ネットワーク ポリシー サーバー (NPS) を RADIUS プロキシとして使用することで、RADIUS クライアント アクセス サーバーと RADIUS サーバー (接続時にユーザー認証、承認、およびアカウンティングを実行) との間で RADIUS メッセージをルーティングできます。RADIUS プロキシとして使用すると、NPS は RADIUS アクセスおよび RADIUS アカウンティング メッセージの一元的な中継またはルーティング ポイントとなります。NPS は、転送されるメッセージについての情報をアカウンティング ログに記録します。

次の図は、RADIUS クライアント (アクセス サーバー) と RADIUS サーバーまたは別の RADIUS プロキシ間の RADIUS プロキシとして機能する NPS を示しています。

RADIUS プロキシとしての NPS

RADIUS クライアントと RADIUS サーバー間の RADIUS プロキシとして NPS を使用すると、ネットワーク接続試行時の RADIUS メッセージは次のように転送されます。

  1. ダイヤルアップ ネットワーク アクセス サーバー、仮想プライベート ネットワーク (VPN) サーバー、ワイヤレス アクセス ポイントなどのアクセス サーバーは、接続要求をアクセス クライアントから受信します。

  2. このアクセス サーバーは、RADIUS を認証、承認、およびアカウンティング プロトコルとして使用するよう構成されており、アクセス要求メッセージを作成して、そのメッセージを NPS RADIUS プロキシとして使用されている NPS サーバーに送信します。

  3. NPS RADIUS プロキシはアクセス要求メッセージを受信し、ローカルに構成されている接続要求ポリシーを基にアクセス要求メッセージの転送先を特定します。

  4. NPS RADIUS プロキシは、アクセス要求メッセージを適切な RADIUS サーバーに転送します。

  5. RADIUS サーバーは、アクセス要求メッセージを評価します。

  6. 必要に応じて、RADIUS サーバーはアクセス チャレンジ メッセージを NPS RADIUS プロキシに送信し、NPS RADIUS プロキシによりこのメッセージがアクセス サーバーに転送されます。アクセス サーバーはアクセス クライアントに対してチャレンジを処理し、更新されたアクセス要求を NPS RADIUS プロキシに送信し、NPS RADIUS プロキシによりこのメッセージが RADIUS サーバーに転送されます。

  7. RADIUS サーバーが、接続試行を認証および承認します。

  8. 接続試行が認証および承認された場合、RADIUS サーバーはアクセス許可メッセージを NPS RADIUS プロキシに送信し、NPS RADIUS プロキシによりこのメッセージがアクセス サーバーに転送されます。

    接続試行が認証も承認もされなかった場合、RADIUS サーバーはアクセス拒否メッセージを NPS RADIUS プロキシに送信し、NPS RADIUS プロキシによりこのメッセージがアクセス サーバーに転送されます。

  9. アクセス サーバーはアクセス クライアントとの接続処理を完了し、NPS RADIUS プロキシに対してアカウンティング要求メッセージを送信します。NPS RADIUS プロキシが、アカウンティング データを記録し、メッセージを RADIUS サーバーに転送します。

  10. RADIUS サーバーはアカウンティング応答を NPS RADIUS プロキシに送信し、NPS RADIUS プロキシによりこのメッセージがアクセス サーバーに転送されます。

NPS は、次の場合に RADIUS プロキシとして使用できます。

  • アウトソースされたダイヤルアップ、VPN、またはワイヤレス ネットワーク アクセス サービスを複数の顧客に提供するサービス プロバイダーである場合。NAS は、接続要求を NPS RADIUS プロキシに送信します。接続要求内のユーザー名の領域部分の情報を基に、NPS RADIUS プロキシが接続要求を RADIUS サーバー (顧客によって管理され、接続試行を認証および承認するサーバー) に転送します。

  • NPS サーバーがメンバーとなっているドメイン、または NPS サーバーがメンバーとなっているドメインと双方向の信頼関係にあるドメインのメンバーでないユーザー アカウントを認証および承認する必要がある場合。これには、信頼されていないドメイン、一方向に信頼されるドメイン、およびその他のフォレストのアカウントが含まれます。接続要求を NPS RADIUS サーバーに送信するようにアクセス サーバーを構成するのではなく、接続要求を NPS RADIUS プロキシに送信するようにアクセス サーバーを構成できます。NPS RADIUS プロキシがユーザー名の領域名部分の情報を使用して、適切なドメインまたはフォレストの NPS サーバーに要求を転送します。あるドメインまたはフォレストのユーザー アカウントの接続試行を、別のドメインまたはフォレストの NAS に対して認証できます。

  • Windows アカウント データベースではないデータベースを使用して、認証および承認を実行する必要がある場合。この場合、指定されている領域名に一致する接続要求は、ユーザー アカウントおよび承認データを保持する別のデータベースへのアクセスが可能な RADIUS サーバーに転送されます。こうしたユーザー データベースの例としては、Novell Directory Services (NDS) データベースや構造化照会言語 (SQL) データベースが挙げられます。

  • 多数の接続要求を処理する必要がある場合。この場合、接続およびアカウンティング要求を複数の RADIUS サーバーに分散して送信するようにクライアントを構成するのではなく、接続およびアカウンティング要求を 1 つの NPS RADIUS プロキシに送信するようにクライアントを構成できます。NPS RADIUS プロキシは動的に接続要求およびアカウンティング要求の負荷が複数の RADIUS サーバー間で分散されるようにし、多数の RADIUS クライアントおよび認証が 1 秒あたりに処理されるペースを向上します。

  • アウトソーシング サービスのプロバイダーに RADIUS 認証および承認を提供し、イントラネット ファイアウォール構成を最小限にする場合。イントラネット ファイアウォールは、境界ネットワーク (イントラネットとインターネット間のネットワーク) とイントラネット間に配置されます。NPS サーバーを境界ネットワークに配置することで、境界ネットワークとイントラネット間のファイアウォールは、NPS サーバーと複数のドメイン コントローラー間におけるトラフィックの転送を許可する必要があります。NPS サーバーの代わりに NPS プロキシを使用することで、ファイアウォールは NPS プロキシとイントラネット内の 1 つまたは複数の NPS サーバー間における RADIUS トラフィックのみの転送を許可する必要があります。


目次