ネットワーク ポリシー サーバー (NPS) をリモート認証ダイヤルイン ユーザー サービス (RADIUS) サーバーとして使用することで、RADIUS クライアントの認証、承認、およびアカウンティングを実行できます。RADIUS クライアントには、ダイヤルアップ サーバーまたはワイヤレス アクセス ポイントなどのアクセス サーバー、または RADIUS プロキシを使用できます。NPS を RADIUS サーバーとして使用すると、次のサービスを提供できます。
-
RADIUS クライアントから送信される、すべてのアクセス要求に対する中心的な認証および承認サービス。
NPS は、Microsoft® Windows NT® Server 4.0 ドメイン、Active Directory® ドメイン サービス (AD DS) ドメイン、またはローカルのセキュリティ アカウント マネージャー (SAM) のユーザー アカウント データベースを使用し、接続要求のユーザー資格情報を認証します。NPS は、ユーザー アカウントのダイヤルイン プロパティとネットワーク ポリシーを使用し、接続を承認します。
-
RADIUS クライアントから送信される、すべてのアカウンティング要求に対する中心的なアカウンティングの記録サービス。
アカウンティング要求は、ローカルのログ ファイルまたは Microsoft® SQL Server™ データベース内に分析のために保存されます。
次の図には、さまざまなアクセス クライアント向けに RADIUS サーバーとして構成された NPS と、RADIUS プロキシとを示します。NPS では、受信する RADIUS アクセス要求メッセージのユーザー資格情報の認証に AD DS ドメインを使用します。
NPS を RADIUS サーバーとして使用する場合、RADIUS メッセージは次の方法でネットワーク アクセス接続の認証、承認、およびアカウンティングを提供します。
-
ダイヤルアップ ネットワーク アクセス サーバー、VPN サーバー、およびワイヤレス アクセス ポイントなどのアクセス サーバーは、接続要求をアクセス クライアントから受信します。
-
このアクセス サーバーは、RADIUS を認証、承認、およびアカウンティング プロトコルとして使用するよう構成されており、アクセス要求メッセージを作成して、そのメッセージを NPS サーバーに送信します。
-
NPS サーバーは、アクセス要求メッセージを評価します。
-
必要に応じて、NPS サーバーはアクセス チャレンジ メッセージをアクセス サーバーに送信します。このアクセス サーバーがチャレンジを処理し、更新されたアクセス要求を NPS サーバーに送信します。
-
ユーザー資格情報が確認され、そのユーザー アカウントのダイヤルイン プロパティが、ドメイン コントローラーへのセキュリティで保護された接続を使用して取得されます。
-
接続要求は、ユーザー アカウントのダイヤルイン プロパティとネットワーク ポリシーとの両面で承認されます。
-
接続要求がともに認証および承認された場合、NPS サーバーはアクセス許可メッセージをアクセス サーバーに送信します。
接続要求がいずれかで認証または承認されなかった場合、NPS サーバーはアクセス拒否メッセージをアクセス サーバーに送信します。
-
アクセス サーバーはアクセス クライアントとの接続処理を完了し、メッセージを記録する NPS サーバーに対してアカウンティング要求メッセージを送信します。
-
この NPS サーバーは、アカウンティング応答をアクセス サーバーに送信します。
注 | |
また、アクセス サーバーは、アクセス クライアント接続が閉じられた場合と、アクセス サーバーが開始および停止した場合、接続が確立されるまでの時間にアカウンティング要求メッセージを送信します。 |
NPS は、次の場合に RADIUS サーバーとして使用できます。
-
Windows NT Server 4.0 ドメイン、AD DS ドメイン、またはローカルの SAM ユーザー アカウント データベースをアクセス クライアントのユーザー アカウント データベースとして使用している場合。
-
ルーティングとリモート アクセスを複数のダイヤルアップ サーバー、VPN サーバー、またはデマンド ダイヤル ルーター上で使用しており、ネットワーク ポリシーの構成とアカウンティングの接続のログ記録の両方を一元化する場合。
-
サービス プロバイダーへのダイヤルアップ、VPN、またはワイヤレスの各アクセスをアウトソーシングしている場合。アクセス サーバーは、RADIUS を使用して組織内のメンバーが行った接続を認証および承認します。
-
異種のアクセス サーバーの組み合わせによる認証、承認、およびアカウンティングを一元化する場合。
注 | |
Windows Server® 2003 オペレーティング システムのインターネット認証サービス (IAS) では、ネットワーク ポリシーはリモート アクセス ポリシーと呼ばれます。 |