RADIUS クライアントを構成する

  • [アーティクル]

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016

このトピックによって、NPS でネットワーク アクセス サーバーを RADIUS クライアントとして構成できます。

新しいネットワーク アクセス サーバー (VPN サーバー、ワイヤレス アクセス ポイント、認証スイッチ、またはダイヤルアップ サーバー) をネットワークに追加する場合は、NPS で そのサーバーを RADIUS クライアントとして追加し、さらに、NPS と通信できるように RADIUS クライアントを構成する必要があります。

重要

ラップトップ コンピューター、タブレット PC、電話、クライアント オペレーティング システムを実行中のその他のコンピューターなどの、クライアント コンピューターやデバイスは、RADIUS クライアントではありません。 RADIUS クライアントは、ワイヤレス アクセス ポイント、802.1X 対応スイッチ、仮想プライベート ネットワーク (VPN) サーバー、そしてダイヤルアップ サーバーなどのネットワーク アクセス サーバーです。RADIUS プロトコルを使って、ネットワーク ポリシー サーバー (NPS) などの RADIUS サーバーと通信するためです。

この手順は、NPS が、 NPS プロキシで構成されているリモート RADIUS サーバー グループのメンバーである場合にも必要です。 このような環境では、NPS プロキシでこのタスクの手順を実行することに加え、以外に、次のことを行う必要があります:

  • NPS プロキシで、NPS を含むリモート RADIUS サーバー グループを構成します。
  • リモート NPS で、NPS プロキシを RADIUS クライアントとして構成します。

このトピックの手順を実行するには、少なくとも 1 つのネットワーク アクセス サーバー (VPN サーバー、ワイヤレス アクセス ポイント、認証スイッチ、またはダイヤルアップ サーバー) またはネットワーク上に物理的にインストールされている NPS プロキシがある必要があります。

ネットワーク アクセス サーバーを構成する

この手順によって NPS で使うネットワーク アクセス サーバーを構成します。 ネットワーク アクセス サーバー (NAS) を RADIUS クライアントとして配置する場合は、クライアントとして構成されている NPS と通信できるようにクライアントを構成する必要があります。

この手順は、NAS を構成するために使う必要がある設定に関する一般的なガイドラインを示します ; ネットワーク上に配置するデバイスを構成する方法に関する具体的な手順については、NAS 製品のドキュメントをご覧ください。

ネットワーク アクセス サーバーを構成するために

  1. NAS では、RADIUS 設定で、ユーザー データグラム プロトコル (UDP) ポート 1812RADIUS 認証を、UDP ポート 1813RADIUS アカウンティング を選択します。
  2. 認証サーバーまたは RADIUS サーバーで、NAS の要件に応じて、IP アドレスまたは完全修飾ドメイン名 (FQDN) で NPS を指定します。
  3. [シークレット] または [共有シークレット] で、強力なパスワードを入力します。 NPS で RADIUS クライアントとして NAS を構成する場合は、同じパスワードを使いますので、忘れないようにしてください。
  4. 認証方法として PEAP または EAP を使っている場合は、EAP 認証を使うように NAS を構成します。
  5. ワイヤレス アクセス ポイントを構成する場合は、[SSID]で、サービス セット識別子 (SSID) を指定します。これは、ネットワーク名として機能する英数字の文字列です。 この名前は、アクセス ポイントによってワイヤレス クライアントにブロードキャストされ、wireless fidelity (Wi-Fi) ホットスポットのユーザーには見えます。
  6. 802.1X および WPA でワイヤレス アクセス ポイントを構成していて、PEAP-MS-CHAP v2、PEAP-TLS、または EAP-TLS を使いたい場合は、IEEE 802.1X 認証を有効にします。

NPS でネットワーク アクセス サーバーを RADIUS クライアントとして追加する

この手順によって NPS でネットワーク アクセス サーバーを RADIUS クライアントとして追加します。 この手順によって、NPS コンソールを使って NAS を RADIUS クライアントとして構成できます。

