NPS を RADIUS プロキシとして計画する

  • [アーティクル]

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016

ネットワーク ポリシーサーバー (NPS) をリモート認証ダイヤルイン ユーザー サービス (RADIUS) プロキシとして展開すると、NPS では、ネットワーク アクセス サーバーやその他の RADIUS プロキシなどの RADIUS クライアントからの接続要求を受信し、これらの接続要求を NPS を実行しているサーバーまたは他の RADIUS サーバーに転送します。 これらの計画ガイドラインを使用すると、RADIUS の展開を簡略化することができます。

これらの計画ガイドラインには、NPS を RADIUS サーバーとして展開する必要のある状況は含まれません。 NPS を RADIUS サーバーとして展開すると、NPS はローカル ドメインおよびローカル ドメインを信頼するドメインに対する接続要求に対して認証、承認、およびアカウンティングを実行します。

NPS を RADIUS プロキシとしてネットワークに展開する前に、次のガイドラインに従って展開を計画してください。

  • NPS 構成を計画します。

  • RADIUS クライアントを計画します。

  • リモート RADIUS サーバー グループを計画します。

  • メッセージ転送の属性操作規則を計画します。

  • 接続要求ポリシーを計画します。

  • NPS アカウンティングを計画します。

NPS 構成を計画する

NPS を RADIUS プロキシとして使用する場合、NPS では接続要求を NPS または他の RADIUS サーバーに転送して処理します。 このため、NPS プロキシのドメイン メンバーシップは関係ありません。 プロキシから、ユーザー アカウントのダイヤルイン プロパティにアクセスする必要がないため、Active Directory Domain Services (AD DS) に登録する必要はありません。 また、プロキシでは接続要求に対して承認を実行しないため、NPS プロキシでネットワーク ポリシーを構成する必要はありません。 NPS プロキシは、ドメイン メンバーでも、ドメイン メンバーシップのないスタンドアロン サーバーでもかまいません。

RADIUS プロトコルを使用して、RADIUS クライアント (ネットワーク アクセス サーバーとも呼ばれます) と通信するように NPS を構成する必要があります。 また、NPS によってイベント ログに記録されるイベントの種類を構成したり、サーバーの説明を入力したりすることができます。

主要な手順

NPS プロキシの構成の計画中は、次の手順を使用します。

  • RADIUS クライアントから RADIUS メッセージを受信し、RADIUS メッセージをリモート RADIUS サーバー グループのメンバーに送信するために NPS プロキシが使用する RADIUS ポートを決定します。 既定のユーザー データグラム プロトコル (UDP) は、RADIUS 認証メッセージの場合は UDP ポート 1812 と 1645、RADIUS アカウンティング メッセージの場合は UDP ポート 1813 とポート 1646 です。

  • NPS プロキシが複数のネットワーク アダプターで構成されている場合は、RADIUS トラフィックを許可するアダプターを決定します。

  • NPS でイベント ログに記録するイベントの種類を決定します。 拒否された接続要求、成功した接続要求、またはその両方をログに記録できます。

  • 複数の NPS プロキシをデプロイするかどうかを決定します。 フォールト トレランスを提供するには、少なくとも 2 つの NPS プロキシを使用します。 1 つの NPS プロキシはプライマリ RADIUS プロキシとして使用され、もう 1 つはバックアップとして使用されます。 各 RADIUS クライアントは、両方の NPS プロキシ上で構成されます。 プライマリ NPS プロキシが使用できなくなった場合、RADIUS クライアントから別の NPS プロキシにアクセス要求メッセージが送信されます。

  • 1 つの NPS プロキシ構成を別の NPS にコピーするために使用するスクリプトを計画して、管理オーバーヘッドを節約し、サーバーの誤構成を防ぎます。 NPS には、別の NPS プロキシにインポートするために NPS プロキシ構成のすべてまたは一部をコピーできる Netsh コマンドが提供されています。 コマンドは Netsh プロンプトで手動で実行することができます。 ただし、コマンド シーケンスをスクリプトとして保存する場合は、プロキシ構成を変更する必要が生じた際に、後日スクリプトを実行することができます。

RADIUS クライアントを計画する

RADIUS クライアントは、ワイヤレス アクセス ポイント、仮想プライベート ネットワーク (VPN) サーバー、802.1X 対応スイッチ、およびダイヤルアップ サーバーなどのネットワーク アクセス サーバーです。 RADIUS サーバーに接続要求メッセージを転送する RADIUS プロキシは、RADIUS クライアントでもあります。 NPS は、RFC 2865、「リモート認証ダイヤルイン ユーザー サービス (RADIUS)」、RFC 2866、「RADIUS アカウンティング」 で説明されている RADIUS プロトコルに準拠しているすべてのネットワーク アクセス サーバーと RADIUS プロキシに対応しています。

