网络策略和访问服务概述

应用到: Windows Server 2008 R2

网络策略和访问服务提供以下网络连接解决方案:

  • 网络访问保护 (NAP)。NAP 是一种创建、强制和修正客户端健康策略的技术,包含在 Windows Vista(R) 客户端操作系统和 Windows Server(R) 2008 操作系统中。通过 NAP,系统管理员可以设置并自动强制运行状况策略,策略中可以包含软件要求、安全更新要求、计算机配置要求以及其他设置。可以为不符合健康策略的客户端计算机提供受限网络访问,直到更新其配置并且使其符合策略时为止。根据您选择部署 NAP 的方式,可以自动更新不兼容的客户端,使用户可以快速重新获得完全网络访问,而不必手动更新或重新配置其计算机。

  • 安全无线与有线访问。在您部署 802.1X 无线访问点时,安全无线访问会向无线用户提供一种易于部署的、基于密码的安全身份验证方法。当您部署 802.1X 身份验证切换时,有线访问可以让您确保 Intranet 用户通过身份验证后才可以连接到网络或使用 DHCP 获取 IP 地址,从而保护网络安全。

  • 远程访问解决方案。使用远程访问解决方案,您可以向用户提供对您组织的网络的虚拟专用网 (VPN) 和拨号访问权限。您还可以通过 VPN 解决方案将分支机构连接到您的网络,在您的网络上部署功能齐全的软件路由器,并在整个 Intranet 中共享 Internet 连接。

  • 使用 RADIUS 服务器和代理进行的集中网络策略管理。无需在无线访问点、802.1X 身份验证切换、VPN 服务器和拨号服务器等每台网络访问器上配置网络访问策略,只需在一个位置创建策略,即可指定网络连接请求的所有方面内容,包括允许谁进行连接,他们何时可以连接,以及他们连接到网络时必须要使用的安全等级。

网络策略和访问服务的角色服务

您在安装网络策略和访问服务时,可以使用以下角色服务:

  • 网络策略服务器 (NPS)。NPS 是 RADIUS 服务器和代理的 Microsoft 实现。您可以使用 NPS 集中管理通过各种网络访问服务器(包括无线访问点、VPN 服务器、拨号服务器和 802.1X 身份验证交换机)所进行的网络访问。此外,您还可以通过用于无线连接的受保护的可扩展身份验证协议 (PEAP)-MS-CHAP v2,使用 NPS 部署安全密码身份验证。NPS 还包含用于在您的网络上部署 NAP 的关键组件。

    在安装 NPS 角色服务后,可以部署以下技术:

    • NAP 健康策略服务器。将 NPS 配置为 NAP 健康策略服务器时,NPS 将评估希望在网络上通信且支持 NAP 的客户端计算机发出的健康声明 (SoH)。您可以在 NPS 上配置 NAP 策略,让客户端计算机更新其配置,以满足您组织的网络策略要求。

    • IEEE 802.11 无线。使用 NPS MMC 管理单元,您可以配置基于 802.1X 的连接请求策略,以实现 IEEE 802.11 无线客户端网络访问。您还可以将无线访问点配置成 NPS 中的远程身份验证拨入用户服务 (RADIUS) 客户端,将 NPS 用作 RADIUS 服务器以处理连接请求,并为 802.11 无线连接执行身份验证、授权和记帐。在部署无线 802.1X 身份验证基础结构时,您可以将 IEEE 802.11 无线访问与 NAP 充分集成,因此只有在无线客户端的健康状态对照健康策略进行验证后,才会允许客户端连接到网络。

    • IEEE 802.3 有线。使用 NPS MMC 管理单元,您可以配置基于 802.1X 的连接请求策略,以实现 IEEE 802.3 有线客户端以太网网络访问。您还可以将 802.1X 兼容的交换机配置成 NPS 中的 RADIUS 客户端,将 NPS 用作 RADIUS 服务器以处理连接请求,并为 802.3 以太网连接执行身份验证、授权和记帐。您可以在部署有线 802.1X 身份验证基础结构时,将 IEEE 802.3 有线客户端访问与 NAP 充分集成。

    • RADIUS 服务器。NPS 为无线身份验证交换机和远程访问拨号与 VPN 连接执行集中化的连接身份验证、授权和记帐。将 NPS 用作 RADIUS 服务器时,请将无线访问点和 VPN 服务器等网络访问服务器配置成 NPS 中的 RADIUS 客户端。您还可以配置 NPS 用来对连接请求进行授权的网络策略,并且您可以配置 RADIUS 记帐,以便 NPS 将记帐信息记录到本地硬盘上或 Microsoft(R) SQL Server(TM) 数据库中的日志文件。

