Table of contents
TOC
折叠目录
展开目录

计划 NPS RADIUS 服务器作为

James McIllece|上次更新日期: 2017/3/10
|
1 参与者

适用于: Windows Server 2016

当你部署网络策略服务器(NPS)作为远程身份验证拨入用户服务 (RADIUS) 服务器、NPS 进行身份验证、授权和记帐连接请求地域对和信任本地域的。 你可以使用这些规划指导简化 RADIUS 部署。

这些规划指南中不包括情况下你希望将其部署 NPS RADIUS 代理用作。 当你部署 NPS RADIUS 代理用作时,NPS 转发连接到远程域和 / 或不受信任的域中运行 NPS 或其他 RADIUS 服务器服务器的请求。

NPS RADIUS 服务器作为部署网络上之前,请使用以下指南计划部署。

  • 计划 NPS server 配置。

  • 计划 RADIUS 客户端。

  • 计划使用身份验证方法。

  • 计划网络策略。

  • 套餐 NPS 记帐。

套餐 NPS 服务器配置

必须确定哪个域 NPS 服务器是成员。 针对多域环境 NPS 服务器可以进行身份验证的它是成员域中的用户帐户以及所有信任 NPS 服务器地域的域的凭据。 若要允许 NPS 服务器读取授权过程拨号中的用户帐户的属性,必须 NPS 服务器的计算机帐户添加到每个域 RAS 和 NPS 服务器组。

确定 NPS 服务器的域会员后,必须服务器配置 RADIUS 客户端,也称为使用 RADIUS 协议的网络访问权限服务器,与进行通信。 此外,您可以配置的事件类型,用于 NPS 记录事件日志中,并且你可以输入服务器的说明。

关键步骤

在计划 NPS 服务器配置的过程中,你可以使用下面的步骤。

  • 确定 NPS 服务器用于从 RADIUS 客户端接收 RADIUS 消息 RADIUS 端口。 默认端口是 UDP 端口 1812 年和 RADIUS 身份验证消息的 1645 年以及 1813 年和 RADIUS 会计消息的 1646 年的端口。

  • 如果 NPS server 配置了多个网络适配器,确定哪些你想要允许的 RADIUS 流量的适配器。

  • 确定你希望记录的事件日志中 NPS 的活动类型。 你可以登录的请求被拒绝身份验证、成功进行身份验证的请求或两种类型的请求。

  • 确定是否要部署多个 NPS server。 若要提供 RADIUS 基于身份验证和帐户故障能力,使用至少两个 NPS 服务器。 一台 NPS 服务器用作主要 RADIUS 服务器,并且其他用作备份。 每个 RADIUS 客户端然后配置两个 NPS 服务器上。 如果没有可用时主要 NPS 服务器,RADIUS 客户端然后发送到备用 NPS 服务器访问请求邮件内容。

  • 计划用一个 NPS server 配置复制到其他 NPS 服务器管理开销上保存,并阻止服务器错误 cofiguration 的脚本。 NPS 提供允许您将复制的全部或部分要导入到另一台 NPS 服务器 NPS 服务器配置 Netsh 命令。 Netsh 提示时,你可以手动运行命令。 但是,如果你将命令序列另存为脚本,你可以运行脚本晚些时候如果你决定更改服务器配置。

套餐 RADIUS 客户端

RADIUS 客户端是如无线接入点的网络访问权限服务器虚拟专用网 (VPN) 服务器、802.1 X 支持开关,并拨号服务器。 RADIUS 的代理服务器,向前连接到 RADIUS 服务器请求消息,也是 RADIUS 客户端。 NPS 支持的所有网络的访问服务器,并遵守 RADIUS RADIUS 代理服务器协议,述 RFC 2865、"远程身份验证拨入用户服务 (RADIUS),",RFC 可"RADIUS 记帐。"

重要事项

访问客户,例如客户端计算机不可 RADIUS 客户端。 仅网络访问服务器和支持 RADIUS 协议的代理服务器是 RADIUS 客户端。

此外,无线接入点和交换机必须 802.1 X 身份验证的支持。 如果你想要部署可扩展身份验证协议(EAP)或保护可扩展身份验证协议(PEAP),接入点和开关必须支持 EAP 使用。

测试 PPP 连接的无线接入点的基本互操作性、配置接入点和访问客户端,才能使用密码验证协议 (PAP)。 使用其他 PPP 基于身份验证的协议 PEAP,例如,直到经测试所想要使用的网络访问权限。

