ネットワーク ポリシーを構成するConfigure Network Policies

適用先:Windows Server (半期チャネル)、Windows Server 2016Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016

このトピックでは、NPS でネットワークポリシーを構成する方法について説明します。You can use this topic to configure network policies in NPS.

ネットワーク ポリシーを追加するAdd a Network Policy

ネットワークポリシーサーバー NPS は、ネットワーク ( ) ポリシーとユーザーアカウントのダイヤルインプロパティを使用して、接続要求がネットワークへの接続を承認されているかどうかを判断します。Network Policy Server (NPS) uses network policies and the dial-in properties of user accounts to determine whether a connection request is authorized to connect to the network.

NPS コンソールまたはリモートアクセスコンソールで新しいネットワークポリシーを構成するには、次の手順に従います。You can use this procedure to configure a new network policy in either the NPS console or the Remote Access console.

承認を実行するPerforming authorization

NPS が接続要求の承認を実行するとき、要求を順序指定された一覧の各ネットワーク ポリシーと比較します。比較する順序は最初のポリシーから始まり、構成されたポリシーの一覧内の次のポリシーに移ります。When NPS performs the authorization of a connection request, it compares the request with each network policy in the ordered list of policies, starting with the first policy, and then moving down the list of configured policies. NPS で接続要求と条件が一致するポリシーが見つかった場合、NPS はその一致したポリシーとユーザー アカウントのダイヤルイン プロパティを使用して承認を実行します。If NPS finds a policy whose conditions match the connection request, NPS uses the matching policy and the dial-in properties of the user account to perform authorization. アクセスを許可する、またはネットワーク ポリシーを介してアクセスを制御し、接続要求を承認するようにユーザー アカウントのダイヤルイン プロパティが構成されている場合、NPS は、ネットワーク ポリシーで構成されている設定を接続に対して適用します。If the dial-in properties of the user account are configured to grant access or control access through network policy and the connection request is authorized, NPS applies the settings that are configured in the network policy to the connection.

NPS で接続要求と一致するネットワーク ポリシーが見つからない場合、ユーザー アカウントのダイヤルイン プロパティがアクセスを許可するように設定されていない限り、その接続要求は拒否されます。If NPS does not find a network policy that matches the connection request, the connection request is rejected unless the dial-in properties on the user account are set to grant access.

ユーザー アカウントのダイヤルイン プロパティがアクセスを拒否するように設定されている場合、その接続要求は NPS によって拒否されます。If the dial-in properties of the user account are set to deny access, the connection request is rejected by NPS.

主要な設定Key settings

新しいネットワークポリシーウィザードを使用してネットワークポリシーを作成する場合は、[ ネットワーク接続方法 ] で指定した値を使用して、 ポリシーの種類 の条件が自動的に構成されます。When you use the New Network Policy wizard to create a network policy, the value that you specify in Network connection method is used to automatically configure the Policy Type condition:

  • 既定値の [未指定] のままにした場合、作成したネットワークポリシーは、任意の種類のネットワークアクセスサーバー (NAS) を使用しているすべてのネットワーク接続の種類について NPS によって評価されます。If you keep the default value of Unspecified , the network policy that you create is evaluated by NPS for all network connection types that are using any kind of network access server (NAS).
  • ネットワーク接続方法を指定する場合、NPS は、指定した種類のネットワーク アクセス サーバーから接続要求が送信された場合にのみ評価します。If you specify a network connection method, NPS evaluates the network policy only if the connection request originates from the type of network access server that you specify.

[ アクセス許可 ] ページで、ユーザーがネットワークに接続できるようにポリシーを設定する場合は、[ アクセス 許可] を選択する必要があります。On the Access Permission page, you must select Access granted if you want the policy to allow users to connect to your network. ユーザーがネットワークに接続できないようにポリシーを設定する場合は、[ アクセス拒否] を選択します。If you want the policy to prevent users from connecting to your network, select Access denied.

Active Directory ドメインサービス AD DS のユーザーアカウントのダイヤルインプロパティによってアクセス許可が決定されるようにするには、 ® ( ) [ ユーザーダイヤルインプロパティでアクセスを決定 する] チェックボックスをオンにします。If you want access permission to be determined by user account dial-in properties in Active Directory® Domain Services (AD DS), you can select the Access is determined by User Dial-in properties check box.

