Windows GPO のスクリプトと Cisco NAC 相互運用性

Similar documents
Cisco CallManager および Cisco Unity でのパスワード変更の設定例

RADIUS サーバを使用して NT のパスワード期限切れ機能をサポートするための Cisco VPN 3000 シリーズ コンセントレータの設定

CEM 用の Windows ドメイン コントローラ上の WMI の設定

NAC(CCA): ACS 5.x 以降を使用した Clean Access Manager での認証の設定

管理アカウントの TACACS+ 認証をサポートするための Cisco VPN 3000 コンセントレータの設定方法

Cisco CallManager で SQL クエリーを使用したコール詳細レコードの検索

自動代替ルーティング設定

ACI のファースト LACP タイマーを設定して下さい

LEAP を使用して Cisco ワイヤレス クライアントを認証するための Funk RADIUS の設定

9.pdf

X.25 PVC 設定

Identity Services Engine ゲスト ポータルのローカル Web 認証の設定例

ip nat outside source list コマンドを使用した設定例

ローカル認証の設定例を含む WLC 5760/3850 Custom WebAuth

Team Foundation Server 2018 を使用したバージョン管理 補足資料

音声認識サーバのインストールと設定

コンフィギュレーション ファイルのバックアップと復元

設定例: 基本 ISDN 設定

WebView のハング:- java.lang.OutOfMemoryError

レイヤ 3 アウトオブバンド(L3 OOB) の設定

VRF のデバイスへの設定 Telnet/SSH アクセス

ハンドシェイク障害または証明書検証エラーによる NGFW サービス モジュール TLS の中断

MeetingPlace の保留音と「Welcome to MeetingPlace」プロンプトと呼び出し音の変更

ロガーおよび HDS ログ保持およびパージ設定の識別および変更

PfRv2 での Learn-List と PfR-Map の設定

UCCX 11.6 の Gmail の SocialMiner の統合

適応型セキュリティ アプライ アンスの設定

TeamViewer マニュアル – Wake-on-LAN

Nexus 1000V による UCS の MAC アドレスのトレース

使用する前に

ソフトウェアの説明

Acronis Backup 12.5 Advanced NetAppスナップショット連携

TeamViewer 9マニュアル – Wake-on-LAN

自律アクセス ポイントでの Cisco IOS のアップグレード

CRA 2.2(1)の ICD の設定方法

UCS M シリーズ サーバでの Redhat/CentOS オペレーティング システムのインストール

Net'Attest EPS設定例

適応型セキュリティ アプライ アンスの設定

ログインおよび設定

ESMPRO/JMSS Ver6.0

1. 信頼済みサイトの設定 (1/3) この設定をしないとレイアウト ( 公報 ) ダウンロードなどの一部の機能が使えませんので 必ず設定してください 1 Internet Explorer を起動し [ ツール ]-[ インターネットオプション (O)] を選択します 2 [ セキュリティ ] の

Crashinfo ファイルからの情報の取得

SQL Server または MSDE のバージョン、およびサービス パック レベルの確認

Microsoft Word JA_revH.doc

CUBICS Learning

Hik-Connect アカウントにデバイスを追加する方法ユーザーは Hik-Connect APP ウェブポータル ivms4500 アプリまたは ivms クライアント経由で Hik-Connect 機能を有効にすることができます 注 : iv

Cisco Unified Communications Manager サーバ アドレスとユーザ名の自動的な入力

EPS設定例

無線LAN JRL-710/720シリーズ ファームウェアバージョンアップマニュアル 第2.1版

プロキシ・ファイアウォール       通信許可対象サーバリスト

MC3000一般ユーザ利用手順書

Cisco MCS を使用する冗長ディスクの設定と使用

グループポリシーを使用してWindowsデバイス用のHP DaaSクライアントのサイレント登録

オペレーティング システムでの traceroute コマンドの使用

TypeAご利用ソフトV5.2

Microsoft Word - PCOMM V6.0_FAQ.doc

PowerPoint Presentation

Pirates Buster Series Secure Viewer セットアップマニュアル (Web インストーラ)

SeciossLink クイックスタートガイド(Office365編)

Microsoft Word - シャットダウンスクリプトWin7.doc

Windows Server 2003 Service Pack 適用手順書

zabbix エージェント インストールマニュアル [Windows Server] 第 1.2 版 2018 年 05 月 18 日 青い森クラウドベース株式会社

