none
無線LAN環境でのActiveDirectoryログオン前認証について RRS feed

  • 質問

  • サーバ:Windows2003 Server(ActiveDirectory)

    ※グループポリシーにてパスワードの有効期限を設定、10日前に通知が出る設定

    クライアント:WindowsXP/Vista/7

    ※無線LAN環境:WPAエンタープライズ/AES/PEAP

    上記環境にて、有線LANのPCはログオン時にポリシー通りに有効期限10日前になると通知が出ますが、

    無線LAN環境のPCの場合、ログイン時に通知が表示されません。

    また、無線LAN環境のPCに今までログオンしてないユーザでログオンを試みると「現在、ログオン要求を処理できるログオンサーバはありません」と表示され、ログインに失敗します。

    おそらくログオン前にActiveDirectoryの認証ができてないと思われますが、設定等で回避できるののでしょうか。

    ご教示の程よろしくお願い致します。

    2011年5月23日 5:00

回答

  • Windows Server 2003 とXPでのワイヤレス環境でのサインオンは次の通り。

    コンピューターの起動>Windowsのログオン画面の表示>ユーザーによる資格情報の入力>ユーザーログオン認証>ドメインへのログオン操作>ユーザーレベルのワイヤレスネットワークの認証>Windowsのデスクトップの表示

    このことからキャッシュログオンでドメインへ入っていることがわかります。その結果、グループポリシーの更新などは行われないことになります。

    Windows Server 2008 以降で クライアントが Vista 以降ならGPOでSSOの設定をすることができるので次のシングルサインオン動作になります。

    コンピューターの起動>Windowsのログオン画面の表示>ユーザーによる資格情報の入力>ユーザーレベルのワイヤレスネットワークの認証>ユーザーログオン認証>ドメインへのログオン操作>Windowsのデスクトップの表示

    ということで、設定などでは回避できません。

    以上、参考になれば幸いです。


    MVP:Virtual Machine Blog:MCTの憂鬱 http://naonao71.wordpress.com/
    2011年5月23日 23:37
    モデレータ

すべての返信

  • 無線側のTCP/IPの設定で、DNSは優先同様にActive Directoryが管理するDNSサーバを指すように構成されていますでしょうか?

    2011年5月23日 8:15
    モデレータ
  • チャブーンです。

    > また、無線LAN環境のPCに今までログオンしてないユーザでログオンを試みると「現在、ログオン要求を処理できるログオンサーバはありません」と表示され、ログインに失敗します。

    ということですので、「無線LAN環境接続後」もログオン認証できていません。一見ログオンできているように見えるマシンもすべて「キャッシュログオン(クライアントのキャッシュ資格情報でログオン)」で、kerberos認証はできていないのでしょう。

    Chukiさんからもコメントが出ていますが、無線LANでDHCP割り当てをしているなら"DNSの設定"をドメインコントローラのIPアドレスに設定してください。

    2011年5月23日 17:49
    モデレータ
  • >Chuki様、チャブンーン様

    ご返信有難うございます。

    TCP/IP設定に関してですが、クライアント側は自動取得、DHCP側の固定でIPアドレス及びDNSサーバの払い出しをしています。

    Activedirectory兼DNSサーバのアドレスが正しく払い出しされています。

    一度ログインしたユーザに関して、有線だと正しく認証したログオン、無線だとチャブーン様のご指摘通りキャッシュでのログオンになっていると思われます。

    勉強不足でkerberos認証については理解できていないのですが、何か設定が必要なのでしょうか。

    2011年5月23日 22:54
  • Windows Server 2003 とXPでのワイヤレス環境でのサインオンは次の通り。

    コンピューターの起動>Windowsのログオン画面の表示>ユーザーによる資格情報の入力>ユーザーログオン認証>ドメインへのログオン操作>ユーザーレベルのワイヤレスネットワークの認証>Windowsのデスクトップの表示

    このことからキャッシュログオンでドメインへ入っていることがわかります。その結果、グループポリシーの更新などは行われないことになります。

    Windows Server 2008 以降で クライアントが Vista 以降ならGPOでSSOの設定をすることができるので次のシングルサインオン動作になります。

    コンピューターの起動>Windowsのログオン画面の表示>ユーザーによる資格情報の入力>ユーザーレベルのワイヤレスネットワークの認証>ユーザーログオン認証>ドメインへのログオン操作>Windowsのデスクトップの表示

    ということで、設定などでは回避できません。

    以上、参考になれば幸いです。


    MVP:Virtual Machine Blog:MCTの憂鬱 http://naonao71.wordpress.com/
    2011年5月23日 23:37
    モデレータ
  • >ABE NAOKI様 ご回答有難うございます。 Windwos7/Vistaクライアントを見ると無線LANの設定がXPよりも細かくできそうだったので、何かできるかなとは思ってましたが。 1xgate等のサプリカントを導入すれば可能という情報もあるのですが、 やはり現状の環境ではできないようですね、有難うございます。 サーバOSのアップグレードを検討してみます。
    2011年5月24日 9:17
  • こんにちは、フォーラムオペレーターの三沢健二です。

    みなさん、様々なアドバイス誠にありがとうございます。

    なかなか難しいご質問だったと思いますが、案内いただいた内容が参考になられたようですので、勝手ながら [回答としてマーク] を付けさせていただきました。

    ログオン時間が長くなるかもしれませんが、高速ログオンやキャッシュログオン自体を無効にする方法などもお試しください。

    なお、ログオンの問題については、幅広い調査が必要になる場合もありますので、一度 弊社有償サポート へご相談いただく事も検討いただければと思います。

    - 参考情報
    Windows XP Professional 高速ログオンの最適化機能の説明
    http://support.microsoft.com/kb/305293/ja

    キャッシュされたログオンを無効にする
    http://www.atmarkit.co.jp/fwin2k/win2ktips/473clogin/clogin.html

    ワイヤレス シングル サインオン
    http://technet.microsoft.com/ja-jp/magazine/2007.11.cableguy.aspx


    それでは、今後とも TechNet Forum をよろしくお願いします。

    ______________________________________
    日本マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    2011年5月30日 8:01
    モデレータ