この手順を完了するには、少なくとも、Domain Admins グループ、またはそれと同等の権限を持つグループのメンバである必要があります。Membership in Domain Admins, or equivalent, is the minimum required to complete this procedure.

ネットワークポリシーを追加するにはTo add a network policy

  1. NPS コンソールを開き、[ ポリシー] をダブルクリックします。Open the NPS console, and then double-click Policies.

  2. コンソールツリーで、[ ネットワークポリシー] を右クリックし、[ 新規] をクリックします。In the console tree, right-click Network Policies, and click New. 新しいネットワーク ポリシー ウィザードが開きます。The New Network Policy wizard opens.

  3. 新しいネットワーク ポリシー ウィザードを使用してポリシーを作成します。Use the New Network Policy wizard to create a policy.

ウィザードを使用してダイヤルアップまたは VPN 用のネットワークポリシーを作成するCreate Network Policies for Dial-Up or VPN with a Wizard

次の手順を使用して、ダイヤルアップサーバーまたは仮想プライベートネットワーク ( VPN ) サーバー ( ) を NPS radius サーバーにリモート認証ダイヤルインユーザーサービス radius クライアントとして展開するために必要な接続要求ポリシーとネットワークポリシーを作成できます。You can use this procedure to create the connection request policies and network policies required to deploy either dial-up servers or virtual private network (VPN) servers as Remote Authentication Dial-In User Service (RADIUS) clients to the NPS RADIUS server.

注意

クライアントコンピューター (ラップトップコンピューターやクライアントオペレーティングシステムを実行しているその他のコンピューターなど) は、RADIUS クライアントではありません。Client computers, such as laptop computers and other computers running client operating systems, are not RADIUS clients. RADIUS クライアントは、ネットワークアクセスサーバー (ワイヤレスアクセスポイント、802.1 X 認証スイッチ、仮想プライベートネットワーク ( VPN ) サーバー、ダイヤルアップサーバーなど) です。これらのデバイスは、radius プロトコルを使用して npss などの radius サーバーと通信します。RADIUS clients are network access servers — such as wireless access points, 802.1X authenticating switches, virtual private network (VPN) servers, and dial-up servers — because these devices use the RADIUS protocol to communicate with RADIUS servers such as NPSs.

この手順では、NPS で新しいダイヤルアップ接続または仮想プライベートネットワーク接続ウィザードを開く方法について説明します。This procedure explains how to open the New Dial-up or Virtual Private Network Connections wizard in NPS.

ウィザードを実行すると、次のポリシーが作成されます。After you run the wizard, the following policies are created:

  • 1 つの接続要求ポリシーOne connection request policy
  • 1 つのネットワーク ポリシーOne network policy

必要なときはいつでも、新しいダイヤルアップ接続または仮想プライベート ネットワーク接続ウィザードを実行して、ダイヤルアップ サーバーと VPN サーバー用の新しいポリシーを作成できます。You can run the New Dial-up or Virtual Private Network Connections wizard every time you need to create new policies for dial-up servers and VPN servers.

ダイヤルアップまたは VPN サーバーを RADIUS クライアントとして NPS に展開するために必要な手順は、新しいダイヤルアップ接続または仮想プライベートネットワーク接続ウィザードの実行だけではありません。Running the New Dial-up or Virtual Private Network Connections wizard is not the only step required to deploy dial-up or VPN servers as RADIUS clients to the NPS. どちらのネットワーク アクセス方法でも、追加のハードウェアおよびソフトウェア コンポーネントの展開が必要です。Both network access methods require that you deploy additional hardware and software components.

この手順を完了するには、少なくとも、Domain Admins グループ、またはそれと同等の権限を持つグループのメンバである必要があります。Membership in Domain Admins, or equivalent, is the minimum required to complete this procedure.

ウィザードを使用してダイヤルアップまたは VPN 用のポリシーを作成するにはTo create policies for dial-up or VPN with a wizard

  1. NPS コンソールを開きます。Open the NPS console. まだ選択されていない場合は、[ NPS ( ローカル )] をクリックします。If it is not already selected, click NPS (Local). リモート NPS でポリシーを作成する場合は、サーバーを選択します。If you want to create policies on a remote NPS, select the server.

