Przetwarzanie żądań połączenia

W tym temacie można dowiedzieć się więcej o przetwarzaniu żądań połączenia na serwerze zasad sieciowych w systemie Windows Server 2016.

Można użyć przetwarzania żądań połączenia, aby określić, gdzie jest wykonywane uwierzytelnianie żądań połączenia — na komputerze lokalnym lub na zdalnym serwerze RADIUS, który jest członkiem zdalnej grupy serwerów RADIUS.

Jeśli chcesz, aby serwer lokalny z uruchomionym serwerem zasad sieciowych (NPS) wykonywał uwierzytelnianie dla żądań połączeń, możesz użyć domyślnych zasad żądania połączenia bez dodatkowej konfiguracji. Na podstawie zasad domyślnych serwer NPS uwierzytelnia użytkowników i komputery, które mają konto w domenie lokalnej i w zaufanych domenach.

Jeśli chcesz przekazywać żądania połączeń do zdalnego serwera NPS lub innego serwera RADIUS, utwórz zdalną grupę serwerów RADIUS, a następnie skonfiguruj zasady żądania połączenia, które przesyłają dalej żądania do tej zdalnej grupy serwerów RADIUS. Dzięki tej konfiguracji serwer NPS może przekazywać żądania uwierzytelniania do dowolnego serwera RADIUS, a użytkownicy z kontami w niezaufanych domenach mogą być uwierzytelniani.

Poniższa ilustracja przedstawia ścieżkę komunikatu Access-Request z serwera dostępu sieciowego do serwera proxy radius, a następnie do serwera RADIUS w zdalnej grupie serwerów RADIUS. Na serwerze proxy usługi RADIUS serwer dostępu do sieci jest skonfigurowany jako klient USŁUGI RADIUS; i na każdym serwerze RADIUS serwer proxy usługi RADIUS jest skonfigurowany jako klient USŁUGI RADIUS.

Jeśli serwer NPS ma przetwarzać żądania uwierzytelniania lokalnie podczas przekazywania innych żądań do zdalnej grupy serwerów RADIUS, skonfiguruj więcej niż jedną zasadę żądania połączenia.

Aby skonfigurować zasady żądania połączenia określające, które serwery NPS lub RADIUS przetwarzają żądania uwierzytelniania, zobacz Zasady żądań połączeń.

Aby określić serwer NPS lub inne serwery RADIUS, do których są przekazywane żądania uwierzytelniania, zobacz Zdalne grupy serwerów RADIUS.

NPS jako serwer RADIUS do przetwarzania żądań połączenia

W przypadku używania serwera NPS jako serwera RADIUS komunikaty usługi RADIUS zapewniają uwierzytelnianie, autoryzację i ewidencjonowanie aktywności połączeń dostępu do sieci w następujący sposób:

1. Serwery dostępu, takie jak serwery dostępu do sieci telefonicznej, serwery sieci VPN i punkty dostępu bezprzewodowego, odbierają żądania połączeń od klientów dostępu.

2. Serwer dostępu skonfigurowany do używania usługi RADIUS jako protokołu uwierzytelniania, autoryzacji i księgowości tworzy komunikat Access-Request i wysyła go do serwera NPS.

3. Serwer NPS ocenia komunikat Access-Request.

4. Jeśli jest to wymagane, serwer NPS wysyła komunikat Access-Challenge do serwera dostępu. Serwer dostępu przetwarza wyzwanie i wysyła zaktualizowaną Access-Request do serwera NPS.

5. Poświadczenia użytkownika są sprawdzane, a właściwości dostępu zdalnego konta użytkownika są uzyskiwane przy użyciu bezpiecznego połączenia z kontrolerem domeny.

6. Próba połączenia jest autoryzowana zarówno dzięki właściwościom dostępu do konta użytkownika, jak i zasadom sieciowym.

7. Jeśli próba połączenia jest zarówno uwierzytelniona, jak i autoryzowana, serwer NPS wysyła komunikat Access-Accept do serwera dostępu. Jeśli próba połączenia nie jest uwierzytelniona lub nie jest autoryzowana, serwer NPS wysyła komunikat Access-Reject do serwera dostępu.

8. Serwer dostępu kończy proces połączenia z klientem dostępu i wysyła komunikat Accounting-Request do NPS, gdzie komunikat jest rejestrowany.

9. NPS wysyła Accounting-Response do serwera dostępu.

NPS jako serwer proxy RADIUS do przetwarzania żądań połączenia

Gdy serwer NPS jest używany jako serwer proxy RADIUS między klientem usługi RADIUS i serwerem RADIUS, komunikaty radius dotyczące prób połączenia dostępu do sieci są przekazywane w następujący sposób:

1. Serwery dostępu, takie jak serwery dostępu do sieci telefonicznej, serwery wirtualnej sieci prywatnej (VPN) i punkty dostępu bezprzewodowego, odbierają żądania połączeń od klientów dostępu.

2. Serwer dostępu skonfigurowany do używania usługi RADIUS jako protokołu uwierzytelniania, autoryzacji i księgowości tworzy komunikat Access-Request i wysyła go do serwera NPS, który jest używany jako serwer proxy usługi RADIUS serwera NPS.

3. Serwer proxy usługi RADIUS serwera NPS odbiera komunikat Access-Request, a na podstawie lokalnie skonfigurowanych zasad żądań połączeń określa miejsce przekazywania komunikatu Access-Request.

4. Serwer proxy RADIUS NPS przekazuje komunikat Access-Request do odpowiedniego serwera RADIUS.

5. Serwer RADIUS ocenia komunikat Access-Request.

6. Jeśli jest to wymagane, serwer RADIUS wysyła komunikat Access-Challenge do serwera proxy usługi RADIUS serwera NPS, gdzie jest przekazywany do serwera dostępu. Serwer dostępu przetwarza wyzwanie z klientem dostępu i wysyła zaktualizowaną Access-Request do serwera proxy RADIUS NPS, a następnie jest ona przekazywana do serwera RADIUS.

7. Serwer RADIUS uwierzytelnia się i autoryzuje próbę połączenia.

8. Jeśli próba połączenia jest zarówno uwierzytelniona, jak i autoryzowana, serwer RADIUS wysyła komunikat Access-Accept do serwera proxy usługi RADIUS serwera NPS, gdzie jest przekazywany do serwera dostępu. Jeśli próba połączenia nie jest uwierzytelniona lub nie jest autoryzowana, serwer RADIUS wysyła komunikat Access-Reject do serwera proxy usługi RADIUS serwera NPS, gdzie jest przekazywany do serwera dostępu.

9. Serwer dostępu kończy proces połączenia z klientem dostępu i wysyła komunikat Accounting-Request do serwera proxy RADIUS NPS. Serwer proxy NPS RADIUS rejestruje dane rozliczeniowe i przekazuje komunikat do serwera RADIUS.

10. Serwer RADIUS wysyła Accounting-Response do serwera proxy RADIUS NPS, skąd jest przekazywany do serwera dostępu.

Aby uzyskać więcej informacji na temat serwera zasad sieciowych (NPS), zobacz Network Policy Server (NPS).