    • RADIUS 代理。当您将 NPS 用作 RADIUS 代理时,您可以配置连接请求策略,以告诉 NPS 服务器将哪些连接请求转发给其他 RADIUS 服务器,以及您希望将连接请求转发给哪些 RADIUS 服务器。您还可以配置 NPS,以转发将由远程 RADIUS 服务器组中的一台或多台计算机记录的记帐数据。

  • 路由和远程访问。使用路由及远程访问,您可以部署 VPN 与拨号远程访问服务,以及多协议 LAN 到 LAN、LAN 到 WAN、VPN 和网络地址转换 (NAT) 路由服务。

    在安装路由与远程访问角色服务期间,可以部署以下技术:

    • 远程访问服务。使用“路由和远程访问”,您可以部署点对点隧道协议 (PPTP)、安全套接字层隧道协议 (SSTP) 或带有 Internet 协议安全 (IPsec) VPN 连接的第二层隧道协议 (L2TP),向最终用户提供对您的组织的网络的远程访问。您还可以创建位于不同位置的两台服务器之间的站点到站点 VPN 连接。每台服务器都配置了“路由与远程访问”,以安全地发送专用数据。两台服务器之间的连接可以是永久性的(始终连接)或请求式的(请求拨号)。

      远程访问还提供传统的拨号远程访问方式,以支持拨号到组织的 Intranet 移动用户或家庭用户。安装在运行“路由和远程访问”的服务器上的拨号设备会应答来自拨号网络客户端的传入连接请求。远程访问服务器应答呼叫,对呼叫方进行身份验证和授权,并在拨号网络客户端与组织的 Intranet 之间传输数据。

    • 路由。路由提供一个功能齐全的软件路由器和开放平台,用于进行路由和网际互联。它向处于局域网 (LAN) 和广域网 (WAN) 环境中的企业提供路由服务。

      当您部署 NAT 时,运行“路由和远程访问”的服务器将配置为与专用网络上的计算机共享 Internet 连接,并在其公用地址与专用网络之间转换通信。通过使用 NAT,专用网络上的计算机获得了某种保护措施,因为配置了 NAT 的路由器并不将来自 Internet 的通信转发到专用网络,除非专用网络客户端请求了此通信,或此通信是明确允许的。

      当您部署 VPN 和 NAT 时,运行“路由和远程访问”的服务器将配置为提供专用网络的 NAT 并接受 VPN 连接。Internet 上的计算机将无法确定专用网络上的计算机的 IP 地址。但是,VPN 客户端将可以连接到专用网络上的计算机,就好像它们实际上附属于同一个网络上。

  • 健康注册机构 (HRA)。HRA 是一个 NAP 组件,该组件向通过健康策略验证的客户端颁发健康证书。健康策略验证由使用客户端 SoH 的 NPS 执行。HRA 仅与 NAP IPsec 强制方法一起使用。

  • 主机凭据授权协议 (HCAP)。HCAP 允许 Microsoft NAP 解决方案与 Cisco 网络访问控制服务器集成。当您使用 NPS 和 NAP 部署 HCAP 时,NPS 可以执行客户端健康评估和 Cisco 802.1X 访问客户端的授权。

管理网络策略和访问服务服务器角色

以下工具可用来管理网络策略和访问服务服务器角色:

  • NPS MMC 管理单元。使用 NPS MMC 来配置 RADIUS 服务器、RADIUS 代理或 NAP 技术。

  • NPS 的 Netsh 命令。NPS 的 Netsh 命令提供一个命令集,后者完全等价于可以通过 NPS MMC 管理单元获得的所有配置设置。Netsh 命令可以在 Netsh 提示符下或在管理员脚本中手动运行。

  • HRA MMC 管理单元。使用 HRA MMC 指定证书颁发机构 (CA)。HRA 使用该 CA 来获取客户端计算机的健康证书,并定义 HRA 向其发送客户端 SoH 的 NPS 服务器,以对照健康策略进行验证。

  • HRA 的 Netsh 命令。HRA 的 Netsh 命令提供一个命令集,后者完全等价于可以通过 HRA MMC 管理单元获得的所有配置设置。Netsh 命令可以在 Netsh 提示符下或在管理员创作的脚本中手动运行。