  2. [ はじめに標準の構成] で、[ ダイヤルアップ接続または VPN 接続用の RADIUS サーバー] を選択します。In Getting Started and Standard Configuration, select RADIUS server for Dial-Up or VPN Connections. テキストの下のテキストとリンクは、選択内容を反映して変更されます。The text and links under the text change to reflect your selection.

  3. [ ウィザードで VPN またはダイヤルアップを構成する] をクリックします。Click Configure VPN or Dial-Up with a wizard. 新しいダイヤルアップ接続または仮想プライベート ネットワーク接続ウィザードが表示されます。The New Dial-up or Virtual Private Network Connections wizard opens.

  4. ウィザードの指示に従って、新しいポリシーの作成を完了します。Follow the instructions in the wizard to complete creation of your new policies.

ウィザードを使用して 802.1 X ワイヤードまたはワイヤレス用のネットワークポリシーを作成するCreate Network Policies for 802.1X Wired or Wireless with a Wizard

この手順を使用して、802.1 X 認証スイッチまたは 802.1 X ワイヤレスアクセスポイントを NPS RADIUS サーバーにリモート認証ダイヤルインユーザーサービス (RADIUS) クライアントとして展開するために必要な接続要求ポリシーとネットワークポリシーを作成できます。You can use this procedure to create the connection request policy and network policy that are required to deploy either 802.1X authenticating switches or 802.1X wireless access points as Remote Authentication Dial-In User Service (RADIUS) clients to the NPS RADIUS server.

この手順では、新しい IEEE 802.1 X セキュリティで保護されたワイヤードおよびワイヤレス接続ウィザードを NPS で開始する方法について説明します。This procedure explains how to start the New IEEE 802.1X Secure Wired and Wireless Connections wizard in NPS.

ウィザードを実行すると、次のポリシーが作成されます。After you run the wizard, the following policies are created:

  • 1 つの接続要求ポリシーOne connection request policy
  • 1 つのネットワーク ポリシーOne network policy

新しい IEEE 802.1X ワイヤードおよびワイヤレス接続ウィザードは、802.1 アクセスの新しいポリシーの作成が必要になるたびに実行できます。You can run the New IEEE 802.1X Secure Wired and Wireless Connections wizard every time you need to create new policies for 802.1X access.

802.1 X 認証スイッチとワイヤレスアクセスポイントを RADIUS クライアントとして NPS に展開するために必要な手順は、新しい IEEE 802.1 X セキュアワイヤードとワイヤレス接続ウィザードの実行だけではありません。Running the New IEEE 802.1X Secure Wired and Wireless Connections wizard is not the only step required to deploy 802.1X authenticating switches and wireless access points as RADIUS clients to the NPS. どちらのネットワーク アクセス方法でも、追加のハードウェアおよびソフトウェア コンポーネントの展開が必要です。Both network access methods require that you deploy additional hardware and software components.

この手順を完了するには、少なくとも、Domain Admins グループ、またはそれと同等の権限を持つグループのメンバである必要があります。Membership in Domain Admins, or equivalent, is the minimum required to complete this procedure.

ウィザードを使用して 802.1X ワイヤード (有線) または 802.1X ワイヤレス (無線) のポリシーを作成するにはTo create policies for 802.1X wired or wireless with a wizard

  1. NPS の [サーバーマネージャーで、[ ツール] をクリックし、[ ネットワークポリシーサーバー] をクリックします。On the NPS, in Server Manager, click Tools, and then click Network Policy Server. NPS コンソールが開きます。The NPS console opens.

  2. まだ選択されていない場合は、[ NPS ( ローカル )] をクリックします。If it is not already selected, click NPS (Local). リモート NPS でポリシーを作成する場合は、サーバーを選択します。If you want to create policies on a remote NPS, select the server.

  3. はじめに標準の構成] で、[ RADIUS server For 802.1 x Wireless or ワイヤード Connections] を選択します。In Getting Started and Standard Configuration, select RADIUS server for 802.1X Wireless or Wired Connections. テキストの下のテキストとリンクは、選択内容を反映して変更されます。The text and links under the text change to reflect your selection.

  4. [ ウィザードを使用して 802.1 x を構成 する] をクリックします。Click Configure 802.1X using a wizard. 新しい IEEE 802.1X ワイヤードおよびワイヤレス接続ウィザードが表示されます。The New IEEE 802.1X Secure Wired and Wireless Connections wizard opens.

  5. ウィザードの指示に従って、新しいポリシーの作成を完了します。Follow the instructions in the wizard to complete creation of your new policies.

ユーザーアカウントのダイヤルインプロパティを無視するように NPS を構成するConfigure NPS to Ignore User Account Dial-in Properties

承認プロセス中に Active Directory のユーザーアカウントのダイヤルインプロパティを無視するように NPS ネットワークポリシーを構成するには、次の手順に従います。Use this procedure to configure an NPS network policy to ignore the dial-in properties of user accounts in Active Directory during the authorization process. Active Directory ユーザーとコンピューターのユーザーアカウントには、nps が承認プロセスで評価するときに使用するダイヤルインプロパティがあります。ただし、ユーザーアカウントの "ネットワークアクセス許可 " プロパティに、 nps ネットワークポリシーによるアクセスを制御 するように設定されている場合は除きます。User accounts in Active Directory Users and Computers have dial-in properties that NPS evaluates during the authorization process unless the Network Access Permission property of the user account is set to Control access through NPS Network Policy.

Active Directory のユーザーアカウントのダイヤルインプロパティを無視するように NPS を構成する場合は、次の2つの状況が考えられます。There are two circumstances where you might want to configure NPS to ignore the dial-in properties of user accounts in Active Directory:

  • ネットワークポリシーを使用して NPS の承認を簡略化するが、すべてのユーザーアカウントに、 Nps ネットワークポリシーによるアクセスを制御 するための ネットワークアクセス許可 プロパティが設定されていない場合。When you want to simplify NPS authorization by using network policy, but not all of your user accounts have the Network Access Permission property set to Control access through NPS Network Policy. たとえば、アクセスを拒否 したり アクセスを許可 するために、ユーザーアカウントの "ネットワークアクセス許可" プロパティがユーザーアカウントに設定されている場合があります。For example, some user accounts might have the Network Access Permission property of the user account set to Deny access or Allow access.

  • ユーザーアカウントの他のダイヤルインプロパティが、ネットワークポリシーで構成されている接続の種類に適用されない場合。When other dial-in properties of user accounts are not applicable to the connection type that is configured in the network policy. たとえば、 ネットワークアクセス許可 の設定以外のプロパティは、ダイヤルイン接続または VPN 接続にのみ適用されますが、作成するネットワークポリシーはワイヤレスまたは認証スイッチ接続用です。For example, properties other than the Network Access Permission setting are applicable only to dial-in or VPN connections, but the network policy you are creating is for wireless or authenticating switch connections.

次の手順を使用して、ユーザーアカウントのダイヤルインプロパティを無視するように NPS を構成できます。You can use this procedure to configure NPS to ignore user account dial-in properties. このチェックボックスがオンになっているネットワークポリシーと接続要求が一致する場合、NPS はユーザーアカウントのダイヤルインプロパティを使用して、ユーザーまたはコンピューターがネットワークにアクセスする権限を持っているかどうかを判断しません。承認を決定するために使用されるのは、ネットワークポリシーの設定のみです。If a connection request matches the network policy where this check box is selected, NPS does not use the dial-in properties of the user account to determine whether the user or computer is authorized to access the network; only the settings in the network policy are used to determine authorization.

Administrators、またはそれと同等のメンバーシップが、この手順を実行するために最低限必要なメンバーシップです。Membership in Administrators, or equivalent, is the minimum required to complete this procedure.

  1. NPS の [サーバーマネージャーで、[ ツール] をクリックし、[ ネットワークポリシーサーバー] をクリックします。On the NPS, in Server Manager, click Tools, and then click Network Policy Server. NPS コンソールが開きます。The NPS console opens.

  2. [ ポリシー] をダブルクリックし、[ ネットワークポリシー] をクリックします。次に、詳細ウィンドウで、構成するポリシーをダブルクリックします。Double-click Policies, click Network Policies, and then in the details pane double-click the policy that you want to configure.

  3. [ポリシーの プロパティ ] ダイアログボックスの [ 概要 ] タブで、[ アクセス許可] の [ ユーザーアカウントのダイヤルインプロパティを無視 する] チェックボックスをオンにして、[ OK] をクリックします。In the policy Properties dialog box, on the Overview tab, in Access Permission, select the Ignore user account dial-in properties check box, and then click OK.

ユーザーアカウントのダイヤルインプロパティを無視するように NPS を構成するにはTo configure NPS to ignore user account dial-in properties

Vlan 用に NPS を構成するConfigure NPS for VLANs

Windows Server 2016 で VLAN 対応のネットワークアクセスサーバーと NPS を使用することにより、ユーザーのグループに、セキュリティアクセス許可に適したネットワークリソースへのアクセスのみを提供できます。By using VLAN-aware network access servers and NPS in Windows Server 2016, you can provide groups of users with access only to the network resources that are appropriate for their security permissions. たとえば、組織のネットワークへのアクセスを許可せずに、インターネットへのワイヤレスアクセスを訪問者に提供することができます。For example, you can provide visitors with wireless access to the Internet without allowing them access to your organization network.

さらに、Vlan を使用すると、異なる物理的な場所または異なる物理サブネットに存在するネットワークリソースを論理的にグループ化することができます。In addition, VLANs allow you to logically group network resources that exist in different physical locations or on different physical subnets. たとえば、営業部門のメンバーとそのネットワークリソース (クライアントコンピューター、サーバー、プリンターなど) が組織内の複数の異なる建物に配置されている場合がありますが、これらのリソースはすべて、同じ IP アドレス範囲を使用する1つの VLAN に配置できます。For example, members of your sales department and their network resources, such as client computers, servers, and printers, might be located in several different buildings at your organization, but you can place all of these resources on one VLAN that uses the same IP address range. その後、VLAN はエンドユーザーの観点から、単一のサブネットとして機能します。The VLAN then functions, from the end-user perspective, as a single subnet.

複数のユーザーグループ間でネットワークを分離する場合は、Vlan を使用することもできます。You can also use VLANs when you want to segregate a network between different groups of users. グループを定義する方法を決定したら、Active Directory ユーザーとコンピューター] スナップインでセキュリティグループを作成し、グループにメンバーを追加することができます。After you have determined how you want to define your groups, you can create security groups in the Active Directory Users and Computers snap-in, and then add members to the groups.

Vlan のネットワークポリシーを構成するConfigure a Network Policy for VLANs

次の手順を使用して、ユーザーを VLAN に割り当てるネットワークポリシーを構成できます。You can use this procedure to configure a network policy that assigns users to a VLAN. ルーター、スイッチ、アクセスコントローラーなどの VLAN 対応のネットワークハードウェアを使用する場合、特定の Active Directory グループのメンバーを特定の Vlan に配置するようにアクセスサーバーに指示するようにネットワークポリシーを構成できます。When you use VLAN-aware network hardware, such as routers, switches, and access controllers, you can configure network policy to instruct the access servers to place members of specific Active Directory groups on specific VLANs. ネットワークリソースを Vlan で論理的にグループ化するこの機能により、ネットワークソリューションを設計および実装する際の柔軟性が向上します。This ability to group network resources logically with VLANs provides flexibility when designing and implementing network solutions.

Vlan で使用する NPS ネットワークポリシーの設定を構成する場合は、[ トンネル-中-種類]、[ Pvt]、[トンネルの 種類]、[トンネル タグ] の属性を構成する必要があります。When you configure the settings of an NPS network policy for use with VLANs, you must configure the attributes Tunnel-Medium-Type, Tunnel-Pvt-Group-ID, Tunnel-Type, and Tunnel-Tag.

この手順は、ガイドラインとして提供されています。ネットワーク構成には、以下で説明する設定とは異なる設定が必要になる場合があります。This procedure is provided as a guideline; your network configuration might require different settings than those described below.

Administrators、またはそれと同等のメンバーシップが、この手順を実行するために最低限必要なメンバーシップです。Membership in Administrators, or equivalent, is the minimum required to complete this procedure.

Vlan のネットワークポリシーを構成するにはTo configure a network policy for VLANs

  1. NPS の [サーバーマネージャーで、[ ツール] をクリックし、[ ネットワークポリシーサーバー] をクリックします。On the NPS, in Server Manager, click Tools, and then click Network Policy Server. NPS コンソールが開きます。The NPS console opens.

  2. [ ポリシー] をダブルクリックし、[ ネットワークポリシー] をクリックします。次に、詳細ウィンドウで、構成するポリシーをダブルクリックします。Double-click Policies, click Network Policies, and then in the details pane double-click the policy that you want to configure.

  3. [ポリシーの プロパティ ] ダイアログボックスで、[ 設定 ] タブをクリックします。In the policy Properties dialog box, click the Settings tab.

  4. [ポリシーの プロパティ] の [ 設定] の [ RADIUS 属性] で、[ 標準 ] が選択されていることを確認します。In policy Properties, in Settings, in RADIUS Attributes, ensure that Standard is selected.

  5. 詳細ウィンドウの [ 属性] では、 サービスの種類 の属性が、既定値の " フレーム" で構成されます。In the details pane, in Attributes, the Service-Type attribute is configured with a default value of Framed. 既定では、VPN およびダイヤルアップのアクセス方法を持つポリシーの場合、 フレームプロトコル 属性は PPP の値で構成されます。By default, for policies with access methods of VPN and dial-up, the Framed-Protocol attribute is configured with a value of PPP. Vlan に必要な追加の接続属性を指定するには、[ 追加] をクリックします。To specify additional connection attributes required for VLANs, click Add. [ 標準 RADIUS 属性の追加 ] ダイアログボックスが表示されます。The Add Standard RADIUS Attribute dialog box opens.

  6. [ 標準 RADIUS 属性の追加] の [属性] で下にスクロールし、次の属性を追加します。In Add Standard RADIUS Attribute, in Attributes, scroll down to and add the following attributes:

    • トンネル-中-種類Tunnel-Medium-Type. ポリシーに対して行った前の選択に適した値を選択します。Select a value appropriate to the previous selections you have made for the policy. たとえば、構成するネットワークポリシーがワイヤレスポリシーの場合は、[ 値: 802 (すべての802メディア + イーサネット正規フォーマットを含む)] を選択します。For example, if the network policy you are configuring is a wireless policy, select Value: 802 (Includes all 802 media plus Ethernet canonical format).

    • Pvt-IDTunnel-Pvt-Group-ID. VLAN 番号を表す整数を入力し、どのグループにメンバーを割り当てるかを指定します。Enter the integer that represents the VLAN number to which group members will be assigned.

    • トンネルの種類Tunnel-Type. [ 仮想 lan (VLAN)] を選択します。Select Virtual LANs (VLAN).

  7. [ 標準 RADIUS 属性の追加] で、[ 閉じる] をクリックします。In Add Standard RADIUS Attribute, click Close.

  8. ネットワークアクセスサーバー (NAS) で トンネルタグ 属性の使用が必要な場合は、次の手順を実行して、ネットワークポリシーに トンネルタグ 属性を追加します。If your network access server (NAS) requires use of the Tunnel-Tag attribute, use the following steps to add the Tunnel-Tag attribute to the network policy. この属性が NAS ドキュメントに記載されていない場合は、ポリシーに追加しないでください。If your NAS documentation does not mention this attribute, do not add it to the policy. 必要に応じて、次のように属性を追加します。If required, add the attributes as follows:

    • [ポリシーの プロパティ] の [ 設定] の [ RADIUS 属性] で、[ ベンダー固有] をクリックします。In policy Properties, in Settings, in RADIUS Attributes, click Vendor Specific.

    • 詳細ウィンドウで、[ 追加] をクリックします。In the details pane, click Add. [ ベンダー固有の属性の追加 ] ダイアログボックスが表示されます。The Add Vendor Specific Attribute dialog box opens.

    • [ 属性] で、下へスクロールして [ トンネルタグ] を選択し、[ 追加] をクリックします。In Attributes, scroll down to and select Tunnel-Tag, and then click Add. [ 属性情報 ] ダイアログボックスが表示されます。The Attribute Information dialog box opens.

    • [ 属性値] に、ハードウェアのドキュメントから取得した値を入力します。In Attribute value, type the value that you obtained from your hardware documentation.

EAP ペイロードのサイズを構成するConfigure the EAP Payload Size

場合によっては、断片化が必要なパケットを破棄するように構成されているため、ルーターまたはファイアウォールはパケットを破棄します。In some cases, routers or firewalls drop packets because they are configured to discard packets that require fragmentation.

拡張認証プロトコル EAP とトランスポート層セキュリティ TLS (EAP-TLS) を認証方法として使用するネットワークポリシーを使用して NPS を展開する場合 ( ) ( ) 、 ( ) nps が eap ペイロードに使用する既定の最大転送単位 MTU は1500バイトです。When you deploy NPS with network policies that use the Extensible Authentication Protocol (EAP) with Transport Layer Security (TLS), or EAP-TLS, as an authentication method, the default maximum transmission unit (MTU) that NPS uses for EAP payloads is 1500 bytes.

この EAP ペイロードの最大サイズでは、NPS と RADIUS クライアントの間のルーターまたはファイアウォールによる断片化が必要な RADIUS メッセージを作成できます。This maximum size for the EAP payload can create RADIUS messages that require fragmentation by a router or firewall between the NPS and a RADIUS client. この場合、RADIUS クライアントと NPS の間に配置されているルーターまたはファイアウォールが、一部のフラグメントをサイレントに破棄することがあります。これにより、認証が失敗し、アクセスクライアントがネットワークに接続できなくなります。If this is the case, a router or firewall positioned between the RADIUS client and the NPS might silently discard some fragments, resulting in authentication failure and the inability of the access client to connect to the network.

ネットワークポリシーのフレーム MTU 属性を1344以下の値に調整することで、NPS が EAP ペイロードに使用する最大サイズを小さくするには、次の手順を使用します。Use the following procedure to lower the maximum size that NPS uses for EAP payloads by adjusting the Framed-MTU attribute in a network policy to a value no greater than 1344.

Administrators、またはそれと同等のメンバーシップが、この手順を実行するために最低限必要なメンバーシップです。Membership in Administrators, or equivalent, is the minimum required to complete this procedure.

フレーム MTU 属性を構成するにはTo configure the Framed-MTU attribute

  1. NPS の [サーバーマネージャーで、[ ツール] をクリックし、[ ネットワークポリシーサーバー] をクリックします。On the NPS, in Server Manager, click Tools, and then click Network Policy Server. NPS コンソールが開きます。The NPS console opens.

  2. [ ポリシー] をダブルクリックし、[ ネットワークポリシー] をクリックします。次に、詳細ウィンドウで、構成するポリシーをダブルクリックします。Double-click Policies, click Network Policies, and then in the details pane double-click the policy that you want to configure.

  3. [ポリシーの プロパティ ] ダイアログボックスで、[ 設定 ] タブをクリックします。In the policy Properties dialog box, click the Settings tab.

  4. [ 設定] の [ RADIUS 属性] で、[ 標準] をクリックします。In Settings, in RADIUS Attributes, click Standard. 詳細ウィンドウで、[ 追加] をクリックします。In the details pane, click Add. [ 標準 RADIUS 属性の追加 ] ダイアログボックスが表示されます。The Add Standard RADIUS Attribute dialog box opens.

  5. [ 属性] で、下へスクロールして [ フレーム-MTU] をクリックし、[ 追加] をクリックします。In Attributes, scroll down to and click Framed-MTU, and then click Add. [ 属性情報 ] ダイアログボックスが表示されます。The Attribute Information dialog box opens.

  6. [ 属性値] に、 1344 以下の値を入力します。In Attribute Value, type a value equal to or less than 1344. [ Ok] をクリックし、[ 閉じる] をクリックして、[ ok] をクリックします。Click OK, click Close, and then click OK.

ネットワークポリシーの詳細については、「 ネットワークポリシー」を参照してください。For more information about network policies, see Network Policies.

ネットワークポリシー属性を指定するパターン一致構文の例については、「 NPS で正規表現を使用する」を参照してください。For examples of pattern-matching syntax to specify network policy attributes, see Use Regular Expressions in NPS.

NPS の詳細については、「 ネットワークポリシーサーバー (nps)」を参照してください。For more information about NPS, see Network Policy Server (NPS).