RADIUS トラフィック用にファイアウォールを構成する
ファイアウォールは、ファイアウォールが実行されているコンピューターまたはデバイス上で送受信される IP トラフィックの種類を許可またはブロックするように構成できます。 ファイアウォールが RADIUS クライアント、RADIUS プロキシ、および RADIUS サーバーとの間の RADIUS トラフィックを許可するように適切に構成されていない場合、ネットワーク アクセス認証に失敗し、ネットワーク リソースにユーザーがアクセスできなくなることがあります。
RADIUS トラフィックを許可するために、2 種類のファイアウォールを構成する必要がある場合があります。
- ネットワーク ポリシー サーバー (NPS) を実行しているローカル サーバー上の、セキュリティが強化された Windows Defender ファイアウォール。
- 他のコンピューターまたはハードウェア デバイス上で実行されるファイアウォール。
ローカルの NPS 上の Windows ファイアウォール
既定では、NPS はユーザー データグラム プロトコル (UDP) ポート 1812、1813、1645、1646 を使って RADIUS トラフィックを送受信します。 NPS 上の Windows Defender ファイアウォールは、NPS のインストール時に、この RADIUS トラフィックの送受信を許可するように、自動的に例外を構成する必要があります。
Server 2019 では、このファイアウォールの例外は、RADIUS トラフィックを効果的に検出して許可するために、サービス アカウントのセキュリティ識別子を変更する必要があります。 このセキュリティ識別子の変更が実行されない場合、ファイアウォールは RADIUS トラフィックをドロップします。 管理者特権でのコマンド プロンプトから、sc sidtype IAS unrestricted
を実行します。 このコマンドは、IAS (RADIUS) サービスが他の NETWORK SERVICE サービスと共有するのではなく、固有の SID を使うように変更します。
そのため、既定の UDP ポートを使用している場合、Windows Defender ファイアウォール構成を変更して NPS との間の RADIUS トラフィックの送受信を許可する必要はありません。
しかし、NPS での RADIUS トラフィックに使用するポートの変更が必要になる場合があります。 NPS とネットワーク アクセス サーバーが既定以外のポート上で RADIUS トラフィックを送受信するように構成する場合、次を実行する必要があります。
- 既定のポートで RADIUS トラフィックを許可する例外を削除します。
- 新しいポートで RADIUS トラフィックを許可する新しい例外を作成します。
詳細については、「NPS の UDP ポート情報の構成」を参照してください。
その他のファイアウォール
最も一般的な構成では、ファイアウォールはインターネットに接続され、NPS は、境界ネットワークに接続されたイントラネット リソースとなります。
イントラネット内のドメイン コントローラーに到達するため、NPS には次のインターフェイスが必要となる場合があります。
- 境界ネットワーク上のインターフェイスおよびイントラネット上のインターフェイス (IP ルーティングは有効にしない)。
- 境界ネットワーク上の単一のインターフェイス。 この構成では、NPS は、境界ネットワークをイントラネットに接続する別のファイアウォールを介して、ドメイン コントローラーと通信します。
インターネット ファイアウォールを構成する
インターネットと接続されるファイアウォールは、インターネット インターフェイス上 (および、必要に応じてネットワーク境界インターフェイス上) に入出力フィルターを設定して構成し、NPS とインターネット上の RADIUS クライアントまたはプロキシとの間の RADIUS メッセージの転送を許可する必要があります。 また、境界ネットワーク上の Web サーバー、VPN サーバー、その他の種類のサーバーへのトラフィックの転送を許可するために、追加のフィルターを使うことができます。
インターネット インターフェイスおよび境界ネットワーク インターフェイス上には、個別にパケット入出力フィルターを構成できます。
インターネット インターフェイス上で入力フィルターを構成する
次の種類のトラフィックを許可するには、次の入力パケット フィルターをファイアウォールのインターネット インターフェイス上に構成します。
- 境界ネットワーク インターフェイスの宛先 IP アドレス、および NPS の UDP 宛先ポート 1812 (0x714)。 このフィルターでは、インターネット ベースの RADIUS クライアントから NPS への RADIUS 認証トラフィックを許可します。 これは、RFC 2865 で定義されている、NPS が使う既定の UDP ポートです。 別のポートを使っている場合は、そのポート番号を 1812 に置き換えてください。
