接続要求の処理

  • [アーティクル]

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016

このトピックを使用すると、Windows Server 2016 のネットワーク ポリシー サーバーでの接続要求の処理について学習できます。

Note

このトピックに加え、次の接続要求の処理関連のドキュメントも参照してください。

接続要求処理を使用して、接続要求の認証が実行される場所 (ローカル コンピューターまたはリモート RADIUS サーバー グループのメンバーであるリモート RADIUS サーバー) を指定できます。

ネットワーク ポリシー サーバー (NPS) が実行されているローカル サーバーで接続要求の認証が実行されるようにする場合、構成を追加せずに既定の接続要求ポリシーを使用できます。 既定のポリシーに基づき、NPS では、ローカル ドメインと信頼されているドメイン内にアカウントがあるユーザーおよびコンピューターを認証します。

接続要求をリモートの NPS またはその他の RADIUS サーバーに転送する場合、リモート RADIUS サーバー グループを作成し、そのリモート RADIUS サーバー グループに接続要求を転送する接続要求ポリシーを構成します。 この構成では、NPS での認証の要求を任意の RADIUS サーバーに転送でき、信頼されているドメインにアカウントがあるユーザーを認証できます。

次の図に、ネットワーク アクセス サーバーから RADIUS プロキシにアクセス要求メッセージが転送され、リモート RADIUS サーバー グループ内の RADIUS サーバーに渡る経路を示します。 RADIUS プロキシ上では、ネットワーク アクセス サーバーは RADIUS クライアントとして構成され、各 RADIUS サーバー上で RADIUS プロキシが RADIUS クライアントとして構成されます。

NPS Connection Request Processing

Note

NPS と共に使用するネットワーク アクセス サーバーとして、RADIUS プロトコルと互換性のあるゲートウェイ デバイス (802.1X ワイヤレス アクセス ポイントおよび認証スイッチなど)、VPN またはダイヤルアップ サーバーとして構成されたリモート アクセスが実行されているサーバー、その他の RADIUS 互換デバイスを使用できます。

一部の認証要求をローカルで処理し、その他の要求はリモート RADIUS サーバー グループに転送するように NPS を構成する場合、1 種類以上の接続要求ポリシーを構成します。

どの NPS または RADIUS サーバー グループが認証要求を処理するかを指定する接続要求ポリシーを構成するには、接続要求ポリシーをご覧ください。

認証要求の転送先の NPS または他の RADIUS サーバーを指定するには、リモート RADIUS サーバー グループをご覧ください。

RADIUS サーバー接続要求処理としての NPS

NPS を RADIUS サーバーとして使用する場合、RADIUS メッセージにより次の方法でネットワーク アクセス接続の認証、承認、アカウンティングが提供されます。

  1. ダイヤルアップ ネットワーク アクセス サーバー、VPN サーバー、およびワイヤレス アクセス ポイントなどのアクセス サーバーは、接続要求をアクセス クライアントから受信します。

  2. このアクセス サーバーは、RADIUS を認証、承認、およびアカウンティング プロトコルとして使用するよう構成されており、アクセス要求メッセージを作成して、そのメッセージを NPS に送信します。

  3. NPS サーバーでは、アクセス要求メッセージが評価されます。

  4. 必要に応じて、NPS からアクセス チャレンジ メッセージがアクセス サーバーに送信されます。 このアクセス サーバーでチャレンジが処理され、更新されたアクセス要求が NPS に送信されます。

  5. ユーザー資格情報が確認され、そのユーザー アカウントのダイヤルイン プロパティが、ドメイン コントローラーへのセキュリティで保護された接続を使用して取得されます。

  6. 接続要求は、ユーザー アカウントのダイヤルイン プロパティとネットワーク ポリシーとの両面で承認されます。

  7. 接続要求がともに認証および承認された場合、NPS からアクセス許可メッセージがアクセス サーバーに送信されます。 接続要求が認証または承認されなかった場合、NPS からアクセス拒否メッセージがアクセス サーバーに送信されます。

  8. アクセス サーバーではアクセス クライアントとの接続処理が完了し、メッセージを記録する NPS に対してアカウンティング要求メッセージが送信されます。

  9. この NPS から、アカウンティング応答がアクセス サーバーに送信されます。

Note

また、アクセス サーバーは、アクセス クライアント接続が閉じられた場合と、アクセス サーバーが開始および停止した場合、接続が確立されるまでの時間にアカウンティング要求メッセージを送信します。

RADIUS プロキシ接続要求処理としての NPS

RADIUS クライアントと RADIUS サーバー間の RADIUS プロキシとして NPS を使用すると、ネットワーク接続試行時の RADIUS メッセージは次のように転送されます。

  1. ダイヤルアップ ネットワーク アクセス サーバー、仮想プライベート ネットワーク (VPN) サーバー、ワイヤレス アクセス ポイントなどのアクセス サーバーは、接続要求をアクセス クライアントから受信します。

  2. このアクセス サーバーは、RADIUS を認証、承認、アカウンティング プロトコルとして使用するよう構成されており、アクセス要求メッセージが作成され、そのメッセージが NPS RADIUS プロキシとして使用されている NPS に送信されます。

  3. NPS RADIUS プロキシはアクセス要求メッセージを受信し、ローカルに構成されている接続要求ポリシーを基にアクセス要求メッセージの転送先を特定します。

  4. NPS RADIUS プロキシは、アクセス要求メッセージを適切な RADIUS サーバーに転送します。

  5. RADIUS サーバーは、アクセス要求メッセージを評価します。

  6. 必要に応じて、RADIUS サーバーはアクセス チャレンジ メッセージを NPS RADIUS プロキシに送信し、NPS RADIUS プロキシによりこのメッセージがアクセス サーバーに転送されます。 アクセス サーバーはアクセス クライアントに対してチャレンジを処理し、更新されたアクセス要求を NPS RADIUS プロキシに送信し、NPS RADIUS プロキシによりこのメッセージが RADIUS サーバーに転送されます。

  7. RADIUS サーバーが、接続試行を認証および承認します。

  8. 接続試行が認証および承認された場合、RADIUS サーバーはアクセス許可メッセージを NPS RADIUS プロキシに送信し、NPS RADIUS プロキシによりこのメッセージがアクセス サーバーに転送されます。 接続試行が認証も承認もされなかった場合、RADIUS サーバーはアクセス拒否メッセージを NPS RADIUS プロキシに送信し、NPS RADIUS プロキシによりこのメッセージがアクセス サーバーに転送されます。

  9. アクセス サーバーはアクセス クライアントとの接続処理を完了し、NPS RADIUS プロキシに対してアカウンティング要求メッセージを送信します。 NPS RADIUS プロキシが、アカウンティング データを記録し、メッセージを RADIUS サーバーに転送します。

  10. RADIUS サーバーはアカウンティング応答を NPS RADIUS プロキシに送信し、NPS RADIUS プロキシによりこのメッセージがアクセス サーバーに転送されます。

NPS の詳細については、ネットワーク ポリシー サーバー (NPS) に関するページを参照してください。