  • NAP 客户端管理 MMC 管理单元。您可以使用 NAP 客户端管理管理单元来配置支持 NAP 体系结构的客户端计算机上的安全设置和用户界面设置。

  • 用于配置 NAP 客户端设置的 Netsh 命令。用于 NAP 客户端设置的 Netsh 命令提供一个命令集,后者完全等价于可以通过 NAP 客户端管理管理单元获得的所有配置设置。Netsh 命令可以在 Netsh 提示符下或在管理员创作的脚本中手动运行。

  • “路由和远程访问”MMC 管理单元。使用该 MMC 管理单元可以配置 VPN 服务器、拨号网络服务器、路由器、NAT、VPN 以及 NAT 或 VPN 站点到站点连接。

  • 用于远程访问的 Netsh 命令。用于远程访问的 Netsh 命令提供一个命令集,后者完全等价于可以通过“路由与远程访问”MMC 管理单元获得的所有远程访问配置设置。Netsh 命令可以在 Netsh 提示符下或在管理员脚本中手动运行。

  • 用于路由的 Netsh 命令。用于路由的 Netsh 命令提供一个命令集,后者完全等价于可以通过“路由与远程访问”MMC 管理单元获得的所有路由配置设置。Netsh 命令可以在 Netsh 提示符下或在管理员脚本中手动运行。

  • 无线网络 (IEEE 802.11) 策略 - 组策略管理控制台 (GPMC)。在带有支持无线 LAN 自动配置服务(WLAN 自动配置服务)的无线网络适配器驱动程序的计算机上,无线网络 (IEEE 802.11) 策略扩展自动执行无线网络设置的配置。您可以在组策略管理控制台中,使用无线网络 (IEEE 802.11) 策略扩展,指定 Windows XP 和 Windows Vista 无线客户端之一或两者的配置设置。无线网络 (IEEE 802.11) 策略组策略扩展包括全局无线设置、首选网络列表、Wi-Fi 保护访问 (WPA) 设置和 IEEE 802.1X 设置。

    在配置后,这些设置下载到属于域成员的 Windows 无线客户端。该策略配置的无线设置是计算机配置组策略的一部分。默认情况下,无线网络 (IEEE 802.11) 策略不配置或启用。

  • 用于无线局域网 (WLAN) 的 Netsh 命令。Netsh WLAN 是使用组策略来配置 Windows Vista 无线连接和安全设置的一种替代方法。您可以使用 Netsh WLAN 命令来配置本地计算机,或配置使用登录脚本的多台计算机。您还可以使用 Netsh WLAN 命令来查看无线组策略设置,并管理无线 Internet 服务提供商 (WISP) 和用户无线设置。

    无线 Netsh 界面具有以下优势:

    • 混合模式支持:允许管理员配置客户端以支持多个安全选项。例如,可以配置客户端,以同时支持 WPA2 和 WPA 身份验证标准。这允许客户端使用 WPA2 以连接到支持 WPA2 的网络,并使用 WPA 以连接到仅支持 WPA 的网络。

    • 阻止不良网络:管理员可以通过向被拒绝网络列表添加网络或网络类型来阻止或隐藏对非企业无线网络的访问。同样,管理员还可以允许对企业无线网络的访问。

  • 有线网络 (IEEE 802.3) 策略 - 组策略管理控制台 (GPMC)。对于配备了支持有线自动配置服务的网络适配器和驱动程序的 Windows Vista 客户端,您可以使用有线网络 (IEEE 802.3) 策略来指定和修改配置设置。无线网络 (IEEE 802.11) 策略组策略扩展包括全局有线和 IEEE 802.1X 设置。这些设置包括与“常规”选项卡和“安全”选项卡关联的整套有线配置项目。

    在配置后,这些设置下载到属于域成员的 Windows 无线客户端。该策略配置的无线设置是计算机配置组策略的一部分。默认情况下,有线网络 (IEEE 802.3) 策略不配置或启用。

  • 用于有线局域网 (LAN) 的 Netsh 命令。Netsh LAN 界面是在 Windows Server 2008 中使用组策略来配置 Windows Vista 有线连接与安全设置的一种替代方法。您可以使用 Netsh LAN 命令行来配置本地计算机,或在登录脚本中使用这些命令来配置多台计算机。您还可以使用 Netsh LAN 命令来查看无线网络 (IEEE 802.3) 策略,并管理客户端有线 1x 设置。

其他资源

若要了解网络策略与访问服务的更多信息,请打开以下 MMC 管理单元之一,然后按 F1 显示“帮助”:

  • NPS MMC 管理单元

  • “路由和远程访问”MMC 管理单元

  • HRA MMC 管理单元

社区附加资源

添加
显示: