Windows Server 2012でNetwork Policy Server (NPS)が起動しなくて困っていませんか?エラーが発生して何を試しても解決しない……そんなときのヒントをお探しなら、ぜひこの記事をご覧ください。実際の事例をもとに、原因から対策まで幅広くご紹介し、問題解決の糸口を探ります。
NPSが起動しない原因とエラーの概要
Windows Server 2012でNPSを運用している際、「Windows could not start the Network Policy Server service on Local Computer. Error 0x80020003: Member not found」というエラーが表示され、サービスが起動できなくなる問題が報告されています。通常、NPSのトラブルはファイアウォールやレジストリ、フォルダ権限に起因することが多いですが、今回のケースではそうした一般的な対処法が効かず、さらに深掘りすると「ポリシー数」の多さが影響している可能性があることがわかってきました。
サービスが起動しないときにまず試すこと
NPSサービスが起動しない場合、原因を多角的に洗い出していくことが大切です。ここでは、よくある対策とその簡単なチェックポイントをまとめました。
| 対策 | チェックポイント |
|---|---|
| OSの再起動 | Windows自体の不調が原因の場合があるため、まずは簡単に再起動してみる |
| フォルダ権限の確認 | C:\Windows\System32\ias フォルダのアクセス権限が正しく設定されているか |
| レジストリの確認 | NPS関連のレジストリキーやアクセス権に問題がないか |
| システムファイル修復 | sfc /scannow や DISM /Online /Cleanup-Image /RestoreHealth を実行 |
| ファイアウォール設定 | RADIUSやNPSの機能が通信遮断されていないか |
上記の対策を全て試しても解決しなかった場合は、NPSのポリシー数という思わぬ要因を疑ってみるとよいでしょう。
NPSポリシー数と「140件前後」の壁
NPSは各種RADIUSの設定やネットワーク認証ポリシーを管理するためのサービスです。公式には「ポリシー数の上限」に関する明確なドキュメントはないものの、運用現場からは「140件を超えたあたりからサービス起動に失敗したり、新規ポリシーの追加が無視されたりする」という報告がいくつか上がっています。具体的には、以下のような事象が確認されることがあります。
- NPSサービスが突然起動しなくなる
- イベントビューアーに「Member not found (0x80020003)」というエラーが繰り返し記録される
- 新規でNetwork Policyを作成しても、有効にならず無視される
- OSを再起動しても同様のエラーが続き、恒常的にNPSが使えない状態になる
大規模ネットワークを運用している場合、どうしてもポリシーの数が増えがちです。しかしながら、NPSの内部処理には実運用上の目安として「140件前後」を超えると不安定化しやすい傾向があると認識しておくことが重要です。
なぜポリシー数が問題になるのか
NPSはActive Directoryとの連携やRADIUSクライアントからの認証要求を一括管理しているため、ポリシーが増えるとその分だけ設定ファイルやレジストリに書き込む情報量も増えます。特にWindows Server 2012世代のNPSでは、あまりに多数のポリシーを扱うと内部のキャッシュやメモリ領域が逼迫し、サービス起動時にエラーを起こす可能性があります。結果として「Member not found」というメッセージが出力され、起動処理が失敗するわけです。
NPSポリシー数を削減する具体的な方法
もし140件前後のポリシーを超えている場合、いくつかの対処法を検討するのが賢明です。
不要なポリシーを洗い出す
運用が長期化すると、古い仕様や一時的にテストで作ったポリシーが残っているケースがあります。まずは下記の観点で洗い出しを行いましょう。
- 継続的に使われていないポリシー
テスト目的で作成したものや、もう連携していないクライアント向けのポリシーがあれば削除を検討します。 - 重複した機能を持つポリシー
似たような認証条件を設定しているポリシーが複数あるなら、一つに集約できないか考えましょう。 - 古いアプリケーションや機器向けのポリシー
既に廃止したシステム向けのルールが残っていないかを確認します。
ポリシー整理のチェック例
1. ポリシー一覧をCSVなどでエクスポートする 2. 「作成日」「最終更新日」「コメント」などを基に要不要を分類 3. 担当者にヒアリングして、運用上必要なポリシーかどうか確認 4. 不要と判断したものは思い切って削除
このように、一度ポリシーを一覧化し、必要最低限のものを残す作業を行うだけでも、NPSの負荷は大幅に軽減されるはずです。
ポリシーを分割して複数サーバーで運用する
大量のポリシーが必要で、どうしても一台のNPSでは上限を超えてしまう場合は、複数のNPSサーバーを立てて運用を分散する方法もあります。例えば、ローカル支店や部門ごとにサーバーを分割し、それぞれ必要なポリシーだけを設定します。これにより、一台あたりのNPSポリシー数が抑えられ、各サーバーの負荷軽減と安定稼働が期待できます。
