Windows Server 2003 ファミリでは、Microsoft チャレンジ ハンドシェイク認証プロトコル (MS-CHAP) がサポートされています。このプロトコルは MS-CHAP Version 1 とも呼ばれます。MS-CHAP は、非可逆の、暗号化されたパスワードの認証プロトコルです。チャレンジ ハンドシェイク処理は、次のように行われます。

1. ユーザー認証システム (リモート アクセス サーバーまたは IAS サーバー) は、リモート アクセス クライアントにチャレンジを送信します。チャレンジは、セッション識別子と任意のチャレンジ文字列で構成されます。
   
2. リモート アクセス クライアントは、チャレンジ文字列のユーザー名と非可逆な暗号化、セッション ID、およびパスワードを含む応答を送信します。
   
3. ユーザー認証システムは応答を確認し、有効であれば、ユーザーの資格情報が認証されます。
   

MS-CHAP を認証プロトコルとして使うと、Microsoft Point-to-Point 暗号化 (MPPE) を使って、PPP または PPTP 接続で送信されるデータを暗号化することができます。

また、Windows Server 2003 ファミリでは、MS-CHAP Version 2 もサポートされています。MS-CHAP Version 2 は、MS-CHAP よりも強力なリモート アクセス接続のセキュリティを提供します。MS-CHAP の代わりに、MS-CHAP Version 2 を使用することを検討してください。詳細については、「MS-CHAP バージョン 2」を参照してください。

MS-CHAP ベースの認証を有効にするには、次の操作を行ってください。

1. リモート アクセス サーバーで、MS-CHAP を認証プロトコルとして有効にします。詳細については、「認証プロトコルを有効にする」を参照してください。MS-CHAP は既定で有効になっています。
   
2. 適切なリモート アクセス ポリシーで MS-CHAP を有効にします。詳細については、「リモート アクセス ポリシーについて」および「認証を構成する」を参照してください。MS-CHAP は既定で有効になっています。
   
3. リモート アクセス クライアントの MS-CHAP を有効にします。詳細については、「Microsoft チャレンジ ハンドシェイク認証プロトコル (MS-CHAP)」を参照してください。
   

注

• MS-CHAP (バージョン 1 および バージョン 2) は、認証処理中のパスワード変更をサポートする Windows Server 2003 ファミリで提供される唯一の認証プロトコルです。
  
• 既定では、MS-CHAP v1 の Windows Server 2003 ファミリの実装は、LAN Manager 認証をサポートしていません。Windows NT 3.5x、Windows 95 などの以前のオペレーティング システムで、MS-CHAP v1 と共に LAN Manager を使用することを許可する場合は、認証サーバーで、次のレジストリ値を 1 に設定しなければなりません。
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RemoteAccess\Policy\Allow LM Authentication
  Windows 2000 Server は、既定で、LAN Manager 認証をサポートしています。Windows 2000 Server を実行するコンピュータを、Windows Server 2003 ファミリのメンバにアップグレードする場合には、Allow LM Authentication の設定が維持されます。
  
• MS-CHAP v1 を認証プロトコルとして使う場合、ユーザーのパスワードが 14 文字を超えると、40 ビットで暗号化された接続は確立できません。この動作は、ダイヤルアップおよび仮想プライベート ネットワーク ベースのリモート アクセス、およびデマンド ダイヤル接続に影響を与えます。
  

注意

• レジストリを正しく編集しないと、システムが正常に動作しなくなる場合があります。レジストリを変更する前に、コンピュータ上の重要なデータのバックアップを作成する必要があります。