Mobile Access簡易設定ガイド

Microsoft Word - Qsync設定の手引き.docx

VPN ユーザを管理し、RV016、RV042、RV042G および RV082 VPN ルータの速い VPN を設定して下さい

Data Loss Prevention Prevent 10.x クイック スタート ガイド

認証連携設定例 連携機器 アイ オー データ機器 BSH-GM シリーズ /BSH-GP08 Case IEEE802.1X EAP-PEAP(MS-CHAP V2)/EAP-TLS Rev2.0 株式会社ソリトンシステムズ

商標類 Microsoft は, 米国およびその他の国における米国 Microsoft Corp. の登録商標です Microsoft Office は, 米国 Microsoft Corp. の商品名称です Microsoft Excel は, 米国 Microsoft Corp. の商品名称です

マニュアル訂正連絡票

Samba on CLUSTERPRO for Linux HOWTO

<48554C46545F F A5490E08E9197BF2E786C73>

SeciossLink クイックスタートガイド Office365 とのシングルサインオン設定編 2014 年 10 月株式会社セシオス 1

クラスタ構築手順書

Windows 10 推奨アップグレードについて

Microsoft PowerPoint - SSO.pptx[読み取り専用]

LDAP サーバと統合するための ISE の設定

パソコンバンクWeb21 操作マニュアル[導入・事前設定編]

目次 1. はじめに 証明書ダウンロード方法 ブラウザの設定 アドオンの設定 証明書のダウンロード サインアップ サービスへのログイン

USB キーを使用して Windows リモートデ スクトップへのセキュアなログインを実現 Rohos Logon Key 2 要素認証 (2FA) ソフトウェアが ターミナルサーバーを保護し パスワードとハードウェア USB トークンを使用してリモートデスクトップにログインを可能にします Roho

ConsoleDA Agent For Server インストールガイド

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

UCCX ソリューションの ECDSA 証明書について

実習 :VLSM を使用した IPv4 アドレスの設計と実装 トポロジ 学習目標 パート 1: ネットワーク要件の確認 パート 2:VLSM アドレス方式の設計 パート 3:IPv4 ネットワークのケーブル配線と設定 背景 / シナリオ 可変長サブネットマスク (VLSM) は IP アドレスの節約

Microsoft Word - koutiku-win.doc

目次 はじめに... 2 動作環境... 2 ユーザーサポートについて... 2 セットアップ ( インストール ) 手順... 3 セットアップ手順 1 ソフトウェアのダウンロード... 4 セットアップ手順 2 Firebird データベースのインストール... 5 セットアップ手順 2 Fir

SMB送信機能

FQDN を使用した ACL の設定

Maple 12 Windows版シングルユーザ/ネットワークライセンス

改版履歴 版数 改版日付 改版内容 /03/14 新規作成 2013/03まで製品サイトで公開していた WebSAM DeploymentManager Ver6.1 SQL Server 2012 製品版のデータベース構築手順書 ( 第 1 版 ) を本 書に統合しました 2

Microsoft Word - クライアントのインストールと接続設定

77-j.pdf

これらの情報は 外部に登録 / 保存されることはございません 5 インターネット接続の画面が表示されます 次へ > ボタンをクリックしてください 管理者様へ御使用時に設定された内容を本説明文に加筆ください 特に指定不要で利用可能であった場合は チェックボックスを オフ していただきますようご案内くだ

目次 1.TypeA ご利用ソフト更新ツール概要 更新ツール実行における注意点 更新ツール実行時の注意点 管理者権限について Prox y 認証 更新ツールの実行 トラブルシューティ

商標類 Microsoft は, 米国およびその他の国における米国 Microsoft Corp. の登録商標です Microsoft Office は, 米国 Microsoft Corp. の商品名称です Microsoft Excel は, 米国 Microsoft Corp. の商品名称です

Microsoft Word - ManagerIPChange.doc

ConsoleDA Agent For Serverインストールガイド

プリンタードライバーインストールガイド - Windows 10/8.1 - 本ガイドは 複合機 bizhub C368 を例に説明をしています 他の機種の場合も操作 法は同じです 本書では Windows 10 および 8.1 で複合機を利 するために必要なプリンタードライバーのインストール 法を

実習 : 拡張 ACL の設定と確認 トポロジ 2014 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. 1 / 9 ページ

