NPS を RADIUS サーバーとして計画するPlan NPS as a RADIUS server

適用先:Windows Server (半期チャネル)、Windows Server 2016Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016

ネットワークポリシーサーバー ( nps を ) リモート認証ダイヤルインユーザーサービス (RADIUS) サーバーとして展開すると、nps はローカルドメインおよびローカルドメインを信頼するドメインに対する接続要求に対して認証、承認、およびアカウンティングを実行します。When you deploy Network Policy Server (NPS) as a Remote Authentication Dial-In User Service (RADIUS) server, NPS performs authentication, authorization, and accounting for connection requests for the local domain and for domains that trust the local domain. これらの計画ガイドラインを使用して、RADIUS の展開を簡略化できます。You can use these planning guidelines to simplify your RADIUS deployment.

これらの計画ガイドラインには、NPS を RADIUS プロキシとして展開する状況は含まれません。These planning guidelines do not include circumstances in which you want to deploy NPS as a RADIUS proxy. Nps を RADIUS プロキシとして展開すると、nps は、NPS を実行しているサーバー、またはリモートドメイン、信頼されていないドメイン、またはその両方の RADIUS サーバーに接続要求を転送します。When you deploy NPS as a RADIUS proxy, NPS forwards connection requests to a server running NPS or other RADIUS servers in remote domains, untrusted domains, or both.

NPS を RADIUS サーバーとしてネットワークに展開する前に、次のガイドラインを使用して展開を計画します。Before you deploy NPS as a RADIUS server on your network, use the following guidelines to plan your deployment.

  • NPS 構成を計画します。Plan NPS configuration.

  • RADIUS クライアントを計画します。Plan RADIUS clients.

  • 認証方法の使用を計画します。Plan the use of authentication methods.

  • ネットワークポリシーを計画します。Plan network policies.

  • NPS アカウンティングを計画します。Plan NPS accounting.

NPS 構成を計画するPlan NPS configuration

NPS がメンバーとなっているドメインを決める必要があります。You must decide in which domain the NPS is a member. 複数ドメイン環境では、NPS は、メンバーとなっているドメイン内のユーザーアカウント、および NPS のローカルドメインを信頼するすべてのドメイン内のユーザーアカウントの資格情報を認証できます。For multiple-domain environments, an NPS can authenticate credentials for user accounts in the domain of which it is a member and for all domains that trust the local domain of the NPS. 承認プロセス中に NPS がユーザーアカウントのダイヤルインプロパティを読み取ることができるようにするには、NPS のコンピューターアカウントを、各ドメインの RAS および NPSs グループに追加する必要があります。To allow the NPS to read the dial-in properties of user accounts during the authorization process, you must add the computer account of the NPS to the RAS and NPSs group for each domain.

NPS のドメインメンバーシップを決定したら、RADIUS プロトコルを使用して、RADIUS クライアント (ネットワークアクセスサーバーとも呼ばれます) と通信するようにサーバーを構成する必要があります。After you have determined the domain membership of the NPS, the server must be configured to communicate with RADIUS clients, also called network access servers, by using the RADIUS protocol. また、NPS によってイベントログに記録されるイベントの種類を構成したり、サーバーの説明を入力したりすることができます。In addition, you can configure the types of events that NPS records in the event log and you can enter a description for the server.

主要手順Key steps

NPS 構成の計画では、次の手順を使用できます。During the planning for NPS configuration, you can use the following steps.

  • Radius クライアントから RADIUS メッセージを受信するために NPS が使用する RADIUS ポートを決定します。Determine the RADIUS ports that the NPS uses to receive RADIUS messages from RADIUS clients. 既定のポートは、RADIUS 認証メッセージの場合は UDP ポート1812および1645、RADIUS アカウンティングメッセージの場合はポート1813および1646です。The default ports are UDP ports 1812 and 1645 for RADIUS authentication messages and ports 1813 and 1646 for RADIUS accounting messages.

  • NPS に複数のネットワークアダプターが構成されている場合は、RADIUS トラフィックを許可するアダプターを特定します。If the NPS is configured with multiple network adapters, determine the adapters over which you want RADIUS traffic to be allowed.

  • NPS でイベントログに記録するイベントの種類を決定します。Determine the types of events that you want NPS to record in the Event Log. 拒否された認証要求、成功した認証要求、または両方の種類の要求をログに記録できます。You can log rejected authentication requests, successful authentication requests, or both types of requests.

