[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。
Active DirectoryへIEEE 802.1x認証を行っての無線LAN環境構築はまだ敷居が高いということか。IEEE 802.1x対応の機器、RADIUS、NAPS、PEAP-TLS、PEAP-EAP-MSCHAPv2、・・・と深い専門知識が必要である。
(質問)
Windows7の無線によるActiveDirectoryへのログオン
お世話になっております。
無線でのActiveDirectoryのログオンについて質問させて頂きます。
ノートPCの内蔵無線LANを利用し、LEAP認証を使ったActiveDirectoryへのログオンを想定しています。
設定する上で
・OS標準のサプリカントを使用しログオンする
・シングルサインオンは使用しない
という条件化の元、設定を行っているのですが
その際、「現在、ログオン要求を処理できるログオンサーバーはありません。」
とのメッセージが出てログオン出来ない状態です。(有線で行った場合はローカル、ドメイン共ログオンする事が出来ました)
テスト的にシングルサインオンのログオン前認証の設定を行って接続を試みましたが同じ結果でした。
LEAP認証を使ったドメインログオンは対応してないんでしょうか?
この環境(条件)下でLEAP認証を使ったドメインへのログオンの設定方法等ありましたらご教授お願い致します。
環境
ドメインコントローラ・・・Windows2008
クライアント・・・Windows7(無線接続、LEAP認証)
ポリシー設定(全てローカルポリシーで設定しています)
・対話型ログオン : ドメイン コントローラが利用できない場合に使用する、前回ログオンのキャッシュ数 設定値:0
・コンピュータの起動およびログオンで常にネットワークを待つ 設定値:有効
・グループポリシーの低速リンクの検出 設定値:有効 接続速度0
(回答その1)
無線LANでのAD認証ということであれば、環境の説明が足りないと思われます。
RADIUSはNPSでしょうか?それともサードパーティ製でしょうか?APはCiscoの何を使用されているのでしょうか?
Windows Server 2008 ではEAPがサポートされたことにより、CiscoのLEAPもサポートするようです。でもその際にはNPSにインストールする必要があるみたいです。(ここらへんは実際にやったことがないので何とも言えませんが)
ネットワークポリシー サーバー
http://64.4.11.252/ja-jp/magazine/2007.12.cableguy.aspx
また、アクセスポイントによっても制約があるみたいです。
RADIUS サーバとの EAP 認証
http://www.cisco.com/JP/support/public/ht/tac/102/1021310/leapserver-j.shtml
LEAPを使用したいということであれば、CISCO製品をお使いと推測しますので、まずはそちらの製品がマイクロソフトのNPSをサポートしているかを確認されたほうがよろしいかと思われます。
また、マイクロソフト標準でサポートしているワイヤレス認証ではPEAP-TLSおよびPEAP-EAP-MSCHAPv2 になります。ですのでLEAPを使う場合はクライアントにCiscoのサプリカントを導入する必要がありますね。
さらに、NPSにはコンピューター証明書が必要になりますので、CAを配置する必要があります。
以上の環境が用意されており、どのような設定になっているかがわからないと、質問への対応は難しいと思われます。また、LEAPを使うということなので、Ciscoへの問い合わせをしていただくほうが確実かと・・・
余談ですが、無線を使って802.1x認証を行わないのであれば、認証プロトコルに関しては関係ありません。設定を行わなくてはならないのは暗号化のみですね。WPA2あたりで設定して、APと有線をつなげておけば有線と同じようにAD認証されます。
以上、参考になれば幸いです。
(参考:Cisco資料)
Cisco LEAP(Lightweight Extensible Authentication Protocol)
EAP-FAST 導入ガイド
(参考:個人の方のブログ)
WAPS-HP-AM54G54 を PEAP-MS-CHAP v2 で使用-SEの雑記
(回答その2)
○○○○です。
無線LANで問題が出た場合ですが、接続時にどんな内部動作が発生したのか EAPOL ログを取って調査することが一般的です。
EAPOL ログの取り方については、したの情報をどうぞ。
http://technet.microsoft.com/en-us/library/dd851746.aspx
・Windows Server 2003 (R2) ADのITProの資料
すぐできるWindowsサーバー強化術(第3回)無線LANのアクセス・ポイントを設置する-ITPro
・Windows Server 2008 (R2) ADのベンダー資料
Windows Server 2008 NAP 設定手順書 802.1X 編 ~テスト環境での802.1X NAP の強制~-CTC
(参考:個人の方のブログ)
Windows Server 2008 R2 環境で PEAP-MS-CHAP-v2認証の無線LAN環境を構築する-メモ的な思考的な(Hatena::Diary)
RADIUSを使って認証を行う機能は、
Windows Server 2003 (R2) ADでは、インターネット認証サービス(IAS)
Windows Server 2008 (R2) ADでは、NPS(ネットワークポリシーサーバー)
(参考資料:マイナビニュース)
http://news.mynavi.jp/series/AD/099/index.html
(参考ページ)
Windows XPの802.1xサプリカントのトレースログの取り方
http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/76ab9e49-f241-49bf-8487-53a03588d034
[0回]
-------------------------------------
(関連投稿)
ドメインに正常に参加できているかについて
ドメインにログオンできない ~ セキュア チャネルの破損 ~
(参考:個人の方のブログ)
クライアントのコンピュータアカウントのパスワード格納場所-SEの雑記
ドメインにログオンできないときの対処方法に関して-MCTの憂鬱
キャッシュされたログオン-Always on the clock
補足説明
Windows XP の場合、Windows XP Service Pack 2 サポート ツールをインストールしても
whoami コマンドの
/fqdnオプションが使えないので、
>netdom verify [コンピューター名] /domain:[ドメイン名]
コマンドで確認する。
>nltest /SC_VERIFY:[ドメイン名]
コマンドはドメイン管理者として実行しないと
ACCESS_DENIED のエラーとなる。
[0回]
802.1x NAPにはActive Directory 証明書サービスは必須ではない
(質問)
NAP 802.1x構成時のActive Directory 証明書サービスの構成先及び障害時の動作について
○○と申します。
お世話になっております。
Windows 2008 R2 NAPを802.1xで構成した場合の、Active Directory 証明書サービスの構成先及び障害時の問題につきましてご質問させてください。
質問1
Windows 2008 R2 NAPを802.1xで構成したい為、Active Directory 証明書サービスを構成する場合、以下条件があるとの認識であっておりますでしょうか?
・エンタープライズルートCAで構成
・構成するサーバはドメインコントローラ
質問2
Windows 2008 R2 NAPを802.1xで構成し、Active Directory 証明書サービスを構成したサーバがダウンした場合、以下障害が発生するとの認識であっておりますでしょうか?
・Active Directory 証明書サービスを構成したサーバがダウン中は、新規PCが正常に検疫できない。
・Active Directory 証明書サービスを構成したサーバがダウン中は、証明書の更新がされない為、一部端末が正常に検疫できなくなる可能性がある。(数日程度の短期停止であれば、問題は発生しない)
ご回答をお待ちしております。
------------------------------------
(回答その1)
802.1x NAPではAD CS環境は必須要件に入っていません。必要なのは802.1x 対応の機器になります。
AD CS が必要なNAP環境は、IPSec NAP になります。
ですので質問自体が???ということになりますが・・・
以上、参考になれば幸いです。
------------------------------------
(回答その2)
なるほど
NPSサーバーに使用するコンピューター証明書をAD CSを使用して発行するということですね。
私の認識では
質問1
Windows 2008 R2 NAPを802.1xで構成したい為、Active Directory 証明書サービスを構成する場合、以下条件があるとの認識であっておりますでしょうか?
・エンタープライズルートCAで構成
・構成するサーバはドメインコントローラ
別にDCにAD CSを導入するのは必須ではありません。他のメンバーサーバーに導入することも可能です。エンタープライズCAにすることによってバージョン2や3のテンプレートを使用した証明書を発行できるのでNAPで使用するNPS以外にも使用できるということでしょうか。
質問2
Windows 2008 R2 NAPを802.1xで構成し、Active Directory 証明書サービスを構成したサーバがダウンした場合、以下障害が発生するとの認識であっておりますでしょうか?
・Active Directory 証明書サービスを構成したサーバがダウン中は、新規PCが正常に検疫できない。
・Active Directory 証明書サービスを構成したサーバがダウン中は、証明書の更新がされない為、一部端末が正常に検疫できなくなる可能性がある。(数日程度の短期停止であれば、問題は発生しない)
基本的に検疫自体に証明書は絡まないはずです。あくまでも検疫制御に署名書が必要なのはIPSec NAPです。PEAP-MS-CHAP v2を使用した認証においては、NPSの証明書が検証されます。それもクライアントがNPSを確認する際に使用する(設定によって無効にできる)ものと認識しています。
そのことから、クライアントがNPSのコンピューター証明書に入っている発行されたCAのデジタル署名を確認する際に、AD CSがダウンしていると確認出来ないということが発生します。その際のクライアント側の動作は802.1xでのNAPを構成したことがないのでどのような挙動が発生するのかは不明です。
またCTCさんで検証された手順が公開されていました。
http://www.ctc-g.co.jp/MungoBlobs/914/722/NAP_stepbystep_802.1x_RC1.pdf
以上、参考になれば幸いです。
(MSのページ)
http://www.microsoft.com/japan/windowsserver2008/technologies/network-access-protection.mspx
正常性登録機関
(MSのブログ)
802.1x 認証方式と NAP 対応
(参考資料)
http://cloud.watch.impress.co.jp/epw/cda/special/2008/02/22/12078.html
[0回]
Windows Server 2008 AD配下のWindows XPの無線LANをグループポリシーで無効化するのは難しいようである。
(質問)
Active Directoryのグループポリシーで無線LANを強制的に無効にできますか
Windows Server 2008のActive Directoryのドメインに、Windows XPを参加させて使用しています。
最近のPC機は、無線LANが標準装備されていることが多いですが、セキュリティ上、エンドユーザーに無線LANを使用させたくありません。グループポリシーを使用して、無線LANの無効化を強制することは出来ますでしょうか?
当方で調べた範囲では、グループポリシーにデバイスを無効にする機能がありますので、これを使用して無線LANのNICを無効にする方法を考えましたが、当方はPC機が2000機近く存在する環境であり、機種もばらばらです。無線LANのNICの機種単位にグループポリシーを作成するのは、とても実用的ではないと考えております。
以上。よろしくお願い申し上げます。
(回答1)
○○○○です。
もし Windows 標準のサプリカント (無線 LAN クライアント) を使っているなら、ですが、"Wireless Zero Configuration" (Windows XPであれば) サービスを無効化すると、無線 LAN 機能は使えなくなったはずです。
特定のサービスを強制的に無効化するのは、グループポリシーで実現できます。
(質問・続)
△△△△さんありがとうございます。
おっしゃるとおり、「コンピュータの構成」→「ポリシー」→「Windowsの設定」→「セキュリティの設定」→「システムサービス」をみました。サービスはたくさん一覧されていたのですが、肝心な「Wireless Zero Configuration」が一覧されていませんでした。
メニューなどで新規作成や追加をすることも出来ないようなのですが、「Wireless Zero Configuration」を一覧に追加する方法はあるのでしょうか?
以下のURLの問答が参考になるようですが、ADMXとか当方にはどうも難しそうです。
当方は、Active Directoryサーバー上でこの操作を実行しています。サーバー機はBladeで、無線LAN用のNICは搭載していません。そこに一覧されない理由があるように思います。
(回答2)
一覧には、そのマシン上に含まれるサービスが出てくるようです。
ドメインに参加してるWindows XPで、Adminpack.msiかグループポリシー管理コンソール(GPMC)をインストールしてグループポリシーを編集してください。
(回答3)
○○○○です。
