ファイアウォールは、ファイアウォールが実行されているコンピューターまたはデバイス上で送受信される IP トラフィックの種類を許可またはブロックするように構成できます。ファイアウォールが RADIUS クライアント、RADIUS プロキシ、および RADIUS サーバーとの間の RADIUS トラフィックを許可するように適切に構成されていない場合、ネットワーク アクセス認証に失敗し、ネットワーク リソースにユーザーがアクセスできなくなることがあります。

RADIUS トラフィックを許可するには、次の 2 種類のファイアウォールの構成が必要となる場合があります。

  • ネットワーク ポリシー サーバー (NPS) が実行されているローカルのサーバー上の Windows ファイアウォール。

  • 他のコンピューターまたはハードウェア デバイス上で実行されるファイアウォール。

ローカルの NPS サーバー上の Windows ファイアウォール

既定では、NPS はユーザー データグラム プロトコル (UDP) ポート 1812、1813、1645、1646 を使用して RADIUS トラフィックを送受信します。NPS サーバー上の Windows ファイアウォールは、NPS のインストール時に、この RADIUS トラフィックの送受信を許可する例外が設定された状態で自動的に構成されます。

そのため、既定の UDP ポートを使用している場合、Windows ファイアウォール構成を変更し、NPS サーバーとの間の RADIUS トラフィックの送受信を許可する必要はありません。

しかし、NPS での RADIUS トラフィックに使用するポートの変更が必要になる場合があります。NPS とネットワーク アクセス サーバーが既定以外のポート上で RADIUS トラフィックを送受信するように構成する場合、次を実行する必要があります。

  • RADIUS トラフィックが既定のポートを経由することを許可する例外を削除します。

  • RADIUS トラフィックが新しいポートを経由することを許可する新しい例外を作成します。

詳細については、「NPS の UDP ポート情報を構成する」を参照してください。

その他のファイアウォール

最も一般的な構成では、ファイアウォールはインターネットに接続され、NPS サーバーは、境界ネットワークに接続されたイントラネット リソースとなります。

イントラネット内のドメイン コントローラーに到達するため、NPS サーバーには次のインターフェイスが必要となる場合があります。

  • 境界ネットワーク上のインターフェイスおよびイントラネット上のインターフェイス (IP ルーティングは有効にしない)。

  • 境界ネットワーク上の単一のインターフェイス。この構成では、NPS は、境界ネットワークをイントラネットに接続する別のファイアウォールを介して、ドメイン コントローラーと通信します。

インターネット ファイアウォールを構成する

インターネットと接続されるファイアウォールは、インターネット インターフェイス上 (および、必要に応じてネットワーク境界インターフェイス上) に入出力フィルターを設定して構成し、NPS サーバーとインターネット上の RADIUS クライアントまたはプロキシとの間の RADIUS メッセージの転送を許可する必要があります。フィルターをさらに追加すると、境界ネットワーク上の Web サーバー、VPN サーバー、およびその他の種類のサーバーにトラフィックを渡すことを許可できます。

インターネット インターフェイスおよび境界ネットワーク インターフェイス上には、個別にパケット入出力フィルターを構成できます。

インターネット インターフェイス上のフィルター

次の種類のトラフィックを許可するには、次の入力パケット フィルターをファイアウォールのインターネット インターフェイス上に構成します。

  • 境界ネットワーク インターフェイスの宛先 IP アドレス、および NPS サーバーの UDP 宛先ポート 1812 (0x714)。

    このフィルターでは、インターネット ベースの RADIUS クライアントから NPS サーバーへの RADIUS 認証トラフィックを許可します。これは、RFC 2865 で定義されている、NPS が使用する既定の UDP ポートです。別のポートを使用している場合は、1812 をそのポート番号に置換します。

  • 境界ネットワーク インターフェイスの宛先 IP アドレス、および NPS サーバーの UDP 宛先ポート 1813 (0x715)。

    このフィルターでは、インターネット ベースの RADIUS クライアントから NPS サーバーへの RADIUS アカウンティング トラフィックを許可します。これは、RFC 2866 で定義されている、NPS が使用する既定の UDP ポートです。別のポートを使用している場合は、1813 をそのポート番号に置換します。

  • (省略可能) 境界ネットワーク インターフェイスの宛先 IP アドレス、および NPS サーバーの UDP 宛先ポート 1645 (0x66D)。

    このフィルターでは、インターネット ベースの RADIUS クライアントから NPS サーバーへの RADIUS 認証トラフィックを許可します。これは、古い RADIUS クライアントで使用される UDP ポートです。

  • (省略可能) 境界ネットワーク インターフェイスの宛先 IP アドレス、および NPS サーバーの UDP 宛先ポート 1646 (0x66E)。

    このフィルターでは、インターネット ベースの RADIUS クライアントから NPS サーバーへの RADIUS アカウンティング トラフィックを許可します。これは、古い RADIUS クライアントで使用される UDP ポートです。

次の種類のトラフィックを許可するには、次の出力フィルターをファイアウォールのインターネット インターフェイス上に構成します。

  • 境界ネットワーク インターフェイスの発信元 IP アドレス、および NPS サーバーの UDP 発信元ポート 1812 (0x714)。

    このフィルターでは、NPS サーバーからインターネット ベースの RADIUS クライアントへの RADIUS 認証トラフィックを許可します。これは、RFC 2865 で定義されている、NPS が使用する既定の UDP ポートです。別のポートを使用している場合は、1812 をそのポート番号に置換します。

  • 境界ネットワーク インターフェイスの発信元 IP アドレス、および NPS サーバーの UDP 発信元ポート 1813 (0x715)。

    このフィルターでは、NPS サーバーからインターネット ベースの RADIUS クライアントへの RADIUS アカウンティング トラフィックを許可します。これは、RFC 2866 で定義されている、NPS が使用する既定の UDP ポートです。別のポートを使用している場合は、1813 をそのポート番号に置換します。

  • (省略可能) 境界ネットワーク インターフェイスの発信元 IP アドレス、および NPS サーバーの UDP 発信元ポート 1645 (0x66D)。

    このフィルターでは、NPS サーバーからインターネット ベースの RADIUS クライアントへの RADIUS 認証トラフィックを許可します。これは、古い RADIUS クライアントで使用される UDP ポートです。

  • (省略可能) 境界ネットワーク インターフェイスの発信元 IP アドレス、および NPS サーバーの UDP 発信元ポート 1646 (0x66E)。

    このフィルターでは、NPS サーバーからインターネット ベースの RADIUS クライアントへの RADIUS アカウンティング トラフィックを許可します。これは、古い RADIUS クライアントで使用される UDP ポートです。

境界ネットワーク インターフェイスのフィルター

次の種類のトラフィックを許可するには、次の入力フィルターをファイアウォールの境界ネットワーク インターフェイス上に構成します。

  • 境界ネットワーク インターフェイスの発信元 IP アドレス、および NPS サーバーの UDP 発信元ポート 1812 (0x714)。

    このフィルターでは、NPS サーバーからインターネット ベースの RADIUS クライアントへの RADIUS 認証トラフィックを許可します。これは、RFC 2865 で定義されている、NPS が使用する既定の UDP ポートです。別のポートを使用している場合は、1812 をそのポート番号に置換します。

  • 境界ネットワーク インターフェイスの発信元 IP アドレス、および NPS サーバーの UDP 発信元ポート 1813 (0x715)。

    このフィルターでは、NPS サーバーからインターネット ベースの RADIUS クライアントへの RADIUS アカウンティング トラフィックを許可します。これは、RFC 2866 で定義されている、NPS が使用する既定の UDP ポートです。別のポートを使用している場合は、1813 をそのポート番号に置換します。

  • (省略可能) 境界ネットワーク インターフェイスの発信元 IP アドレス、および NPS サーバーの UDP 発信元ポート 1645 (0x66D)。

    このフィルターでは、NPS サーバーからインターネット ベースの RADIUS クライアントへの RADIUS 認証トラフィックを許可します。これは、古い RADIUS クライアントで使用される UDP ポートです。

  • (省略可能) 境界ネットワーク インターフェイスの発信元 IP アドレス、および NPS サーバーの UDP 発信元ポート 1646 (0x66E)。

    このフィルターでは、NPS サーバーからインターネット ベースの RADIUS クライアントへの RADIUS アカウンティング トラフィックを許可します。これは、古い RADIUS クライアントで使用される UDP ポートです。