この手順を完了するには、Administrators グループのメンバーである必要があります。

NPS でネットワーク アクセス サーバーを RADIUS クライアントとして追加するために

  1. NPS で、サーバー マネージャーで、[ツール] をクリックし、次に [ネットワーク ポリシー サーバー] をクリックします。 NPS コンソールが開きます。
  2. NPS コンソールで、[RADIUS クライアントと サーバー] をダブルクリックします。 [RADIUS クライアント] を右クリックし、[新しい RADIUS クライアント] をクリックします。
  3. [新しい RADIUS クライアント] で、[この RADIUS クライアントを有効にする] チェック ボックスがオンになっていることを確認します。
  4. [新しい RADIUS クライアント] で、[フレンドリ名] で、NAS の表示名を入力します。 [アドレス (IP または DNS)] で、NAS の IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力します。 FQDN を入力する場合は、名前が正しくて、有効な IP アドレスにマップしていることを確認したい場合は、[確認] をクリックします。
  5. [新しい RADIUS クライアント] で、[ベンダー] で、NAS の製造元の名前を指定します。 NAS の製造元の名前がわからない場合は、[RADIUS 標準] を選びます。
  6. [新しい RADIUS クライアント][共有シークレット] で、次のいずれかのことを行います:
    • [手動] が選択されていることを確認し、次に [共有シークレット] で、NAS に設定されているものと同一の強力なパスワードを入力します。 [共有シークレットを確認する] に共有シークレットを再度入力します。
    • [生成] を選び、次に [生成] をクリックして共有シークレットを自動的に生成します。 NPS と通信できるよう、NAS 上での構成のために生成された共有シークレットを保存します。
  7. EAP と PEAP 以外の認証方法が使われていて、NAS がメッセージ認証属性の使用をサポートしている場合は、[新しい RADIUS クライアント] で、[追加オプション] で、[アクセス要求メッセージにはメッセージ認証属性が含まれる必要がある] を選んでください。
  8. [OK] をクリックします。 NPS で構成されている RADIUS クライアントの一覧に、NAS が表示されます。

Windows Server 2016 Datacenter で IP アドレスの範囲ごとに RADIUS クライアントを構成する

Windows Server 2016 Datacenter を実行中の場合は、NPS 内の RADIUS クライアントを IP アドレスの範囲ごとに構成できます。 これにより、各 RADIUS クライアントを個別に追加するのではなく、多数の RADIUS クライアント (ワイヤレス アクセス ポイントなど) を一度に NPS コンソールに追加できます。

Windows Server 2016 Standard で NPS を実行している場合、RADIUS クライアントを IP アドレスの範囲ごとに構成することはできません。

この手順を使って、ネットワーク アクセス サーバー (NAS) のグループを RADIUS クライアントとして追加します。RADIUS クライアントはすべて、同じ IP アドレスの範囲の IP アドレスで構成されます。

その範囲内のすべての RADIUS クライアントで、同じ構成と共有シークレットを使う必要があります。

この手順を完了するには、Administrators グループのメンバーである必要があります。

IP アドレスの範囲ごとに RADIUS クライアントを設定するために

  1. NPS で、サーバー マネージャーで、[ツール] をクリックし、次に [ネットワーク ポリシー サーバー] をクリックします。 NPS コンソールが開きます。
  2. NPS コンソールで、[RADIUS クライアントと サーバー] をダブルクリックします。 [RADIUS クライアント] を右クリックし、[新しい RADIUS クライアント] をクリックします。
  3. [新しい RADIUS クライアント] で、[フレンドリ名] で、NAS のコレクションの表示名を入力します。
  4. アドレス (IP または DNS) で、クラスレス ドメイン間ルーティング (CIDR) 表記を使って RADIUS クライアントの IP アドレス範囲を入力します。 たとえば、NAS の IP アドレスの範囲が 10.10.0.0 である場合は、10.10.0.0/16 と入力します。
  5. [新しい RADIUS クライアント] で、[ベンダー] で、NAS の製造元の名前を指定します。 NAS の製造元の名前がわからない場合は、[RADIUS 標準] を選びます。
  6. [新しい RADIUS クライアント][共有シークレット] で、次のいずれかのことを行います:
    • [手動] が選択されていることを確認し、次に [共有シークレット] で、NAS に設定されているものと同一の強力なパスワードを入力します。 [共有シークレットを確認する] に共有シークレットを再度入力します。
    • [生成] を選び、次に [生成] をクリックして共有シークレットを自動的に生成します。 NPS と通信できるよう、NAS 上での構成のために生成された共有シークレットを保存します。
  7. EAP と PEAP 以外の認証方法が使われていて、すべての NAS がメッセージ認証属性の使用をサポートしている場合は、[新しい RADIUS クライアント] で、[追加オプション] で、[アクセス要求メッセージにはメッセージ認証属性が含まれる必要がある] を選んでください。
  8. [OK] をクリックします。 NPS で構成されている RADIUS クライアントの一覧に、NAS が表示されます。

詳しくは RADIUS クライアント をご覧ください。

NPS の詳細については、ネットワーク ポリシー サーバー (NPS) をご覧ください。