Table of contents
TOC
Minimera innehållsförteckningen
Maximera innehållsförteckningen

Metodtips för Network Policy Server

James McIllece|Senast uppdaterad: 2017-03-10
|
1 Medverkande

Gäller för: Windows Server 2016

Du kan använda det här avsnittet för mer information om metodtips för att distribuera och hantera Network Policy Server (NPS).

Följande avsnitt innehåller metodtips för olika aspekter av din NPS-distribution.

Redovisning

Nedan följer Metodtips för NPS-loggning.

Det finns två typer av redovisning eller loggning i NPS:

  • Händelseloggning för NPS. Du kan använda händelseloggning att registrera NPS-händelser i händelseloggarna system och säkerhet. Den här funktionen används huvudsakligen för att granska och felsöka anslutningsförsök.

  • Loggning av användarautentisering och redovisningsbegäranden. Du kan logga in användaren begäranden om autentisering och redovisning till loggfiler i textformat eller databasformat eller logga till en lagrad procedur i en SQL Server 2000-databas. Loggning av begäranden används främst för anslutningar analys och fakturering och är också användbar som säkerhetsverktyg, vilket ger dig en metod för att spåra en angripare.

Så här gör du den mest effektiva användningen av NPS-loggning:

  • Aktivera loggning (initialt) för både autentisering och redovisning. Ändra dessa val när du har kontrollerat vad som är lämpligt för din miljö.

  • Kontrollera att händelseloggning har konfigurerats med en kapacitet som är tillräcklig för att hantera loggar.

  • Säkerhetskopiera alla loggfiler regelbundet, eftersom de inte kan återskapas om de skadas eller tas bort.

  • Använda RADIUS-Class-attributet för att spåra användning och förenkla identifiering av vilken avdelning eller användare som ska debiteras för användning. Även om det automatiskt genererade Class-attributet är unikt för varje begäran, kan det finnas dubbletter i de fall där svar till åtkomstservern bryts och begäran skickas igen. Du kanske behöver ta bort duplicerade begäranden från loggarna om du vill spåra användningen korrekt.

  • Om dina nätverksåtkomstservrar och RADIUS-proxyservrar regelbundet skickar fiktiva anslutningsbegäran meddelanden till NPS använder för att verifiera att NPS-servern är online på ping-användarnamn registerinställning. Den här inställningen konfigurerar NPS så att avvisa dessa falska anslutningsbegäran utan att bearbeta dem automatiskt. NPS registrerar dessutom inte transaktioner som involverar fiktiva användarnamn i loggfilerna, vilket gör det lättare att tolka i händelseloggen.

  • Inaktivera vidarebefordring av NAS-meddelanden. Du kan inaktivera vidarebefordran av start och stopp-meddelanden från nätverksåtkomstservrar (NAS) till en fjärr-RADIUS-server som tillhör gruppen SOM HAR konfigurerats i NPS. Mer information finns i inaktiverar NAS-meddelande vidarebefordrar.

Mer information finns i konfigurerar Network Policy Server redovisning.

  • Om du vill ange växling vid fel och redundans med SQL Server-loggning, placerar du två datorer som kör SQL Server i olika undernät. Använda SQL Server guiden Skapa publikation att konfigurera databasreplikering mellan de två servrarna. Mer information finns i tekniska dokumentationen för SQL Server och SQL Server-replikeringen.

Autentisering

Nedan följer Metodtips för autentisering.

  • Använda certifikatbaserade autentiseringsmetoder som Protected Extensible Authentication Protocol (PEAP) och Extensible Authentication Protocol (EAP) för stark autentisering. Använd inte lösenord endast autentiseringsmetoder eftersom de är sårbara för attacker olika och är inte säkra. För säker trådlös autentisering med PEAP-MS-CHAP v2 rekommenderas eftersom NPS-servern bekräfta identiteten för trådlösa klienter med hjälp av ett servercertifikat när användarna bevisa sin identitet med sitt användarnamn och lösenord. Mer information om hur du använder NPS i distributionen trådlösa finns distribuera lösenordsbaserade trådlösa 802. 1 X-autentiserad trådlös åtkomst.
  • Distribuera din egen certifikatutfärdare (Certifikatutfärdare) med Active Directory® Certifikattjänster (AD CS) när du använder metoder för stark certifikatbaserad autentisering, till exempel PEAP och EAP, som kräver att ett servercertifikat på servrar med NPS. Du kan också använda din Certifikatutfärdare för att registrera datorcertifikat och användarcertifikat. Mer information om hur du installerar servercertifikat på servrar med NPS och fjärråtkomst finns distribuera servercertifikat för 802.1 X via kabel och trådlöst distributioner.

Klientdatorkonfiguration

Nedan följer Metodtips för konfiguration av en klientdator.

  • Konfigurera alla dina domänmedlem 802.1 X klientdatorer automatiskt med hjälp av Grupprincip. Mer information finns i avsnittet "Konfigurera principer för trådlösa nätverk (IEEE 802.11) nätverk" i avsnittet trådlös åtkomst distribution.

Installationsförslag

Nedan följer Metodtips om hur du installerar NPS.

