RAS - パソコンとパソコンをつなぐものですね

■MS-CHAP v1を認証方法として使う場合、リモートユーザーのパスワードが14文字より長くなる場合、基本の暗号化（MPPE40ビット）で暗号化された接続はできなくなります。

MS-CHAP v2は、VPN接続ではWindows95をサポートしますが、ダイヤルアップ接続ではサポートしません。

■MS-CHAP v1およびv2は、認証処理中のパスワード変更をサポートするWindows Server2003ファミリで提供される唯一の認証プロトコルです。

■コールバックを行うためには、サーバー側だけでなく、リモートユーザーのプロパティの［ダイヤルイン］タブでも適切に構成されていなければなりません。また、リモートアクセスサーバー側で［リンク制御プロトコル（LCP）拡張］が無効になっている場合、コールバックは行われません。

■Windows Server2003の［ルーティングとリモートアクセス］スナップインは、［Microsoftルーティングとリモートアクセスサーバーへの接続］および［ほかのアクセスサーバーへの接続］という2つの既定のリモートアクセスポリシーを提供しています。
既定では、［Microsoftルーティングとリモートアクセスサーバーへの接続］および［ほかのアクセスサーバーへの接続］のリモートアクセス許可の設定は拒否になっています。そのため、リモートユーザーのリモートアクセス許可として［リモートアクセスポリシーでアクセスを制御］が選択されている場合、既定では、すべてのリモートユーザーが接続拒否されます。

■Windows Server2003で構成したリモートアクセスサーバでは、トレース機能を使用することにより、より詳細な情報をログファイルに記録することができます。通常、トレース機能は、［ルーティングとリモートアクセス］を使用して有効化できます。手順は以下のとおりです。

１．［ルーティングとリモートアクセス］よりサーバのプロパティを開く
２．［ログ］タブで［追加のルーティングとリモートアクセス情報をログに記録する（デバッグに使用）］にチェックを付ける

レジストリ編集によるトレース機能の有効化は、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing内にある各ルーティングプロトコルおよびリモートアクセスに関するキー内のEnableFileTracingの値を1に設定することで行います。このときに、ルーティングとリモートアクセスサービスを再起動する必要はありません。

■ドメインのRAS and IAS Serversセキュリティグループにコンピュータを再登録するために、［Active Directoryユーザーとコンピュータ］スナップインまたは、netsh ras add registeredserverコマンドを使用して解決することができます。

■リモートアクセスポリシーとは、リモートユーザーからの接続をどのように承認または拒否するかを構成する、順序付けられた規則の集合です。各規則には、１つ以上の条件、プロファイルの設定、リモートアクセス許可の設定が含まれます。
リモートアクセスポリシーのプロファイルでは、接続に使用される認証方法や暗号化プロトコルなどの接続に対する制限を構成できます。

■ダイヤルアップ接続構成のWindows Server2003のリモートアクセスクライアント間でやり取りされる通信データを暗号化するために使用できる暗号化プロトコルは、Microsoft Point-to-Point暗号化（MPPE）です。
ただし、MPPEを使用するには、MS-CHAP v1またはMS-CHAP v2またはEAP-TLS認証プロトコルを使う必要があります。

■ユーザー認証とは
　みなさんが自宅からインターネットに接続する場合、それがダイヤルアップIP接続であれ、ADSLやFTTHなどの常時接続環境であれ、まず最初に、インターネットへのアクセス環境を提供しているプロバイダに対してアクセスをするはずである。
　一方、プロバイダ側では、アクセスしてきたユーザーが、サービス契約を結んだ正規ユーザーであるか否かをその都度確認する必要がある。認証工程がない場合、誰もがサービス提供を受けることが可能となり、接続料金の徴収などができなくなってしまううえ、セキュリティ面においても大きな問題が生じてしまうためだ。
　このように、アクセス要求をしてきた相手が、間違いなく正規ユーザー本人であるかを確認するメカニズムを、ユーザー認証(user authentication)と呼ぶ。
　ユーザー認証は、プロバイダのみならず、WANを介するリモートアクセス環境を提供する企業などにおいて、必要不可欠な処理の1つといえるだろう。

■RADIUSの機能
　さて、それではこのユーザー認証とは、実際にはどのようなメカニズムによって実現しているのだろうか。
　ユーザー認証を行う場合、通常、RADIUSというユーザー認証専用技術を用いる。
　RADIUS(Remote Authentication Dial-in User Service)とは、ダイヤルアップIP接続環境において、プロバイダ側がユーザー認証を実現するためのプロトコルであり、Livingston Enterprise社(現Lucent Technologies社)によって開発された。現在では、VPNや無線LANをはじめとする多くのネットワークサービスにおいて、ユーザー認証に利用されるプロトコルとなっている。
　RADIUSでは、認証すべきユーザーの情報をデータベースにあらかじめ保持することにより、それと照らし合わせて認証とアクセス許可･拒否を行う。また、認証後の接続時間ややり取りされたトラフィック量、使用ポート番号などのユーザー情報を収集する機能もあることから、認証のみならず課金機能をも備えたプロトコルといえる。
　なお、RADIUSの認証･許可･課金機能は、AAA(Authentication, Authorization, and Accounting)と呼ばれる。

■RADIUSサーバーの働き
　次に、RADIUSによる実際の認証工程を見てみよう。
　例えば企業のLANが、社員によって外部からアクセス要求を受けたとしよう。このような場合、まず最初にリモートアクセスサーバーという、リモートアクセス対応機能をもつ専用サーバーがこれを受け、ユーザーのIDやパスワード入力要求を行う。
　昨今、リモートアクセスサーバーの多くはRADIUSに対応しているが、このようなサーバーの場合、認証･許可･課金機能は、これを専用に管理するRADIUSサーバーに委ねる構成とする場合が多い。
　そこでリモートサーバーは、ユーザーから得たIDやパスワードをRADIUSサーバーに渡すことで認証を要求する。一方、RADIUSサーバーでは、ユーザー情報データベースにアクセスすることで、ユーザーのIDやパスワードが正しいものかを確認する。また、この結果をリモートアクセスサーバーへ通知するとともに、課金などの監視制御を行う。
　このことで、リモートアクセスサーバーは、正しいアクセス許可や拒否を行うことが可能となっているわけである。