共用方式為

  • 發行項

The Cable Guy網路原則伺服器

Joseph Davies

本專欄是根據 Windows Server 2008 的搶鮮版所撰寫。本文包含的所有資訊均有可能變更。

Windows Server 2008 中的網路原則伺服器 (NPS) 服務取代了 Windows Server 2003 中的網際網路驗證服務 (IAS),NPS 允許執行 Windows Server 2008 的電腦用作為遠端驗證撥入使用者服務 (RADIUS) 伺服器和 Proxy。RADIUS 是 RFC 2865 與 2866 中指定的

網際網路工程任務推動小組 (IETF) 通訊協定,它為網路存取裝置 (例如無線存取點) 提供集中化驗證、授權和帳戶管理 (AAA)。RADIUS 伺服器會對網路存取裝置執行 AAA,RADIUS Proxy 則會在 RADIUS 用戶端 (網路存取裝置) 與 RADIUS 伺服器之間轉送 RADIUS 訊息。

NPS 包括了許多增強功能,能夠更有效率地部署經過驗證的網路存取作業,並提供擴充性以使用協力廠商元件,以及支援最新的網路技術和平台。[圖 1] 中顯示了全新的 NPS 嵌入式管理單元。

Figure 1 The new NPS snap-in

Figure 1** The new NPS snap-in **(按影像可放大)

網路原則伺服器功能

在本專欄中,我將探討舊版 Windows® 未包含的 NPS 功能。一開始我將說明網路存取保護 (NAP) 如何協助為您的網路強制健康需求,接下來將介紹管理、設定、IPv6 支援,以及其他項目。我還將解釋全新 NPS 嵌入式管理單元的各項功能。

網路存取保護 NAP 是 Windows Server® 2008 引入的一組新技術,可幫助您強制遵守電腦健康需求,以便以更周全的方式保護內部網路。比如說,您的健康原則可以如此指定:所有連線到您的網路的用戶端都必須安裝和啟用防火牆,也必須安裝最新的作業系統更新。透過 NAP,您可以建立自訂的原則,在允許網路存取或通訊之前先確認電腦的健康情況,自動更新電腦以確保它們一直符合規範,並將不合格的電腦侷限在有限的網路上,直到它們合格為止。如需詳細資訊,請參閱 microsoft.com/nap

在 NAP 部署的情況下,NPS 伺服器是 NAP 健康原則伺服器,它會代表 NAP 強制端點,例如健康情況登錄授權單位 (HRA)、802.1X 存取點、虛擬私人網路 (VPN) 伺服器和動態主機設定通訊協定 (DHCP) 伺服器 — 評估 NAP 用戶端的健康情況。NPS 伺服器也會決定是否該授與用戶端完整或限制的內部網路存取權。網路原則、健康原則和 NAP 設定決定了 NPS 的健康情況評估行為。

EAPHost 和 EAP 原則支援 NPS 支援 EAPHost,這是可延伸驗證通訊協定 (EAP) 驗證方法的新架構。這套新架構可讓 EAP 方法廠商同時在用戶端與 NPS 伺服器上,輕鬆地開發和安裝用於 802.1X 的新 EAP 方法或點對點通訊協定 (PPP) 式的驗證。

EAPHost 支援安裝及使用 EAP 登錄 (位於 www.iana.org/assignments/eap-numbers) 上列出的所有 EAP 方法,以及其他常見的驗證方法,例如 Cisco Systems Lightweight EAP (LEAP)。EAPHost 允許同一個 EAP 方法的多項實作共存。例如,您可以安裝並選擇 Microsoft 版本的受保護的 EAP (PEAP) 與 Cisco Systems 兩種版本。

對於 EAP 方法廠商,EAPHost 支援已針對 Windows XP 和 Windows Server 2003 開發的 EAP 方法,也支援一種較簡單的方法來針對 Windows Vista® 和 Windows Server 2008 開發新 EAP 方法。安裝後,您可以在網路原則中為特定的網路存取案例設定必要的 EAP 方法。NPS 的網路原則就跟 IAS 的遠端存取原則一樣。

如需有關 EAPHost 架構的詳細資訊,請參閱 technetmagazine.com/issues/2007/05/CableGuy

以 XML 儲存的設定 IAS 將其設定資訊儲存在 Jet 資料庫中。NPS 現在則將設定資訊存成 XML 格式,更方便匯出其中一部 NPS 伺服器的設定,然後再匯入到另一部 NPS 伺服器。匯出和匯入設定檔案是以容錯設定將多部 NPS 伺服器的設定同步化的方法之一。您可以使用 netst nps export 命令匯出 NPS 設定,然後使用 netsh nps import 命令匯入它。