また、ワイヤレス アクセス ポイントとスイッチの両方が、802.1X 認証に対応している必要があります。 拡張認証プロトコル (EAP) または保護された拡張認証プロトコル (PEAP) を展開する場合は、アクセス ポイントとスイッチで EAP の使用がサポートされている必要があります。

ワイヤレス アクセス ポイントの PPP 接続の基本的な相互運用性をテストするには、アクセス ポイントとアクセス クライアントでパスワード認証プロトコル (PAP) を使用するように構成します。 ネットワーク アクセスに使用する予定のプロトコルをテストするまで、追加の PPP ベースの認証プロトコル (PEAP など) を使用します。

主要な手順

RADIUS クライアントの計画中は、次の手順を使用できます。

  • NPS で構成する必要があるベンダー固有の属性 (VSA) を文書化します。 NAS で VSA が必要な場合は、後で NPS でネットワーク ポリシーを構成するときに使用するために VSA 情報をログに記録します。

  • RADIUS クライアントと NPS プロキシの IP アドレスを文書化して、すべてのデバイスの構成を簡略化します。 RADIUS クライアントを展開する場合は、NPS プロキシ IP アドレスを認証サーバーとして入力して、RADIUS プロトコルを使用するように構成する必要があります。 また、RADIUS クライアントと通信するように NPS を構成する場合は、RADIUS クライアントの IP アドレスを NPS スナップインに入力する必要があります。

  • RADIUS クライアント上と NPS スナップイン内で、構成用の共有シークレットを作成します。 共有シークレット (パスワード) を使用して RADIUS クライアントを構成する必要があります。この共有シークレットは、NPS で RADIUS クライアントを構成する際に NPS スナップインにも入力します。

リモート RADIUS サーバー グループを計画する

NPS プロキシでリモート RADIUS サーバー グループを構成すると、ネットワーク アクセス サーバーおよび NPS プロキシまたはその他の RADIUS プロキシから受信する一部またはすべての接続要求メッセージを送信する場所を NPS プロキシに指示することになります。

NPS を RADIUS プロキシとして使用して、接続要求を 1 つまたは複数のリモート RADIUS サーバー グループに転送できます。また、各グループに 1 つまたは複数の RADIUS サーバーを含めることができます。 NPS プロキシで複数のグループにメッセージを転送する場合は、グループごとに 1 つの接続要求ポリシーを構成します。 接続要求ポリシーには、ポリシーで指定されているリモート RADIUS サーバー グループに送信するメッセージを NPS プロキシに通知する、属性操作ルールなどの追加情報が含まれています。

リモート RADIUS サーバー グループは、NPS の Netsh コマンドを使用して構成できます。そのためには、[リモート RADIUS サーバーグループ] の下の NPS スナップインでグループを直接構成するか、新しい接続要求ポリシー ウィザードを実行します。

主要な手順

リモート RADIUS サーバー グループの計画中に、次の手順を使用できます。

  • NPS プロキシが接続要求を転送する RADIUS サーバーが含まれているドメインを特定します。 これらのドメインには、展開する RADIUS クライアントを介してネットワークに接続するユーザーのユーザー アカウントが含まれています。

  • RADIUS がまだ展開されていないドメインに新しい RADIUS サーバーを追加する必要があるかどうかを判断します。

  • リモート RADIUS サーバー グループに追加する RADIUS サーバーの IP アドレスを文書化します。

  • 作成する必要があるリモート RADIUS サーバー グループの数を決定します。 場合によっては、ドメインごとに 1 つのリモート RADIUS サーバー グループを作成し、そのドメインの RADIUS サーバーをグループに追加することをお勧めします。 ただし、1 つのドメインに大量のリソースがある場合があります。たとえば、ドメイン内にユーザー アカウントを持つ多数のユーザー、多数のドメイン コントローラー、および多数の RADIUS サーバーがあるなどです。 または、ドメインが地理的に広い領域をカバーしている場合、ネットワーク アクセス サーバーと RADIUS サーバーを互いに離れた場所に配置することがあります。 このような場合や、その他のケースでは、ドメインごとに複数のリモート RADIUS サーバー グループを作成できます。