关键步骤

在规划 RADIUS 客户端的过程中,你可以使用下面的步骤。

  • 你必须配置中 NPS 文档特定供应商属性 (Vsa)。 网络策略配置中 NPS 时,如果你的网络访问权限服务器需要 Vsa,请登录 VSA 信息以供以后使用。

  • 记录 RADIUS 客户端和服务器 NPS 简化配置的所有设备的 IP 地址。 RADIUS 客户部署时,你必须配置他们使用 RADIUS 协议,身份验证的服务器按输入 NPS server IP 地址。 和 NPS RADIUS 的客户端与通信配置时,你必须 NPS 贴靠到输入 RADIUS 客户端 IP 地址。

  • RADIUS 客户端和 NPS 贴靠中创建配置共享机密信息。 你必须使用共享的机密或密码,你还将在 NPS 贴靠的配置中 NPS RADIUS 客户端时所输入配置 RADIUS 客户端。

计划身份验证方法的使用

NPS 支持两个密码基于和证书基于身份验证方法。 但是,并非所有网络的访问服务器都支持的相同的身份验证方法。 在某些情况下,你可能想要部署根据的网络访问权限类型不同的身份验证方法。

例如,你可能希望部署无线和针对你的组织 VPN 访问,但对于每种类型的访问权限使用不同的身份验证方法: EAP-TLS VPN 连接,由于 EAP 传输层安全性 (EAP-TLS) 提供了,强大的安全性和 PEAP-MS-CHAP v2 802.1 X 无线连接。

PEAP 与专为笔记本电脑和其他无线设备使用的 Microsoft 质询握手身份验证协议版本 2 (PEAP 的 MS-CHAP v2) 提供了一项名为 fast 功能重新连接。 快速重新连接允许无线客户端他们相关联新的接入点在不重新进行身份验证每次相同网络的无线接入点之间移动。 这为无线的用户提供更好的体验,并使它们,而无需重新输入凭据的访问点之间移动。 由于 fast 重新连接,并且 PEAP-MS-CHAP v2 提供,安全 PEAP-MS-CHAP v2 逻辑选择作为身份验证方法为无线连接。

用于 VPN 连接 EAP-TLS 是提供了强大保护网络通信,即使在传输通过 Internet 从计算机的家庭或移动到你的组织 VPN 服务器的安全证书基于身份验证方法。

证书基于身份验证方法

证书基于身份验证方法具有提供强大的安全性; 优势还有它们的缺点正在更难以部署比密码基于身份验证方法。

PEAP-MS-CHAP v2 和 EAP-TLS 证书基于身份验证方法,但有许多它们和部署这些的方式之间的差异。

EAP-TLS

EAP-TLS 使用客户端和服务器身份验证证书,并要求你在你的组织部署公钥基础结构 (PKI)。 部署 PKI 可能很复杂的并且需要规划的使用 NPS RADIUS 服务器作为独立规划阶段。

与 EAP-TLS、NPS server 注册服务器向证书颁发机构证书(CA),并证书存储在本地计算机上保存该证书。 身份验证过程服务器身份验证 NPS 服务器发送时发生其服务器证书到访问客户端证明访问客户端到其身份。 访问客户端检查各种以确定该证书是否有效,并且是适用于使用期间服务器身份验证的证书属性。 如果服务器证书满足最低服务器证书要求,并且颁发的加利福尼亚信任访问客户端,的客户端成功经过 NPS 服务器。

同样地,客户端时身份验证身份验证过程客户端发送它客户端的证书 NPS 服务器向 NPS 服务器证明自己的身份。 NPS 服务器检查证书,并且如果客户端证书满足最低客户端证书要求,并且颁发的加利福尼亚信任 NPS 服务器,在访问客户端成功经过 NPS 服务器。

虽然这是需要服务器证书存入 NPS 服务器对证书官方商城的客户端或用户证书可以存储在任一证书存储客户端上或在上一张智能卡。

对于成功此身份验证过程,它是所需的所有计算机本地计算机和当前用户信任根证书颁发机构证书应用商店中都有你的组织 CA 证书。

PEAP-MS-CHAP v2

PEAP-MS-CHAP v2 使用为服务器身份验证和密码基于凭据用户身份验证的证书。 因为仅为服务器身份验证证书,你都不需要以便使用 PEAP-MS-CHAP v2 部署 PKI。 部署 PEAP-MS-CHAP v2 时,你可以获取 NPS 服务器证书,通过以下两种方式之一:

  • 你可以安装 Active Directory 证书服务(广告客户服务),然后 NPS 服务器注册证书。 如果你使用此方法,你还必须注册向客户端计算机连接到你的网络,以便他们可以信任的证书颁发给 NPS 服务器 CA 证书。

