NPSのウィザードを使って802.1Xを構成すると、接続要求ポリシーとネットワークポリシー、2つのポリシーを生成する。役割の違いを説明しておく。
NPS-2









(1)接続要求ポリシー
 RADIUSのリクエストを、どのサーバで処理するかを決めるポリシーである。基本的には要求がきたときに自身で処理するような設定になる。
 RADIUSサーバがの構成が複雑な場合(部署ごと、サービスごとにRADIUSサーバが分かれている、など)でなければ、意識する必要はない。

(2)ネットワークポリシー
RADIUSでの認証リクエストに対して
・どのような条件のとき(ユーザが所属するセキュリティグループ、RADIUS要求内のアトリビュートなど)
・どのような認証で(PEAP/EAP-TLS)
・どのように認証を許可するか(許可・拒否、RADIUS応答で返すアトリビュートなど)
を設定する。


NPSのウィザードで設定を追加すると、接続要求ポリシーも複数できてしまう。しかし、内容は同じため、一番上にあるポリシーが適用される(上記の画面では、3つの接続要求ポリシーpeap-vlan200・peap-vlan210・peap-vlan220は同じ内容であり、peap-vlan200が適用される)。

これではログを見るときに不便(接続要求ポリシー名と、ネットワークポリシー名が一致しないことがある)なので、あとでひとつにまとめてしまう(不要なものを消す)ほうがよいだろう。

ポリシー名