ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

Windows Server Radius NPS IPアドレス、ホスト名変更の影響について

無線APの認証などで、RADIUSサーバを利用しているケースが多いと思います。個人的にはNetAttest EPSを利用しているケースがわりと多い印象がありますが、実はWindows サーバでもRADIUSサーバを構築できます。

 

今回はそのWindows ServerのRadiusであるNPS(ネットワーク ポリシー サーバー)構築後に、 IPアドレス、ホスト名変更の影響について調べてみました。

 

まずは公式サイトの情報です。

 

NPS の変更後の構成を確認する

https://docs.microsoft.com/ja-jp/windows-server/networking/technologies/nps/nps-manage-verify

 

適用先:Windows Server (半期チャネル)、Windows Server 2016

 

Windows Server 2019にも言えると思います。

 

場合によっては、サーバーを別の IP サブネットに移動するときなど、NPS またはプロキシの IP アドレスを変更する必要があり、NPS またはプロキシの IP アドレスを変更する場合は、NPS の展開の一部を再構成する必要がありと書かれています。変更自体はできますが、周囲の変更が必要になりそうですね。

 

NPS IP アドレスの変更後に構成を検証するには

①ワイヤレスアクセスポイントや VPN サーバーなど、すべての RADIUS クライアントを NPS の新しい IP アドレスで再構成します。

 

②NPS がリモート RADIUS サーバーグループのメンバーである場合は、nps の新しい IP アドレスを使用して nps プロキシを再構成します。

 

SQL Server ログを使用するように NPS を構成した場合は、SQL Server を実行しているコンピューターと NPS が正常に機能していることを確認してください。

 

④Nps と NPS プロキシまたは他のサーバーまたはデバイス間の RADIUS トラフィックをセキュリティで保護するために IPsec を展開した場合は、セキュリティが強化された Windows ファイアウォールIPsec ポリシーまたは接続セキュリティ規則を再構成して、NPS の新しい IP アドレスを使用します。

 

⑤NPS がマルチホームで、特定のネットワークアダプターにバインドするようにサーバーを構成している場合は、新しい IP アドレスを使用して NPS のポート設定を再構成します。

 

 

 

続いてNPSの名前変更についてです。

 

NPS またはプロキシ名を変更する場合は、NPS の展開の一部を再構成する必要があります。
サーバー名の変更によってネットワークアクセスの認証、承認、またはアカウンティングが中断されないことを確認する際には、次の一般的なガイドラインを参考にしてください。
この手順を実行するには、 Administrators のメンバー、またはそれと同等のメンバーである必要があります。

 

NPS またはプロキシ名の変更後に構成を検証するには

①NPS がリモート RADIUS サーバーグループのメンバーであり、グループが IP アドレスではなくコンピューター名で構成されている場合は、新しい NPS 名を使用してリモート RADIUS サーバーグループを再構成します。


②証明書ベースの認証方法が NPS で展開されている場合、名前の変更によってサーバー証明書が無効になります。 証明機関 (CA) の管理者から新しい証明書を要求することができます。また、コンピューターがドメインメンバーコンピューターで、ドメインメンバーに証明書を自動登録する場合は、グループポリシーを更新して、自動登録によって新しい証明書を取得することができます。 グループポリシーを更新するには:
a. コマンドプロンプトまたは Windows PowerShell を開きます。
b. 「 gpupdate」と入力し、Enter キーを押します。


③新しいサーバー証明書を作成したら、CA 管理者に古い証明書の取り消しを依頼します。
古い証明書が失効した後は、古い証明書の有効期限が切れるまで、NPS は引き続きそれを使用します。 既定では、古い証明書は1週間と10時間の最大時間有効です。 この期間は、証明書失効リスト (CRL) の有効期限とトランスポート層セキュリティ (TLS) キャッシュ時間の有効期限が既定値から変更されているかどうかによって異なる場合があります。 既定の CRL の有効期限は1週間です。既定の TLS キャッシュ時間の有効期限は10時間です。
ただし、新しい証明書をすぐに使用するように NPS を構成する場合は、新しい証明書を使用してネットワークポリシーを手動で再構成することができます。


④古い証明書の有効期限が切れると、NPS は新しい証明書の使用を自動的に開始します。


SQL Server ログを使用するように NPS を構成した場合は、SQL Server を実行しているコンピューターと NPS が正常に機能していることを確認してください。

 

サーバの移行などで移行元のIPアドレスやホスト名を利用する場合は、上記の説明には当てはまらないですね。

 

Samsung EVO Plus マイクロSDカード 128GB microSDXC UHS-I U3 100MB/s Full HD & 4K UHD Nintendo Switch 動作確認済 MB-MC128HA/EC 国内正規保証品