  • 複数の NPS を展開するかどうかを判断します。Determine whether you are deploying more than one NPS. RADIUS ベースの認証とアカウンティングにフォールトトレランスを提供するには、少なくとも2つの NPSs を使用します。To provide fault tolerance for RADIUS-based authentication and accounting, use at least two NPSs. 1つの NPS をプライマリ RADIUS サーバーとして使用し、もう一方をバックアップとして使用します。One NPS is used as the primary RADIUS server and the other is used as a backup. 各 RADIUS クライアントは、両方の NPSs で構成されます。Each RADIUS client is then configured on both NPSs. プライマリ NPS が使用できなくなった場合、RADIUS クライアントは Access-Request メッセージを代替 NPS に送信します。If the primary NPS becomes unavailable, RADIUS clients then send Access-Request messages to the alternate NPS.

  • 1つの NPS 構成を他の NPSs にコピーするスクリプトを計画して、管理オーバーヘッドを節約し、サーバーの不適切な構成を防ぐことができます。Plan the script used to copy one NPS configuration to other NPSs to save on administrative overhead and to prevent the incorrect cofiguration of a server. NPS には、nps 構成のすべてまたは一部をコピーして別の NPS にインポートできるようにする Netsh コマンドが用意されています。NPS provides the Netsh commands that allow you to copy all or part of an NPS configuration for import onto another NPS. コマンドは Netsh プロンプトで手動で実行できます。You can run the commands manually at the Netsh prompt. ただし、コマンドシーケンスをスクリプトとして保存する場合は、サーバー構成を変更する場合は、後でスクリプトを実行することができます。However, if you save your command sequence as a script, you can run the script at a later date if you decide to change your server configurations.

RADIUS クライアントを計画するPlan RADIUS clients

RADIUS クライアントは、ワイヤレスアクセスポイント、仮想プライベートネットワーク (VPN) サーバー、802.1 X 対応スイッチ、およびダイヤルアップサーバーなどのネットワークアクセスサーバーです。RADIUS clients are network access servers, such as wireless access points, virtual private network (VPN) servers, 802.1X-capable switches, and dial-up servers. Radius サーバーに接続要求メッセージを転送する RADIUS プロキシは、radius クライアントでもあります。RADIUS proxies, which forward connection request messages to RADIUS servers, are also RADIUS clients. NPS は、RFC 2865、「リモート認証ダイヤルインユーザーサービス (RADIUS)」、RFC 2866、「RADIUS アカウンティング」で説明されているように、RADIUS プロトコルに準拠しているすべてのネットワークアクセスサーバーと RADIUS プロキシをサポートします。NPS supports all network access servers and RADIUS proxies that comply with the RADIUS protocol as described in RFC 2865, "Remote Authentication Dial-in User Service (RADIUS)," and RFC 2866, "RADIUS Accounting."

重要

クライアントコンピューターなどのアクセスクライアントは、RADIUS クライアントではありません。Access clients, such as client computers, are not RADIUS clients. Radius クライアントは、radius プロトコルをサポートするネットワークアクセスサーバーとプロキシサーバーのみです。Only network access servers and proxy servers that support the RADIUS protocol are RADIUS clients.

また、ワイヤレスアクセスポイントとスイッチの両方が、802.1 X 認証に対応している必要があります。In addition, both wireless access points and switches must be capable of 802.1X authentication. 拡張認証プロトコル ( eap ) または保護された拡張認証プロトコル PEAP を展開する場合は ( ) 、アクセスポイントとスイッチが EAP の使用をサポートしている必要があります。If you want to deploy Extensible Authentication Protocol (EAP) or Protected Extensible Authentication Protocol (PEAP), access points and switches must support the use of EAP.

ワイヤレスアクセスポイントの PPP 接続の基本的な相互運用性をテストするには、パスワード認証プロトコル (PAP) を使用するようにアクセスポイントとアクセスクライアントを構成します。To test basic interoperability for PPP connections for wireless access points, configure the access point and the access client to use Password Authentication Protocol (PAP). ネットワークアクセスに使用する予定のプロトコルをテストするまで、追加の PPP ベースの認証プロトコル (PEAP など) を使用します。Use additional PPP-based authentication protocols, such as PEAP, until you have tested the ones that you intend to use for network access.

主要手順Key steps

RADIUS クライアントの計画中に、次の手順を実行できます。During the planning for RADIUS clients, you can use the following steps.

  • NPS で構成する必要があるベンダー固有の属性 (Vsa) を文書化します。Document the vendor-specific attributes (VSAs) you must configure in NPS. ネットワークアクセスサーバーが Vsa を必要とする場合は、NPS でネットワークポリシーを構成するときに、VSA 情報をログに記録しておきます。If your network access servers require VSAs, log the VSA information for later use when you configure your network policies in NPS.

