無線LANでActive Directory構築

Active DirectoryへIEEE 802.1x認証を行っての無線LAN環境構築はまだ敷居が高いということか。IEEE 802.1x対応の機器、RADIUS、ＮＡＰＳ、PEAP-TLS、PEAP-EAP-MSCHAPv2、・・・と深い専門知識が必要である。

 (MSのブログ)
802.1x 認証方式NAP対応
  

（質問）

Windows7の無線によるActiveDirectoryへのログオン

 

お世話になっております。

無線でのActiveDirectoryのログオンについて質問させて頂きます。

ノートPCの内蔵無線LANを利用し、LEAP認証を使ったActiveDirectoryへのログオンを想定しています。

設定する上で

・OS標準のサプリカントを使用しログオンする
・シングルサインオンは使用しない

という条件化の元、設定を行っているのですが

その際、「現在、ログオン要求を処理できるログオンサーバーはありません。」

とのメッセージが出てログオン出来ない状態です。（有線で行った場合はローカル、ドメイン共ログオンする事が出来ました）

テスト的にシングルサインオンのログオン前認証の設定を行って接続を試みましたが同じ結果でした。

LEAP認証を使ったドメインログオンは対応してないんでしょうか？

この環境(条件）下でLEAP認証を使ったドメインへのログオンの設定方法等ありましたらご教授お願い致します。

 

環境

ドメインコントローラ・・・Windows２００８

クライアント・・・Windows7（無線接続、LEAP認証）

ポリシー設定（全てローカルポリシーで設定しています）

・対話型ログオン : ドメイン コントローラが利用できない場合に使用する、前回ログオンのキャッシュ数　設定値：0

・コンピュータの起動およびログオンで常にネットワークを待つ　設定値：有効

・グループポリシーの低速リンクの検出　設定値：有効　接続速度0

（回答その１）

無線LANでのAD認証ということであれば、環境の説明が足りないと思われます。

RADIUSはNPSでしょうか？それともサードパーティ製でしょうか？APはCiscoの何を使用されているのでしょうか？

 

Windows Server 2008 ではEAPがサポートされたことにより、CiscoのLEAPもサポートするようです。でもその際にはNPSにインストールする必要があるみたいです。（ここらへんは実際にやったことがないので何とも言えませんが）

 

ネットワークポリシー サーバー

http://64.4.11.252/ja-jp/magazine/2007.12.cableguy.aspx

また、アクセスポイントによっても制約があるみたいです。

RADIUS サーバとの EAP 認証

http://www.cisco.com/JP/support/public/ht/tac/102/1021310/leapserver-j.shtml

 

LEAPを使用したいということであれば、CISCO製品をお使いと推測しますので、まずはそちらの製品がマイクロソフトのNPSをサポートしているかを確認されたほうがよろしいかと思われます。

また、マイクロソフト標準でサポートしているワイヤレス認証ではPEAP-TLSおよびPEAP-EAP-MSCHAPv2 になります。ですのでLEAPを使う場合はクライアントにCiscoのサプリカントを導入する必要がありますね。

 

さらに、NPSにはコンピューター証明書が必要になりますので、CAを配置する必要があります。

以上の環境が用意されており、どのような設定になっているかがわからないと、質問への対応は難しいと思われます。また、LEAPを使うということなので、Ciscoへの問い合わせをしていただくほうが確実かと・・・

 

余談ですが、無線を使って802.1x認証を行わないのであれば、認証プロトコルに関しては関係ありません。設定を行わなくてはならないのは暗号化のみですね。WPA2あたりで設定して、APと有線をつなげておけば有線と同じようにAD認証されます。

 

以上、参考になれば幸いです。

（参考:Cisco資料）
Cisco LEAP（Lightweight Extensible Authentication Protocol）
EAP-FAST 導入ガイド
（参考:個人の方のブログ）
WAPS-HP-AM54G54 を PEAP-MS-CHAP v2 で使用－SEの雑記

（回答その２）

○○○○です。

無線LANで問題が出た場合ですが、接続時にどんな内部動作が発生したのか EAPOL ログを取って調査することが一般的です。
EAPOL ログの取り方については、したの情報をどうぞ。

http://technet.microsoft.com/en-us/library/dd851746.aspx

・Windows Server 2003 (R2) ADのITProの資料
すぐできるWindowsサーバー強化術（第3回）無線LANのアクセス・ポイントを設置する－ITPro
・Windows Server 2008 (R2) ADのベンダー資料
Windows Server 2008 NAP 設定手順書 802.1X 編  ～テスト環境での802.1X NAP の強制～－CTC
（参考:個人の方のブログ）
Windows Server 2008 R2 環境で PEAP-MS-CHAP-v2認証の無線LAN環境を構築する－メモ的な思考的な(Hatena::Diary)
 
RADIUSを使って認証を行う機能は、
Windows Server 2003 (R2) ADでは、インターネット認証サービス（IAS）
Windows Server 2008 (R2) ADでは、NPS(ネットワークポリシーサーバー)
（参考資料：マイナビニュース）
http://news.mynavi.jp/series/AD/099/index.html
（参考ページ）
Windows XPの802.1xサプリカントのトレースログの取り方
 
http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/76ab9e49-f241-49bf-8487-53a03588d034

（質問）
無線LAN環境のPCでスタートアップスクリプトが実行されない
 
お世話になります。
・ドメインコントローラ：Windows Server 2008 R2×4台
・クライアント：Windows 7 ENTERPRISE SP1
という環境下でActive Directoryドメインを運用していますが、無線LAN接続のマシンの一部で
スタートアップスクリプトが実行されないという現象が発生しています。
有線接続のマシンでは実行されており、問題のあるマシンでもログオン後、手動でスクリプトを実行すると動くような状況です。
「コンピュータの起動およびログオンで常にネットワークを待つ」は有効にしております。
同じ無線LAN接続のマシンでも問題のあるマシンと無いマシンが出ているため、イベントログを比較したところ、問題のあるマシンでは、
イベントID:129
レベル：警告
ソース：Time-Service
全般：検出エラーのため、NtpClient はタイム ソースとして使うドメイン ピアを設定できませんでした。3473457 分後に再試行し、それ以降は 2 倍の間隔で再試行します。エラー: エントリが見つかりません。 (0x800706E1)というログが起動時に出力されておりました。
何か解決の手掛かりがあれば、ご教示お願い致します。
 
（回答）
問題あるマシンでコマンドプロンプトを立ち上げ
>whoami /fqdn
を叩いてみるか、システムログにNetlogonエラーがでていてドメイン認証されていない（キャッシュでログオンしている）ということはありませんか。
過去にもこのフォーラムに似たような投稿がしたにありましたので検索してみてください。
http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/e34e423c-cede-4317-8262-1e79ae33fd51/
お使いの無線LAN機器がドメインログオン動作確認がとれているか、そのベンダーのサポートへ確認が必要かもしれません。
（参考資料）
http://itpro.nikkeibp.co.jp/article/COLUMN/20111020/371142/
http://www.itmedia.co.jp/enterprise/articles/0611/17/news002.html
無線LAN端末がドメイン認証されているのであればしたの投稿ですでに回答されています。
（この件はログオンスクリプトですが。）
http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/ac2229a7-47cb-44ee-aed8-5ce5ffe7d10c
 
（別の方の回答）
○○○○です。
無線LAN環境でグループポリシーが正常実行できない場合、したのKBを試してもらう価値は(切り分けの意味でも)ありそうです。これはすべてのグループポリシー設定(ログオンスクリプト限定とかじゃなく)に基本的には該当する話しになるからです。
http://support.microsoft.com/kb/2421599
 
（再質問その１）
お世話になります。
GpNetworkStartTimeoutPolicyValueの設定で上手く動作するようになりました。
GpNetworkStartTimeoutPolicyValueの設定がスタートアップ・ログオンスクリプトだけでなく、全てのポリシーに該当するということが盲点でした。
ただ、これまで1年近くGpNetworkStartTimeoutPolicyValueの設定無しでも上手く動いていたものが、急に動かなくなってしまったことが気にかかります。
他の設定やパッチの類が影響しているのでしょうか？
後学のためにご教示頂ければ幸いです。
 
（再回答その１）
教示できるほどのものではないのですが、（例えば）したのブログ(MSの公式な回答ではありません。)に原因が書かれているようです。
http://community.giga-works.com/windows/autoenrollment-0x8007054b-userenv-1054.html
無線LANのアクセスポイントからDHCP割り当てをしてもらっているのか、MSのWindowsサーバーOSがDHCPサーバーとして動作しているのかコマンドプロンプトで
>ipconfig /all　
>nslookup
などで問題のある無線LAN端末のIP構成を調べてみてください。
 
（再質問その２）
お世話になります。
無線LAN端末のTCP/IP設定は全て固定IP接続としており、また無線LANアクセスポイントにも変更はないため、ますますもって謎が深まるばかりです。
「コンピュータの起動およびログオンで常にネットワークを待つ」を有効にしていても、自動ログオンさせようとすると
「ドメインXXXのドメイン コントローラは利用できません: 現在、ログオン要求を処理できるログオン サーバーはありません。」になるため、
ネットワークを待つ設定が上手く効いていないか、無線LANのネットワーク確立が遅いのかと邪推しておりました。
 
（再回答その２）
http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/76ab9e49-f241-49bf-8487-53a03588d034
うえの投稿ですでに回答されていますように、「ワイヤレス接続のプロパティ」で「セキュリティの種類」と「暗号化の種類」の組み合わせが無線アクセスポイ ントとサポートされているものかまず確認が必要です。（「セキュリティの種類」が「802.1x認証」になっていたら敷居が高いようです。）
いったん、「ネットワークと共有センター」から「ワイヤレスネットワークの管理」で現在のワイヤレスネットワークを削除し（したのページを参照して）
http://technet.microsoft.com/ja-jp/library/cc771826(v=ws.10).aspx　
再度、（したのビデオをみられて）セキュリティキーを入力して接続を作成しなおしてみてください。（その際は、お使いの無線アクセスポイントのマニュアルを参照してください。）
http://windows.microsoft.com/ja-JP/windows7/View-and-connect-to-available-wireless-networks
通常は無線アクセスポイントのDHCP機能を無効にして、クライアントのワイヤレスネットワーク接続のTCP/IP設定を自動取得にして、MSの Windows DHCPサーバーからIPアドレスを受け取るようにしておけば無線クライアントはMSのWindows DNSサーバーを参照するようになります。
無線クライアントのワイヤレス接続のプロパティを固定IPにするなら、クライアント自身のIPアドレス、サブネットマスク、デフォルトゲートウェイ、MSのWindows DNSサーバーのIPアドレス、を正しく入れているか確認が必要です。  
 
http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/a6739d2d-9698-45e5-b534-1aacdc9807cc