CHAP (Challenge Handshake Authentication Protocol: チャレンジ ハンドシェイク認証プロトコル) は、応答の暗号化に業界標準の MD 5 (Message Digest5) ハッシング方式が使われる、チャレンジ/応答認証プロトコルです。CHAP は、ネットワーク アクセス サーバーおよびネットワーク アクセス クライアントのさまざまなベンダで使われています。ルーティングとリモート アクセスを実行するサーバーは CHAP をサポートしており、CHAP を要求するリモート アクセス クライアントを認証できます。CHAP には、可逆暗号化パスワードが必要なため、MS-CHAP Version 2 など、他の認証方法を検討してください。

CHAP ベースの認証を有効にするには、次の操作を行ってください。

1. リモート アクセス サーバーで、CHAP を認証プロトコルとして有効にします。詳細については、「認証プロトコルを有効にする」を参照してください。CHAP は既定で無効になっています。
   
2. 適切なリモート アクセス ポリシーで CHAP を有効にします。詳細については、「リモート アクセス ポリシーについて」および「認証を構成する」を参照してください。
   
3. 暗号化を元に戻せる形式でのユーザーのパスワードの格納を有効にします。
   ユーザー アカウントごとに可逆暗号化形式のユーザーのパスワードの格納を有効するか、またはドメイン内のすべてのアカウントに対して格納を有効にすることができます。詳細については、「元に戻せる状態で暗号化されたパスワードをドメインで有効にする」を参照してください。
   
4. 新しいパスワードが可逆暗号化形式になるように、ユーザーのパスワードを強制的にリセットします。
   パスワードを可逆暗号化形式で格納できるようにした場合、現在のパスワードは可逆暗号化形式ではないので、自動的には変更されることはありません。ユーザーのパスワードをリセットするか、または次回各ユーザーがログオンしたときにユーザーのパスワードが変更されるように設定しなければなりません。詳細については、「パスワードをリセットする」を参照してください。パスワードを変更すると、そのパスワードは可逆暗号化形式で格納されます。
   次回ユーザーがログオンしたときにユーザーのパスワードが変更されるように設定した場合、ユーザーは CHAP を使ってリモート アクセス接続でログオンする前に、LAN 接続を使ってログオンし、パスワードを変更しなければなりません。CHAP を使って認証の処理中にパスワードを変更することはできません。ログオン試行が失敗します。リモート アクセス ユーザーが実行できる回避方法の 1 つは、MS-CHAP を使って一時的にログオンし、パスワードを変更することです。
   
5. リモート アクセス クライアントの CHAP を有効にします。詳細については、「チャレンジ ハンドシェイク認証プロトコル (CHAP)」を参照してください。
   

注

• 使用しているパスワードの有効期限が切れていても、CHAP は認証の処理中にパスワードを変更できません。
  
• IAS サーバーのリモート アクセス ポリシーで CHAP を有効にする前に、使用しているネットワーク アクセス サーバー (NAS) で CHAP がサポートされていることを確認してください。詳細については、NAS のマニュアルを参照してください。
  
• Microsoft Point-to-Point 暗号化 (MPPE) は、CHAP と共には使用できません。