  • Innan du installerar NPS, installera och testa alla nätverksåtkomstservrar med lokala autentiseringsmetoder innan du konfigurerar dem som RADIUS-klienter i NPS.

  • Installera NPS på en domänkontrollant för optimala prestanda.

  • När du installerar och konfigurerar NPS kan du spara konfigurationen med hjälp av Windows PowerShell-kommandot Export NpsConfiguration. Spara NPS-konfigurationen med det här kommandot varje gång du konfigurera om NPS-servern.

Varning
  • NPS exporterade konfigurationsfilen innehåller okrypterad delade hemligheter för RADIUS-klienter och fjärranslutna RADIUS-servergrupper. Kontrollera därför att du sparar filen på en säker plats.
  • Exporten inkluderar inte loggningsinställningar för Microsoft SQL Server i den exporterade filen. Om du importerar den exporterade filen till en annan NPS-server, måste du manuellt konfigurera SQL Server-loggning på den nya servern.

Prestandajustering NPS

Nedan följer Metodtips för prestandajustering NPS.

  • Installera NPS på en domänkontrollant för att optimera NPS autentiseringen och svarstiden samt minimera nätverkstrafiken.

  • När universal huvudnamn (UPN) eller Windows Server 2008 och Windows Server 2003-domäner används, NPS använder den globala katalogen för att autentisera användare. Installera NPS på antingen en global katalogserver eller en server som är i samma undernät som global katalogserver för att minimera den tid det tar för att göra detta.

  • När du har fjärr-RADIUS-servergrupper som konfigurerats och, i principer för NPS anslutningsbegäran, avmarkerar du den Logga redovisningsinformation om servrarna i följande fjärr-RADIUS-servergrupp kryssrutan grupperna skickas fortfarande nätverksåtkomstservern (NAS) starta och stoppa meddelanden. Detta skapar onödig nätverkstrafik. Om du vill utesluta den här trafiken kan inaktivera vidarebefordring av NAS-meddelanden till enskilda servrar i varje fjärr-RADIUS-servergrupp genom att avmarkera den vidarebefordra nätverk start- och stoppmeddelanden till den här servern markerar du kryssrutan.

Med hjälp av NPS i stora organisationer

Nedan finns metodtips för hur du använder NPS i stora organisationer.

  • Om du använder nätverksprinciper för att begränsa åtkomst för alla utom vissa grupper, skapa en universell grupp för alla användare som du vill tillåta åtkomst och sedan en nätverksprincip som ger behörighet för den universella gruppen. Placera inte alla användare direkt i den universella gruppen, särskilt om du har ett stort antal dem i nätverket. Skapa i stället separata grupper som är medlemmar i den universella gruppen och lägga till användare i grupperna.

  • Använda en användarens huvudnamn för att referera till användare när det är möjligt. En användare kan ha samma användarens huvudnamn oavsett domänmedlemskap. Den här metoden ger flexibilitet som kan behövas i organisationer med ett stort antal domäner.

  • Om du har installerat Network Policy Server (NPS) på en dator som inte är en domänkontrollant och NPS servern tar emot ett stort antal autentiseringsbegäranden per sekund, kan du förbättra prestanda för NPS genom att öka antalet samtidiga autentiseringar mellan NPS-servern och domänkontrollanten. Mer information finns i

Säkerhetsproblem

Nedan följer Metodtips för att minska säkerhetsproblem.

När du administrerar en NPS-server från en fjärrdator kan du inte skicka känslig eller konfidentiell information (till exempel delade hemligheter eller lösenord) över nätverket i klartext. Det finns två metoder för fjärradministration av NPS-servrar:

  • Använd Fjärrskrivbordstjänster till NPS-servern. När du använder Fjärrskrivbordstjänster skickas inte data mellan klienten och servern. Endast användargränssnittet för servern (exempelvis operativsystemets skrivbord och NPS-konsolen image) som skickas till klienten för Fjärrskrivbordstjänster som är namngiven Anslutning till fjärrskrivbord i Windows® 10. Klienten skickar tangentbord och mus som bearbetas lokalt på servern som har Fjärrskrivbordstjänster aktiveras. När Fjärrskrivbordstjänster användare loggar in, kan de Visa bara sina individuella klientsessioner som hanteras av servern och är oberoende av varandra. Dessutom innehåller Anslutning till fjärrskrivbord 128-bitars kryptering mellan klienten och servern.

  • Använda Internet Protocol security (IPsec) för att kryptera känsliga data. Du kan använda IPsec för att kryptera kommunikationen mellan NPS-servern och fjärrklienten som du använder för att administrera NPS. Om du vill fjärradministrera servern kan du installera den verktyg för fjärrserveradministration för Windows 10 på klientdatorn. Efter installationen kan du använda Microsoft Management Console (MMC) för att lägga till snapin-modulen NPS-servern i konsolen.

Viktigt

Du kan installera verktyg för fjärrserveradministration för Windows 10 bara på den fullständiga versionen av Windows 10 Professional eller Windows 10 Enterprise.

Mer information om NPS finns Network Policy Server (NPS).

© 2017 Microsoft