遵守通用工程準則 NPS 已經過更新以便支援在必須符合 Microsoft® Common Engineering Criteria (CEC) 的環境中進行部署。如需詳細資訊,請參閱 microsoft.com/windowsserversystem/cer/allcriteria.mspx

強大的 NPS 延伸 DLL NPS 服務可透過延伸和授權 DLL 加以擴充。與 IAS 相反,這些協力廠商元件是封裝在 NPS 的沙箱中,如此一來它們遇到的任何問題就不致影響 NPS 服務的操作或執行。

IPv6 支援 NPS 支援 IPv6 以及在原生或通道 IPv6 環境中部署。您可以為 RADIUS 用戶端或遠端 RADIUS 伺服器設定 IPv6 位址,如此 NPS 服務便能透過 IPv6 通訊以進行 Active Directory® 網域服務帳戶驗證和授權作業。

IAS 與 NPS 比較

如果您對 Windows Server 2003 的 IAS 嵌入式管理單元不陌生,您一定樂見下列對 NPS 嵌入式管理單元所作的變更:

  • 遠端存取原則已變成網路原則,並且已從 [原則] 節點下移除。
  • [RADIUS 用戶端] 節點已從 [RADIUS 用戶端和伺服器] 節點下移除。
  • [連線要求處理] 節點已經淘汰,[連線要求原則] 節點已從 [原則] 節點下移除,而 [遠端 RADIUS 伺服器群組] 節點已從 [RADIUS 用戶端和伺服器] 下移除。
  • 遠端存取原則條件和設定檔設定已在網路原則內容的 [概觀]、[條件]、[限制] 和 [設定] 索引標籤下重新排列。
  • 連線要求原則條件和設定檔設定已在連線要求原則內容的 [概觀]、[條件] 和 [設定] 索引標籤下重新排列。
  • [遠端存取記錄] 資料夾已重新命名為 [帳戶處理 (Accounting)] 節點,而且不再具有 [本機檔案] 或 [SQL ServerTM] 節點。

自動產生強式 RADIUS 共用密碼 RADIUS 共用密碼是用來驗證 RADIUS 訊息是由設有相同共用密碼的 RADIUS 用戶端、伺服器或 Proxy 送出的。共用密碼也可用來加密一些機密的 RADIUS 屬性,例如密碼和加密金鑰。強式 RADIUS 共用密碼是一長串隨機字母、數字和標點符號 (超過 22 個字元)。

透過 NPS 嵌入式管理單元,您可以在新增或編輯 RADIUS 用戶端時自動產生強式 RADIUS 共用密碼。您可以將這個強式共用密碼複製到文字編輯器 (例如記事本),以便使用相同的共用密碼設定網路存取裝置或 NAP 強制端點。

與伺服器管理員整合 您可以透過「初始設定工作」和「伺服器管理員」工具來安裝 NPS。無論是使用哪種工具,您都是使用「網路原則與存取服務」角色來安裝 NPS。若要開始,請在「初始設定工作」工具的 [自訂此伺服器] 下,按一下 [新增角色] 選項。在「伺服器管理員」工具中,開啟 [角色摘要],並按一下 [新增角色]。

NPS 安裝之後,您可以在伺服器管理員的主控台樹狀目錄中,按一下 [角色] 節點底下的 [網路原則與存取服務],藉此檢查 NPS 服務的狀態,以及查看在過去 24 個小時內遇到的錯誤事件。當在主控台中展開 [網路原則與存取服務] 節點時,便可以使用 NPS 嵌入式管理單元來設定 NPS。

增強 Netsh 支援 Windows Server 2003 在 netsh aaaa 內容中有一組有限的命令可以用來設定 IAS。而在 Windows Server 2008 中,全新的 netsh nps 內容則具有廣泛的命令組,可在命令列或透過指令碼來設定 NPS。您現在可以使用 netsh nps 命令來設定 RADIUS 用戶端和遠端 RADIUS 伺服器、網路原則、記錄,以及針對 NAP,設定健康原則、系統健康狀態驗證和補救伺服器群組。包含 netsh nps 內容中各種命令的指令碼,提供您另一種方法以容錯設定同步處理多部 NPS 伺服器的設定。

用於網路原則隔離的來源標記 您可以針對特定類型的網路存取伺服器或 NAP 強制端點 (例如 DHCP 伺服器或 HRA) 來設定網路原則,此類伺服器或強制端點之後會變成一種來源標記,將網路原則加以分類。Windows Server 2008 存取伺服器和 NAP 強制端點會在 RADIUS 訊息中包含此來源標記。當收到要求存取的 RADIUS 訊息時,NPS 服務會嘗試尋找與傳入訊息具有相同來源標記的相符網路原則。如果找不到相符原則,NPS 就會嘗試尋找與那些未指定任何來源標記相符的網路原則。

