- 08/07/2020
- 6 minutes to read
-
-
J -
e -
j
-
- NPSプロキシで、NPSを含むリモートRADIUSサーバグループを構成します。
- リモートNPSで、NPSプロキシをRADIUSクライアントとして構成します。
適用対象製品です。 Windows Server (Semi-Annual Channel)、Windows Server 2016
ネットワークアクセスサーバーをNPSのRADIUSクライアントとして設定する際に使用します。
ネットワークに新しいネットワークアクセスサーバー(VPNサーバー、無線アクセスポイント、認証スイッチ、ダイヤルアップサーバー)を追加する場合、サーバーをNPSのRADIUSクライアントとして追加し、NPSと通信するRADIUSクライアントを設定しなければなりません。
重要
ノートパソコン、タブレット、電話、およびクライアントOSを実行するその他のコンピュータなどのクライアントコンピュータおよびデバイスは、RADIUSクライアントではありません。 RADIUSクライアントは、無線アクセスポイント、802.1X対応スイッチ、仮想プライベートネットワーク(VPN)サーバー、ダイヤルアップサーバーなどのネットワークアクセスサーバーで、RADIUSプロトコルを使用してNetwork Policy Server(NPS)サーバーなどのRADIUSサーバーと通信します。
この手順は、NPSプロキシ上で構成されるリモートRADIUSサーバー群のメンバーである場合にも必要です。
このトピックの手順を実行するには、ネットワークに少なくとも1つのネットワークアクセスサーバ(VPNサーバ、無線アクセスポイント、認証スイッチ、またはダイヤルアップサーバ)またはNPSプロキシを物理的にインストールする必要があります。
Network Access Server
この手順を使用して、NPSと共に使用するネットワークアクセスサーバを構成します。 RADIUSクライアントとしてネットワークアクセスサーバ(NAS)を展開する場合、NASがクライアントとして構成されているNPSと通信するようにクライアントを構成する必要があります。
この手順では、NASを構成するために使用すべき設定に関する一般的なガイドラインを示します。ネットワークに展開するデバイスを構成する方法に関する特定の手順については、NAS製品のドキュメントを参照してください。
ネットワークアクセスサーバを構成するには
- NASのRADIUS設定で、User Datagram Protocol (UDP) ポート1812上のRADIUS認証とUDPポート1813上のRADIUSアカウンティングを選択します。
- 「認証サーバーまたは RADIUS サーバー」で、NAS の要件に応じて、IP アドレスまたは完全修飾ドメイン名 (FQDN) によって NPS を指定します。
- 「秘密または共有秘密」で、強固なパスワードを入力します。 NPS で NAS を RADIUS クライアントとして構成するとき、同じパスワードを使用するので、忘れないようにしてください。
- 認証方法として PEAP または EAP を使用している場合、EAP 認証を使用するように NAS を構成します。
- 無線アクセスポイントを構成する場合、SSID でサービスセット識別子(SSID)、これはネットワーク名となる英数字の文字列であり、を指定します。 この名前はアクセスポイントからワイヤレスクライアントにブロードキャストされ、ワイヤレスフィデリティ(Wi-Fi)ホットスポットのユーザーに表示されます。
- If you are configuring a wireless access point, in 802.1X and WPA, enable IEEE 802.1X and WPA, in 802.1X。1X認証を導入する場合、PEAP-MS-CHAP v2、PEAP-TLS、またはEAP-TLSを導入します。
NPSでRADIUSクライアントとしてネットワークアクセスサーバーを追加する
この手順を使用して、NPSでRADIUSクライアントとしてネットワークアクセスサーバーを追加してください。
この手順を実行するには、Administratorsグループのメンバである必要があります。
NPSでRADIUSクライアントとしてネットワークアクセスサーバーを追加するには
- NPSで、サーバーマネージャで、[ツール]、および[ネットワークポリシーサーバー]をクリックします。 NPSコンソールが開きます。
- NPSコンソールで、[RADIUS Clients and Servers]をダブルクリックします。
- 新しいRADIUSクライアントの[ベンダー]で、NASのメーカー名を指定します。
- 「新しいRADIUSクライアント」で、「共有秘密」に以下のいずれかを実行します:
- 「手動」が選択されていることを確認し、「共有秘密」にNASにも入力されている強力なパスワードを入力します。
- Generate (生成) を選択し、Generate (生成) をクリックして、共有秘密を自動的に生成します。
- 「新しいRADIUSクライアント」の「追加オプション」で、EAPおよびPEAP以外の認証方法を使用している場合、およびNASがメッセージ認証子属性の使用をサポートしている場合、「アクセス要求メッセージにはメッセージ認証子属性が必要です」を選択し、
- OKをクリックします。 NPSで構成されたRADIUSクライアントのリストにNASが表示されます。
「新しいRADIUSクライアント」で、「このRADIUSクライアントを有効にする」チェックボックスが選択されていることを確認します。 Address (IP or DNS)」に、NAS IPアドレスまたは完全修飾ドメイン名(FQDN)を入力します。 FQDNを入力した場合、名前が正しく、有効なIPアドレスにマップされていることを確認する場合は、[確認]をクリックします。
Windowsサーバー2016 DatacenterでIPアドレス範囲別にRADIUSクライアントを構成する
Windowsサーバー2016 Datacenterを実行している場合、IPアドレス範囲別にNPSでRADIUSクライアントを構成することが可能です。 これにより、各RADIUSクライアントを個別に追加するのではなく、一度に多数のRADIUSクライアント(無線アクセスポイントなど)をNPSコンソールに追加できます。
NPSをWindows Server 2016 Standardで実行している場合は、IPアドレス範囲別にRADIUSクライアントを設定できません。
この手順を使用して、すべて同じIPアドレス範囲からのIPアドレスで構成されているネットワークアクセスサーバー(NAS)のグループをRADIUSクライアントとして追加してください。
範囲内のすべてのRADIUSクライアントは、同じ構成および共有秘密を使用する必要があります。
この手順を完了するには、管理者グループのメンバーである必要があります。
IPアドレス範囲別にRADIUSクライアントを設定するには
- NPSで、サーバーマネージャで[ツール]、次に[ネットワークポリシーサーバー]をクリックします。 NPSコンソールが開きます。
- NPSコンソールで、[RADIUSクライアントとサーバ]をダブルクリックします。
- New RADIUS Clientで、Friendly nameに、NASのコレクションの表示名を入力します。
- Address (IP or DNS)に、クラスレスドメイン間ルーティング(CIDR)記法を使用してRADIUSクライアントのIPアドレスの範囲を入力します。 例えば、NASのIPアドレス範囲が10.10.0.0の場合、10.10.0.0/16.
- New RADIUS Clientで、Vendorに、NAS製造元名を指定する。
- 「新しいRADIUSクライアント」で、「共有秘密」に以下のいずれかを実行します:
- 「手動」が選択されていることを確認し、「共有秘密」にNASにも入力されている強力なパスワードを入力します。
- Generate (生成) を選択し、Generate (生成) をクリックして、共有秘密を自動的に生成します。
- 「新しいRADIUSクライアント」の「追加オプション」で、EAPおよびPEAP以外の認証方法を使用している場合、およびすべてのNASがメッセージ認証子属性の使用をサポートしている場合は、「アクセス要求メッセージにはメッセージ認証子属性が必要です」を選択し、
- 「OK」をクリックします。 NAS が NPS で構成された RADIUS クライアントのリストに表示されます。
詳細については、「RADIUS クライアント」を参照してください。
NPSについての詳細については、「ネットワークポリシーサーバー(NPS)」 を参照してください。