Remove From My Forums

NAP 802.1x構成時のActive Directory 証明書サービスの構成先及び障害時の動作について

質問
0

サインインして投票
平田と申します。
お世話になっております。

Windows 2008 R2 NAPを802.1xで構成した場合の、Active Directory 証明書サービスの構成先及び障害時の問題につきましてご質問させてください。

質問１
　Windows 2008 R2 NAPを802.1xで構成したい為、Active Directory 証明書サービスを構成する場合、以下条件があるとの認識であっておりますでしょうか？
　・エンタープライズルートCAで構成
　・構成するサーバはドメインコントローラ

質問2
　Windows 2008 R2 NAPを802.1xで構成し、Active Directory 証明書サービスを構成したサーバがダウンした場合、以下障害が発生するとの認識であっておりますでしょうか？
　・Active Directory 証明書サービスを構成したサーバがダウン中は、新規PCが正常に検疫できない。
　・Active Directory 証明書サービスを構成したサーバがダウン中は、証明書の更新がされない為、一部端末が正常に検疫できなくなる可能性がある。（数日程度の短期停止であれば、問題は発生しない）

ご回答をお待ちしております。
- 移動 Jundan Wu 2012年10月3日 17:22 (移動元:Windows Server 2008 R2 全般)
2011年5月27日 5:15

回答

0

サインインして投票
なるほど

ＮＰＳサーバーに使用するコンピューター証明書をAD CSを使用して発行するということですね。

私の認識では

質問１
　Windows 2008 R2 NAPを802.1xで構成したい為、Active Directory 証明書サービスを構成する場合、以下条件があるとの認識であっておりますでしょうか？
　・エンタープライズルートCAで構成
　・構成するサーバはドメインコントローラ

別にＤＣにＡＤ CSを導入するのは必須ではありません。他のメンバーサーバーに導入することも可能です。エンタープライズＣＡにすることによってバージョン２や３のテンプレートを使用した証明書を発行できるのでＮＡＰで使用するＮＰＳ以外にも使用できるということでしょうか。

質問2
　Windows 2008 R2 NAPを802.1xで構成し、Active Directory 証明書サービスを構成したサーバがダウンした場合、以下障害が発生するとの認識であっておりますでしょうか？
　・Active Directory 証明書サービスを構成したサーバがダウン中は、新規PCが正常に検疫できない。
　・Active Directory 証明書サービスを構成したサーバがダウン中は、証明書の更新がされない為、一部端末が正常に検疫できなくなる可能性がある。（数日程度の短期停止であれば、問題は発生しない）

基本的に検疫自体に証明書は絡まないはずです。あくまでも検疫制御に証明書が必要なのはＩＰＳｅｃ NAPです。PEAP-MS-CHAP v2を使用した認証においては、ＮＰＳの証明書が検証されます。それもクライアントがＮＰＳを確認する際に使用する（設定によって無効にできる）ものと認識しています。

そのことから、クライアントがＮＰＳのコンピューター証明書に入っている発行されたＣＡのデジタル署名を確認する際に、ＡＤ CSがダウンしているとクライアント側にあるCAから発行されたサーバー証明書の最新の有効期間（CRL）が確認出来ない可能性が発生します。その際のクライアント側の動作は802.1ｘでのNAPを構成したことがないのでどのような挙動が発生するのかは不明です。

またＣＴＣさんで検証された手順が公開されていました。

http://www.ctc-g.co.jp/MungoBlobs/914/722/NAP_stepbystep_802.1x_RC1.pdf

以上、参考になれば幸いです。

MVP:Virtual Machine Blog:MCTの憂鬱 http://naonao71.wordpress.com/
- 回答としてマーク三沢健二 2011年6月1日 4:46
- 編集済み ABE NAOKI 2011年6月5日 23:59
2011年5月30日 12:23

