Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten temat umożliwia zapoznanie się z najlepszymi rozwiązaniami dotyczącymi wdrażania serwera zasad sieciowych (NPS) i zarządzania nim.
Poniższe sekcje zawierają najlepsze rozwiązania dotyczące różnych aspektów wdrożenia serwera NPS.
Accounting
Poniżej przedstawiono najlepsze praktyki dotyczące rejestrowania NPS.
Istnieją dwa typy księgowania lub rejestrowania w usłudze NPS:
Rejestrowanie zdarzeń dla serwera NPS. Możesz użyć rejestrowania zdarzeń do zapisywania zdarzeń serwera NPS w dziennikach zdarzeń systemu i zabezpieczeń. Jest to używane głównie do inspekcji i rozwiązywania problemów z próbami połączenia.
Rejestrowanie żądań uwierzytelniania użytkowników i rozliczeniowych. Możesz rejestrować żądania uwierzytelniania i ewidencjonowania aktywności użytkowników w formacie tekstowym lub w formacie bazy danych albo logować się do procedury składowanej w bazie danych programu SQL Server 2000. Rejestrowanie żądań jest używane głównie na potrzeby analizy połączeń i rozliczeń, a także jest przydatne jako narzędzie do badania zabezpieczeń, zapewniając metodę śledzenia aktywności osoby atakującej.
Aby najskuteczniej wykorzystać rejestrowanie zdarzeń NPS:
Włącz początkowo rejestrowanie dla rekordów uwierzytelniania i rozliczeń. Zmodyfikuj te opcje po określeniu, co jest odpowiednie dla danego środowiska.
Upewnij się, że rejestrowanie zdarzeń jest skonfigurowane z pojemnością wystarczającą do obsługi dzienników.
Regularnie twórz kopie zapasowe wszystkich plików dziennika, ponieważ nie można ich odtworzyć po ich uszkodzeniu lub usunięciu.
Użyj RADIUS atrybutu Klasa, aby zarówno śledzić użycie, jak i uprościć identyfikację działu lub użytkownika, któremu należy naliczyć opłaty za wykorzystanie. Mimo że automatycznie wygenerowany atrybut Klasy jest unikatowy dla każdego żądania, mogą istnieć zduplikowane rekordy w przypadkach, w których odpowiedź na serwer dostępu zostanie utracona, a żądanie jest wznawiane. Może być konieczne usunięcie zduplikowanych żądań z dzienników w celu dokładnego śledzenia użycia.
Jeśli serwery dostępu do sieci i serwery proxy radius okresowo wysyłają fikcyjne komunikaty żądania połączenia do serwera NPS, aby sprawdzić, czy serwer NPS jest w trybie online, użyj ustawienia rejestru ping nazwy użytkownika . To ustawienie umożliwia skonfigurowanie serwera NPS do automatycznego odrzucania tych fałszywych żądań połączenia bez ich przetwarzania. Ponadto serwer NPS nie rejestruje transakcji obejmujących fikcyjną nazwę użytkownika w żadnych plikach dziennika, co ułatwia interpretowanie dziennika zdarzeń.
Wyłącz przekazywanie powiadomień NAS. Można wyłączyć przekazywanie komunikatów uruchamiania i zatrzymywania z serwerów dostępu sieciowego (NAS) do członków zdalnej grupy serwerów RADIUS skonfigurowanej w serwerze NPS. Aby uzyskać więcej informacji, zobacz Wyłączanie przekazywania powiadomień NAS.
Aby uzyskać więcej informacji, zobacz Konfigurowanie ewidencjonowania aktywności serwera zasad sieciowych.
- Aby zapewnić tryb failover i nadmiarowość przy użyciu rejestrowania programu SQL Server, umieść dwa komputery z programem SQL Server w różnych podsieciach. Użyj Kreatora tworzenia publikacji programu SQL Server, aby skonfigurować replikację bazy danych między dwoma serwerami. Aby uzyskać więcej informacji, zobacz Dokumentację techniczną programu SQL Server i replikację programu SQL Server.
Authentication
Poniżej przedstawiono najlepsze rozwiązania dotyczące uwierzytelniania.
