none
ネットワークポリシーサーバー(NPS)のRADIUS機能を利用する方法について RRS feed

  • 質問

  • 早速質問なのですが、
    ネットワークポリシーサーバー(以下、NPS)のRADIUS機能を使用してダイアルアップ着信を認証するサーバーを構築しようと考えております。

    最終的な目標としては、
    2台(以上)のRADIUSサーバーを平行運用させる事が目的です。
    その際に2台のRADIUSサーバーで相互にアカウンティング情報を同期しておく必要がありますが
    その手順についてご存知の方がいらっしゃいましたらご教示いただきたいと思います。

    NPSのヘルプを確認すると
    「アカウンティング情報をローカルではなくリモートで記録する場合は、アカウンティングデータをリモートRADIUSサーバーグループに
    転送するように接続要求ポリシーのアカウンティングを構成すると同時にローカルのNPSサーバーでアカウンティングを実行しないように構成する必要があります」

    上記の通り接続要求ポリシーのアカウンティングは構成場所は判別できたのですが、ローカルのアカウンティングを実行しないように構成する手順が不明です。
    また、RADIUSの設定を検査する用のツールなどがありましたらご教示いただきたいと思います。

    駄文で申し訳ございませんがよろしくお願いいたします。
    2009年4月28日 3:40

回答

  • チャブーンです。

    NPS (RADIUS) のアカウンティング情報 (誰がいつログオンしたといったログ記録) を同期?する方法ですが、NPS では (以前の IAS もそうですが) 「複数のサーバ上に置かれたアカウンティング情報を同期するしくみ」そのものはなかったはずですよ。普通こういう場合、「アカウンティング情報を記録するデータベースサーバかRADIUSサーバ」を別において、各 RADIUS サーバはそこにアカウンティング情報を記録するよう構成する、というスタイルだったはずです。

     直接の答えですが、ログのプロパティから設定するのではないでしょうか?「設定しない」ということですが、実際には「リモートサーバのログ」を指定することになるのかなと思います。「ローカルのアカウンティング設定はしない」、という意味のように見えます。ヘルプの"名前付きパイプに書き込むように NPS を構成できます。"という項目になるのではないでしょうか?


     あと、RADIUSの検査ツールというのは、知る限りではないですね。

    #なぜか文章がおかしかったので、ちょっと書き替えました。
    2009年4月30日 7:47
    モデレータ

すべての返信

  • チャブーンです。

    NPS (RADIUS) のアカウンティング情報 (誰がいつログオンしたといったログ記録) を同期?する方法ですが、NPS では (以前の IAS もそうですが) 「複数のサーバ上に置かれたアカウンティング情報を同期するしくみ」そのものはなかったはずですよ。普通こういう場合、「アカウンティング情報を記録するデータベースサーバかRADIUSサーバ」を別において、各 RADIUS サーバはそこにアカウンティング情報を記録するよう構成する、というスタイルだったはずです。

     直接の答えですが、ログのプロパティから設定するのではないでしょうか?「設定しない」ということですが、実際には「リモートサーバのログ」を指定することになるのかなと思います。「ローカルのアカウンティング設定はしない」、という意味のように見えます。ヘルプの"名前付きパイプに書き込むように NPS を構成できます。"という項目になるのではないでしょうか?


     あと、RADIUSの検査ツールというのは、知る限りではないですね。

    #なぜか文章がおかしかったので、ちょっと書き替えました。
    2009年4月30日 7:47
    モデレータ
  • お返事遅くなりました。
    チャプーン様ご回答ありがとうございました。

    ログファイルをリモートサーバのログで指定してもNGのように見えます。
    複数のサーバーで特定の共有フォルダに共通のログファイルは指定できませんでした。
    ※ログファイルを片方がロックしてしまう為共有は行えないようでした。

    また、アカウンティング情報をリモートサーバーへ転送を行う設定を施してありますが、
    リモートサーバーではそれらの信号を受信している気配がありません。
    あくまでもログとして確認できていないだけなのでパケットのキャプチャを実施して詳細は確認したいと思います。

    今回の作業を行いたい背景なのですが、、
    ダイアルアップの着信を処理したいので、同一IDでの2重ログオンを拒否するように構成したいと考えています。
    認証サーバーはプライマリ・セカンダリの最低でも2台で構成したいと考えていますが、
    プライマリサーバーで認証済みのIDパスワードをセカンダリサーバーで認証を行うと認証できてしまうというのは
    非常に問題があります。
    また、プライマリ・セカンダリのどちらかがダウンしている状況でも認証が行える状況にある必要があります。

    私もRADIUSについて詳細な知識がないので、2重ログオンの監視はアカウンティングの情報から
    判断しているのではないかと思い、アカウンティング情報の同期を考えました。
    そもそもの認識が違っていれば、アカウンティング情報を同期する必要は無いのでは無いかと考えております。

    取り急ぎパケットのキャプチャなども含めて引き続き悪戦苦闘したいと思います。
    2009年5月11日 3:58
  • こんにちは、フォーラムオペレーターの鈴木裕子です(^O^)/

    チャブーン さん、回答ありがとうございました!

    mkfoiba さん、その後いかがでしたか?投稿から少し時間が経過しましたので、その後どうなったかなーと気になっているところです。
    要件を満たす環境構築は、なかなか難しそうな感じですが、同様の運用を考えて情報を探す方もいらっしゃるのではないかと思いましたので、そのような方にこのスレッドを活用していただけるよう、勝手ながら私の方で[回答としてマーク]をつけさせていただきました。もちろん質問主はmkfoiba さんですので、引き続き質問を続けたい場合や、不適当と思われた場合は、遠慮なくチェックを解除してくださいね。

    お時間のある時で良いので、その後の経過をお知らせいただけると嬉しいです(^-^)チャブーン さんも気になってらっしゃるのではと思いますので。
    これからも、皆様の情報交換の場として、Forumを活用してくださいね。質問、コメントとも、ご参加お待ちしています!
    マイクロソフト株式会社 フォーラムオペレーター 鈴木裕子
    2009年6月18日 5:37
    モデレータ