複数NPSによる運用イメージ
- NPS A
- 部門A向けの認証ポリシーを集約
- RADIUSクライアントやユーザー属性が限定され、ポリシー数を60件に抑える
- NPS B
- 部門B向けの認証ポリシーを集約
- 最新機器の認証や特別な認証条件を整理し、こちらも60件に抑える
各部門・ロケーション単位でサーバーを管理すると、トラブル発生時の影響範囲が限定され、保守運用の面でもメリットがあります。
システムファイル修復やレジストリの再チェック
ポリシー数の問題を疑う前に、やはり基本的なメンテナンス作業はしっかり行うべきです。特にWindows Server 2012はサポート終了時期も絡んで、システムファイル自体が破損している可能性があります。以下のコマンドを使ってシステムの整合性を保つことは、定期的に実施して損はありません。
sfc /scannow
DISM /Online /Cleanup-Image /RestoreHealthこれらを実行しても問題が解決しない場合に、ようやくNPS固有の問題(ポリシー数など)を本格的に調査しましょう。また、NPSに関連するレジストリキーが意図しない値に書き換わっていないか、アクセス権限が適正かどうかを確認するのも有効です。
フォルダ権限設定の確認ポイント
NPSでは、C:\Windows\System32\ias フォルダが非常に重要な役割を果たします。このフォルダにはNPSの構成やログが保存されるため、Windowsのセキュリティ設定で誤ってアクセスを制限していると、サービスの起動時にエラーが起こる可能性があります。以下のポイントを押さえてください。
- フォルダの所有者がSYSTEMやAdministratorに正しく設定されているか
- 適切なユーザーやグループ(NETWORK SERVICEなど)に読み取り・実行権限が与えられているか
- 監査ログ設定などで不必要にロックがかからないようにしているか
権限設定に問題があると、ポリシーファイルやログファイルへの読み書きができず、結果としてサービスが起動時にエラーを吐いてしまいます。
ポリシー数削減以外の根本的な対処策
NPSポリシー数が140件近くある場合は、削減や分散が有力な解決策になりますが、それ以外にも環境全体を見直すチャンスにするのがおすすめです。
より新しいOSへの移行検討
Windows Server 2012はすでに延長サポート期間も終了が近いなど、最新のサポートを得られない状況が出てくる可能性があります。大量の認証ポリシーが必要になるような規模の環境であれば、Windows Server 2016や2019、あるいは2022など、より新しいバージョンへの移行を検討する価値があります。新しいOSほどパフォーマンスの面でも改善が進んでいるため、NPSで高負荷運用をするならアップグレードは有力です。
NPSを使わない認証方式の検討
環境によっては、Azure ADなどのクラウド認証基盤を活用する選択肢も考えられます。オンプレミスのNPSだけに頼らず、認証をクラウドへ寄せることで、ポリシーの一元管理とスケーラビリティを確保できる利点があります。例えば、Office 365や他のSaaSサービスと連携するのであれば、Azure ADをメインにすることで、NPSの負荷や設定の煩雑さを軽減できます。
運用管理をスマートにするヒント
ポリシー数の多さが原因となるトラブルを減らすには、日頃からの運用管理が鍵を握ります。以下のような工夫が有効です。
ポリシーのバージョン管理
Gitなどのバージョン管理システムを使って、ポリシー設定やエクスポートした設定ファイルを管理しておくと、どのタイミングでポリシーが増えたか、不要なポリシーが追加されたかを追跡しやすくなります。これにより、ポリシー数が無駄に膨らむのを防げます。
定期的な棚卸しスケジュール
半年に一度でもよいので、「本当にまだ使われているポリシーか」を確認する棚卸し期間を設けると、トラブルが起こる前にポリシーを整理できます。この手順は一見手間ですが、NPSサービスが止まって業務に支障をきたすリスクを考えれば、長期的には大きなメリットをもたらします。
まとめ
- Windows Server 2012のNPSが起動しない問題は、フォルダ権限やレジストリなどの基本的対処を行っても改善しない場合、ポリシー数が多すぎることが原因となっている可能性があります。
- 実運用上、ポリシーが「140件前後」を超えると、NPSが不安定になる事例が報告されています。公式ドキュメントに明確な制限値はないものの、多すぎるポリシーの管理は避けたほうが賢明です。
- 対処策としては、ポリシーの不要分を削除する、複数サーバーに分散する、OSを新しいバージョンへアップグレードするといった方法があります。
- 長期的には、定期的な棚卸しやバージョン管理の導入によって、NPSの運用をシンプルに保つのがおすすめです。
サービスが起動しない根本的な原因を探るときは、ポリシー数だけでなく、システムファイル修復や権限設定など、基本的なチェックを徹底しましょう。もしそれでも問題が解決しない場合は、NPSポリシー数を最適化することこそが、安定稼働を取り戻す近道となります。
コメント