ワイヤレス アクセスの展開計画

  • [アーティクル]

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016

ワイヤレス アクセスを展開する前に、次の項目を計画する必要があります。

  • ネットワークへのワイヤレス アクセス ポイント (AP) のインストール

  • ワイヤレス クライアントの構成とアクセス

次のセクションでは、これらの計画手順について詳しく紹介します。

ワイヤレス AP のインストールの計画

ワイヤレスネットワークアクセスソリューションを設計するときは、次のことを行う必要があります。

  1. ワイヤレス AP がサポートする必要がある標準を決定する
  2. ワイヤレスサービスを提供するカバレッジの領域を決定する
  3. ワイヤレス AP を配置する場所を決定する

さらに、ワイヤレス AP とワイヤレス クライアントの IP アドレス スキームを計画する必要があります。 関連情報については、 以下の「NPS でのワイヤレス AP の構成を計画する」セクションを参照してください。

標準に対するワイヤレス AP のサポートを確認

一貫性を保ち、展開と AP 管理を容易にするためには、同じブランドのモデルでワイヤレス AP を展開することをお勧めします。

展開するワイヤレス AP は、以下をサポートする必要があります。

  • IEEE 802.1X

  • RADIUS 認証

  • ワイヤレス認証と暗号。 優先度の高いものから低いものの順に一覧表示されています。

    1. AES を使用した WPA2 エンタープライズ

    2. TKIP を使用した WPA2 エンタープライズ

    3. AES を使用した WPA エンタープライズ

    4. TKIP を使用した WPA エンタープライズ

注意

WPA2 を展開するには、ワイヤレス ネットワーク アダプターと、WPA2 もサポートするワイヤレス AP を使用する必要があります。 それ以外の場合は、WPA エンタープライズを使用してください。

さらに、ネットワークのセキュリティを強化するには、ワイヤレス AP が次のセキュリティ オプションをサポートしている必要があります。

  • DHCP フィルター処理。 ワイヤレス AP は、ワイヤレス クライアントが DHCP サーバーとして構成されている場合に DHCP ブロードキャスト メッセージが送信されるのを防ぐために IP ポートをフィルタリングする必要があります。 ワイヤレス AP は、クライアントが UDP ポート 68 からネットワークに IP パケットを送信するのをブロックする必要があります。

  • DNS フィルター処理。 ワイヤレス AP は、クライアントが DNS サーバーとして機能しないように、IP ポートでフィルタリングする必要があります。 ワイヤレス AP は、クライアントが TCP または UDP ポート 53 からネットワークに IP パケットを送信するのをブロックする必要があります。

  • クライアントの分離 ワイヤレス アクセス ポイントでクライアントの分離機能を提供している場合は、この機能を有効にして、アドレス解決プロトコル (ARP) のなりすまし悪用を防ぐ必要があります。

ワイヤレス ユーザーのカバレッジの領域を特定する

各建物の各フロアの建築図面を利用して、ワイヤレス カバレッジを提供する領域を特定します。 たとえば、適切なオフィス、会議室、ロビー、カフェテリア、または中庭などを特定します。

この図では、医療機器、ワイヤレス ビデオ カメラ、2.4 から 2.5 GHz の産業用、科学医療 (ISM) 範囲で動作するコードレス電話、Bluetooth 対応デバイスなど、ワイヤレス信号に干渉するデバイスを示しています。

図面上で、無線信号に干渉する可能性のある建物の側面に印を付けます。建物の建設に使用される金属物体は、無線信号に影響を与える可能性があります。 たとえば、次の一般的なオブジェクトが信号の伝達を妨げる可能性があります。エレベーター、冷暖房ダクト、およびコンクリートの支持桁。

ワイヤレス AP 無線周波数の減衰の原因となる可能性があるソースについては、AP の製造元にお問い合わせください。 ほとんどの AP には、信号の強さ、エラー率、データ スループットを確認するために使用できるテスト ソフトウェアが提供されています。

ワイヤレス AP をインストールする場所を決定する

建築図面で、ワイヤレス AP を十分に近づけて、十分なワイヤレス カバレッジを提供しますが、互いに干渉しないように十分に離して配置します。

AP 間の必要な距離は、AP と AP アンテナのタイプ、ワイヤレス信号をブロックする建物の側面、およびその他の干渉源によって異なります。 各無線 AP が隣接する無線 AP から 300 フィート (91.44メートル) 以内になるように、無線 AP の配置をマーキングできます。 AP の仕様と配置のガイドラインについては、ワイヤレスAP の製造元のドキュメントを参照してください。

