Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Wanneer u NETWORK Policy Server (NPS) implementeert als een RADIUS-proxy (Remote Authentication Dial-In User Service), ontvangt NPS verbindingsaanvragen van RADIUS-clients, zoals netwerktoegangsservers of andere RADIUS-proxy's, en stuurt deze verbindingsaanvragen vervolgens door naar servers met NPS of andere RADIUS-servers. U kunt deze planningsrichtlijnen gebruiken om uw RADIUS-implementatie te vereenvoudigen.
Deze planningsrichtlijnen bevatten geen omstandigheden waarin u NPS wilt implementeren als een RADIUS-server. Wanneer u NPS implementeert als een RADIUS-server, voert NPS verificatie, autorisatie en boekhouding uit voor verbindingsaanvragen voor het lokale domein en voor domeinen die het lokale domein vertrouwen.
Voordat u NPS implementeert als een RADIUS-proxy in uw netwerk, gebruikt u de volgende richtlijnen om uw implementatie te plannen.
NPS-configuratie plannen.
RADIUS-clients plannen.
Externe RADIUS-servergroepen plannen.
Kenmerkmodificatieregels plannen voor het doorsturen van berichten.
Beleid voor verbindingsaanvragen plannen.
PLAN NPS accounting.
NPS-configuratie plannen
Wanneer u NPS als RADIUS-proxy gebruikt, stuurt NPS verbindingsaanvragen door naar een NPS of andere RADIUS-servers voor verwerking. Daarom is het domeinlidmaatschap van de NPS-proxy niet relevant. De proxy hoeft niet te worden geregistreerd in Active Directory Domain Services (AD DS), omdat deze geen toegang nodig heeft tot de inbeleigenschappen van gebruikersaccounts. Daarnaast hoeft u geen netwerkbeleid te configureren voor een NPS-proxy, omdat de proxy geen autorisatie voor verbindingsaanvragen uitvoert. De NPS-proxy kan een domeinlid zijn of kan een zelfstandige server zijn zonder domeinlidmaatschap.
NPS moet worden geconfigureerd om te communiceren met RADIUS-clients, ook wel netwerktoegangsservers genoemd, met behulp van het RADIUS-protocol. Daarnaast kunt u de typen gebeurtenissen configureren die NPS-records in het gebeurtenislogboek bevatten en kunt u een beschrijving voor de server invoeren.
Belangrijke stappen
Tijdens de planning voor nps-proxyconfiguratie kunt u de volgende stappen uitvoeren.
Bepaal de RADIUS-poorten die de NPS-proxy gebruikt voor het ontvangen van RADIUS-berichten van RADIUS-clients en om RADIUS-berichten te verzenden naar leden van externe RADIUS-servergroepen. De standaard UDP-poorten (User Datagram Protocol) zijn 1812 en 1645 voor RADIUS-verificatieberichten en UDP-poorten 1813 en 1646 voor RADIUS-accountingberichten.
Als de NPS-proxy is geconfigureerd met meerdere netwerkadapters, bepaalt u de adapters waarvoor RADIUS-verkeer moet worden toegestaan.
Bepaal de typen gebeurtenissen die npS moet opnemen in het gebeurtenislogboek. U kunt geweigerde verbindingsaanvragen, geslaagde verbindingsaanvragen of beide registreren.
Bepaal of u meer dan één NPS-proxy implementeert. Gebruik ten minste twee NPS-proxy's om fouttolerantie te bieden. Eén NPS-proxy wordt gebruikt als de primaire RADIUS-proxy en de andere wordt gebruikt als back-up. Elke RADIUS-client wordt vervolgens geconfigureerd op beide NPS-proxy's. Als de primaire NPS-proxy niet beschikbaar is, verzenden RADIUS-clients Access-Request berichten naar de alternatieve NPS-proxy.
