Windows Server 2003 ファミリは、リモート アクセス接続用の強力なセキュリティを提供する Microsoft チャレンジ ハンドシェイク認証プロトコル バージョン 2 (MS-CHAP v2) をサポートしています。次の表に示すように、MS-CHAP v2 では、MS-CHAP バージョン 1 の問題がいくつか解決されています。

MS-CHAP v2 では、次のように、一方向暗号化パスワードを使って相互認証を行います。

1. ユーザー認証システム (リモート アクセス サーバーまたは IAS サーバー) は、リモート アクセス クライアントにチャレンジを送信します。チャレンジは、セッション識別子と任意のチャレンジ文字列で構成されます。
   
2. リモート アクセス クライアントは、次の項目が含まれた応答を送ります。
   
   • ユーザーの名前。
     
   • 任意のピア チャレンジ文字列。
     
   • 受信したチャレンジ文字列、ピア チャレンジ文字列、セッション識別子、ユーザーのパスワードを一方向に暗号化したもの。
     
3. ユーザー認証システムはクライアントからの応答を確認し、次の項目が含まれた応答を送り返します。
   
   • 接続の試行の成功または失敗を示す情報。
     
   • 送信されたチャレンジ文字列、ピア チャレンジ文字列、暗号化されたクライアントの応答、およびユーザーのパスワードに基づく認証済み応答。
     
4. リモート アクセス クライアントは、認証済み応答を確認し、その応答が正しければ、接続を使います。認証済み応答が正しくない場合、リモート アクセス クライアントは接続を終了します。
   

MS-CHAP v2 ベースの認証を有効にするには、次の操作を行わなければなりません。

1. リモート アクセス サーバー上で MS-CHAP v2 を認証プロトコルとして有効にします。詳細については、「認証プロトコルを有効にする」を参照してください。MS-CHAP v2 は、既定で有効です。
   
2. 適切なリモート アクセス ポリシーで MS-CHAP v2 を有効にします。詳細については、「リモート アクセス ポリシーについて」および「認証を構成する」を参照してください。MS-CHAP v2 は、既定で有効です。
   
3. リモート アクセス クライアントの MS-CHAP v2 を有効にします。詳細については、「Microsoft チャレンジ ハンドシェイク認証プロトコル バージョン 2 (MS-CHAP V2)」を参照してください。
   

注

• Windows 95 を Windows Dial-Up Networking  1.3 Performance & Security Upgrade for Windows 95 と共に使った場合、仮想プライベート ネットワーク (VPN) 接続では MS-CHAP v2 はサポートされますが、ダイヤルアップ接続上ではサポートされません。
  
• MS-CHAP (バージョン 1 およびバージョン 2) は、認証処理中のパスワード変更をサポートする Windows Server 2003 ファミリで提供される唯一の認証プロトコルです。
  
• MS-CHAP v2 を IAS サーバー上のリモート アクセス ポリシーで有効にする前に、ネットワーク アクセス サーバー (NAS) が MS-CHAP v2 をサポートしていることを確認してください。詳細については、NAS のマニュアルを参照してください。