建築図面で指定された場所にワイヤレス AP を一時的に設置します。 次に、802.11 ワイヤレス アダプターを搭載したラップトップと、ワイヤレス アダプターに一般的に付属している現場調査ソフトウェアを使用して、各カバレッジ領域内の信号強度を決定します。

信号強度が低いカバレッジ領域では、AP を配置してカバレッジ領域の信号強度を向上させ、追加のワイヤレス AP をインストールして必要なカバレッジを提供し、信号干渉の原因を再配置または削除します。

建築図面を更新して、すべてのワイヤレス AP の最終的な配置を示します。 正確な AP 配置マップがあると、後でトラブルシューティング操作を行ったり、AP をアップグレードまたは交換したりするときに役立ちます。

ワイヤレス AP と NPS RADIUS クライアントの構成を計画する

NPS を使用して、ワイヤレス AP を個別またはグループで構成できます。

多くの AP を含む大規模なワイヤレスネットワークを展開している場合は、AP をグループで構成する方がはるかに容易です。 NPS で RADIUS クライアント グループとして AP を追加するには、これらのプロパティを使用して AP を設定する必要があります。

  • ワイヤレス AP は、同じ IP アドレス範囲の IP アドレスで構成されます。

  • ワイヤレス AP はすべて、同じ共有シークレットで構成されています。

PEAP 高速再接続の使用を計画する

802.1X インフラストラクチャでは、ワイヤレス アクセスポイントは RADIUS サーバーへの RADIUS クライアントとして構成されます。 PEAP 高速再接続が展開されている場合、2 つ以上のアクセスポイント間をローミングするワイヤレス クライアントは、新しいアソシエーションごとに認証される必要はありません。

PEAP 高速再接続では、クライアント接続要求の認証と承認を最初に実行した NPS に新しいアクセスポイントから認証要求が転送されるため、クライアントと認証プロバイダ間の認証の応答時間が短縮されます。

PEAP クライアントと NPS はどちらも、以前にキャッシュされたトランスポートレイヤーセキュリティ (TLS) 接続プロパティ(そのコレクションは TLS ハンドルと呼ばれます)を使用するため、NPS は、クライアントが再接続を許可されているかどうかをすばやく判断できます。

重要

高速再接続が正しく機能するためには、AP を同じ NPS の RADIUS クライアントとして構成する必要があります。

元の NPS が使用できなくなった場合、またはクライアントが別の RADIUS サーバーへの RADIUS クライアントとして設定されているアクセス ポイントに移動した場合、クライアントと新しい認証プロバイダの間で適切な認証を行う必要があります。

ワイヤレス AP の構成

次の一覧は、802.1X 対応ワイヤレス AP で一般的に構成されている項目をまとめたものです。

注意

アイテム名はブランドやモデルによって異なる場合があり、次の一覧のものとは異なる場合があります。 構成固有の詳細については、ワイヤレス AP のドキュメントを参照してください。

  • サービス セット識別子 (SSID)。 これは、ワイヤレス ネットワークの名前 (ExampleWlan など) であり、ワイヤレス クライアントにアドバタイズされる名前です。 混乱を軽減するために、アドバタイズを選択した SSID は、ワイヤレス ネットワークの受信範囲内にあるワイヤレス ネットワークによってブロードキャストされる SSID と一致しないようにしてください。

    複数のワイヤレス AP が同じワイヤレス ネットワークの一部として展開されている場合は、各ワイヤレス AP を同じ SSID で構成します。 複数のワイヤレス AP が同じワイヤレス ネットワークの一部として展開されている場合は、各ワイヤレス AP を同じ SSID で構成します。

    特定のビジネス ニーズを満たすために異なるワイヤレス ネットワークを展開する必要がある場合、1 つのネットワーク上のワイヤレス AP は、他のネットワークの SSID とは異なる SSID をブロードキャストする必要があります。 たとえば、従業員とゲストに個別のワイヤレス ネットワークが必要な場合は、SSID をブロードキャストExampleWLANに設定して、ビジネス ネットワーク用のワイヤレス AP を構成できます。 次に、ゲスト ネットワークの場合、各ワイヤレス AP の SSID を GuestWLAN をブロードキャストするように設定できます。 このようにして、従業員とゲストは不必要な混乱を避けて目的のネットワークに接続できます。

    ヒント

    一部のワイヤレス AP には、マルチネットワーク 展開に対応するために複数の SSID をブロードキャストする機能があります。 複数の SSID をブロードキャストできるワイヤレス AP は、展開と運用メンテナンスのコストを削減できます。