  • NPS プロキシおよびリモート RADIUS サーバーで構成用の共有シークレットを作成します。

メッセージ転送の属性操作規則を計画する

接続要求ポリシーで構成されている属性の操作規則を使用すると、特定のリモート RADIUS サーバー グループに転送するアクセス要求メッセージを識別できます。

属性の操作規則を使用せずに、すべての接続要求を 1 つのリモート RADIUS サーバー グループに転送するように NPS を構成できます。

ただし、接続要求を転送する場所が複数ある場合は、場所ごとに接続要求ポリシーを作成してから、メッセージの転送先のリモート RADIUS サーバー グループを使用してポリシーを構成し、転送するメッセージを NPS に指示する属性の操作規則を構成する必要があります。

次の属性に対して規則を作成できます。

  • Called-Station-ID。 ネットワーク アクセス サーバー (NAS) の電話番号です。 この属性の値は文字列です。 パターン マッチング構文を使用して市外局番を指定できます。

  • Calling-Station-ID。 呼び出し元によって使用される電話番号です。 この属性の値は文字列です。 パターン マッチング構文を使用して市外局番を指定できます。

  • User-Name。 アクセス クライアントによって提供され、NAS によって RADIUS アクセス要求メッセージに含まれているユーザー名です。 この属性の値は、通常、領域名とユーザー アカウント名を含む文字列です。

接続要求のユーザー名の領域名を正しく置換または変換するには、適切な接続要求ポリシーの User-Name 属性の属性操作規則を構成する必要があります。

主要な手順

属性の操作規則の計画中に、次の手順を使用できます。

  • メッセージを RADIUS サーバーに転送するための論理パスがあることを確認するために、プロキシ経由でのリモート RADIUS サーバーへのメッセージのルーティングを計画します。

  • 各接続要求ポリシーに使用する 1 つまたは複数の属性を決定します。

  • 各接続要求ポリシーに使用する属性の操作規則を文書化し、メッセージの転送先となるリモート RADIUS サーバー グループに規則を一致させます。

接続要求ポリシーを計画する

NPS が RADIUS サーバーとして使用されている場合、既定の接続要求ポリシーが構成されます。 追加の接続要求ポリシーを使用して、より具体的な条件を定義したり、リモート RADIUS サーバー グループに転送するメッセージを NPS に指示する属性操作規則を作成したり、高度な属性を指定したりすることができます。 新しい接続要求ポリシー ウィザードを使用して、共通またはカスタムの接続要求ポリシーを作成します。

主要な手順

接続要求ポリシーの計画時には、次の手順を使用できます。

  • RADIUS プロキシとしてのみ機能する NPS を実行する各サーバーで、既定の接続要求ポリシーを削除します。

  • 各ポリシーに必要な追加の条件と設定を計画し、この情報を、ポリシーに対して計画されているリモート RADIUS サーバー グループと属性の操作規則と組み合わせます。

  • 共通の接続要求ポリシーをすべての NPS プロキシに配布するように計画を設計します。 1 つの NPS 上の複数の NPS プロキシに共通のポリシーを作成し、NPS の Netsh コマンドを使用して、接続要求ポリシーとサーバー構成を他のすべてのプロキシにインポートします。

NPS アカウンティングを計画する

NPS を RADIUS プロキシとして構成する場合、NPS 形式のログ ファイル、データベースと互換性のある形式のログ ファイル、または NPS SQL Server ログを使用して RADIUS アカウンティングを実行するように構成できます。

また、これらのログ形式のいずれかを使用して、アカウンティングを実行するリモート RADIUS サーバー グループにアカウンティング メッセージを転送することもできます。

主要な手順

NPS アカウンティングの計画には、次の手順を使用することができます。

  • NPS プロキシでアカウンティング サービスを実行するか、アカウンティング メッセージをリモート RADIUS サーバー グループに転送するかを決定します。

  • アカウンティング メッセージを他のサーバーに転送する予定がある場合は、ローカルの NPS プロキシ アカウンティングを無効にすることを計画します。

  • アカウンティング メッセージを他のサーバーに転送する予定の場合は、接続要求ポリシーの構成手順を計画します。 NPS プロキシのローカル アカウンティングを無効にした場合は、そのプロキシで構成する各接続要求ポリシーでアカウンティング メッセージ転送が有効で、適切に構成されている必要があります。

  • 使用するログの形式を決定します。IAS 形式のログ ファイル、データベースと互換性のある形式のログ ファイル、または NPS SQL Server ログです。

NPS の負荷分散を RADIUS プロキシとして構成するには、「NPS プロキシ サーバーの負荷分散」を参照してください。