none
IAS から NPSへの移行方法 RRS feed

  • 質問

  • お世話になります。


    Windows2003R2のドメインコントローラをWindows2008R2へ移行するにあたり、
    2003R2で運用しているIAS(Radiusサーバー)の機能を2008R2のNPSへ移行しようとしていますが、うまくいきません。
    もともと、ドメインコントローラ1台(Windows2003R2)が動作しており、IASをドメインコントローラ上で運用しています。
    このたび、新規にWinodws2008R2をドメインへ参加、ドメインコントローラとして昇格しました。そして、NPSを構築しましたが、Radiusがうまく動きません。


    2003R2のIASは、Ciscoルータ用に、Radius認証を提供していただけで、複雑な構成ではありません。
    2003R2のIASの構成は、

    Radiusクライアントの設定については
    フレンドリ名、
    IPアドレス(ルータのIPアドレス)
    クライアント製造元はRADIUS Standard
    共有シークレットキー
    の設定、

    リモートアクセスポリシーは
    Windows-Groupが次のものと一致→(Group名、ルータを利用するユーザ名を追加)
    ダイヤルインプロファイルで、Service-Type、RADIUS Srandard 値→Framed
    認証のところは、MS-CHAPv2、MS-CHAP、CHAP、PAP,SPAPのチェックにチェックが入っています。

    これだけの設定で動いています


    この設定をWindows2008R2のNPSへ入れたいのですが、
    下記URLのインポート方法もうまくいきません
    (インポートは成功、と表示されるが、設定がなにもない状態になる)
    http://technet.microsoft.com/ja-jp/library/ee791819(WS.10).aspx
    http://support.microsoft.com/kb/979599

    そこで、直接、Windows2008R2のNPSサーバーを構築してみましたが
    認証がfailします。アカウンティングログにも、Failの理由がないので、よくわからないのですが

    2008R2のNPSの設定は、

    Radiusクライアントの設定については
    フレンドリ名、
    IPアドレス(ルータのIPアドレス)
    クライアント製造元はRADIUS Standard
    共有シークレットキー
    の設定

    を設定。


    また、ネットワークポリシには、タブが4つ(概要、条件、制約、設定)あり

    概要タブでは、
    ポリシを有効にする、
    アクセスを許可する
    にチェックしています。

    条件タブはWinodwsグループの指定、
    制約タブでは認証方法で、MS-CHAPv2、MS-CHAP、CHAP、PAP,SPAPのチェックにチェックが入っています。設定タブはService-Type 値→Framed

    です。

    これ以上に、何か設定する必要があるのでしょうか?

     

    RadiusClient (CiscoRouter)192.168.1.40
    RadiusServer (Windows2008R2)192.168.1.53

    WindowsサーバーNPS側のエラーログ

    <Event><Timestamp data_type="4">05/25/2011 15:41:32.925</Timestamp><Computer-Name data_type="1">2008R2</Computer-Name><Event-Source data_type="1">IAS</Event-Source><User-Name data_type="1">jjj</User-Name><NAS-Port data_type="0">194</NAS-Port><NAS-Port-Id data_type="1">tty194</NAS-Port-Id><NAS-Port-Type data_type="0">5</NAS-Port-Type><Calling-Station-Id data_type="1">172.16.0.2</Calling-Station-Id><NAS-IP-Address data_type="3">192.168.1.40</NAS-IP-Address><Client-IP-Address data_type="3">192.168.1.40</Client-IP-Address><Client-Vendor data_type="0">9</Client-Vendor><Client-Friendly-Name data_type="1">radius</Client-Friendly-Name><Class data_type="1">311 1 192.168.1.53 05/25/2011 11:55:20 24</Class><Packet-Type data_type="0">1</Packet-Type><Reason-Code data_type="0">0</Reason-Code></Event>
    <Event><Timestamp data_type="4">05/25/2011 15:41:32.925</Timestamp><Computer-Name data_type="1">2008R2</Computer-Name><Event-Source data_type="1">IAS</Event-Source><Class data_type="1">311 1 192.168.1.53 05/25/2011 11:55:20 24</Class><Client-Friendly-Name data_type="1">radius</Client-Friendly-Name><Client-Vendor data_type="0">9</Client-Vendor><Client-IP-Address data_type="3">192.168.1.40</Client-IP-Address><Packet-Type data_type="0">3</Packet-Type><Reason-Code data_type="0">49</Reason-Code></Event>

    以上、何卒よろしくお願いします。

    • 移動 Jundan Wu 2012年10月3日 17:22 (移動元:Windows Server 2008 R2 全般)
    2011年5月25日 13:54

回答

  • NPSの認証要求は通常専用ログに入るものと認識しています(ローカルもしくはSQL)。

    イベントビューアーに関してはチェックしていませんでしたが、確認するならば、リモートアクセスログの構成オプションで「すべてのイベントログを記録する」にしてみてはいかがでしょうか?もしかしたら入ってくるかもしれません。現在環境がないので確認はしていませんが・・・・

    以上、参考になれば幸いです。


    MVP:Virtual Machine Blog:MCTの憂鬱 http://naonao71.wordpress.com/
    2011年5月31日 3:41
    モデレータ

すべての返信

  • 設定自体は2003と変わりないので特に問題はないと思われます。

    外していたら申し訳ないのですが、AD ユーザーとコンピューターの「Ras and IAS Servers」のメンバーに追加した2008r2のコンピューターオブジェクトが入っているか確認してみてください。

    これが入っていないと、RADIUSからDCへの通信ができません。

    以上、参考になれば幸いです。

     


    MVP:Virtual Machine Blog:MCTの憂鬱 http://naonao71.wordpress.com/
    2011年5月26日 0:01
    モデレータ
  • ありがとうございました。

    どうも検証用のサーバーの不具合でした。別のマシンで構成し、問題ないことを確認しました。

     

    ところで、もしご存じでしたら教えていただきたいのですが、

    2003R2のIASの場合は、認証のログがイベントビューアのシステムに残ると思いますが、

    2008R2のNPSの場合は、認証のログがイベントビューアに残らないのでしょうか?

    仕様が変更されたのでしょうか?

    2011年5月29日 10:00
  • NPSの認証要求は通常専用ログに入るものと認識しています(ローカルもしくはSQL)。

    イベントビューアーに関してはチェックしていませんでしたが、確認するならば、リモートアクセスログの構成オプションで「すべてのイベントログを記録する」にしてみてはいかがでしょうか?もしかしたら入ってくるかもしれません。現在環境がないので確認はしていませんが・・・・

    以上、参考になれば幸いです。


    MVP:Virtual Machine Blog:MCTの憂鬱 http://naonao71.wordpress.com/
    2011年5月31日 3:41
    モデレータ