  • ワイヤレス認証と暗号化

    ワイヤレス認証は、ワイヤレス クライアントがワイヤレス アクセス ポイントに関連付けられるときに使用されるセキュリティ認証です。

    ワイヤレス暗号化は、ワイヤレス AP とワイヤレス クライアントの間で送信される通信を保護するためにワイヤレス認証で使用されるセキュリティ暗号化暗号です。

  • ワイヤレス AP IP アドレス (静的)。 各ワイヤレス AP で、一意の静的 IP アドレスを構成します。 サブネットが DHCP サーバーによってサービスされている場合は、DHCP サーバーが別のコンピューターまたはデバイスに同じ IP アドレスを発行しようとしないように、すべての AP IP アドレスが DHCP 除外範囲内にあることを確認してください。 除外範囲については、コア ネットワーク ガイドの「新しい DHCP スコープを作成してアクティブ化するには」 の手順に記載されています。 NPS のグループごとに AP を RADIUS クライアントとして設定する場合は、グループ内の各 AP に同じ IP アドレス範囲の IP アドレスが必要です。

  • DNS 名。 一部のワイヤレス AP は、DNS 名を使用して構成できます。 各ワイヤレス AP を規則性のある名前で構成します。 たとえば、高層ビルにワイヤレス AP を配置している場合、3 階に配置されている最初の 3 つのワイヤレス AP に AP3-01、AP3-02、および AP3-03 という名前を付けることができます。

  • ワイヤレス AP サブネット マスク。 IP アドレスのどの部分がネットワーク ID であり、IP アドレスのどの部分がホストであるかを指定するようにマスクを構成します。

  • AP DHCP サービス。 ワイヤレス AP に DHCP サービスが組み込まれている場合は、それを無効にします。

  • RADIUS 共有シークレット。 NPS RADIUS クライアントをグループで構成する予定がない限り、ワイヤレス AP ごとに規則性のある RADIUS 共有シークレットを使用します。この場合、グループ内のすべての AP を同じ共有シークレットで構成する必要があります。 共有シークレットは、大文字と小文字の両方、数字、句読点を含む、少なくとも 22 文字のランダムなシーケンスである必要があります。 ランダム性を確保するために、ランダムな文字生成プログラムを使用して共有シークレットが作成できます。 各ワイヤレス AP の共有シークレットを記録し、オフィスの金庫などの安全な場所に保存することをお勧めします。 NPS コンソールで RADIUS クライアントを構成すると、各 AP の仮想バージョンが作成されます。 NPS の各仮想 AP で構成する共有シークレットは、実際の物理 AP の共有シークレットと一致する必要があります。

  • RADIUS サーバーの IP アドレス。 このアクセス ポイントへの接続要求を認証および承認するために使用する NPS の IP アドレスを入力します。

  • UDP ポート。 既定では、NPS は RADIUS 認証メッセージに UDP ポート 1812 および 1645 を使用し、RADIUS アカウンティング メッセージには UDP ポート 1813 および 1646 を使用します。 既定の RADIUD UDP ポート設定を変更しないことをお勧めします。

  • VSA 。 一部のワイヤレス AP は、完全なワイヤレス AP 機能を提供するためにベンダー固有の属性 (VSA) を必要とします。

  • DHCP フィルタリング。 ワイヤレス AP を構成して、ワイヤレス クライアントが UDP ポート 68 からネットワークへの IP パケットの送信をブロックします。 DHCP フィルタリングを設定するには、ワイヤレス AP のドキュメントを参照してください。

  • DNS フィルタリング。 ワイヤレス AP を構成して、ワイヤレス クライアントが TCP または UDP ポート 53 からネットワークに IP パケットを送信するのをブロックします。 DNS フィルタリングを構成するには、ワイヤレス AP のドキュメントを参照してください。

ワイヤレス クライアントの構成とアクセスの計画

802.1X 認証されたワイヤレスアクセスの展開を計画するときは、いくつかのクライアント固有の要因を考慮する必要があります。

  • 複数の標準のサポートを計画する

    ワイヤレスコンピューターがすべて同じバージョンの Windows を使用しているかどうか、または異なるオペレーティングシステムを実行しているコンピューターが混在しているかどうかを確認します。 それらが異なる場合は、オペレーティングシステムでサポートされている標準の相違点を十分に確認してください。