すべての返信

0

サインインして投票

802.1x　NAPではAD CS環境は必須要件に入っていません。必要なのは802.1x 対応の機器になります。

AD CS が必要なNAP環境は、IPSec NAP になります。

ですので質問自体が？？？ということになりますが・・・

以上、参考になれば幸いです。
MVP:Virtual Machine Blog:MCTの憂鬱 http://naonao71.wordpress.com/

2011年5月27日 6:20
0

サインインして投票

ABE NAOKI様

平田です。
ご回答をありがとうございます。

情報が不足しており申し訳ございません。
今回802.1xのNAPでも、情報量が多い、PEAP-MS-CHAP v2とActive Directory 証明書サービスで構成することを想定しております。

上記構成とした場合での回答をいただけますと幸いです。

よろしくお願いいたします。

2011年5月30日 2:01
0

サインインして投票
なるほど

ＮＰＳサーバーに使用するコンピューター証明書をAD CSを使用して発行するということですね。

私の認識では

質問１
　Windows 2008 R2 NAPを802.1xで構成したい為、Active Directory 証明書サービスを構成する場合、以下条件があるとの認識であっておりますでしょうか？
　・エンタープライズルートCAで構成
　・構成するサーバはドメインコントローラ

別にＤＣにＡＤ CSを導入するのは必須ではありません。他のメンバーサーバーに導入することも可能です。エンタープライズＣＡにすることによってバージョン２や３のテンプレートを使用した証明書を発行できるのでＮＡＰで使用するＮＰＳ以外にも使用できるということでしょうか。

質問2
　Windows 2008 R2 NAPを802.1xで構成し、Active Directory 証明書サービスを構成したサーバがダウンした場合、以下障害が発生するとの認識であっておりますでしょうか？
　・Active Directory 証明書サービスを構成したサーバがダウン中は、新規PCが正常に検疫できない。
　・Active Directory 証明書サービスを構成したサーバがダウン中は、証明書の更新がされない為、一部端末が正常に検疫できなくなる可能性がある。（数日程度の短期停止であれば、問題は発生しない）

基本的に検疫自体に証明書は絡まないはずです。あくまでも検疫制御に証明書が必要なのはＩＰＳｅｃ NAPです。PEAP-MS-CHAP v2を使用した認証においては、ＮＰＳの証明書が検証されます。それもクライアントがＮＰＳを確認する際に使用する（設定によって無効にできる）ものと認識しています。

そのことから、クライアントがＮＰＳのコンピューター証明書に入っている発行されたＣＡのデジタル署名を確認する際に、ＡＤ CSがダウンしているとクライアント側にあるCAから発行されたサーバー証明書の最新の有効期間（CRL）が確認出来ない可能性が発生します。その際のクライアント側の動作は802.1ｘでのNAPを構成したことがないのでどのような挙動が発生するのかは不明です。

またＣＴＣさんで検証された手順が公開されていました。

http://www.ctc-g.co.jp/MungoBlobs/914/722/NAP_stepbystep_802.1x_RC1.pdf

以上、参考になれば幸いです。

MVP:Virtual Machine Blog:MCTの憂鬱 http://naonao71.wordpress.com/
- 回答としてマーク三沢健二 2011年6月1日 4:46
- 編集済み ABE NAOKI 2011年6月5日 23:59
2011年5月30日 12:23
0

サインインして投票

ABE NAOKI様

平田です。
ご回答をありがとうございます。

質問1につきましては、別サーバでもいいんですね。
情報をありがとうございます。構成するサーバを含めて検討したいと思います。

質問２につきましては、やはりやってみないとわからない形ですね。
評価環境を構築し実施することも考えたいと思います。

ご回答をありがとうございました。

2011年5月31日 9:17

製品

Resources

Solutions

更新プログラム

評価版

関連サイト

トレーニング

認定資格

その他のリソース

製品別サポート

その他のサポート

IT 担当者以外の方へ

トップ回答者

NAP 802.1x構成時のActive Directory 証明書サービスの構成先及び障害時の動作について

質問

回答

すべての返信