ms-net-ieee-80211-GP-PolicyReserved
adminDisplayName: ms-net-ieee-80211-GP-PolicyReserved
adminDescription: Reserved for future use
attributeId: 1.2.840.113556.1.4.1953
attributeSyntax: 2.5.5.10
omSyntax: 4
isSingleValued: TRUE
systemOnly: FALSE
searchFlags: 0
rangeUpper: 4194304
schemaIdGuid:: LsZpD44I9U+lOukjzsB8Cg==
showInAdvancedViewOnly: TRUE
systemFlags: 16


# -----------------------------------------------------------------------
#   Reload the schema cache to pick up altered classes and attributes
# -----------------------------------------------------------------------
dn:
changetype: ntdsSchemaModify
add: schemaUpdateNow
schemaUpdateNow: 1
-

# -----------------------------------------------------------------------
#   define schemas for the parent class:
#ms-net-ieee-80211-GroupPolicy
# -----------------------------------------------------------------------

dn: CN=ms-net-ieee-80211-GroupPolicy,CN=Schema,CN=Configuration,DC=X
changetype: ntdsSchemaAdd
objectClass: classSchema
ldapDisplayName: ms-net-ieee-80211-GroupPolicy
adminDisplayName: ms-net-ieee-80211-GroupPolicy
adminDescription: This class represents an 802.11 wireless network group policy object.  This class contains identifiers and configuration data relevant to an 802.11 wireless network.
governsId: 1.2.840.113556.1.5.251
objectClassCategory: 1
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
systemMayContain: 1.2.840.113556.1.4.1953
systemMayContain: 1.2.840.113556.1.4.1952
systemMayContain: 1.2.840.113556.1.4.1951
systemPossSuperiors: 1.2.840.113556.1.3.30
systemPossSuperiors: 1.2.840.113556.1.3.23
systemPossSuperiors: 2.5.6.6
schemaIdGuid:: Yxi4HCK4eUOeol/3vcY4bQ==
defaultSecurityDescriptor: D:(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;DA)(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;SY)(A;;RPLCLORC;;;AU)
showInAdvancedViewOnly: TRUE
defaultHidingValue: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=ms-net-ieee-80211-GroupPolicy,CN=Schema,CN=Configuration,DC=X
systemFlags: 16


# -----------------------------------------------------------------------
#   Reload the schema cache to pick up altered classes and attributes
# -----------------------------------------------------------------------
dn:
changetype: ntdsSchemaModify
add: schemaUpdateNow
schemaUpdateNow: 1
-

　
Ldifde.exeツールの実行

1. Windows Server 2003 R2 に Domain Admin権限のユーザでログオン
2. コマンドプロンプトを開き、「802.11Schema.ldf」ファイルが存在するフォルダへ移動
3. コマンドプロンプトで以下のコマンドを入力

ldifde -i -v -k -f 802.11Schema.ldf -c DC=X ＜Dist_Name_of_AD_Domain＞

　
例えば、「SAMPLE.local」ドメインに参加するには、以下を入力する。

ldifde -i -v -k -f 802.11Schema.ldf -c DC=X DC=SAMPLE,DC=local

上記の実行結果として「6 個のエントリを正しく修正しました。コマンドが正しく完了しました」と表示されれば、グループポリシー拡張は完了。

9.2.WindowsVista以降のグループポリシー作成

グループポリシー設定用アカウントの確認 (Domain Admins と Schema Admins )
グループポリシーを編集するため、作業用のユーザに以下の権限があるかを確認。

• Domain Admins
• Schema Admins

　
Windows7 端末の準備 (リモート管理ツール「RSAT」のインストール)
Windows Server 2003 のグループポリシーを作成しても、WindwosXPやWindows Server 2003 R2ではそのグループポリシーを設定することができない。

そのため、グループポリシーを設定可能なWindows7端末を用意し、リモート管理ツール「RSAT」をインストールする*6 *7 *8。

　
グループポリシーの管理による作成

1. 「スタート」->「管理ツール」->「グループポリシーの管理」
2. 左側にて、「フォレスト」->「ドメイン」->「***.local」->「Default Domain Policy」と展開
3. 「Default Domain Policy」の上で右クリック、「編集」を選択
4. 「コンピュータの構成」->「ポリシー」->「Windowsの設定」->「セキュリティの設定」->「ワイヤレスネットワーク(IEEE802.11)ポリシー」を選択(右側に「種類 = XP」のポリシーが存在することを確認)
5. 「ワイヤレスネットワーク(IEEE802.11)ポリシーの上で右クリック、「WindowsVista以降のリリース用の新しいワイヤレスネットワークポリシーの作成」を選択
6. 「Windows 7 および Windows Vista を実行するワイヤレス クライアントを PEAP-MS-CHAP v2 認証向けに構成する」(http://technet.microsoft.com/ja-jp/library/dd759176.aspx)に従い、以下の内容を入力

　
以下は「プロファイルの追加」ボタンを押した後の入力

10.クライアントによる無線LAN接続設定

クライアントの無線LAN接続設定を行う。

ここではインテルPROSet/Wirelessツールを用いて設定を行うものとします。

11.設定完了

以上の設定により、ドメインにログオンした段階で無線LANを利用することができるようになる。

参考：Microsoftの資料

マイクロソフトでは以下の情報を公開しています。

• Windows Server 2003 SP1 のワイヤレスのトラブルシューティング(http://technet.microsoft.com/ja-jp/library/cc773359%28WS.10%29.aspx)
• ワイヤレスネットワークのリンク集(http://technet.microsoft.com/ja-jp/network/bb530679.aspx)