- 境界ネットワーク インターフェイスの宛先 IP アドレス、および NPS の UDP 宛先ポート 1813 (0x715)。 このフィルターでは、インターネット ベースの RADIUS クライアントから NPS への RADIUS アカウンティング トラフィックを許可します。 これは、RFC 2866 で定義されている、NPS が使う既定の UDP ポートです。 別のポートを使っている場合は、そのポート番号を 1813 に置き換えてください。
- (省略可能) 境界ネットワーク インターフェイスの宛先 IP アドレス、および NPS の UDP 宛先ポート 1645 (0x66D)。 このフィルターでは、インターネット ベースの RADIUS クライアントから NPS への RADIUS 認証トラフィックを許可します。 これは、古い RADIUS クライアントで使用される UDP ポートです。
- (省略可能) 境界ネットワーク インターフェイスの宛先 IP アドレス、および NPS の UDP 宛先ポート 1646 (0x66E)。 このフィルターでは、インターネット ベースの RADIUS クライアントから NPS への RADIUS アカウンティング トラフィックを許可します。 これは、古い RADIUS クライアントで使用される UDP ポートです。
インターネット インターフェイス上で出力フィルターを構成する
次の種類のトラフィックを許可するには、次の出力フィルターをファイアウォールのインターネット インターフェイス上に構成します。
- 境界ネットワーク インターフェイスの発信元 IP アドレス、および NPS の UDP 発信元ポート 1812 (0x714)。 このフィルターでは、NPS からインターネット ベースの RADIUS クライアントへの RADIUS 認証トラフィックを許可します。 これは、RFC 2865 で定義されている、NPS が使う既定の UDP ポートです。 別のポートを使っている場合は、そのポート番号を 1812 に置き換えてください。
- 境界ネットワーク インターフェイスの発信元 IP アドレス、および NPS の UDP 発信元ポート 1813 (0x715)。 このフィルターでは、NPS からインターネット ベースの RADIUS クライアントへの RADIUS アカウンティング トラフィックを許可します。 これは、RFC 2866 で定義されている、NPS が使う既定の UDP ポートです。 別のポートを使っている場合は、そのポート番号を 1813 に置き換えてください。
- (省略可能) 境界ネットワーク インターフェイスの発信元 IP アドレス、および NPS の UDP 発信元ポート 1645 (0x66D)。 このフィルターでは、NPS からインターネット ベースの RADIUS クライアントへの RADIUS 認証トラフィックを許可します。 これは、古い RADIUS クライアントで使用される UDP ポートです。
- (省略可能) 境界ネットワーク インターフェイスの発信元 IP アドレス、および NPS の UDP 発信元ポート 1646 (0x66E)。 このフィルターでは、NPS からインターネット ベースの RADIUS クライアントへの RADIUS アカウンティング トラフィックを許可します。 これは、古い RADIUS クライアントで使用される UDP ポートです。
境界ネットワーク インターフェイス上で入力フィルターを構成する
次の種類のトラフィックを許可するには、次の入力フィルターをファイアウォールの境界ネットワーク インターフェイス上に構成します。
- 境界ネットワーク インターフェイスの発信元 IP アドレス、および NPS の UDP 発信元ポート 1812 (0x714)。 このフィルターでは、NPS からインターネット ベースの RADIUS クライアントへの RADIUS 認証トラフィックを許可します。 これは、RFC 2865 で定義されている、NPS が使う既定の UDP ポートです。 別のポートを使っている場合は、そのポート番号を 1812 に置き換えてください。
- 境界ネットワーク インターフェイスの発信元 IP アドレス、および NPS の UDP 発信元ポート 1813 (0x715)。 このフィルターでは、NPS からインターネット ベースの RADIUS クライアントへの RADIUS アカウンティング トラフィックを許可します。 これは、RFC 2866 で定義されている、NPS が使う既定の UDP ポートです。 別のポートを使っている場合は、そのポート番号を 1813 に置き換えてください。