主なスキル Citrix NetScaler の機能の理解 基本的な NetScaler ネットワークアーキテクチャの把握 NetScaler ライセンスの取得 インストール 管理 SSL を使用して NetScaler を保護する方法の理解 トラフィック処理および管理のための NetScaler

GIGA光SW-HUB

Transcription:

Windows GPO のスクリプトと Cisco NAC 相互運用性 目次 概要前提条件要件使用するコンポーネント表記法背景説明 GPO スクリプトに関する一般的な推奨事項 NAC セットアップに関する一般的な推奨事項設定シナリオ 1 シナリオ 2 トラブルシューティング関連情報 概要 このドキュメントでは PC の起動時 およびドメインへのユーザのログイン時の Windows GPO の設定例について説明します Windows GPO は PC の起動時やドメインへのユーザログオン時にさまざまなスクリプトを実行するように設定できます スクリプトは 企業で環境変数を設定したり リモートドライブをマップしたりするためなどによく使用されます Cisco NAC は ユーザが初めて Windows マシンに接続してログオンするときにネットワークへのアクセスを制御します スクリプトは スタートアップ / シャットダウンスクリプトとログオン / ログオフスクリプトに分類できます Windows では スタートアップ / シャットダウンスクリプトがマシンコンテキストで実行されます これは PC のブートアップまたはシャットダウン中にスクリプトが実行されるときの特定のロール ( 通常は非認証ロール ) 用にスクリプトが必要とするネットワークリソースを Cisco NAC アプライアンスが開いている場合にのみ機能します ログオン / ログオフスクリプトは ユーザコンテキストで実行されます つまり ログオンスクリプトはユーザが Windows GINA 経由でログインした後で実行されます その時点で ユーザ認証またはマシンポスチャアセスメントが完了しておらず ネットワークアクセスが許可されていなければ ログオンスクリプトが実行できないまたは実行を完了できない可能性があります これらのスクリプトは OOB ログオンイベント後に NAC エージェントによって開始される IP アドレスの更新によって中断される場合もあります

前提条件 要件 このドキュメントに関する固有の要件はありません 使用するコンポーネント このドキュメントは 特定のソフトウェアやハードウェアのバージョンに限定されるものではありません このドキュメントの情報は 特定のラボ環境にあるデバイスに基づいて作成されたものです このドキュメントで使用するすべてのデバイスは クリアな ( デフォルト ) 設定で作業を開始しています ネットワークが稼働中の場合は コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります 表記法 ドキュメント表記の詳細は シスコテクニカルティップスの表記法 を参照してください 背景説明 GPO スクリプトに関する一般的な推奨事項 GPO スクリプトに関する一般的な推奨事項を以下に示します 1. デバッグ時はスクリプトを表示モードで実行します これにより ログオンスクリプトが実際に実行される様子を画面上で確認できます この GPO ポリシーは [Domain Policy] > [User Configuration] > [Administrative Templates] > [System] > [Scripts] で設定できます 2. コンピュータがスタートアップ時とログオン時にネットワークが使用可能になるまで待機するように設定されていることを確認します この GPO ポリシーは [Domain Policy] > [Computer Configuration] > [Administrative Templates] > [System] > [Logon] で設定できます NAC セットアップに関する一般的な推奨事項 GPO と一緒に使用する場合の NAC セットアップに関する一般的な推奨事項を以下に示します 1. 必要なトラフィックが非認証ロールで CAS 上を流れることができるようにすることで ネットワーク経由での Windows ドメインへのログオンと 実行のためのログオンスクリプトの AD からクライアントマシンへのコピーが可能になるようにします Ports are TCP : 88,123,135,137,139,389,445,1025,1026,3268 Ports are UDP : 88,123,135,137,139,389,445,1025,1026,3268 Allow Fragmented packets and ICMP to all domain controllers. 注 : 特定のドメインに複数の DC が存在する場合 Windows は PING 検出プロセスを使用して 最も近い DC を検索します ICMP に 2 つの DC が許可されていない場合は クライアントのログインに時間がかかる可能性があります これは クライアントが最初の検出に失敗した場合にランダムな DC を選択するためです