次の種類のトラフィックを許可するには、次の出力パケット フィルターをファイアウォールの境界ネットワーク インターフェイス上に構成します。

  • 境界ネットワーク インターフェイスの宛先 IP アドレス、および NPS サーバーの UDP 宛先ポート 1812 (0x714)。

    このフィルターでは、インターネット ベースの RADIUS クライアントから NPS サーバーへの RADIUS 認証トラフィックを許可します。これは、RFC 2865 で定義されている、NPS が使用する既定の UDP ポートです。別のポートを使用している場合は、1812 をそのポート番号に置換します。

  • 境界ネットワーク インターフェイスの宛先 IP アドレス、および NPS サーバーの UDP 宛先ポート 1813 (0x715)。

    このフィルターでは、インターネット ベースの RADIUS クライアントから NPS サーバーへの RADIUS アカウンティング トラフィックを許可します。これは、RFC 2866 で定義されている、NPS が使用する既定の UDP ポートです。別のポートを使用している場合は、1813 をそのポート番号に置換します。

  • (省略可能) 境界ネットワーク インターフェイスの宛先 IP アドレス、および NPS サーバーの UDP 宛先ポート 1645 (0x66D)。

    このフィルターでは、インターネット ベースの RADIUS クライアントから NPS サーバーへの RADIUS 認証トラフィックを許可します。これは、古い RADIUS クライアントで使用される UDP ポートです。

  • (省略可能) 境界ネットワーク インターフェイスの宛先 IP アドレス、および NPS サーバーの UDP 宛先ポート 1646 (0x66E)。

    このフィルターでは、インターネット ベースの RADIUS クライアントから NPS サーバーへの RADIUS アカウンティング トラフィックを許可します。これは、古い RADIUS クライアントで使用される UDP ポートです。

セキュリティを強化するには、ファイアウォールを介してパケットを送信する各 RADIUS クライアントの IP アドレスを使用し、クライアントと境界ネットワーク上の NPS サーバーの IP アドレスとの間のトラフィックに対してフィルターを定義できます。

イントラネット ファイアウォールを構成する

イントラネットと接続されるファイアウォールは、境界ネットワーク インターフェイス上 (および、必要に応じてイントラネット インターフェイス上) に入出力フィルターを設定して構成し、境界ネットワーク上の NPS サーバーとイントラネット上のドメイン コントローラーとの間の RADIUS メッセージの転送を許可する必要があります。フィルターをさらに追加すると、境界ネットワーク上の Web サーバー、VPN サーバー、およびその他の種類のサーバーにトラフィックを渡すことを許可できます。

境界ネットワーク インターフェイスおよびイントラネット インターフェイス上には、個別にパケット入出力フィルターを構成できます。

境界ネットワーク インターフェイスのフィルター

次の種類のトラフィックを許可するには、次の入力パケット フィルターをイントラネット ファイアウォールの境界ネットワーク インターフェイス上に構成します。

  • NPS サーバーの境界ネットワーク インターフェイスの発信元 IP アドレス。

    このフィルターでは、境界ネットワーク上の NPS サーバーからのトラフィックを許可します。

次の種類のトラフィックを許可するには、次の出力フィルターをイントラネット ファイアウォールの境界ネットワーク インターフェイス上に構成します。

  • NPS サーバーの境界ネットワーク インターフェイスの宛先 IP アドレス。

    このフィルターでは、境界ネットワーク上の NPS サーバーへのトラフィックを許可します。

イントラネット インターフェイス上のフィルター

次の種類のトラフィックを許可するには、次の入力フィルターをファイアウォールのイントラネット インターフェイス上に構成します。

  • NPS サーバーの境界ネットワーク インターフェイスの宛先 IP アドレス。

    このフィルターでは、境界ネットワーク上の NPS サーバーへのトラフィックを許可します。

次の種類のトラフィックを許可するには、次の出力パケット フィルターをファイアウォールのイントラネット インターフェイス上に構成します。

  • NPS サーバーの境界ネットワーク インターフェイスの発信元 IP アドレス。

    このフィルターでは、境界ネットワーク上の NPS サーバーからのトラフィックを許可します。


目次