NPS プロキシ サーバーの負荷分散

  • [アーティクル]

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016

仮想プライベート ネットワーク (VPN) サーバーやワイヤレス アクセス ポイントなどのネットワーク アクセス サーバーであるリモート認証ダイヤルイン ユーザー サービス (RADIUS) クライアントは、接続要求を作成し、NPS などの RADIUS サーバーに送信します。 場合によっては、NPS が一度に受信する接続要求が多すぎると、パフォーマンスが低下したり、過負荷になったりすることがあります。 NPS が過負荷になっている場合は、ネットワークに NPS を追加し、負荷分散を構成することをお勧めします。 受信接続要求を複数の NPS に均等に分散して、1 つ以上の NPS の過負荷を回避することは、負荷分散と呼ばれます。

負荷分散は、次の場合に特に便利です。

  • 拡張認証プロトコル トランスポート層セキュリティ (EAP-TLS) または保護された拡張認証プロトコル (PEAP)-TLS を使用して認証を行う組織。 これらの認証方法では、サーバー認証とユーザーまたはクライアント コンピューター認証に証明書が使用されるため、RADIUS プロキシとサーバーの負荷は、パスワード ベースの認証方法よりも高くなります。
  • 継続的なサービスの可用性を維持する必要がある組織。
  • 他の組織の VPN アクセスをアウトソーシングするインターネット サービス プロバイダー (ISP)。 アウトソーシングされた VPN サービスでは、大量の認証トラフィックが発生する可能性があります。

NPS に送信される接続要求の負荷を分散するには、次の 2 つの方法を使用できます。

  • 複数の RADIUS サーバーに接続要求を送信するようにネットワーク アクセス サーバーを構成します。 たとえば、20 個のワイヤレス アクセス ポイントと 2 台の RADIUS サーバーがある場合、両方の RADIUS サーバーに接続要求を送信するように各アクセス ポイントを構成します。 指定した優先順位で複数の RADIUS サーバーに接続要求を送信するようにアクセス サーバーを構成することにより、各ネットワーク アクセス サーバーで負荷分散とフェールオーバーを行うことができます。 この負荷分散の方法は、通常、多数の RADIUS クライアントを展開しない小規模な組織に最適です。
  • RADIUS プロキシとして構成された NPS を使用して、複数の NPS または他の RADIUS サーバー間の接続要求を負荷分散します。 たとえば、100 のワイヤレス アクセス ポイント、1 つの NPS プロキシ、および 3 台の RADIUS サーバーがある場合、すべてのトラフィックを NPS プロキシに送信するようにアクセスポイントを構成できます。 NPS プロキシで、プロキシが 3 つの RADIUS サーバー間の接続要求を均等に分散するように、負荷分散を構成します。 この負荷分散方法は、RADIUS クライアントとサーバーが多数ある中規模および大規模な組織に最適です。

多くの場合、負荷分散に最適な方法は、RADIUS クライアントが 2 つの NPS プロキシ サーバーに接続要求を送信するように構成してから、RADIUS サーバー間で負荷を分散するように NPS プロキシを構成することです。 この方法では、NPS プロキシと RADIUS サーバーのフェールオーバーと負荷分散の両方が可能です。

RADIUS サーバーの優先度と重み

NPS プロキシの構成プロセス中に、リモート RADIUS サーバー グループを作成し、各グループに RADIUS サーバーを追加することができます。 負荷分散を構成するには、リモート RADIUS サーバー グループごとに複数の RADIUS サーバーが必要です。 グループ メンバーを追加するとき、またはグループ メンバーとして RADIUS サーバーを作成した後で、[RADIUS サーバーの追加] ダイアログ ボックスにアクセスして、[負荷分散] タブで次の項目を構成できます。

  • 優先順位。 優先順位では、RADIUS サーバーと NPS プロキシ サーバーの重要度の順序を指定します。 優先度レベルには、1、2、3 などの整数の値を割り当てる必要があります。 数値が小さいほど、NPS プロキシが RADIUS サーバーに与える優先順位が高くなります。 たとえば、RADIUS サーバーに優先順位 1 の最高値が割り当てられている場合、NPS プロキシから、まずその RADIUS サーバーに接続要求が送信されます。優先順位 1 のサーバーが使用できない場合、NPS から優先度 2 の RADIUS サーバーに接続要求が送信されます。 同じ優先順位を複数の RADIUS サーバーに割り当ててから、重みの設定を使用してそれらの間で負荷を分散することができます。

  • 重み。 NPS はこの重みの設定を使用して、グループ メンバーの優先順位が同じである場合に、各グループメンバーに送信する接続要求の数を決定します。 重みの設定には、1 から 100 の範囲の値を指定する必要があり、値は 100% のうちの比率を表します。 たとえば、リモート RADIUS サーバー グループに、優先度レベルが 1 で重みが 50 の 2 つのメンバーが含まれている場合、NPS プロキシは、接続要求の 50% を各 RADIUS サーバーに転送します。

  • 詳細設定。 これらのフェールオーバー設定は、NPS がリモート RADIUS サーバーが利用不可かどうかを判断するための方法を提供します。 NPS により RADIUS サーバーが利用不可と判断された場合は、他のグループ メンバーへの接続要求の送信を開始できます。 これらの設定を使用して、要求が破棄されたと NPS プロキシから見なされるまでに RADIUS サーバーの応答を待機する秒数、RADIUS サーバーが利用不可と NPS プロキシから識別されるまでの要求破棄の最大数、RADIUS サーバーを利用不可と NPS プロキシから識別されるまでの要求間に経過秒数を構成できます。

NPS プロキシの負荷分散を構成する

負荷分散を構成する前に、必要なリモート RADIUS サーバー グループの数、各グループのメンバーであるサーバー、および各サーバーの優先度と重みの設定を含む展開計画を作成します。

Note

次の手順では、既に RADIUS サーバーを展開および構成していることを前提としています。

NPS をプロキシ サーバーとして動作し、RADIUS クライアントからリモート RADIUS サーバーに接続要求を転送するように構成するには、次の操作を行う必要があります。

  1. RADIUS クライアント (VPN サーバー、ダイヤルアップ サーバー、ターミナル サービス ゲートウェイ サーバー、802.1 X 認証スイッチ、および 802.1 X ワイヤレス アクセス ポイント) を展開し、NPS プロキシ サーバーに接続要求を送信するように構成します。

  2. NPS プロキシで、ネットワーク アクセス サーバーを RADIUS クライアントとして構成します。 詳細については、「RADIUS クライアントの構成」を参照してください。

  3. NPS プロキシで、1 つまたは複数のリモート RADIUS サーバー グループを作成します。 このプロセスでは、RADIUS サーバーをリモート RADIUS サーバー グループに追加します。 詳細については、「リモート RADIUS サーバー グループの構成」を参照してください。

  4. NPS プロキシで、リモート RADIUS サーバー グループに追加する RADIUS サーバーごとに、RADIUS サーバーの [負荷分散] タブをクリックし、[優先順位][重み][詳細設定] を構成します。

  5. NPS プロキシで、リモート RADIUS サーバー グループに認証要求およびアカウンティング要求を転送するように接続要求ポリシーを構成します。 リモート RADIUS サーバー グループごとに 1 つの接続要求ポリシーを作成する必要があります。 詳細については、「接続要求ポリシーの構成」を参照してください。