  • すべてのデバイスの構成を簡略化するために、RADIUS クライアントと NPS の IP アドレスを文書化します。Document the IP addresses of RADIUS clients and your NPS to simplify the configuration of all devices. RADIUS クライアントを展開するときは、radius プロトコルを使用するように構成し、NPS IP アドレスを認証サーバーとして入力する必要があります。When you deploy your RADIUS clients, you must configure them to use the RADIUS protocol, with the NPS IP address entered as the authenticating server. また、RADIUS クライアントと通信するように NPS を構成する場合は、RADIUS クライアントの IP アドレスを NPS スナップインに入力する必要があります。And when you configure NPS to communicate with your RADIUS clients, you must enter the RADIUS client IP addresses into the NPS snap-in.

  • RADIUS クライアントと NPS スナップインで、構成用の共有シークレットを作成します。Create shared secrets for configuration on the RADIUS clients and in the NPS snap-in. NPS で RADIUS クライアントを構成するときに NPS スナップインにも入力する、共有シークレット (パスワード) を使用して RADIUS クライアントを構成する必要があります。You must configure RADIUS clients with a shared secret, or password, that you will also enter into the NPS snap-in while configuring RADIUS clients in NPS.

認証方法の使用を計画するPlan the use of authentication methods

NPS は、パスワードベースの認証方法と証明書ベースの認証方法の両方をサポートしています。NPS supports both password-based and certificate-based authentication methods. ただし、すべてのネットワークアクセスサーバーが同じ認証方法をサポートするわけではありません。However, not all network access servers support the same authentication methods. 場合によっては、ネットワークアクセスの種類に基づいて別の認証方法を展開する必要があります。In some cases, you might want to deploy a different authentication method based on the type of network access.

たとえば、組織のワイヤレスアクセスと VPN アクセスの両方を展開しますが、アクセスの種類ごとに EAP-TLS を使用します。 VPN 接続の場合は eap-tls (トランスポート層セキュリティ (EAP-TLS) を使用した eap による強力なセキュリティ、802.1 X ワイヤレス接続の場合は PEAP-TLS v2) を使用します。For example, you might want to deploy both wireless and VPN access for your organization, but use a different authentication method for each type of access: EAP-TLS for VPN connections, due to the strong security that EAP with Transport Layer Security (EAP-TLS) provides, and PEAP-MS-CHAP v2 for 802.1X wireless connections.

PEAP と Microsoft チャレンジハンドシェイク認証プロトコル version 2 (PEAP-TLS v2) には、特にポータブルコンピューターや他のワイヤレスデバイスで使用するように設計された、高速再接続という機能が用意されています。PEAP with Microsoft Challenge Handshake Authentication Protocol version 2 (PEAP-MS-CHAP v2) provides a feature named fast reconnect that is specifically designed for use with portable computers and other wireless devices. 高速再接続を使用すると、ワイヤレスクライアントは、新しいアクセスポイントに関連付けられるたびに再認証されることなく、同じネットワーク上のワイヤレスアクセスポイント間を移動できます。Fast reconnect enables wireless clients to move between wireless access points on the same network without being reauthenticated each time they associate with a new access point. これにより、ワイヤレスユーザーのエクスペリエンスが向上し、資格情報を再入力することなくアクセスポイント間を移動できます。This provides a better experience for wireless users and allows them to move between access points without having to retype their credentials. 高速再接続と PEAP-TLS v2 が提供するセキュリティにより、PEAP ms-chap v2 はワイヤレス接続の認証方法として論理的に選択されます。Because of fast reconnect and the security that PEAP-MS-CHAP v2 provides, PEAP-MS-CHAP v2 is a logical choice as an authentication method for wireless connections.

VPN 接続の場合、EAP-TLS は証明書ベースの認証方法であり、インターネットを介して自宅またはモバイルコンピューターから組織の VPN サーバーに送信される場合でも、ネットワークトラフィックを保護する強力なセキュリティを提供します。For VPN connections, EAP-TLS is a certificate-based authentication method that provides strong security that protects network traffic even as it is transmitted across the Internet from home or mobile computers to your organization VPN servers.

証明書ベースの認証方法Certificate-based authentication methods

証明書ベースの認証方法には、強力なセキュリティを提供するという利点があります。また、パスワードベースの認証方法よりも展開が難しくなるという欠点があります。Certificate-based authentication methods have the advantage of providing strong security; and they have the disadvantage of being more difficult to deploy than password-based authentication methods.

PEAP-TLS v2 と EAP-TLS はどちらも証明書ベースの認証方法ですが、これらの認証方法にはさまざまな違いがあります。Both PEAP-MS-CHAP v2 and EAP-TLS are certificate-based authentication methods, but there are many differences between them and the way in which they are deployed.

EAP-TLSEAP-TLS

EAP-TLS では、クライアントとサーバーの両方の認証に証明書が使用されるため、組織に公開キー基盤 (PKI) を展開する必要があります。EAP-TLS uses certificates for both client and server authentication, and requires that you deploy a public key infrastructure (PKI) in your organization. PKI の展開は複雑であり、NPS を RADIUS サーバーとして使用する計画とは無関係の計画フェーズが必要です。Deploying a PKI can be complex, and requires a planning phase that is independent of planning for the use of NPS as a RADIUS server.

EAP-TLS では、NPS は証明機関 CA からサーバー証明書を登録し、証明書 ( ) はローカルコンピューターの証明書ストアに保存されます。With EAP-TLS, the NPS enrolls a server certificate from a certification authority (CA), and the certificate is saved on the local computer in the certificate store. 認証プロセス中、サーバー認証は、NPS がアクセスクライアントにサーバー証明書を送信するときに実行され、アクセスクライアントにその id を証明します。During the authentication process, server authentication occurs when the NPS sends its server certificate to the access client to prove its identity to the access client. アクセスクライアントは、さまざまな証明書のプロパティを調べて、証明書が有効であり、サーバー認証時の使用に適しているかどうかを確認します。The access client examines various certificate properties to determine whether the certificate is valid and is appropriate for use during server authentication. サーバー証明書がサーバー証明書の最小要件を満たし、アクセスクライアントが信頼する CA によって発行されている場合、NPS はクライアントによって正常に認証されます。If the server certificate meets the minimum server certificate requirements and is issued by a CA that the access client trusts, the NPS is successfully authenticated by the client.

同様に、クライアント認証は、クライアントが nps にクライアント証明書を送信して NPS に id を証明するときに、認証プロセス中に発生します。Similarly, client authentication occurs during the authentication process when the client sends its client certificate to the NPS to prove its identity to the NPS. NPS は証明書を調べます。クライアント証明書が最小クライアント証明書の要件を満たし、NPS が信頼する CA によって発行されている場合、アクセスクライアントは NPS によって正常に認証されます。The NPS examines the certificate, and if the client certificate meets the minimum client certificate requirements and is issued by a CA that the NPS trusts, the access client is successfully authenticated by the NPS.

サーバー証明書が NPS の証明書ストアに格納されている必要がありますが、クライアントまたはユーザーの証明書は、クライアント上の証明書ストアまたはスマートカードに格納することができます。Although it is required that the server certificate is stored in the certificate store on the NPS, the client or user certificate can be stored in either the certificate store on the client or on a smart card.

この認証プロセスを成功させるには、すべてのコンピューターが、ローカルコンピューターと現在のユーザーの信頼されたルート証明機関の証明書ストアに組織の CA 証明書を持っている必要があります。For this authentication process to succeed, it is required that all computers have your organization's CA certificate in the Trusted Root Certification Authorities certificate store for the Local Computer and the Current User.

PEAP-MS-CHAP v2PEAP-MS-CHAP v2

PEAP-TLS v2 は、サーバー認証に証明書を使用し、ユーザー認証にパスワードベースの資格情報を使用します。PEAP-MS-CHAP v2 uses a certificate for server authentication and password-based credentials for user authentication. 証明書はサーバー認証にのみ使用されるため、PEAP ms-chap v2 を使用するために PKI を展開する必要はありません。Because certificates are used only for server authentication, you are not required to deploy a PKI in order to use PEAP-MS-CHAP v2. PEAP ms-chap v2 を展開するときに、次の2つの方法のいずれかで NPS のサーバー証明書を取得できます。When you deploy PEAP-MS-CHAP v2, you can obtain a server certificate for the NPS in one of the following two ways:

  • Active Directory 証明書サービス (AD CS) をインストールし、NPSs に証明書を自動登録することができます。You can install Active Directory Certificate Services (AD CS), and then autoenroll certificates to NPSs. この方法を使用する場合は、NPS に発行された証明書を信頼するように、ネットワークに接続するクライアントコンピューターに CA 証明書を登録する必要もあります。If you use this method, you must also enroll the CA certificate to client computers connecting to your network so that they trust the certificate issued to the NPS.

  • VeriSign などのパブリック CA からサーバー証明書を購入できます。You can purchase a server certificate from a public CA such as VeriSign. この方法を使用する場合は、クライアントコンピューターによって既に信頼されている CA を選択してください。If you use this method, make sure that you select a CA that is already trusted by client computers. クライアントコンピューターが CA を信頼しているかどうかを判断するには、クライアントコンピューターで証明書 Microsoft 管理コンソール (MMC) スナップインを開き、ローカルコンピューターと現在のユーザーの信頼されたルート証明機関ストアを表示します。To determine whether client computers trust a CA, open the Certificates Microsoft Management Console (MMC) snap-in on a client computer, and then view the Trusted Root Certification Authorities store for the Local Computer and for the Current User. これらの証明書ストアに CA の証明書がある場合、クライアントコンピューターは CA を信頼し、CA によって発行されたすべての証明書を信頼します。If there is a certificate from the CA in these certificate stores, the client computer trusts the CA and will therefore trust any certificate issued by the CA.

PEAP-TLS v2 を使用した認証プロセスでは、NPS がサーバー証明書をクライアントコンピューターに送信するときに、サーバー認証が行われます。During the authentication process with PEAP-MS-CHAP v2, server authentication occurs when the NPS sends its server certificate to the client computer. アクセスクライアントは、さまざまな証明書のプロパティを調べて、証明書が有効であり、サーバー認証時の使用に適しているかどうかを確認します。The access client examines various certificate properties to determine whether the certificate is valid and is appropriate for use during server authentication. サーバー証明書がサーバー証明書の最小要件を満たし、アクセスクライアントが信頼する CA によって発行されている場合、NPS はクライアントによって正常に認証されます。If the server certificate meets the minimum server certificate requirements and is issued by a CA that the access client trusts, the NPS is successfully authenticated by the client.

ユーザー認証は、ユーザーがネットワークに接続しようとしたときに、パスワードベースの資格情報を入力してログオンしようとすると発生します。User authentication occurs when a user attempting to connect to the network types password-based credentials and tries to log on. NPS は資格情報を受信し、認証と承認を行います。NPS receives the credentials and performs authentication and authorization. ユーザーの認証と承認が成功し、クライアントコンピューターが NPS を正常に認証した場合は、接続要求が付与されます。If the user is authenticated and authorized successfully, and if the client computer successfully authenticated the NPS, the connection request is granted.

主要手順Key steps

認証方法の使用を計画する際には、次の手順を使用できます。During the planning for the use of authentication methods, you can use the following steps.

  • 提供する予定のネットワークアクセスの種類 (ワイヤレス、VPN、802.1 X 対応スイッチ、ダイヤルアップアクセスなど) を特定します。Identify the types of network access you plan to offer, such as wireless, VPN, 802.1X-capable switch, and dial-up access.

  • アクセスの種類ごとに使用する認証方法を決定します。Determine the authentication method or methods that you want to use for each type of access. 強力なセキュリティを提供する証明書ベースの認証方法を使用することをお勧めします。ただし、PKI を展開するのは実用的ではない可能性があります。そのため、他の認証方法では、ネットワークに必要なもののバランスをさらに高めることができます。It is recommended that you use the certificate-based authentication methods that provide strong security; however, it might not be practical for you to deploy a PKI, so other authentication methods might provide a better balance of what you need for your network.

  • EAP-TLS を展開する場合は、PKI の展開を計画します。If you are deploying EAP-TLS, plan your PKI deployment. これには、サーバー証明書とクライアントコンピューターの証明書に使用する証明書テンプレートの計画が含まれます。This includes planning the certificate templates you are going to use for server certificates and client computer certificates. また、ドメインメンバーまたはドメイン以外のコンピューターに証明書を登録する方法や、スマートカードを使用するかどうかを決定する方法についても説明します。It also includes determining how to enroll certificates to domain member and non-domain member computers, and determining whether you want to use smart cards.

  • PEAP-TLS v2 を展開する場合は、NPSs にサーバー証明書を発行するために AD CS をインストールするかどうか、または VeriSign などのパブリック CA からサーバー証明書を購入するかどうかを決定します。If you are deploying PEAP-MS-CHAP v2, determine whether you want to install AD CS to issue server certificates to your NPSs or whether you want to purchase server certificates from a public CA, such as VeriSign.

ネットワークポリシーを計画するPlan network policies

ネットワークポリシーは、RADIUS クライアントから受信した接続要求が承認されているかどうかを判断するために NPS によって使用されます。Network policies are used by NPS to determine whether connection requests received from RADIUS clients are authorized. また、NPS はユーザーアカウントのダイヤルインプロパティを使用して、承認の決定を行います。NPS also uses the dial-in properties of the user account to make an authorization determination.

ネットワークポリシーは、NPS スナップインに表示される順序で処理されるため、最も制限の厳しいポリシーをポリシーの一覧に最初に配置するように計画します。Because network policies are processed in the order in which they appear in the NPS snap-in, plan to place your most restrictive policies first in the list of policies. NPS は、接続要求ごとに、ポリシーの条件と接続要求のプロパティを照合しようとします。For each connection request, NPS attempts to match the conditions of the policy with the connection request properties. NPS は、一致するものが見つかるまで、各ネットワークポリシーを順番に検証します。NPS examines each network policy in order until it finds a match. 一致するものが見つからない場合、接続要求は拒否されます。If it does not find a match, the connection request is rejected.

主要手順Key steps

ネットワークポリシーの計画時には、次の手順を使用できます。During the planning for network policies, you can use the following steps.

  • 最も限定的なものから最も制限の緩いものまで、ネットワークポリシーの優先 NPS 処理順序を決定します。Determine the preferred NPS processing order of network policies, from most restrictive to least restrictive.

  • ポリシーの状態を確認します。Determine the policy state. ポリシーの状態には、有効または無効の値を指定できます。The policy state can have the value of enabled or disabled. ポリシーが有効になっている場合、NPS は承認の実行中にポリシーを評価します。If the policy is enabled, NPS evaluates the policy while performing authorization. ポリシーが有効になっていない場合、ポリシーは評価されません。If the policy is not enabled, it is not evaluated.

  • ポリシーの種類を決定します。Determine the policy type. ポリシーの条件が接続要求と一致する場合、またはポリシーの条件が接続要求と一致する場合にアクセスを拒否するようにポリシーが設計されているかどうかを判断する必要があります。You must determine whether the policy is designed to grant access when the conditions of the policy are matched by the connection request or whether the policy is designed to deny access when the conditions of the policy are matched by the connection request. たとえば、Windows グループのメンバーへのワイヤレスアクセスを明示的に拒否する場合は、グループ、ワイヤレス接続方法、およびポリシーの種類の設定 [アクセス拒否] を指定するネットワークポリシーを作成できます。For example, if you want to explicitly deny wireless access to the members of a Windows group, you can create a network policy that specifies the group, the wireless connection method, and that has a policy type setting of Deny access.

  • ポリシーの基になっているグループのメンバーであるユーザーアカウントのダイヤルインプロパティを NPS が無視するかどうかを決定します。Determine whether you want NPS to ignore the dial-in properties of user accounts that are members of the group on which the policy is based. この設定が有効になっていない場合、ユーザーアカウントのダイヤルインプロパティは、ネットワークポリシーで構成されている設定を上書きします。When this setting is not enabled, the dial-in properties of user accounts override settings that are configured in network policies. たとえば、ユーザーへのアクセスを許可するネットワークポリシーが構成されていて、そのユーザーのユーザーアカウントのダイヤルインプロパティが [アクセスを拒否する] に設定されている場合、そのユーザーはアクセスを拒否されます。For example, if a network policy is configured that grants access to a user but the dial-in properties of the user account for that user are set to deny access, the user is denied access. ただし、[ユーザーアカウントのダイヤルインプロパティを無視する] ポリシーの種類を有効にすると、同じユーザーにネットワークへのアクセスが許可されます。But if you enable the policy type setting Ignore user account dial-in properties, the same user is granted access to the network.

  • ポリシーでポリシーソース設定が使用されているかどうかを確認します。Determine whether the policy uses the policy source setting. この設定を使用すると、すべてのアクセス要求のソースを簡単に指定できます。This setting allows you to easily specify a source for all access requests. 使用可能なソースは、ターミナルサービスゲートウェイ (TS ゲートウェイ)、リモートアクセスサーバー (VPN またはダイヤルアップ)、DHCP サーバー、ワイヤレスアクセスポイント、および正常性登録機関サーバーです。Possible sources are a Terminal Services Gateway (TS Gateway), a remote access server (VPN or dial-up), a DHCP server, a wireless access point, and a Health Registration Authority server. または、ベンダー固有のソースを指定することもできます。Alternatively, you can specify a vendor-specific source.

  • ネットワークポリシーを適用するために、一致する必要がある条件を決定します。Determine the conditions that must be matched in order for the network policy to be applied.

  • ネットワークポリシーの条件が接続要求と一致した場合に適用される設定を決定します。Determine the settings that are applied if the conditions of the network policy are matched by the connection request.

  • 既定のネットワークポリシーを使用するか、変更するか、または削除するかを決定します。Determine whether you want to use, modify, or delete the default network policies.

NPS アカウンティングを計画するPlan NPS accounting

NPS では、ユーザー認証やアカウンティング要求などの RADIUS アカウンティングデータを、IAS 形式、データベース互換形式、Microsoft SQL Server ログ記録という3つの形式でログに記録できます。NPS provides the ability to log RADIUS accounting data, such as user authentication and accounting requests, in three formats: IAS format, database-compatible format, and Microsoft SQL Server logging.

IAS 形式とデータベース互換形式では、ローカル NPS 上のログファイルがテキストファイル形式で作成されます。IAS format and database-compatible format create log files on the local NPS in text file format.

SQL Server ログ記録を使用すると、SQL Server 2000 または SQL Server 2005 XML 準拠のデータベースにログを記録し、RADIUS アカウンティングを拡張して、リレーショナルデータベースへのログ記録の利点を活用することができます。SQL Server logging provides the ability to log to a SQL Server 2000 or SQL Server 2005 XML-compliant database, extending RADIUS accounting to leverage the advantages of logging to a relational database.

主要手順Key steps

NPS アカウンティングの計画では、次の手順を使用できます。During the planning for NPS accounting, you can use the following steps.

  • NPS アカウンティングデータをログファイルに保存するか、SQL Server データベースに格納するかを決定します。Determine whether you want to store NPS accounting data in log files or in a SQL Server database.

ローカルログファイルを使用した NPS アカウンティングNPS accounting using local log files

ログファイルでのユーザー認証およびアカウンティング要求の記録は、主に接続分析と課金の目的で使用されます。また、セキュリティ調査ツールとしても役立ち、攻撃後に悪意のあるユーザーのアクティビティを追跡する方法を提供します。Recording user authentication and accounting requests in log files is used primarily for connection analysis and billing purposes, and is also useful as a security investigation tool, providing you with a method for tracking the activity of a malicious user after an attack.

主要手順Key steps

ローカルログファイルを使用した NPS アカウンティングの計画では、次の手順を使用できます。During the planning for NPS accounting using local log files, you can use the following steps.

  • NPS ログファイルに使用するテキストファイル形式を決定します。Determine the text file format that you want to use for your NPS log files.

  • ログに記録する情報の種類を選択します。Choose the type of information that you want to log. アカウンティング要求、認証要求、および定期的な状態をログに記録できます。You can log accounting requests, authentication requests, and periodic status.

  • ログファイルを保存するハードディスクの場所を決定します。Determine the hard disk location where you want to store your log files.

  • ログファイルのバックアップソリューションを設計します。Design your log file backup solution. ログファイルを保存するハードディスクの場所は、データを簡単にバックアップできる場所である必要があります。The hard disk location where you store your log files should be a location that allows you to easily back up your data. また、ログファイルが格納されているフォルダーのアクセス制御リスト (ACL) を構成することによって、ハードディスクの場所を保護する必要があります。In addition, the hard disk location should be protected by configuring the access control list (ACL) for the folder where the log files are stored.

  • 新しいログファイルを作成する頻度を決定します。Determine the frequency at which you want new log files to be created. ファイルサイズに基づいてログファイルを作成する場合は、新しいログファイルが NPS によって作成されるまでに許容される最大ファイルサイズを決定します。If you want log files to be created based on the file size, determine the maximum file size allowed before a new log file is created by NPS.

  • ハードディスクの容量が不足している場合に、NPS で古いログファイルを削除するかどうかを決定します。Determine whether you want NPS to delete older log files if the hard disk runs out of storage space.

  • アカウンティングデータを表示し、レポートを生成するために使用するアプリケーションを決定します。Determine the application or applications that you want to use to view accounting data and produce reports.

NPS SQL Server ログ記録NPS SQL Server logging

NPS SQL Server ログは、セッション状態情報、レポートの作成とデータ分析の目的、およびアカウンティングデータの管理を一元化および簡素化するために使用されます。NPS SQL Server logging is used when you need session state information, for report creation and data analysis purposes, and to centralize and simplify management of your accounting data.

NPS には、SQL Server ログ記録を使用して、1つ以上のネットワークアクセスサーバーから受信したユーザー認証とアカウンティング要求を、Microsoft SQL Server デスクトップエンジン MSDE 2000 を実行しているコンピューター上のデータソース、 ( ) または SQL Server 2000 より後の任意のバージョンの SQL Server を記録する機能が用意されています。NPS provides the ability to use SQL Server logging to record user authentication and accounting requests received from one or more network access servers to a data source on a computer running the Microsoft SQL Server Desktop Engine (MSDE 2000), or any version of SQL Server later than SQL Server 2000.

アカウンティングデータは、XML 形式の NPS からデータベース内のストアドプロシージャに渡されます。これにより、構造化照会言語の ( SQL と xml SQLXML の両方がサポートされ ) ( ) ます。Accounting data is passed from NPS in XML format to a stored procedure in the database, which supports both structured query language (SQL) and XML (SQLXML). XML 準拠の SQL Server データベースでユーザー認証およびアカウンティング要求を記録することで、複数の NPSs で1つのデータソースを使用できるようになります。Recording user authentication and accounting requests in an XML-compliant SQL Server database enables multiple NPSs to have one data source.

主要手順Key steps

Nps SQL Server のログ記録を使用した NPS アカウンティングの計画中に、次の手順を実行できます。During the planning for NPS accounting by using NPS SQL Server logging, you can use the following steps.

  • 自分または組織の別のメンバーが2000または SQL Server 2005 リレーショナルデータベースの開発環境を SQL Server かどうかを判断し、これらの製品を使用して SQL Server データベースを作成、変更、管理、管理する方法を理解します。Determine whether you or another member of your organization has SQL Server 2000 or SQL Server 2005 relational database development experience and you understand how to use these products to create, modify, administer, and manage SQL Server databases.

  • SQL Server が NPS またはリモートコンピューターのどちらにインストールされているかを判断します。Determine whether SQL Server is installed on the NPS or on a remote computer.

  • NPS アカウンティングデータを含む受信 XML ファイルを処理するために SQL Server データベースで使用するストアドプロシージャを設計します。Design the stored procedure that you will use in your SQL Server database to process incoming XML files that contain NPS accounting data.

  • SQL Server データベースのレプリケーション構造とフローを設計します。Design the SQL Server database replication structure and flow.

  • アカウンティングデータを表示し、レポートを生成するために使用するアプリケーションを決定します。Determine the application or applications that you want to use to view accounting data and produce reports.

  • すべてのアカウンティング要求でクラス属性を送信するネットワークアクセスサーバーの使用を計画します。Plan to use network access servers that send the Class attribute in all accounting-requests. Class 属性は Access-Accept メッセージで RADIUS クライアントに送信され、Accounting-Request メッセージを認証セッションと関連付ける場合に便利です。The Class attribute is sent to the RADIUS client in an Access-Accept message, and is useful for correlating Accounting-Request messages with authentication sessions. クラス属性がアカウンティング要求メッセージのネットワークアクセスサーバーによって送信された場合は、アカウンティングレコードと認証レコードを照合するために使用できます。If the Class attribute is sent by the network access server in the accounting request messages, it can be used to match the accounting and authentication records. 一意のシリアル番号、サービスの再起動時間、Server-Address の属性の組み合わせは、サーバーが受け入れる認証ごとに一意の id である必要があります。The combination of the attributes Unique-Serial-Number, Service-Reboot-Time, and Server-Address must be a unique identification for each authentication that the server accepts.

  • 中間アカウンティングをサポートするネットワークアクセスサーバーの使用を計画します。Plan to use network access servers that support interim accounting.

  • アカウンティングオンおよびアカウンティングオフのメッセージを送信するネットワークアクセスサーバーの使用を計画します。Plan to use network access servers that send Accounting-on and Accounting-off messages.

  • アカウンティングデータの格納と転送をサポートするネットワークアクセスサーバーの使用を計画します。Plan to use network access servers that support the storing and forwarding of accounting data. ネットワークアクセスサーバーが NPS と通信できない場合、この機能をサポートするネットワークアクセスサーバーは、アカウンティングデータを格納できます。Network access servers that support this feature can store accounting data when the network access server cannot communicate with the NPS. NPS が使用可能になると、ネットワークアクセスサーバーは、格納されているレコードを NPS に転送します。これにより、この機能を提供しないネットワークアクセスサーバーでの信頼性が向上します。When the NPS is available, the network access server forwards the stored records to the NPS, providing increased reliability in accounting over network access servers that do not provide this feature.

  • ネットワークポリシーでは、常に Acct-中間間隔属性を構成することを計画してください。Plan to always configure the Acct-Interim-Interval attribute in network policies. Acct-中間間隔属性では、ネットワークアクセスサーバーが送信する各中間更新の間隔を秒単位で設定します。The Acct-Interim-Interval attribute sets the interval (in seconds) between each interim update that the network access server sends. RFC 2869 によれば、Acct-中間間隔属性の値は、60秒または1分未満にすることはできません。また、600秒または10分未満にすることはできません。According to RFC 2869, the value of the Acct-Interim-Interval attribute must not be smaller than 60 seconds, or one minute, and should not be smaller than 600 seconds, or 10 minutes. 詳細については、RFC 2869 の「RADIUS Extensions」を参照してください。For more information, see RFC 2869, "RADIUS Extensions."

  • NPSs で、定期的な状態のログ記録が有効になっていることを確認します。Ensure that logging of periodic status is enabled on your NPSs.