- Użyj metod uwierzytelniania opartych na certyfikatach, takich jak Protokół PEAP (Protected Extensible Authentication Protocol) i Protokół EAP (Extensible Authentication Protocol) na potrzeby silnego uwierzytelniania. Nie należy używać metod uwierzytelniania tylko do hasła, ponieważ są narażone na różne ataki i nie są bezpieczne. W przypadku bezpiecznego uwierzytelniania bezprzewodowego zaleca się używanie protokołu PEAP-MS-CHAP v2, ponieważ serwer NPS potwierdza swoją tożsamość klientom bezprzewodowym przy użyciu certyfikatu serwera, podczas gdy użytkownicy potwierdzają swoją tożsamość przy użyciu nazwy użytkownika i hasła. Aby uzyskać więcej informacji na temat korzystania z NPS we wdrożeniu bezprzewodowym, zobacz Wdrażanie Password-Based 802.1X Uwierzytelnionego Dostępu Bezprzewodowego.
- Wdróż własny urząd certyfikacji z usługami certyfikatów Active Directory® (AD CS), jeśli używasz silnych metod uwierzytelniania opartych na certyfikatach, takich jak PEAP i EAP, które wymagają użycia certyfikatu serwera na serwerach NPS. Możesz również użyć urzędu certyfikacji do rejestrowania certyfikatów komputerów i certyfikatów użytkowników. Aby uzyskać więcej informacji na temat wdrażania certyfikatów serwera na serwerach NPS i dostępu zdalnego, zobacz Deploy Server Certificates for 802.1X Wired and Wireless Deployments (Wdrażanie certyfikatów serwera dla wdrożeń przewodowych i bezprzewodowych 802.1X).
Important
Serwer zasad sieciowych (NPS) nie obsługuje używania rozszerzonych znaków ASCII w hasłach.
Konfiguracja komputera klienckiego
Poniżej przedstawiono najlepsze rozwiązania dotyczące konfiguracji komputera klienckiego.
- Automatycznie skonfiguruj wszystkie komputery klienckie 802.1X będące członkami domeny przy użyciu Zasad Grupowych. Aby uzyskać więcej informacji, zobacz sekcję "Konfigurowanie zasad sieci bezprzewodowej (IEEE 802.11) w temacie Wdrażanie dostępu bezprzewodowego.
Sugestie dotyczące instalacji
Poniżej przedstawiono najlepsze rozwiązania dotyczące instalowania serwera NPS.
Przed zainstalowaniem serwera NPS zainstaluj i przetestuj każdy z serwerów dostępu do sieci przy użyciu lokalnych metod uwierzytelniania przed skonfigurowaniem ich jako klientów usługi RADIUS w usłudze NPS.
Po zainstalowaniu i skonfigurowaniu serwera NPS zapisz konfigurację przy użyciu polecenia programu Windows PowerShell Export-NpsConfiguration. Zapisz konfigurację serwera NPS za pomocą tego polecenia za każdym razem, gdy ponownie skonfigurujesz serwer NPS.
Caution
- Wyeksportowany plik konfiguracji serwera NPS zawiera niezaszyfrowane wspólne wpisy tajne dla klientów usługi RADIUS i członków zdalnych grup serwerów usługi RADIUS. W związku z tym upewnij się, że plik został zapisany w bezpiecznej lokalizacji.
- Proces eksportowania nie obejmuje ustawień rejestrowania programu Microsoft SQL Server w wyeksportowanym pliku. W przypadku importowania wyeksportowanego pliku do innego serwera NPS należy ręcznie skonfigurować rejestrowanie programu SQL Server na nowym serwerze.
Dostrajanie wydajności serwera NPS
Poniżej przedstawiono najlepsze rozwiązania dotyczące dostrajania wydajności serwera NPS.
Aby zoptymalizować czasy odpowiedzi uwierzytelniania i autoryzacji serwera NPS i zminimalizować ruch sieciowy, zainstaluj serwer NPS na kontrolerze domeny.
Gdy używane są uniwersalne nazwy główne (UPN) lub domeny Windows Server 2008 i Windows Server 2003, serwer zasad sieciowych używa wykazu globalnego do uwierzytelniania użytkowników. Aby zminimalizować czas potrzebny na to, zainstaluj serwer NPS na serwerze wykazu globalnego lub serwerze, który znajduje się w tej samej podsieci co serwer wykazu globalnego.
