この手順に従って、ネットワーク ポリシー サーバー (NPS) の Microsoft 管理コンソール (MMC) スナップインから、ネットワーク アクセス サーバーをリモート認証ダイヤルイン ユーザー サービス (RADIUS) クライアントとして追加できます。
NPS スナップインでネットワーク アクセス サーバー (NAS) を RADIUS クライアントとして構成すると、RADIUS クライアントは、アクセス クライアントからの接続要求を、認証、承認、およびアカウンティングのために NPS サーバーに転送します。
重要 | |
ワイヤレス ポータブル コンピューターや、クライアント オペレーティング システムを実行しているその他のコンピューターは、RADIUS クライアントではありません。RADIUS クライアントは、RADIUS サーバー (ネットワーク ポリシー サーバー (NPS) など) との通信に RADIUS プロトコルを使用するため、ネットワーク アクセス サーバー (ワイヤレス アクセス ポイント、802.1X 対応スイッチ、仮想プライベート ネットワーク (VPN) サーバー、およびダイアルアップ サーバーなど) です。 |
新しい RADIUS クライアントの構成に加え、ネットワーク アクセス サーバーの構成も行って NPS と通信できるようにする必要があります。詳細については、NAS の製造元から提供されたドキュメントを参照してください。
新しい RADIUS クライアントを NPS で構成するには、新規 RADIUS クライアント ウィザードを実行する必要があります。次に、新規 RADIUS クライアント ウィザードの実行手順を示します。
-
NAS でメッセージ認証属性 (署名属性ともいう) の使用をサポートしている場合、新規 RADIUS クライアント ウィザードの [要求はメッセージ認証属性を含んでいる必要がある] をオンにします。NAS でメッセージ認証属性の使用をサポートしていない場合、この設定はオンにしません。メッセージ認証属性の使用を有効にすると、パスワード認証プロトコル (PAP)、チャレンジ ハンドシェイク認証プロトコル (CHAP)、Microsoft チャレンジ ハンドシェイク認証プロトコル (MS-CHAP)、および MS-CHAP v2 がネットワーク ポリシーの認証方法として構成されている場合、セキュリティを強化できます。拡張認証プロトコル (EAP) では、既定でメッセージ認証属性が使用されるため、手動で有効にする必要はありません。
-
NAS 固有のネットワーク ポリシー (たとえば、ベンダー固有の属性を含むネットワーク ポリシー) を使用する場合、[クライアント製造元] をクリックし、NAS の製造元の名前を選択します。NAS の製造元の名前がわからない場合、または一覧に含まれていない場合、[RADIUS 標準属性] を選択します。
注 | |
NPS が RADIUS プロキシからアクセス要求を受け取る場合、NPS では、この要求を作成した NAS の製造元を検出することはできません。そのため、クライアント ベンダーに基づくネットワーク ポリシーの条件を使用しようと計画し、RADIUS プロキシである RADIUS クライアントが 1 つ以上ある場合、問題となることがあります。この場合、RADIUS プロキシから NPS に転送される接続要求は、ネットワーク ポリシーのいずれとも適合せず、すべての接続要求が拒否される原因となる可能性があります。この理由から、RADIUS プロキシを使用する場合、ベンダー固有の属性などの NAS 固有の属性に基づかないネットワーク ポリシーを 1 件以上構成する必要があります。 |
この手順を実行するには、Domain Admins のメンバーシップ、またはそれと同等のメンバーシップが最低限必要です。
新しい RADIUS クライアントを追加するには |
NPS MMC スナップインを開き、[RADIUS クライアントとサーバー] をダブルクリックします。
[RADIUS クライアント] を右クリックし、[新規 RADIUS クライアント] をクリックします。
新規 RADIUS クライアント ウィザードの実行手順に従って操作します。