Plan het script dat wordt gebruikt voor het kopiëren van een NPS-proxyconfiguratie naar andere NPS-proxy's om te besparen op administratieve overhead en om de onjuiste configuratie van een server te voorkomen. NPS biedt de Netsh-opdrachten waarmee u alle of een deel van een NPS-proxyconfiguratie kunt kopiëren voor import naar een andere NPS-proxy. U kunt de opdrachten handmatig uitvoeren bij de Netsh-prompt. Als u de opdrachtreeks echter opslaat als een script, kunt u het script op een later tijdstip uitvoeren als u besluit uw proxyconfiguraties te wijzigen.
Het plannen van RADIUS-clients
RADIUS-clients zijn netwerktoegangsservers, zoals draadloze toegangspunten, VPN-servers (Virtual Private Network), 802.1X-compatibele switches en inbelservers. RADIUS-proxy's, die verbindingsaanvraagberichten doorsturen naar RADIUS-servers, zijn ook RADIUS-clients. NPS ondersteunt alle netwerktoegangsservers en RADIUS-proxy's die voldoen aan het RADIUS-protocol, zoals beschreven in RFC 2865, "Remote Authentication Dial-in User Service (RADIUS)" en RFC 2866, "RADIUS Accounting".
Bovendien moeten zowel draadloze toegangspunten als switches geschikt zijn voor 802.1X-verificatie. Als u EAP (Extensible Authentication Protocol) of Protected Extensible Authentication Protocol (PEAP) wilt implementeren, moeten toegangspunten en switches het gebruik van EAP ondersteunen.
Als u de basisinteroperabiliteit voor PPS-verbindingen voor draadloze toegangspunten wilt testen, configureert u het toegangspunt en de toegangsclient voor het gebruik van Het Protocol voor wachtwoordverificatie (PAP). Gebruik aanvullende op PPS gebaseerde verificatieprotocollen, zoals PEAP, totdat u de protocollen hebt getest die u wilt gebruiken voor netwerktoegang.
Belangrijke stappen
Tijdens de planning voor RADIUS-clients kunt u de volgende stappen uitvoeren.
Documenteer de leverancierspecifieke kenmerken (VSA's) die u moet configureren in NPS. Als voor uw NAS's VSA's zijn vereist, moet u de VSA-gegevens registreren voor later gebruik wanneer u uw netwerkbeleid configureert in NPS.
Documenteer de IP-adressen van RADIUS-clients en uw NPS-proxy om de configuratie van alle apparaten te vereenvoudigen. Wanneer u uw RADIUS-clients implementeert, moet u deze configureren voor gebruik van het RADIUS-protocol, waarbij het IP-adres van de NPS-proxy is ingevoerd als de verificatieserver. En wanneer u NPS configureert om te communiceren met uw RADIUS-clients, moet u de IP-adressen van de RADIUS-client invoeren in de NPS-module.
Maak gedeelde geheimen voor configuratie op de RADIUS-clients en in de NPS-module. U moet RADIUS-clients configureren met een gedeeld geheim of wachtwoord, dat u ook invoert in de NPS-module tijdens het configureren van RADIUS-clients in NPS.
Externe RADIUS-servergroepen plannen
Wanneer u een externe RADIUS-servergroep configureert op een NPS-proxy, vertelt u de NPS-proxy waar u enkele of alle verbindingsaanvraagberichten wilt verzenden die deze ontvangt van netwerktoegangsservers en NPS-proxy's of andere RADIUS-proxy's.
U kunt NPS als RADIUS-proxy gebruiken om verbindingsaanvragen door te sturen naar een of meer externe RADIUS-servergroepen en elke groep kan een of meer RADIUS-servers bevatten. Wanneer u wilt dat de NPS-proxy berichten doorstuurt naar meerdere groepen, configureert u één verbindingsaanvraagbeleid per groep. Het beleid voor verbindingsaanvragen bevat aanvullende informatie, zoals regels voor het bewerken van kenmerken, die de NPS-proxy vertellen welke berichten moeten worden verzonden naar de externe RADIUS-servergroep die is opgegeven in het beleid.
U kunt externe RADIUS-servergroepen configureren met behulp van de Netsh-opdrachten voor NPS, door groepen rechtstreeks te configureren in de NPS-module onder Externe RADIUS-servergroepen of door de wizard Beleid voor nieuwe verbindingsaanvragen uit te voeren.
Belangrijke stappen
Tijdens de planning voor externe RADIUS-servergroepen kunt u de volgende stappen uitvoeren.
Bepaal de domeinen die de RADIUS-servers bevatten waarnaar u wilt dat de NPS-proxy verbindingsaanvragen doorstuurt. Deze domeinen bevatten de gebruikersaccounts voor gebruikers die verbinding maken met het netwerk via de RADIUS-clients die u implementeert.
Bepaal of u nieuwe RADIUS-servers moet toevoegen in domeinen waar RADIUS nog niet is geïmplementeerd.
Documenteer de IP-adressen van RADIUS-servers die u wilt toevoegen aan externe RADIUS-servergroepen.
Bepaal hoeveel externe RADIUS-servergroepen u moet maken. In sommige gevallen kunt u het beste één externe RADIUS-servergroep per domein maken en vervolgens de RADIUS-servers voor het domein toevoegen aan de groep. Er kunnen echter gevallen zijn waarin u een grote hoeveelheid resources in één domein hebt, waaronder een groot aantal gebruikers met gebruikersaccounts in het domein, een groot aantal domeincontrollers en een groot aantal RADIUS-servers. Of uw domein kan betrekking hebben op een groot geografisch gebied, waardoor u netwerktoegangsservers en RADIUS-servers hebt op locaties die zich ver van elkaar bevinden. In deze en mogelijk andere gevallen kunt u meerdere externe RADIUS-servergroepen per domein maken.
Maak gedeelde geheimen voor configuratie op de NPS-proxy en op de externe RADIUS-servers.
Regels voor kenmerkenmanipulatie plannen voor het doorsturen van berichten
Met regels voor kenmerkmanipulatie, die zijn geconfigureerd in beleid voor verbindingsaanvragen, kunt u de Access-Request berichten identificeren die u wilt doorsturen naar een specifieke externe RADIUS-servergroep.
U kunt NPS configureren om alle verbindingsaanvragen door te sturen naar één externe RADIUS-servergroep zonder regels voor kenmerkbewerking te gebruiken.
Als u meer dan één locatie hebt waarnaar u verbindingsaanvragen wilt doorsturen, moet u echter een beleid voor verbindingsaanvragen voor elke locatie maken en vervolgens het beleid configureren met de externe RADIUS-servergroep waarnaar u berichten wilt doorsturen, evenals met de regels voor kenmerkmanipulatie die NPS vertellen welke berichten moeten worden doorgestuurd.
U kunt regels maken voor de volgende kenmerken.
Called-Station-ID. Het telefoonnummer van de netwerktoegangsserver (NAS). De waarde van dit kenmerk is een tekenreeks. U kunt patroonkoppelingssyntaxis gebruiken om netnummers op te geven.
Calling-Station-ID. Het telefoonnummer dat door de beller wordt gebruikt. De waarde van dit kenmerk is een tekenreeks. U kunt patroonkoppelingssyntaxis gebruiken om netnummers op te geven.
User-Name. De gebruikersnaam die wordt verstrekt door de toegangsclient en die is opgenomen door de NAS in het RADIUS-Access-Request bericht. De waarde van dit kenmerk is een tekenreeks die doorgaans een realmnaam en een gebruikersnaam bevat.
Als u realmnamen in de gebruikersnaam van een verbindingsaanvraag correct wilt vervangen of converteren, moet u regels voor kenmerkbewerking configureren voor het User-Name kenmerk voor het juiste beleid voor verbindingsaanvragen.
Belangrijke stappen
Tijdens de planning voor kenmerkmanipulatieregels kunt u de volgende stappen uitvoeren.
Plan berichtroutering van de NAS via de proxy naar de externe RADIUS-servers om te controleren of u een logisch pad hebt waarmee berichten naar de RADIUS-servers moeten worden doorgestuurd.
Bepaal een of meer kenmerken die u wilt gebruiken voor elk beleid voor verbindingsaanvragen.
Documenteer de regels voor kenmerkbewerking die u wilt gebruiken voor elk beleid voor verbindingsaanvragen en koppel de regels aan de externe RADIUS-servergroep waarnaar berichten worden doorgestuurd.
Beleid voor verbindingsaanvragen plannen
Het standaardbeleid voor verbindingsaanvragen wordt geconfigureerd voor NPS wanneer het wordt gebruikt als een RADIUS-server. Aanvullende beleidsregels voor verbindingsaanvragen kunnen worden gebruikt voor het definiëren van specifiekere voorwaarden, het maken van regels voor kenmerkmanipulatie die NPS vertellen welke berichten moeten worden doorgestuurd naar externe RADIUS-servergroepen en om geavanceerde kenmerken op te geven. Gebruik de wizard Beleid voor nieuwe verbindingsaanvragen om algemene of aangepaste beleidsregels voor verbindingsaanvragen te maken.
Belangrijke stappen
Tijdens de planning voor beleid voor verbindingsaanvragen kunt u de volgende stappen uitvoeren.
Verwijder het standaardbeleid voor verbindingsaanvragen op elke server waarop NPS wordt uitgevoerd die alleen als een RADIUS-proxy fungeert.
Plan aanvullende voorwaarden en instellingen die vereist zijn voor elk beleid, waarbij u deze informatie combineert met de externe RADIUS-servergroep en de regels voor het bewerken van kenmerken die voor het beleid zijn gepland.
Ontwerp het plan voor het distribueren van algemene beleidsregels voor verbindingsaanvragen naar alle NPS-proxy's. Maak beleidsregels die gebruikelijk zijn voor meerdere NPS-proxy's op één NPS en gebruik vervolgens de Netsh-opdrachten voor NPS om het beleid voor verbindingsaanvragen en serverconfiguratie op alle andere proxy's te importeren.
NPS-boekhouding plannen
Wanneer u NPS configureert als een RADIUS-proxy, kunt u het zo instellen dat het RADIUS-accounting uitvoert met behulp van logboekbestanden in NPS-indeling, logboekbestanden in database-compatibele indeling of logboekregistratie met NPS SQL Server.
U kunt ook accountingberichten doorsturen naar een externe RADIUS-servergroep die boekhouding uitvoert met behulp van een van deze logboekformaten.
Belangrijke stappen
Tijdens de planning voor NPS accounting kunt u de volgende stappen uitvoeren.
Bepaal of u wilt dat de NPS-proxy boekhoudservices uitvoert of accountingberichten doorstuurt naar een externe RADIUS-servergroep voor boekhouding.
Plan om lokale NPS-proxy-accounting uit te schakelen als u van plan bent accountingberichten door te sturen naar andere servers.
Plan beleidsconfiguratiestappen voor verbindingsaanvragen als u van plan bent om boekhoudberichten door te sturen naar andere servers. Als u lokale boekhouding voor de NPS-proxy uitschakelt, moet voor elk beleid voor verbindingsaanvragen dat u op die proxy configureert, het doorsturen van boekhoudberichten zijn ingeschakeld en correct geconfigureerd.
Bepaal de logboekindeling die u wilt gebruiken: logboekbestanden met IAS-indeling, logboekbestanden met database-compatibele indeling of logboekregistratie van NPS SQL Server.
Voor instructies over het configureren van load balancing voor NPS als een RADIUS-proxy, zie NPS Proxy Server Load Balancing.