在網路原則和傳入 RADIUS 訊息中使用來源標記可將不同類型的網路原則彼此分隔。例如,DHCP 的網路原則便不會用於 VPN 連線。

與 Cisco 網路存取控制整合 NPS 支援各種功能,以利整合至使用 Cisco 硬體和網路存取控制 (NAC) 的環境。這些功能包括支援主機認證授權通訊協定 (HCAP) 和 HCAP 條件、原則到期條件,以及網路原則中的擴充狀態網路存取保護設定。

全新的網路原則條件 NPS 中的網路原則有些新條件主要是用於指定電腦群組、使用者群組、允許的 EAP 類型,以及用戶端和存取伺服器 IPv6 位址。對於 HCAP 支援,NPS 具有用於位置群組和使用者群組的新條件。而對於 NAP 支援,NPS 則具有用於身分識別類型、健康原則、具備 NAP 功能的電腦、作業系統和原則到期的新原則條件。

NPS 嵌入式管理單元 全新的 NPS 嵌入式管理單元已經過大幅增強,可讓您更輕鬆地建立和管理 RADIUS 用戶端和遠端 RADIUS 伺服器、適用於常見網路存取案例的網路原則、適用於 NAP 案例的健康原則和 NAP 設定,以及記錄設定等。

在 [RADIUS 用戶端和伺服器] 節點中,您可以設定 RADIUS 用戶端 (網路存取伺服器、NAP 強制端點或是當 NPS 作為 RADIUS 伺服器使用時的其他 RADIUS Proxy) 和遠端 RADIUS 伺服器群組 (當 NPS 作為 RADIUS Proxy 時的其他 RADIUS 伺服器)。

在 [原則] 節點中,您可以設定連線要求原則 (NPS 服務是否將作為 RADIUS 伺服器或 Proxy 使用)、網路原則 (當 NPS 服務作為 RADIUS 伺服器使用時的授權和連線設定及限制),以及健康原則 (適用於 NAP 用戶端的系統健康狀態遵循規範)。當您在詳細資料窗格中選取連線要求原則或網路原則時,NAP 嵌入式管理單元會顯示該原則的條件與設定。[圖 2] 顯示了這樣的範例。

Figure 2 The NPS snap-in enhanced display

Figure 2** The NPS snap-in enhanced display **(按影像可放大)

在 [網路存取保護] 節點中,[系統健康狀態驗證] 節點可讓您設定 NAP 健康需求。[補救伺服器群組] 節點可讓您設定限制 NAP 用戶端可存取 VPN 和 DHCP NAP 強制方法的一組伺服器。最後,在 [帳戶處理] 節點中,您可以設定 NPS 要如何儲存帳戶處理資訊。

NPS 嵌入式管理單元包括了大量的精靈集,可自動化 RADIUS 用戶端和 NAP 強制方法所需的原則、撥號或 VPN 連線,以及 802.1X 驗證的無線和有線連線的初始設定作業。對於 NAP 強制方法,NAP 精靈會自動設定所有連線要求原則、網路原則和健康原則。

這些新精靈在您按下 NPS 嵌入式管理單元內的 NPS 節點時就可以使用。若要設定 NAP 強制方法的原則和設定,請在 [標準設定] 下拉式方塊中選取 [網路存取保護],再按一下 [設定 NAP]。若要設定 VPN 或撥號網路存取的原則和設定,請在 [標準設定] 下拉式方塊中選取 [撥號或 VPN 連線的 RADIUS 伺服器],再按一下 [設定 VPN 或撥號]。若要設定 802.1X 驗證有線或無線存取的原則及設定,請在 [標準設定] 下拉式方塊中選取 [802.1X 無線或有線連線的 RADIUS 伺服器],再按一下 [設定 802.1X]。

這些精靈都會針對您選定的案例指引您完成最常見的設定項目。NAP 強制方法的精靈尤其管用:用於 VPN 強制的 NAP 精靈會建立一個連線要求原則、三個網路原則 (用於合格的 NAP 用戶端、不合格的 NAP 用戶端,以及不具 NAP 功能的用戶端),以及兩個健康原則 (用於合格和不合格的 NAP 用戶端)。

全新的 NAP 精靈和用來建立 RADIUS 用戶端、遠端 RADIUS 伺服器群組、連線要求原則和網路原則的其他精靈,都能在各式各樣的網路存取案例中簡化設定 NPS 的作業。

Joseph Davies 是 Microsoft 的技術文件作家,從 1992 年開始教導和編寫 Windows 網路方面的主題。他出過五本 Microsoft Press 的書,同時也是每個月 TechNet Cable Guy 專欄的作家。

© 2008 Microsoft Corporation and CMP Media, LLC. 保留所有權利;未經允許,嚴禁部分或全部複製.