    すべてのワイヤレス クライアント コンピューターのすべてのワイヤレス ネットワーク アダプターが同じワイヤレス標準をサポートしているかどうか、またはさまざまな標準をサポートする必要があるかどうかを判断します。 たとえば、一部のネットワーク アダプター ハードウェア ドライバーが WPA2 エンタープライズと AES をサポートしているのに対し、他のドライバーはWPA エンタープライズと TKIP のみをサポートしているかどうかを確認します。

  • クライアント認証モードの計画。 認証モードでは、Windows クライアントがドメイン資格情報を処理する方法を定義します。 ワイヤレス ネットワーク ポリシーでは、次の 3 つのネットワーク認証モードから選択できます。

    1. [ユーザーの再認証]: このモードでは、コンピューターの現在の状態に基づいたセキュリティ資格情報を使用して、常に認証が実行できるように指定します。 コンピューターにログオンしているユーザーがいない場合、認証はコンピューターの資格情報を使用して実行されます。 ユーザーがコンピューターにログオンすると、認証は常にユーザーの資格情報を使用して実行されます。

    2. [コンピューターのみ]: コンピューターのみのモードでは、認証は常にコンピューターの資格情報のみを使用して実行されるように指定されています。

    3. ユーザー認証。 ユーザー認証モードは、ユーザーがコンピューターにログオンしているときにのみ認証が実行されることを指定します。 コンピューターにログオンしているユーザーがいない場合、認証は実行されません。

  • ワイヤレス制限の計画。 すべてのワイヤレス ユーザーにワイヤレス ネットワークへの同じレベルのアクセスを提供するかどうか、または一部のワイヤレス ユーザーのアクセスを制限するかどうかを決定します。 ワイヤレス ユーザーの特定のグループに対して、NPS で制限を適用できます。 たとえば、特定のグループがワイヤレス ネットワークへのアクセスを許可される特定の曜日と時間を定義できます。

  • 新しいワイヤレス コンピューターを追加する計画方法。 ワイヤレス ネットワークを展開する前にドメインに参加していたワイヤレス対応コンピューターの場合、コンピューターが 802.1X で保護されていないワイヤード (有線) ネットワークのセグメントに接続されていると、ドメイン コントローラーでワイヤレス ネットワーク (IEEE 802.11) ポリシーを構成した後、およびワイヤレス クライアントでグループ ポリシーを更新した後に、ワイヤレス構成設定が自動的に適用されます。

    ただし、ドメインにまだ参加していないコンピューターの場合は、802.1X 認証アクセスに必要な設定を適用する方法を計画する必要があります。 たとえば、次のいずれかの方法を使って、コンピューターをドメインに参加するかどうかを決定します。

    1. コンピューターを 802.1X で保護されていない有線ネットワークのセグメントに接続してから、コンピューターをドメインに参加させます。

    2. ワイヤレス ユーザーに、独自のワイヤレス ブートストラップ プロファイルを追加するために必要な手順と設定を提供します。これにより、ユーザーはコンピューターをドメインに参加させることができます。

    3. ドメインにワイヤレス クライアントを参加させる IT スタッフを割り当てます。

複数の標準の計画サポート

グループ ポリシーのワイヤレス ネットワーク(IEEE 802.11)ポリシー拡張機能は、さまざまな展開オプションをサポートするための幅広い構成オプションを提供します。

サポートする標準で構成されたワイヤレス AP を展開し、ワイヤレス ネットワーク (IEEE 802.11) ポリシーで複数のワイヤレス プロファイルを構成し、各プロファイルで必要な標準のセットを 1 つ指定できます。

たとえば、ネットワークに WPA2 エンタープライズと AES をサポートするワイヤレスコンピューター、WPA2 エンタープライズと AES をサポートする他のコンピューター、および WPA2 エンタープライズと TKIP のみをサポートする他のコンピューターがある場合は、次のことを行うかを決定する必要があります。

  • すべてのコンピューターでサポートされている最も脆弱な暗号化方式 (この場合は WPA エンタープライズと TKIP) を使用して、すべてのワイヤレス コンピューターをサポートする 1 つのプロファイルを構成します。
  • 各ワイヤレス コンピューターでサポートされる可能な限り最高のセキュリティを提供するために、2 つのプロファイルを構成します。 この場合、最も強力な暗号化(WPA2 エンタープライズおよび AES)を指定する 1 つのプロファイルと、より弱いWPA エンタープライズおよび TKIP 暗号化を使用する 1 つのプロファイルを構成します。 この例では、WPA2 エンタープライズと AES を使用するプロファイルを優先順位の最も高い順に配置することが不可欠です。 WPA 2 エンタープライズおよび AES を使用できないコンピューターは、優先順位に従って次のプロファイルに自動的にスキップして、WPA エンタープライズおよび TKIP を指定するプロファイルを処理します。