- (省略可能) 境界ネットワーク インターフェイスの発信元 IP アドレス、および NPS の UDP 発信元ポート 1645 (0x66D)。 このフィルターでは、NPS からインターネット ベースの RADIUS クライアントへの RADIUS 認証トラフィックを許可します。 これは、古い RADIUS クライアントで使用される UDP ポートです。
- (省略可能) 境界ネットワーク インターフェイスの発信元 IP アドレス、および NPS の UDP 発信元ポート 1646 (0x66E)。 このフィルターでは、NPS からインターネット ベースの RADIUS クライアントへの RADIUS アカウンティング トラフィックを許可します。 これは、古い RADIUS クライアントで使用される UDP ポートです。
境界ネットワーク インターフェイス上で出力フィルターを構成する
次の種類のトラフィックを許可するには、次の出力パケット フィルターをファイアウォールの境界ネットワーク インターフェイス上に構成します。
- 境界ネットワーク インターフェイスの宛先 IP アドレス、および NPS の UDP 宛先ポート 1812 (0x714)。 このフィルターでは、インターネット ベースの RADIUS クライアントから NPS への RADIUS 認証トラフィックを許可します。 これは、RFC 2865 で定義されている、NPS が使う既定の UDP ポートです。 別のポートを使っている場合は、そのポート番号を 1812 に置き換えてください。
- 境界ネットワーク インターフェイスの宛先 IP アドレス、および NPS の UDP 宛先ポート 1813 (0x715)。 このフィルターでは、インターネット ベースの RADIUS クライアントから NPS への RADIUS アカウンティング トラフィックを許可します。 これは、RFC 2866 で定義されている、NPS が使う既定の UDP ポートです。 別のポートを使っている場合は、そのポート番号を 1813 に置き換えてください。
- (省略可能) 境界ネットワーク インターフェイスの宛先 IP アドレス、および NPS の UDP 宛先ポート 1645 (0x66D)。 このフィルターでは、インターネット ベースの RADIUS クライアントから NPS への RADIUS 認証トラフィックを許可します。 これは、古い RADIUS クライアントで使用される UDP ポートです。
- (省略可能) 境界ネットワーク インターフェイスの宛先 IP アドレス、および NPS の UDP 宛先ポート 1646 (0x66E)。 このフィルターでは、インターネット ベースの RADIUS クライアントから NPS への RADIUS アカウンティング トラフィックを許可します。 これは、古い RADIUS クライアントで使用される UDP ポートです。
セキュリティを高めるために、ファイアウォールを介してパケットを送信する各 RADIUS クライアントの IP アドレスを使って、クライアントと境界ネットワーク上の NPS の IP アドレスとの間のトラフィックのフィルターを定義することができます。
境界ネットワーク インターフェイスのフィルター
次の種類のトラフィックを許可するには、次の入力パケット フィルターをイントラネット ファイアウォールの境界ネットワーク インターフェイス上に構成します。
- NPS の境界ネットワーク インターフェイスの発信元 IP アドレス。 このフィルターでは、境界ネットワーク上の NPS からのトラフィックを許可します。
次の種類のトラフィックを許可するには、次の出力フィルターをイントラネット ファイアウォールの境界ネットワーク インターフェイス上に構成します。
- NPS の境界ネットワーク インターフェイスの宛先 IP アドレス。 このフィルターでは、境界ネットワーク上の NPS へのトラフィックを許可します。
イントラネット インターフェイス上のフィルター
次の種類のトラフィックを許可するには、次の入力フィルターをファイアウォールのイントラネット インターフェイス上に構成します。
- NPS の境界ネットワーク インターフェイスの宛先 IP アドレス。 このフィルターでは、境界ネットワーク上の NPS へのトラフィックを許可します。
次の種類のトラフィックを許可するには、次の出力パケット フィルターをファイアウォールのイントラネット インターフェイス上に構成します。
- NPS の境界ネットワーク インターフェイスの発信元 IP アドレス。 このフィルターでは、境界ネットワーク上の NPS からのトラフィックを許可します。
NPS の管理に関する詳細については、ネットワーク ポリシー サーバーの管理に関するページを参照してください。
NPS の詳細については、ネットワーク ポリシー サーバー (NPS) に関するページを参照してください。