たしかにおっしゃるとおり、Windows Server 2008 グループポリシーにこのサービス項目はないですね。グループポリシーオブジェクトを(2008上で)作成してから(ここでは一切編集せずに)、Windows XPで編集しましょう。GPMCでもMMCスナップインでも出来ます。下の方法を使ってください。
http://support.microsoft.com/kb/307900/ja
(MSページより)
http://technet.microsoft.com/ja-jp/library/cc730957(WS.10).aspx
http://technet.microsoft.com/ja-jp/library/cc730957.aspx
Windows XP、Server 2003ではWireless Zero Configuration サービス
Windows Vita、Server 2008ではWLAN AutoConfig サービス
とサービスの名称が違う。
Windows Server 2008で無線LANを利用するには、[サーバーマネージャ]で[ワイヤレスLANサービス]の機能を追加する必要がある
(参考資料)
http://www.atmarkit.co.jp/fwin2k/win2ktips/1112win2k8wl/win2k8wl.html
[0回]
スクリプトの作成は熟知した専門家(プログラマー?)のみが知っている世界である。一般の人は基本的なコマンド操作ができればよい。
(質問)
どのドメインコントローラで認証されるか
ドメインコントローラのログオン認証に関して質問させて頂きます。
Windows server 20008 *2台をドメインコントローラ兼DNSにして
Active Directoryドメイン環境を構築しています。
シングルドメイン構成です。
各ドメインコントローラをDC1、DC2とします。
このようにDCが2台ある場合、クライアントPCからドメインにログオンする際に
どのDCで認証をしているのでしょうか。
例えばクライアントPCが10台あったとして
DC1とDC2のどちらで、各クライアントはログオン認証をするのでしょうか。
クライアントがログオン時に、DNSから認証を受けるDCの場所を教えてもらっていると思うのですが
DNSはどのようにして、DC1で認証するクライアントPC、DC2で認証するクライアントPCの
判別をしているのでしょうか。
書籍などを確認すると
「クライアントの認証時に、適切なドメインコントローラで認証を受け」という表現が多々見受けられます。
この「適切な」とは、どこで判断しているのかを確認したくて、投稿させて頂いております。
どなたかご存知の方がいらっしゃいましたら、よろしくお願い致します。
――――――――――――――――――――――――――――――――――――
(回答1)
○○○さん、
ドメインメンバのコンピュータで、コマンドプロンプトを起動し、以下のコマンドを試してみてください。
>nslookup -type=SRV _ldap._tcp.dc._msdcs.%userdnsdomain%
仮にドメイン名が sample.local だったとすると上記コマンドは
>nslookup -type=SRV _ldap._tcp.dc._msdcs.sample.local
と等価です。
ADサイト情報がクライアント側で既に認識している場合は
>nslookup -type=SRV _ldap._tcp.<AD Site Name>._sites.dc._msdcs.%userdnsdomain%
でそのADサイトで利用すべきドメインコントローラ一覧が表示されると思います。
ADサイトを何も作っていないと「Default-First-Site-Name」が既定値でマップされます。
何度かコマンドを試すと 帰ってくる情報が やるたびに順番が変わっていると思います。
この順番が変わるのが ラウンドロビン という動作で、DNSサーバが なんとなく(負荷分散のつもりで?) 同じエントリに同じ優先順位のレコードが複数情報がある場合に入れ替わりで情報を返しています。
クライアントPCは、帰ってきた一番最初の情報を優先的に使います。
場合によっては2番目以降の回答を無視(利用することを想定されてない事もしばしば)します。
DNSサーバの回答がくるくるすることで、クライアントは勝手にまんべんなくアクセス対象が分散されることになります。
これらから、
・クライアントPCが自身のIPアドレスが確定していない場合、自身のADサイトが特定できない。
※ DHCPなどでアドレスが変動する場合で、前回と別セグメントのIPが降られた場合には 前回認識していたADサイト情報が利用できないことになるのかしら?
