2016以下のNPS環境からリプレースされる方へ
NPSのリプレースや冗長化は比較的簡単で元となる設定をエクスポートしてインポートするだけでよいのですが、WindowsServer2019では追加設定が必要になります。
FW例外登録しているのにDROPされる
WindowsServer2019環境でNPSを構築し、設定をインポートしてみたのですが
イベントログなので、一向に認証がされている形跡がありませんでした。
色々調査していると、FWを無効にすると正常に動作することを確認しました。
しかし、NPSサービスを構成したときにFWにはNPSのポート(UDP 1812、1813、1645、1646)が自動許可されるようになっており、実際FW設定画面でも許可されているルールを確認しました。
にも関わらずDROPのログを取得してみると、上記ルールが無視されてDROPされているのです。
なんとも不可解な症状。。と思いながらネット検索していると以下MSのドキュメントがヒットしました。
https://docs.microsoft.com/ja-jp/windows-server/networking/technologies/nps/nps-firewalls-configure
上記ドキュメントにまさに今回のDROPされる注意が記載されていました。
Server 2019 では、このファイアウォールの例外は、RADIUS トラフィックを効果的に検出して許可するために、サービス アカウントのセキュリティ識別子を変更する必要があります。 このセキュリティ識別子の変更が実行されない場合、ファイアウォールは RADIUS トラフィックをドロップします。 管理者特権でのコマンド プロンプトから、sc sidtype IAS unrestricted を実行します。 このコマンドは、IAS (RADIUS) サービスが他の NETWORK SERVICE サービスと共有するのではなく、固有の SID を使うように変更します。
OSのバージョンが変わるときはちゃんとドキュメントを読むようにしましょう😊