  • 你可以从如 VeriSign 公共 CA 购买服务器证书。 如果你使用此方法,请确保你选择已经受信任的客户端计算机 CA。 若要确定客户端计算机是否信任 CA 的客户端计算机上,打开证书 Microsoft 管理控制台 (MMC) 管理单元,然后查看受信任的根证书颁发机构官方商城本地计算机和当前的用户。 如果从 CA 这些证书应用商店中的证书的客户端计算机信任 CA,但将因此信任 CA 任何证书。

与 PEAP-MS-CHAP v2 身份验证过程,服务器身份验证时发生 NPS 服务器向客户端计算机发送它服务器的证书。 访问客户端检查各种以确定该证书是否有效,并且是适用于使用期间服务器身份验证的证书属性。 如果服务器证书满足最低服务器证书要求,并且颁发的加利福尼亚信任访问客户端,的客户端成功经过 NPS 服务器。

用户身份验证时发生用户尝试连接到的网络类型密码基于凭据,并尝试登录。 NPS 接收凭据,并执行身份验证和授权。 如果用户经过身份验证和授权的成功,并且客户端计算机成功进行身份验证 NPS 服务器,连接要求授予权限。

关键步骤

在规划使用的身份验证方法、期间,你可以使用下面的步骤。

  • 确定类型的网络访问权限计划提供,如无线 VPN、802.1 X 的切换,并拨号访问。

  • 确定你想要使用的访问权限的每种类型的身份验证方法。 建议你使用证书基于身份验证方法为强大的安全性。但是,它可能适用于你部署 PKI,以便其他身份验证方法可能会提供更好地为你的网络需要的内容的余额。

  • 如果你正在部署 EAP-TLS,计划 PKI 部署。 这包括规划你打算使用的服务器证书和客户端计算机证书证书模板。 它还包括确定如何进行注册证书域成员和非域成员计算机,以及如何确定是否想要使用智能卡。

  • 如果你正在部署 PEAP-MS-CHAP v2,确定是否想要服务器 NPS 服务器或你想服务器证书购买公共 CA,如 VeriSign 证书安装广告客户服务。

套餐网络策略

网络策略 nps 使用,以确定是否授权收到 RADIUS 客户端从连接请求。 NPS 也使用的用户帐户拨号中属性对授权确定。

由于网络策略处理 NPS 贴靠中的显示顺序,计划首次将你最严格策略放策略的列表中。 对于每个连接的要求,NPS 尝试符合条件的连接要求属性的策略。 NPS 检查每个网络策略顺序,直到找到匹配项。 如果找不到匹配项,连接请求被拒绝。

关键步骤

在计划网络策略的过程中,你可以使用下面的步骤。

  • 确定首选的 NPS 处理订单的网络策略,从到最低限制最高的限制。

  • 确定策略状态。 启用或禁用产生的值策略状态。 如果启用了 NPS 将评估执行授权时的策略。 如果未启用该策略,则不计算。

  • 确定策略类型。 必须确定是否策略旨在当通过连接请求,或是否策略旨在当通过连接请求匹配的策略条件拒绝访问匹配的策略条件授予访问权限。 例如,如果你想要明确拒绝无线访问 Windows 组中的成员,你可以创建指定出该组,无线连接方法,并且具有策略键入设置的拒绝访问权限的网络策略。

  • 确定是否要让 NPS 忽略是基于策略的组成员的用户帐户拨号中属性。 未启用此设置,用户帐户拨号属性重写配置了网络策略中的设置。 例如,如果网络策略配置为用户授予访问权限,但该用户的用户帐户拨号中属性设置为拒绝访问,用户将拒绝访问。 但如果您启用策略键入设置忽略用户帐户拨号-在属性,相同的用户授予网络的访问权限。

  • 确定是否策略使用策略源设置。 此设置允许你轻松地指定所有访问请求源。 可能来源是终端服务网关(网关 TS)、远程访问服务器(VPN 或拨号)、DHCP 服务器、的无线接入点,并健康注册机构服务器。 或者,你可以指定特定供应商源。

  • 确定顺序网络策略的应用必须匹配的条件。

  • 确定的,如果在连接请求匹配的条件网络策略的应用的设置。

  • 确定是否想要使用、修改或删除默认网络策略。

套餐 NPS 记帐

NPS 提供能够登录 RADIUS 会计数据,如用户身份验证和记帐请求三个格式: IAS 格式数据库兼容的格式,Microsoft SQL Server 日志记录。

IAS 格式化或数据库兼容格式化文本文件格式中创建本地 NPS 服务器上的日志文件。

SQL Server 日志记录提供能够登录到的 SQL Server 2000 或 SQL Server 2005 XML 兼容的数据库,扩展 RADIUS 记帐,来利用到关系的数据库日志记录的优势。

关键步骤

在计划 NPS 会计的过程中,你可以使用下面的步骤。

  • 确定是否想要存储 NPS 记帐数据日志文件中,或 SQL Server 数据库中。

NPS 记帐使用本地日志文件

录制用户身份验证和帐户请求日志文件中的主要用于连接分析和帐单目的,而且还有用安全调查工具,从而为您提供攻击后跟踪恶意用户的活动的方法。

关键步骤

在规划 NPS 记帐使用本地日志文件,过程中,你可以使用下面的步骤。

  • 确定你想要为 NPS 日志文件中使用的文本文件格式。

  • 选择你希望记录的信息的类型。 你可以登录记帐请求、身份验证请求和定期状态。

  • 确定你想要存储日志文件硬盘位置。

  • 设计日志文件备份解决方案。 日志文件存储硬盘位置应某个位置,以便你可以轻松地备份你的数据。 此外,应受硬盘位置配置访问控制列表 (ACL) 的存储日志文件的文件夹。

  • 确定要从该处创建新日志文件的频率。 如果你想要创建的基于文件大小日志文件,确定允许之前 nps 创建一个新的日志文件的最大的文件大小。

  • 确定是否要 NPS 如果硬盘耗尽可用存储空间,请删除较旧的日志文件。

  • 确定你想要使用查看记帐数据并生成的报告的应用程序或应用程序。

NPS SQL Server 日志记录

你需要会话状态的信息,报告的创建和数据分析而言,对于和集中和简化的记帐数据管理时使用 NPS SQL Server 日志记录。

NPS 提供能够使用 SQL Server 到录制的用户身份验证身份登录和记帐到一台运行 Microsoft SQL Server 桌面引擎计算机上的数据源收到从一个或多个网络的访问权限服务器请求(MSDE 2000),或稍后比 SQL Server 2000 SQL Server 的任何版本。

记帐数据从传递 NPS XML 格式到存储在数据库中,它支持两个结构化的查询语言过程(SQL)和 XML (SQLXML)。 录制用户身份验证和记帐 XML 符合的 SQL Server 数据库中的请求允许多 NPS 服务器拥有一个数据源。

关键步骤

在规划过程 NPS 记帐使用 NPS SQL Server 日志记录,你可以使用下面的步骤。

  • 确定你或你的组织的其他成员有体验的 SQL Server 2000 或 SQL Server 2005 关系数据库开发,并了解如何使用这些产品创建、修改、管理和管理 SQL Server 数据库。

  • 确定 NPS 服务器或远程计算机上是否安装了 SQL Server。

  • 设计存储您将使用你的 SQL Server 数据库中处理传入 XML 文件包含 NPS 会计数据的过程。

  • SQL Server 数据库复制结构和流设计。

  • 确定你想要使用查看记帐数据并生成的报告的应用程序或应用程序。

  • 若要使用发送类特性所有会计请求中的网络访问权限服务器的套餐。 类特性发送到中访问接受一条消息,RADIUS 客户端,可用于与身份验证会话关联记帐请求邮件。 如果类特性发送网络访问服务器记帐请求邮件中,可用于匹配记帐和验证的记录。 属性唯一序列号服务重新启动时间,并将其服务器地址组合必须为每个接受服务器的身份验证的唯一标识。

  • 打算使用支持中间记帐的网络访问权限服务器。

  • 打算使用发送记帐打开和关闭记帐消息的网络访问权限服务器。

  • 计划支持存储的网络访问权限服务器和转移记帐数据的使用。 支持此功能的网络访问权限服务器可以将记帐数据存储网络访问服务器无法与 NPS 服务器时。 可用 NPS 服务器时,网络访问服务器转发存储的记录 NPS 服务器上,轻不提供此功能的网络访问服务器提供中记帐增加的可靠性。

  • 若要始终在网络策略配置的时间间隔临时帐户的特性的套餐。 时间间隔临时帐户的特性网络访问服务器发送每次临时更新之间(在秒钟内)设置的时间间隔。 根据 RFC 2869 的时间间隔临时帐户属性的价值不必须小于 60 秒或一分钟,并且不应小于 600 秒或 10 分钟。 有关详细信息,请参阅 RFC 2869,"RADIUS 扩展"。

  • 确保 NPS 服务器上启用了定期状态的日志记录。

© 2017 Microsoft