重要

接続するコンピューターは使用可能な最初のプロファイルを使用するため、最も安全な標準のプロファイルをプロファイルの順序付きリストの上位に配置する必要があります。

ワイヤレス ネットワークへの制限付きアクセスの計画

多くの場合、ワイヤレスユーザーにワイヤレスネットワークへのさまざまなレベルのアクセスを提供したい場合があります。 たとえば、一部のユーザーに対して、時間や曜日を問わず無制限のアクセスを許可したい場合があります。 他のユーザーの場合は、月曜日から金曜日のコア時間にのみアクセスを許可し、土曜日と日曜日にアクセスを拒否することができます。

このガイドでは、すべてのワイヤレス ユーザーをワイヤレス リソースへの共通アクセス権を持つグループに配置するアクセス環境を作成する手順について紹介します。 Active Directory ユーザーとコンピューター スナップインで 1 つのワイヤレス ユーザー セキュリティ グループを作成し、ワイヤレス アクセスを許可するすべてのユーザーをそのグループのメンバーにします。

NPS ネットワーク ポリシーを構成するときは、許可を決定するときに NPS が処理するオブジェクトとしてワイヤレス ユーザー セキュリティ グループを指定します。

ただし、展開でさまざまなレベルのアクセスのサポートが必要な場合は、次の手順を実行するだけで済みます。

  1. 複数のワイヤレス ユーザー セキュリティ グループを作成して、Active Directory ユーザーとコンピューターに追加のワイヤレス セキュリティ グループを作成します。 たとえば、フル アクセス権を持つユーザーを含むグループ、通常の勤務時間中にのみアクセス権を持つユーザー向けのグループ、および要件に一致する他の基準に適合する他のグループを作成できます。

  2. 作成した適切なセキュリティ グループにユーザーを追加します。

  3. 追加のワイヤレス セキュリティ グループごとに追加の NPS ネットワーク ポリシーを構成し、各グループに必要な条件と制約を適用するポリシーを構成します。

新しいワイヤレス コンピュータを追加するための計画方法

新しいワイヤレ スコンピュータをドメインに参加させてからドメインにログオンするための推奨される方法は、ドメイン コントローラーにアクセスできる LAN のセグメントへの有線接続を使用することであり、802.1X 認証イーサネット スイッチによって保護されない方法をお勧めします。

ただし、場合によっては、有線接続を使用してコンピューターをドメインに参加させたり、ユーザーが既にドメインに参加しているコンピューターを使用して最初のログオン試行に有線接続を使用したりすることが現実的でない場合があります。

ワイヤレス接続を使用してコンピューターをドメインに参加させる、またはユーザーがドメインに参加しているコンピューターとワイヤレス接続を使用して初めてドメインにログオンするには、ワイヤレス クライアントは最初にセグメント上のワイヤレス ネットワークへの接続を確立する必要があります次のいずれかの方法を使用して、ネットワーク ドメイン コントローラーにアクセスできます。

  1. IT スタッフのメンバーがワイヤレス コンピューターをドメインに参加させてから、シングル サイン オン ブートストラップ ワイヤレス プロファイルを構成します。 この方法では、IT管理者はワイヤレスコンピューターを有線イーサネット ネットワークに接続してから、ドメインにコンピューターを参加させます。 その後、管理者がコンピューターをユーザーに配布します。 ユーザーがコンピューターを起動すると、ユーザー ログオン プロセスに手動で指定したドメイン資格情報を使用して、ワイヤレス ネットワークへの接続の確立とドメインへのログオンの両方が行われます。

  2. ユーザーは、ブートストラップ ワイヤレス プロファイルを使用してワイヤレス コンピューターを手動で構成してから、ドメインに参加します。 この方法では、ユーザーは IT 管理者の指示に基づいて、ブートストラップ ワイヤレス プロファイルを使用してワイヤレス コンピューターを手動で構成します。 ブートストラップ ワイヤレス プロファイルを使用すると、ユーザーはワイヤレス接続を確立してから、コンピューターをドメインに参加させることができます。 コンピューターをドメインに参加させてコンピューターを再起動した後、ユーザーはワイヤレス接続とドメイン アカウントの資格情報を使用してドメインにログオンできます。

ワイヤレス アクセスを展開するには、「ワイヤレス アクセスの展開」を参照してください。