2. Windows AD 環境では 可能な限り 認証方式としてAD SSO を使用してください そうすれば ユーザログオンプロセスが自動化および高速化されるだけでなく ユーザエクスペリエンス全体が向上します 設定 いくつかのシナリオと推奨されている NAC 設定を以下に示します シナリオ 1 Windows ログオンスクリプトが AD コントローラから起動され 非同期的に実行される 非同期のスクリプト実行は Win2003 AD のデフォルト動作です Windows ログオンスクリプトが非同期的に動作する場合は スクリプトの呼び出し後に コントロールが Windows ログオンプロセスに戻されます スクリプトの実行が終わるまで待機しません そのため スタートアッププログラムと NAC エージェントを正常にロードすることができます ログオンスクリプトでネットワークアクセスが必要な場合は それが可能になるまで時間がかかる可能性があります これは ネットワークアクセスが NAC アプライアンスによって制御され NAC への正常なユーザログオン後にアクセスが許可されるためです 実際のログオンスクリプトを実行する前に ログオンスクリプトをチェックしてネットワークの可用性を確認してください 以下に例を示します :CHECK @echo off ping -n 1 -l 1 10.10.10.10 if errorlevel 1 goto CHECK @echo on # Now the actual Logon script: net use L: \\fileserver\share 注 : ネットワークトポロジに合わせてスクリプトを変更します この回避策はシンプルなため ログオンスクリプトが非同期的に動作しており 帯域外 NAC 展開などの結果として IP アドレスが変更されない限り 正常に機能します スクリプトが同期的に動作している場合は この回避策が機能しません これは ログオンスクリプトの実行が完了するまで NAC エージェントはメモリにロードされませんが ログオンスクリプトはネットワークリソースが使用可能になるまで実行を完了しないためです ネットワークリソースは NAC エージェントがクライアント PC を認証してからでなければ使用可能になりません このスクリーンショットは 上記理由でクライアント PC が永久ループ状態になることを示しています このシナリオは スクリプトがダウンロードに時間がかかる低速の WAN リンク上で非同期的に動作しており NAC が IP 更新を設定可能な OOB トポロジに展開されている状況でも失敗する可能性があります スクリプトの実行中に IP が更新されると スクリプトの実行が中断する可能性があります このような場合は IP 更新プロセスとスクリプト実行が競合しないようにスクリプトを同期的に実行することを強くお勧めします このシナリオはこのような状況を再現しています

シナリオ 2 Windows ログオンスクリプトが AD コントローラから同期的に実行される 同期スクリプトは IP 更新が実行される NAC OOB 展開に推奨されています この基本的な概念は 元のログオンスクリプトの機能を 2 つのスクリプトに分割することです ログオンスクリプトとして実行されるスクリプト 1 は NAC エージェントが認証され ネットワークアクセスが許可されてから実行される 2 つ目のスクリプトをローカルマシンにコピーするだけです 2 つ目のスクリプトは ユーザのスタートアップフォルダに配置することによって Windows のスタートアッププログラムから自動的に呼び出すことができます 以下に例を示します スクリプト 1: AD から実行されたログオンスクリプトが 後で実行される "mount.bat" という名前の実際のスクリプトをユーザのスタートアップフォルダにコピーします sleep 20 copy \\1.1.1.11\SHARE\mount.bat "c:\documents and Settings\All users\start Menu\Programs\Startup\mount.bat" 注 : ネットワークトポロジに合わせてスクリプトを変更してください 注 : 必要なトラフィックが非認証ロールで CAS 上を流れることができるようにすることで ネットワーク経由での Windows ドメインへのログオンと 実行のためのログオンスクリプトの AD からクライアントマシンへのコピーが可能になるようにします スクリプト 2: 実際のアクションが実行される 2 つ目のスクリプトは システムからローカルに起動され セキュリティ上の理由から実行後に削除されます ipconfig :CHECK @echo off sleep 10 Ping -n 1 -l 1 10.10.10.10 if errorlevel 1 goto CHECK @echo on # Now the actual Logon script: net use L: \\fileserver\share del c:\documents and Settings\All users\start Menu\Programs\Startup\mount.bat" このスクリーンショットは バックグラウンドで実行される 2 つ目のスクリプトがユーザのスタートアップフォルダから起動され NAC エージェントが認証後に IP 更新を実行する様子を表しています 2 つ目のスクリプトは エージェントが認証と IP 更新プロセスを完了するまでループして待機し その後でドライブをマップします トラブルシューティング

トラブルシューティングは個別に実行する必要がありますが 最初にクライアント PC が接続されているスイッチポート上でパケットをキャプチャすることをお勧めします これにより ネットワーク上のイベントやアクティビティに対する知見が得られます 関連情報 テクニカルサポートとドキュメント - Cisco Systems

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック