手順 4.Step 4. ネットワークポリシーサーバー (NPS) をインストールして構成するInstall and configure the Network Policy Server (NPS)

適用対象:Windows Server 2019、Windows Server (半期チャネル)、Windows Server 2016、Windows Server 2012 R2、Windows 10Applies to: Windows Server 2019, Windows Server (Semi-Annual Channel), Windows Server 2016, Windows Server 2012 R2, Windows 10

この手順では、VPN サーバーによって送信された接続要求を処理するために、ネットワークポリシーサーバー (NPS) をインストールします。In this step, you'll install Network Policy Server (NPS) for processing of connection requests that are sent by the VPN server:

  • 認証を実行して、ユーザーが接続のアクセス許可を持っていることを確認します。Perform authorization to verify that the user has permission to connect.
  • 認証を実行してユーザーの id を検証しています。Performing authentication to verify the user's identity.
  • NPS で RADIUS アカウンティングを構成したときに選択した接続要求の側面をログに記録するためのアカウンティングの実行。Performing accounting to log the aspects of the connection request that you chose when you configured RADIUS accounting in NPS.

このセクションの手順を実行すると、次の項目を完了できます。The steps in this section allow you to complete the following items:

  1. NPS サーバー用に計画し、組織または企業ネットワークにインストールされているコンピューターまたは VM で、NPS をインストールすることができます。On the computer or VM that planned for the NPS server, and installed on your organization or corporate network, you can install NPS.

    ヒント

    ネットワーク上に1つまたは複数の NPS サーバーが既にある場合は、NPS サーバーのインストールを実行する必要はありません。このトピックを使用して、既存の NPS サーバーの構成を更新できます。If you already have one or more NPS servers on your network, you do not need to perform NPS Server installation - instead, you can use this topic to update the configuration of an existing NPS server.

注意

Windows Server Core にネットワークポリシーサーバーサービスをインストールすることはできません。You can not install the Network Policy Server service on Windows Server Core.

  1. 組織または企業の NPS サーバーで、VPN サーバーから受信した接続要求を処理する RADIUS サーバーとして実行するように NPS を構成できます。On the organization/corporate NPS server, you can configure NPS to perform as a RADIUS server that processes the connection requests received from the VPN server.

ネットワーク ポリシー サーバーをインストールするInstall Network Policy Server

この手順では、Windows PowerShell またはサーバーマネージャーの役割と機能の追加ウィザードを使用して、NPS をインストールします。In this procedure, you install NPS by using either Windows PowerShell or the Server Manager Add Roles and Features Wizard. NPS とは、サーバーの役割である "ネットワーク ポリシーとアクセス サービス" の役割サービスの 1 つです。NPS is a role service of the Network Policy and Access Services server role.

ヒント

既定では、NPS は、インストールされているすべてのネットワーク アダプターの RADIUS トラフィックをポート 1812、1813、1645、および 1646 でリッスンします。By default, NPS listens for RADIUS traffic on ports 1812, 1813, 1645, and 1646 on all installed network adapters. NPS をインストールするときに、セキュリティが強化された Windows ファイアウォールを有効にすると、これらのポートに対するファイアウォールの例外が IPv4 と IPv6 の両方のトラフィックに対して自動的に作成されます。When you install NPS, and you enable Windows Firewall with Advanced Security, firewall exceptions for these ports get created automatically for both IPv4 and IPv6 traffic. ネットワークアクセスサーバーが、これらの既定以外のポートを使用して RADIUS トラフィックを送信するように構成されている場合は、「セキュリティが強化された Windows ファイアウォール」で作成した例外を NPS のインストール時に削除し、に使用するポートに対して例外を作成します。RADIUS トラフィック。If your network access servers are configured to send RADIUS traffic over ports other than these defaults, remove the exceptions created in Windows Firewall with Advanced Security during NPS installation, and create exceptions for the ports that you do use for RADIUS traffic.

Windows PowerShell の手順:Procedure for Windows PowerShell:

Windows PowerShell を使用してこの手順を実行するには、Windows PowerShell を管理者として実行し、次のコマンドレットを入力します。To perform this procedure by using Windows PowerShell, run Windows PowerShell as Administrator, enter the following cmdlet:

Install-WindowsFeature NPAS -IncludeManagementTools

サーバーマネージャーの手順:Procedure for Server Manager:

  1. サーバーマネージャーで、 [管理] を選択し、 [役割と機能の追加] を選択します。In Server Manager, select Manage, then select Add Roles and Features. 役割と機能の追加ウィザードが起動されます。The Add Roles and Features Wizard opens.

  2. 開始する前に で 次へ を選択します。In Before You Begin, select Next.

    注意

    役割と機能の追加ウィザードの [開始する前に] ページは、役割と機能の追加ウィザードの実行時に [既定でこのページをスキップ] する を選択している場合は、表示されません。The Before You Begin page of the Add Roles and Features Wizard is not displayed if you had previously selected Skip this page by default when the Add Roles and Features Wizard ran.

  3. インストールの種類の選択 で、役割ベースまたは機能ベースのインストール が選択されていることを確認し、次へ を選択します。In Select Installation Type, ensure that Role-Based or feature-based installation is selected, and select Next.

  4. [対象サーバーの選択] で、 [サーバープールからサーバーを選択する] が選択されていることを確認します。In Select destination server, ensure that Select a server from the server pool is selected.

  5. サーバープール で、ローカルコンピューター が選択されていることを確認し、次へ を選択します。In Server Pool, ensure that the local computer is selected and select Next.

  6. サーバーの役割の選択 の 役割 で、ネットワークポリシーとアクセスサービス を選択します。In Select Server Roles, in Roles, select Network Policy and Access Services. ネットワークポリシーとアクセスサービスに必要な機能を追加するかどうかを確認するダイアログボックスが表示されます。A dialog box opens asking if it should add features required for Network Policy and Access Services.

  7. [機能の追加] を選択し、 [次へ] を選択します。Select Add Features, then select Next

  8. 機能の選択 で 次へ を選択し、ネットワークポリシーとアクセスサービス で提供されている情報を確認してから、次へ を選択します。In Select features, select Next, and in Network Policy and Access Services, review the information provided, then select Next.

  9. 役割サービスの選択 で、ネットワークポリシーサーバー を選択します。In Select role services, select Network Policy Server.

  10. ネットワークポリシーサーバーに必要な機能については、 [機能の追加] を選択し、 [次へ] を選択します。For features required for Network Policy Server, select Add Features, then select Next.

  11. インストールオプションの確認 で、必要に応じて、移行先サーバーを自動的に再起動する を選択します。In Confirm installation selections, select Restart the destination server automatically if required.

  12. [はい] を選択して選択したを確認し、 [インストール] を選択します。Select Yes to confirm the selected, and then select Install.

    [インストールの進行状況] ページに、インストール処理中の状態が表示されます。The Installation progress page displays the status during the installation process. プロセスが完了すると、" computernameでのインストールが成功しました" というメッセージが表示されます。ここで、 Computernameは、ネットワークポリシーサーバーをインストールしたコンピューターの名前です。When the process completes, the message "Installation succeeded on ComputerName" is displayed, where ComputerName is the name of the computer upon which you installed Network Policy Server.

  13. [閉じる] を選びます。Select Close.

NPS の構成Configure NPS

NPS をインストールした後、VPN サーバーから受信する接続要求に対して、認証、承認、およびアカウンティングのすべての操作を処理するように NPS を構成します。After installing NPS, you configure NPS to handle all authentication, authorization, and accounting duties for connection request it receives from the VPN server.

Active Directory に NPS サーバーを登録するRegister the NPS Server in Active Directory

この手順では、接続要求の処理中にユーザーアカウント情報にアクセスする権限があるように、Active Directory にサーバーを登録します。In this procedure, you register the server in Active Directory so that it has permission to access user account information while processing connection requests.

作業Procedure:

  1. サーバーマネージャーで、 [ツール] を選択し、 [ネットワークポリシーサーバー] を選択します。In Server Manager, select Tools, and then select Network Policy Server. NPS コンソールが開きます。The NPS console opens.

  2. NPS コンソールで、 [nps (ローカル)] を右クリックし、 [Active Directory でサーバーを登録] する を選択します。In the NPS console, right-click NPS (Local), then select Register server in Active Directory.

    [ネットワークポリシーサーバー] ダイアログボックスが表示されます。The Network Policy Server dialog box opens.

  3. ネットワークポリシーサーバー ダイアログボックスで、 OK を2回選択します。In the Network Policy Server dialog box, select OK twice.

NPS を登録する別の方法については、「 Active Directory ドメインに Nps サーバーを登録する」を参照してください。For alternate methods of registering NPS, see Register an NPS Server in an Active Directory Domain.

ネットワーク ポリシー サーバー アカウンティングを構成するConfigure Network Policy Server Accounting

この手順では、次のいずれかのログの種類を使用してネットワークポリシーサーバーアカウンティングを構成します。In this procedure, configure Network Policy Server Accounting using one of the following logging types:

  • イベントログEvent logging. 主に、接続試行の監査とトラブルシューティングに使用されます。Used primarily for auditing and troubleshooting connection attempts. Nps のイベントログを構成するには、nps コンソールで nps サーバーのプロパティを取得します。You can configure NPS event logging by obtaining the NPS server properties in the NPS console.

  • ユーザー認証およびアカウンティング要求をローカルファイルに記録します。Logging user authentication and accounting requests to a local file. 主に、接続分析と課金のために使用されます。Used primarily for connection analysis and billing purposes. また、セキュリティ調査ツールとしても使用されます。これは、攻撃後に悪意のあるユーザーのアクティビティを追跡する方法を提供するためです。Also used as a security investigation tool because it provides you with a method of tracking the activity of a malicious user after an attack. ローカルファイルのログ記録は、アカウンティング構成ウィザードを使用して構成できます。You can configure local file logging using the Accounting Configuration wizard.

  • MICROSOFT SQL SERVER XML 準拠のデータベースに対するユーザー認証およびアカウンティング要求をログに記録します。Logging user authentication and accounting requests to a Microsoft SQL Server XML-compliant database. NPS を実行する複数のサーバーが1つのデータソースを持つことができるようにするために使用します。Used to allow multiple servers running NPS to have one data source. には、リレーショナルデータベースを使用する利点もあります。Also provides the advantages of using a relational database. SQL Server のログ記録は、アカウンティング構成ウィザードを使用して構成できます。You can configure SQL Server logging by using the Accounting Configuration wizard.

ネットワークポリシーサーバーアカウンティングを構成するには、「ネットワークポリシーサーバーアカウンティングを構成する」を参照してください。To configure Network Policy Server Accounting, see Configure Network Policy Server Accounting.

VPN サーバーを RADIUS クライアントとして追加するAdd the VPN Server as a RADIUS Client

[ ALWAYS ON vpn 用のリモートアクセスサーバーの構成] セクションで、vpn サーバーをインストールして構成しました。In the Configure the Remote Access Server for Always On VPN section, you installed and configured your VPN server. VPN サーバーの構成中に、VPN サーバーに RADIUS 共有シークレットを追加しました。During VPN server configuration, you added a RADIUS shared secret on the VPN server.

この手順では、同じ共有シークレットテキスト文字列を使用して、NPS で VPN サーバーを RADIUS クライアントとして構成します。In this procedure, you use the same shared secret text string to configure the VPN server as a RADIUS client in NPS. VPN サーバーで使用したのと同じテキスト文字列を使用するか、NPS サーバーと VPN サーバーの間の通信が失敗します。Use the same text string that you used on the VPN server, or communication between the NPS server and VPN server fails.

重要

新しいネットワークアクセスサーバー (VPN サーバー、ワイヤレスアクセスポイント、認証スイッチ、またはダイヤルアップサーバー) をネットワークに追加する場合、nps がネットワークアクセスサーバーと通信できるように、NPS で RADIUS クライアントとしてサーバーを追加する必要があります。When you add a new network access server (VPN server, wireless access point, authenticating switch, or dial-up server) to your network, you must add the server as a RADIUS client in NPS so that NPS is aware of and can communicate with the network access server.

作業Procedure:

  1. Nps サーバーの NPS コンソールで、 [RADIUS クライアントとサーバー] をダブルクリックします。On the NPS server, in the NPS console, double-click RADIUS Clients and Servers.

  2. [RADIUS クライアント] を右クリックし、 [新規] をクリックします。Right-click RADIUS Clients and select New. [新しい RADIUS クライアント] ダイアログボックスが開きます。The New RADIUS Client dialog box opens.

  3. [この RADIUS クライアントを有効にする] チェックボックスがオンになっていることを確認します。Verify that the Enable this RADIUS client check box is selected.

  4. [フレンドリ名] に、VPN サーバーの表示名を入力します。In Friendly name, enter a display name for the VPN server.

  5. [アドレス (ip または DNS)] に、NAS IP アドレスまたは FQDN を入力します。In Address (IP or DNS), enter the NAS IP address or FQDN.

    FQDN を入力する場合は、名前が正しいことを確認し、有効な IP アドレスにマップする場合は、 [確認] を選択します。If you enter the FQDN, select Verify if you want to verify that the name is correct and maps to a valid IP address.

  6. [共有シークレット] で、次の操作を行います。In Shared secret, do:

    1. 手動が選択されていることを確認します。Ensure that Manual is selected.

    2. VPN サーバーにも入力した厳密なテキスト文字列を入力します。Enter the strong text string that you also entered on the VPN server.

    3. 共有シークレットの確認入力に共有シークレットを再入力します。Reenter the shared secret in Confirm shared secret.

  7. [OK] を選択します。Select OK. NPS サーバーに構成されている RADIUS クライアントの一覧に、VPN サーバーが表示されます。The VPN Server appears in the list of RADIUS clients configured on the NPS server.

VPN 接続の RADIUS として NPS を構成するConfigure NPS as a RADIUS for VPN Connections

この手順では、組織のネットワーク上で NPS を RADIUS サーバーとして構成します。In this procedure, you configure NPS as a RADIUS server on your organization network. NPS では、特定のグループのユーザーだけが VPN サーバー経由で組織または企業ネットワークにアクセスすることを許可するポリシーを定義する必要があります。その後、PEAP 認証要求で有効なユーザー証明書を使用する場合に限ります。On the NPS, you must define a policy that allows only users in a specific group to access the Organization/Corporate network through the VPN Server - and then only when using a valid user certificate in a PEAP authentication request.

作業Procedure:

  1. NPS コンソールの 標準構成 で、ダイヤルアップ接続または VPN 接続用の RADIUS サーバー が選択されていることを確認します。In the NPS console, in Standard Configuration, ensure that RADIUS server for Dial-Up or VPN Connections is selected.

  2. [VPN またはダイヤルアップを構成する] を選択します。Select Configure VPN or Dial-Up.

    VPN またはダイヤルアップの構成ウィザードが開きます。The Configure VPN or Dial-Up wizard opens.

  3. [仮想プライベートネットワーク (VPN) 接続] を選択し、 [次へ] を選択します。Select Virtual Private Network (VPN) Connections, and select Next.

  4. [RADIUS クライアント] で、[ダイヤルアップまたは VPN サーバーの指定] で、前の手順で追加した VPN サーバーの名前を選択します。In Specify Dial-Up or VPN Server, in RADIUS clients, select the name of the VPN Server that you added in the previous step. たとえば、VPN サーバーの NetBIOS 名が RAS1 の場合は、 [RAS1] を選択します。For example, if your VPN server NetBIOS name is RAS1, select RAS1.

  5. [次へ] を選択します。Select Next.

  6. [認証方法の構成] で、次の手順を実行します。In Configure Authentication Methods, complete the following steps:

    1. [Microsoft 暗号化認証バージョン 2 (MS-CHAPv2)] チェックボックスをオフにします。Clear the Microsoft Encrypted Authentication version 2 (MS-CHAPv2) check box.

    2. [拡張認証プロトコル] チェックボックスをオンにして選択します。Select the Extensible Authentication Protocol check box to select it.

    3. (アクセス方法とネットワーク構成に基づく) [種類] で、[ Microsoft] を選択します。保護された EAP(PEAP)、 [構成] の順に選択します。In Type (based on the method of access and network configuration), select Microsoft: Protected EAP (PEAP), then select Configure.

      [保護された EAP のプロパティの編集] ダイアログボックスが開きます。The Edit Protected EAP Properties dialog box opens.

    4. [削除] を選択して、セキュリティで保護されたパスワード (eap MSCHAP v2) の eap の種類を削除します。Select Remove to remove the Secured Password (EAP-MSCHAP v2) EAP type.

    5. [追加] をクリックします。Select Add. [EAP の追加] ダイアログボックスが表示されます。The Add EAP dialog box opens.

    6. [スマートカードまたはその他の証明書] を選択し、[ OK] を選択します。Select Smart Card or other certificate, then select OK.

    7. [OK] を選択して、[保護された EAP プロパティの編集] を閉じます。Select OK to close Edit Protected EAP Properties.

  7. [次へ] を選択します。Select Next.

  8. [ユーザーグループの指定] で、次の手順を実行します。In Specify User Groups, complete the following steps:

    1. [追加] をクリックします。Select Add. [ユーザー、コンピューター、サービスアカウントまたはグループの選択] ダイアログボックスが表示されます。The Select Users, Computers, Service Accounts, or Groups dialog box opens.

    2. VPN Users」と入力し、[ OK] を選択します。Enter VPN Users, then select OK.

    3. [次へ] を選択します。Select Next.

  9. IP フィルターの指定 で、次へ を選択します。In Specify IP Filters, select Next.

  10. 暗号化設定の指定 で、次へ を選択します。In Specify Encryption Settings, select Next. 変更しないでください。Do not make any changes.

    これらの設定は、このシナリオでサポートされていない Microsoft Point-to-point Encryption (MPPE) 接続にのみ適用されます。These settings apply only to Microsoft Point-to-Point Encryption (MPPE) connections, which this scenario doesn't support.

  11. 領域名の指定 で、次へ を選択します。In Specify a Realm Name, select Next.

  12. [完了] を選択してウィザードを終了します。Select Finish to close the wizard.

NPS サーバー証明書を自動登録するAutoenroll the NPS Server Certificate

この手順では、ローカルの NPS サーバーでグループポリシーを手動で更新します。In this procedure, you refresh Group Policy on the local NPS server manually. 証明書の自動登録が構成され、正常に機能している場合、グループポリシー更新すると、ローカルコンピューターは証明機関 (CA) によって証明書を自動登録します。When Group Policy refreshes, if certificate autoenrollment is configured and functioning correctly, the local computer is auto-enrolled a certificate by the certification authority (CA).

注意

ドメインメンバーコンピューターを再起動したとき、またはユーザーがドメインメンバーコンピューターにログオンしたときに、グループポリシー自動的に更新されます。Group Policy refreshed automatically when you restart the domain member computer, or when a user logs on to a domain member computer. また、グループポリシー定期的に更新します。Also, Group Policy periodically refreshes. 既定では、この定期的な更新は、最大30分のランダム化されたオフセットで90分ごとに実行されます。By default, this periodic refresh happens every 90 minutes with a randomized offset of up to 30 minutes.

メンバーシップ 管理者, 、または同等の権限は、この手順を実行するために必要な最小値。Membership in Administrators, or equivalent, is the minimum required to complete this procedure.

作業Procedure:

  1. NPS で、Windows PowerShell を開きます。On the NPS, open Windows PowerShell.

  2. Windows PowerShell プロンプトで「 gpupdate, 、ENTER キーを押します。At the Windows PowerShell prompt, type gpupdate, and then press ENTER.

次の手順Next steps

手順 5.Always On VPNの DNS とファイアウォールの設定を構成します。この手順では、Windows PowerShell またはサーバーマネージャーの役割と機能の追加ウィザードを使用して、ネットワークポリシーサーバー (NPS) をインストールします。Step 5. Configure DNS and firewall settings for Always On VPN: In this step, you install Network Policy Server (NPS) by using either Windows PowerShell or the Server Manager Add Roles and Features Wizard. また、NPS が VPN サーバーから受信する接続要求のすべての認証、承認、およびアカウンティングの各作業を処理するように構成します。You also configure NPS to handle all authentication, authorization, and accounting duties for connection requests that it receives from the VPN server.