・自身のADサイトが不明な場合、
_ldap._tcp.dc._msdcs.%userdnsdomain%
をクエリして、そもそもドメイン内のドメインコントローラを決定。
ドメイン認証を実施。
・認証が通ったら、同じくグローバルカタログ(gc)を持つサーバを DNSクエリで見つけてきて接続し、
GCから自身のIPアドレスが所属すべきADサイトを識別します。多分。
・次回再起動時、自身のIPアドレスが確定していて、前回認識していたADサイト情報が有効だった場合、
_ldap._tcp.<AD Site Name>._sites.dc._msdcs.%userdnsdomain%
をクエリして 自身のADサイト内の有効ドメインコントローラを決定。
で動いているんじゃないですかね、、、、
サイトとサブネットは 「ADサイトと信頼関係」ツールで設定しないと関係性が示されないので ADサイト情報を特定できない事になります。
具体的な 資料を見つけたわけではないので どこか間違っていたりする気がします。
――――――――――――――――――――――――――――――――――――
(回答2)
×××です。
お二方のコメントに補足します。
Active Directory でどのドメインコントローラが認証されるのか、は、したの MSKB に書いてあります。
Windows XP がドメイン コントローラを検索する方法
この資料を読めばドメインコントローラ検索の流れがわかると思うのですが、「IP/DNS 互換ロケータ」を使って、DNS ベースでドメインコントローラを検索することがわかります。これは NetLogon サービスが行なうのですが、この細かい動きについては、したの資料の「ドメインロケータ」以降、および「IP/DNS DC ロケータのアルゴリズム」の項目を読んでもらうと、わかると思います。
Windows 2000 DNS
うえを読んでもらうとわかるのですが、SRV レコードには優先順序や重み付け(どのくらいの割合で優先させるか)といったフィールドがあるため、サイト内の複数ドメインコントローラであっても「多少の制御」を行なうことはできます(いわゆる完全な決め打ちはできません)。これについては、こういう資料があるようなので、興味があればご覧ください。
DNS管理ツールでDCのウエイトを設定したのにしばらくすると元に戻ってしまう
Reducing the workload on the PDC emulator master
これも細かいことですが、「ログオンしたドメインコントローラ情報」については、Windows XP 以降については %LOGONSERVER% 変数をみるのではなく、したのようなスクリプトで ADSI ベースの情報を確認された方がいいでしょう。
ユーザーを認証したドメイン コントローラを特定する方法はありますか
経験則になりますが、Windows XP 以降では %LOGONSERVER% には直近でログオンしたとは思われないドメインコントローラが記録されることがあります。Windows XP 以降で実装された「高速ログオン」機能(キャッシュを使ってログオンする機能)のため、正確な値が入っていないのだろう、と推察しています。
(追記)
そのスクリプトのMS資料のURLはしたへ変わっているので要注意。
Hey, Scripting Guy! ユーザーを認証したドメイン コントローラを特定する方法はありますか
[0回]
MVP氏も本音は丁寧に回答したくない。
(質問)
ユーザー認証されたドメインコントローラの確認方法
現在、Windows2003SP2でシングルドメイン、マルチサイトの構成のドメイン環境を構築中です。
サイト内のDC異常時のテストを実施しようとしています。他のサイトのDCを使用して認証できることはテストで確認する予定ですが、その際にどこのDCで認証されたか確認する方法はありますでしょうか?
よろしくお願いいたします。
------------------------------------
(回答1)
××××さん
多分、クライアントのコマンドプロンプトを開いて、環境変数 LOGONSERVERを確認するのが簡単ではないでしょうか?
> echo %LOGONSERVER%
一応、ドメインユーザでログイン出来ていることを確認する為に、
>echo %USERDOMAIN%
及び
>echo %USERDNSDOMAIN%
も見ておけば間違いないかと。
------------------------------------
(回答2)
×××× さん
コマンドプロンプトで 【set l】で表示されると思います。
------------------------------------
(回答3)
○○○○です。
%logonserver% 変数はログオンしたドメインコントローラを記録しますが、Windows XP以降は高速ログオンの機能で「前回のログオンサーバ」が記録されることがあるので、注意が必要です。
このようなスクリプトを、使いましょう。
------------------------------------
MSはなぜ資料のリンク先を無くしたり変更したりするのか?
(再質問)
○○○○さん
リンク先が存在しないようなので、tecnetで"DC 認証先"をキーワードにして探しましたが見つかりませんでした。リンク先を教えてくださいませんでしょうか?
(再回答)
○○○○です。
こちらをどうぞ。
Hey, Scripting Guy! ユーザーを認証したドメイン コントローラを特定する方法はありますか
---------------------------------
(検証した結果)
Set objDomain = GetObject("LDAP://rootDSE")
strDC = objDomain.Get("dnsHostName")
Wscript.Echo "Authenticating domain controller: " & strDC
一番簡単な方法はメモ帳でうえのコードをコピーし
Cドライブのルートへ拡張子を.txtから.vbsに変更して
ninshou.vbs のファイル名で保存し(ファイル名は一例である。)
コマンドプロンプトで下記を叩くとわかる。
>CScript C:\ninshou.vbs
http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/d4cef972-a751-46ff-b9bd-2279e915226a/#6b225694-ebf9-41a5-ade2-79498d824e0e
[0回]
プロフィール
カレンダー
カウンター
リンク
最新記事
最新コメント
最新トラックバック
カテゴリー
アーカイブ
ブログ内検索
リンク
忍者画像RSS
忍者AdMax
フリーエリア