Po skonfigurowaniu zdalnych grup serwerów RADIUS i w zasadach żądań połączeń serwera NPS wyczyść informacje ewidencjonowania aktywności na serwerach w następującej zdalnej grupie serwerów RADIUS pole wyboru, te grupy są nadal wysyłane do serwera dostępu sieciowego (NAS) uruchamiania i zatrzymywania komunikatów powiadomień. Spowoduje to utworzenie niepotrzebnego ruchu sieciowego. Aby wyeliminować ten ruch, wyłącz przekazywanie powiadomień NAS dla poszczególnych serwerów w każdej zdalnej grupie serwerów RADIUS, usuwając zaznaczenie pola wyboru Przekazywanie powiadomień o uruchamianiu i zatrzymywaniu sieci do tego serwera .
Używanie serwera NPS w dużych organizacjach
Poniżej przedstawiono najlepsze rozwiązania dotyczące używania serwera NPS w dużych organizacjach.
Jeśli używasz zasad sieciowych w celu ograniczenia dostępu dla wszystkich, ale niektórych grup, utwórz grupę uniwersalną dla wszystkich użytkowników, dla których chcesz zezwolić na dostęp, a następnie utwórz zasady sieciowe, które udzielają dostępu dla tej grupy uniwersalnej. Nie umieszczaj wszystkich użytkowników bezpośrednio w grupie uniwersalnej, zwłaszcza jeśli masz dużą ich liczbę w sieci. Zamiast tego utwórz oddzielne grupy, które są członkami grupy uniwersalnej, i dodaj użytkowników do tych grup.
Użyj głównej nazwy użytkownika, aby odwoływać się do użytkowników, gdy jest to możliwe. Użytkownik może mieć tę samą główną nazwę użytkownika niezależnie od członkostwa w domenie. Ta praktyka zapewnia skalowalność, która może być wymagana w organizacjach z dużą liczbą domen.
Jeśli serwer zasad sieciowych (NPS) został zainstalowany na komputerze innym niż kontroler domeny, a serwer NPS odbiera dużą liczbę żądań uwierzytelniania na sekundę, można zwiększyć wydajność serwera NPS, zwiększając liczbę współbieżnych uwierzytelnień dozwolonych między serwerem ZASAD sieciowych i kontrolerem domeny. Aby uzyskać więcej informacji, zobacz Zwiększanie liczby jednoczesnych uwierzytelnień przetwarzanych przez serwer NPS.
Problemy z zabezpieczeniami
Poniżej przedstawiono najlepsze rozwiązania dotyczące ograniczania problemów z zabezpieczeniami.
W przypadku zdalnego administrowania NPS, nie należy wysyłać danych wrażliwych lub poufnych (na przykład wspólnych tajemnic lub haseł) za pośrednictwem sieci w postaci nieszyfrowanej. Istnieją dwie zalecane metody zdalnego administrowania serwerami NPS:
Użyj usług pulpitu zdalnego, aby uzyskać dostęp do serwera NPS. W przypadku korzystania z usług pulpitu zdalnego dane nie są wysyłane między klientem a serwerem. Tylko interfejs użytkownika serwera (na przykład pulpit systemu operacyjnego i obraz konsoli serwera NPS) jest wysyłany do klienta usług pulpitu zdalnego, który nosi nazwę Podłączanie pulpitu zdalnego w systemie Windows® 10. Klient wysyła dane wejściowe klawiatury i myszy, które są przetwarzane lokalnie przez serwer z włączonymi usługami pulpitu zdalnego. Gdy użytkownicy usług pulpitu zdalnego logują się, mogą wyświetlać tylko swoje indywidualne sesje klienta, które są zarządzane przez serwer i są niezależne od siebie. Ponadto połączenie pulpitu zdalnego zapewnia 128-bitowe szyfrowanie między klientem a serwerem.
Szyfruj poufne dane przy użyciu zabezpieczeń protokołu internetowego (IPsec). Protokół IPsec umożliwia szyfrowanie komunikacji między serwerem NPS a zdalnym komputerem klienckim używanym do administrowania serwerem NPS. Aby zdalnie administrować serwerem, można zainstalować narzędzia administracji zdalnej serwera dla systemu Windows 10 na komputerze klienckim. Po zakończeniu instalacji użyj programu Microsoft Management Console (MMC), aby dodać przystawkę NPS do konsoli.
Important
Narzędzia administracji zdalnej serwera dla systemu Windows 10 można zainstalować tylko w pełnej wersji systemu Windows 10 Professional lub Windows 10 Enterprise.
Aby uzyskać więcej informacji na temat serwera zasad sieciowych (NPS), zobacz Network Policy Server (NPS).