Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Kiedy wdrażasz serwer zasad sieciowych (NPS) jako serwer proxy usługi RADIUS (Remote Authentication Dial-In User Service) do uwierzytelniania zdalnego, serwer NPS odbiera żądania połączeń od klientów RADIUS, takich jak serwery dostępu do sieci lub inne serwery proxy RADIUS, a następnie przekazuje te żądania do serwerów z uruchomionym NPS lub innymi serwerami RADIUS. Korzystając z tych wytycznych dotyczących planowania, można uprościć wdrażanie usługi RADIUS.
Te wytyczne dotyczące planowania nie obejmują okoliczności, w których chcesz wdrożyć serwer NPS jako serwer RADIUS. Podczas wdrażania serwera NPS jako serwera RADIUS serwer NPS wykonuje uwierzytelnianie, autoryzację i ewidencjonowanie żądań połączeń dla domeny lokalnej oraz domen, które ufają domenie lokalnej.
Przed wdrożeniem serwera NPS jako serwera proxy usługi RADIUS w sieci skorzystaj z poniższych wskazówek, aby zaplanować wdrożenie.
Planowanie konfiguracji serwera NPS.
Planowanie klientów usługi RADIUS.
Planuj zdalne grupy serwerów RADIUS.
Planowanie reguł manipulowania atrybutami na potrzeby przekazywania komunikatów.
Planowanie zasad żądań połączeń.
Planowanie księgowości NPS.
Planowanie konfiguracji serwera NPS
W przypadku używania serwera NPS jako serwera proxy usługi RADIUS serwer NPS przekazuje żądania połączeń do serwera NPS lub innych serwerów RADIUS na potrzeby przetwarzania. W związku z tym członkostwo w domenie serwera proxy NPS jest nieistotne. Proxy nie musi być zarejestrowany w usługach Active Directory Domain Services (AD DS), ponieważ nie wymaga dostępu do właściwości połączeń przychodzących kont użytkowników. Ponadto nie trzeba konfigurować zasad sieciowych na serwerze proxy nps, ponieważ serwer proxy nie wykonuje autoryzacji dla żądań połączenia. Serwer proxy NPS może być członkiem domeny lub serwerem autonomicznym.
Serwer zasad sieciowych musi być skonfigurowany do komunikowania się z klientami usługi RADIUS, nazywanymi również serwerami dostępu do sieci przy użyciu protokołu RADIUS. Ponadto można skonfigurować typy zdarzeń, które NPS zapisuje w dzienniku zdarzeń, oraz wprowadzić opis serwera.
Kluczowe kroki
Podczas planowania konfiguracji serwera proxy NPS można wykonać następujące kroki.
Określ porty usługi RADIUS używane przez serwer proxy serwera NPS do odbierania komunikatów RADIUS z klientów usługi RADIUS i wysyłania komunikatów usługi RADIUS do członków zdalnych grup serwerów RADIUS. Domyślne porty protokołu UDP (User Datagram Protocol) to 1812 i 1645 dla komunikatów uwierzytelniania usługi RADIUS oraz portów UDP 1813 i 1646 dla komunikatów ewidencjonowania aktywności usługi RADIUS.
Jeśli serwer proxy NPS jest skonfigurowany z wieloma kartami sieciowymi, określ karty, dla których ruch usługi RADIUS ma być dozwolony.
Określ typy zdarzeń, które mają być rejestrowane przez serwer NPS w dzienniku zdarzeń. Możesz rejestrować odrzucone żądania połączenia, żądania pomyślnego połączenia lub oba te żądania.
Ustal, czy wdrażasz więcej niż jeden serwer proxy nps. Aby zapewnić odporność na uszkodzenia, należy użyć co najmniej dwóch serwerów proxy NPS. Jeden serwer proxy serwera NPS jest używany jako podstawowy serwer proxy usługi RADIUS, a drugi jest używany jako kopia zapasowa. Każdy klient RADIUS jest następnie konfigurowany na obu serwerach proxy NPS. Jeśli podstawowy serwer proxy serwera NPS stanie się niedostępny, klienci usługi RADIUS wysyłają Access-Request komunikaty do alternatywnego serwera proxy serwera NPS.
Zaplanuj skrypt używany do kopiowania konfiguracji serwera proxy NPS do innych serwerów proxy NPS, aby zredukować obciążenie administracyjne i zapobiec nieprawidłowej konfiguracji serwera. NPS udostępnia polecenia netsh, które umożliwiają kopiowanie całości lub części konfiguracji serwera proxy NPS w celu zaimportowania jej na inny serwer proxy NPS. Polecenia można uruchamiać ręcznie w wierszu polecenia Netsh. Jeśli jednak zapiszesz sekwencję poleceń jako skrypt, możesz uruchomić skrypt w późniejszym terminie, jeśli zdecydujesz się zmienić konfiguracje serwera proxy.
Planowanie klientów usługi RADIUS
Klienci RADIUS to serwery dostępu do sieci, takie jak punkty dostępu bezprzewodowego, serwery wirtualnej sieci prywatnej (VPN), przełączniki z obsługą 802,1 X i serwery telefoniczne. Serwery proxy usługi RADIUS, które przesyłają dalej komunikaty żądania połączenia do serwerów RADIUS, są również klientami usługi RADIUS. NPS obsługuje wszystkie serwery dostępu do sieci i serwery proxy RADIUS, które są zgodne z protokołem RADIUS, zgodnie z opisem w dokumentach RFC 2865, "Zdalna Autoryzacja Usług Dial-in", i RFC 2866, "RADIUS Accounting".
Ponadto zarówno punkty dostępu bezprzewodowego, jak i przełączniki muszą mieć możliwość uwierzytelniania 802.1X. Jeśli chcesz wdrożyć protokół EAP (Extensible Authentication Protocol) lub Protokół PEAP (Protected Extensible Authentication Protocol), punkty dostępu i przełączniki muszą obsługiwać korzystanie z protokołu EAP.
Aby przetestować podstawową współdziałanie połączeń PPP dla punktów dostępu bezprzewodowego, skonfiguruj punkt dostępu i klienta dostępu do korzystania z protokołu uwierzytelniania haseł (PAP). Użyj dodatkowych protokołów uwierzytelniania opartych na protokole PPP, takich jak PEAP, dopóki nie przetestowano tych, które mają być używane do uzyskiwania dostępu do sieci.
Kluczowe kroki
Podczas planowania dla klientów usługi RADIUS można wykonać następujące kroki.
Udokumentowanie atrybutów specyficznych dla dostawcy (VSA), które należy skonfigurować w usłudze NPS. Jeśli twoje serwery NAS wymagają atrybutów VSA, zarejestruj informacje o atrybutach VSA na późniejsze użycie podczas konfigurowania zasad sieciowych w usłudze NPS.
Udokumentuj adresy IP klientów usługi RADIUS i serwer proxy NPS, aby uprościć konfigurację wszystkich urządzeń. Podczas wdrażania klientów usługi RADIUS należy skonfigurować je tak, aby używały protokołu RADIUS z adresem IP serwera proxy serwera NPS wprowadzonym jako serwer uwierzytelniający. Podczas konfigurowania NPS do komunikowania się z klientami RADIUS należy wprowadzić adresy IP klienta RADIUS do przystawki NPS.
Utwórz udostępnione tajne klucze do konfiguracji na klientach RADIUS i w przystawce NPS. Należy skonfigurować klientów usługi RADIUS z wspólnym sekretem lub hasłem, które również zostaną wprowadzone do przystawki NPS podczas konfigurowania klientów usługi RADIUS w usłudze NPS.
Planowanie zdalnych grup serwerów RADIUS
Podczas konfigurowania zdalnej grupy serwerów RADIUS na serwerze proxy NPS informujesz serwer proxy NPS, gdzie wysyłać niektóre lub wszystkie komunikaty żądania połączenia odbierane z serwerów dostępu do sieci oraz serwerów proxy NPS lub innych serwerów proxy RADIUS.
Można użyć NPS (Network Policy Server) jako serwera proxy RADIUS do przekazywania żądań połączeń do jednej lub więcej zdalnych grup serwerów RADIUS, z których każda może zawierać jeden lub więcej serwerów RADIUS. Jeśli serwer proxy NPS ma przekazywać komunikaty do wielu grup, skonfiguruj jedną zasadę żądania połączenia dla każdej grupy. Zasady żądania połączenia zawierają dodatkowe informacje, takie jak reguły manipulowania atrybutami, które informują serwer proxy serwera NPS o komunikatach wysyłanych do zdalnej grupy serwerów RADIUS określonych w zasadach.
Grupy zdalnych serwerów RADIUS można skonfigurować przy użyciu poleceń Netsh dla serwera NPS, konfigurując grupy bezpośrednio w przystawce serwera NPS w obszarze Grupy zdalnych serwerów RADIUS lub uruchamiając kreatora nowych zasad żądania połączenia.
Kluczowe kroki
Podczas planowania zdalnych grup serwerów RADIUS można wykonać następujące kroki.
Określ domeny, które zawierają serwery RADIUS, do których serwer proxy NPS ma przekazywać żądania połączeń. Te domeny zawierają konta użytkowników, którzy łączą się z siecią za pośrednictwem wdrożonych klientów usługi RADIUS.
Ustal, czy należy dodać nowe serwery RADIUS w domenach, w których usługa RADIUS nie została jeszcze wdrożona.
Udokumentować adresy IP serwerów RADIUS, które chcesz dodać do zdalnych grup serwerów RADIUS.
Określ liczbę zdalnych grup serwerów RADIUS, które należy utworzyć. W niektórych przypadkach najlepiej utworzyć jedną zdalną grupę serwerów RADIUS na domenę, a następnie dodać serwery RADIUS dla domeny do grupy. Mogą jednak wystąpić przypadki, w których masz dużą ilość zasobów w jednej domenie, w tym dużą liczbę użytkowników z kontami użytkowników w domenie, dużą liczbę kontrolerów domeny i dużą liczbę serwerów RADIUS. Lub domena może obejmować duży obszar geograficzny, powodując, że serwery dostępu do sieci i serwery RADIUS znajdują się w lokalizacjach, które są odległe od siebie. W tych i ewentualnie innych przypadkach można utworzyć wiele zdalnych grup serwerów RADIUS na domenę.
Utwórz współdzielone sekrety do konfiguracji na proxy NPS i zdalnych serwerach RADIUS.
Planowanie reguł manipulowania atrybutami na potrzeby przekazywania komunikatów
Reguły manipulowania atrybutami, które są skonfigurowane w zasadach żądań połączenia, umożliwiają identyfikowanie komunikatów Access-Request, które mają być przekazywane do określonej zdalnej grupy serwerów RADIUS.
Można skonfigurować serwer NPS, aby przesyłał wszystkie żądania połączeń do jednej zdalnej grupy serwerów RADIUS bez użycia reguł manipulacji atrybutami.
Jeśli masz więcej niż jedną lokalizację, do której chcesz przesłać dalej żądania połączenia, należy jednak utworzyć zasady żądania połączenia dla każdej lokalizacji, a następnie skonfigurować zasady z zdalną grupą serwerów RADIUS, do której chcesz przekazywać komunikaty, a także z regułami manipulowania atrybutami, które informują serwer zasad sieciowych, które komunikaty mają być przekazywane.
Możesz utworzyć reguły dla następujących atrybutów.
Called-Station-ID. Numer telefonu serwera dostępu do sieci (NAS). Wartość tego atrybutu jest ciągiem znaków. Do określania kodów obszarów można użyć składni dopasowywania wzorców.
Calling-Station-ID. Numer telefonu używany przez rozmówcę. Wartość tego atrybutu jest ciągiem znaków. Do określania kodów obszarów można użyć składni dopasowywania wzorców.
User-Name. Nazwa użytkownika podana przez klienta dostępu i dołączona przez NAS do komunikatu usługi RADIUS Access-Request. Wartość tego atrybutu to ciąg znaków, który zazwyczaj zawiera nazwę obszaru i nazwę konta użytkownika.
Aby poprawnie zastąpić lub przekonwertować nazwy domen w nazwie użytkownika dla żądania połączenia, należy skonfigurować reguły przekształcania atrybutów dla atrybutu User-Name w odpowiedniej polityce żądania połączenia.
Kluczowe kroki
Podczas planowania reguł manipulowania atrybutami można wykonać następujące kroki.
Zaplanuj routing komunikatów z serwera NAS przez serwer proxy do zdalnych serwerów RADIUS, aby sprawdzić, czy masz ścieżkę logiczną, z którą mają być przekazywane komunikaty do serwerów RADIUS.
Określ co najmniej jeden atrybut, którego chcesz użyć dla każdej zasady żądania połączenia.
Udokumentowanie reguł manipulowania atrybutami, które mają być używane dla poszczególnych zasad żądania połączenia, i dopasuj reguły do zdalnej grupy serwerów RADIUS, do której są przekazywane komunikaty.
Planowanie zasad żądań połączeń
Domyślne zasady żądania połączenia są konfigurowane dla serwera NPS, gdy jest używany jako serwer RADIUS. Dodatkowe zasady żądań połączeń mogą służyć do definiowania bardziej szczegółowych warunków, tworzenia reguł przetwarzania atrybutów, które informują serwer NPS, które komunikaty mają być przekazywane do zdalnych grup serwerów RADIUS oraz do określania zaawansowanych atrybutów. Użyj Kreatora nowych zasad żądań połączenia, aby utworzyć typowe lub niestandardowe zasady żądań połączenia.
Kluczowe kroki
Podczas planowania zasad żądań połączeń można wykonać następujące kroki.
Usuń domyślne zasady żądań połączenia na każdym serwerze z uruchomionym NPS, które działają wyłącznie jako serwer proxy RADIUS.
Zaplanuj dodatkowe warunki i ustawienia wymagane dla każdej zasady, łącząc te informacje z zdalną grupą serwerów RADIUS i regułami manipulowania atrybutami zaplanowanymi dla zasad.
Zaprojektuj plan dystrybuowania typowych zasad żądań połączeń do wszystkich serwerów proxy nps. Utwórz zasady wspólne dla wielu serwerów proxy nps na jednym serwerze NPS, a następnie użyj poleceń Netsh dla serwera NPS, aby zaimportować zasady żądań połączenia i konfigurację serwera na wszystkich innych serwerach proxy.
Planowanie rachunkowości NPS
Podczas konfigurowania usługi NPS jako serwera proxy RADIUS, można skonfigurować go do wykonywania ewidencjonowania RADIUS przy użyciu plików dziennika w formacie NPS, plików dziennika w formacie zgodnym z bazami danych lub rejestrowania SQL Server za pomocą serwera NPS.
Możesz również przekazywać komunikaty ewidencjonowania aktywności do zdalnej grupy serwerów RADIUS, która wykonuje ewidencjonowanie aktywności przy użyciu jednego z tych formatów rejestrowania.
Kluczowe kroki
Podczas planowania ewidencjonowania aktywności serwera NPS można wykonać następujące kroki.
Określ, czy serwer proxy nps ma wykonywać usługi księgowe, czy przekazywać komunikaty księgowe do zdalnej grupy serwerów RADIUS na potrzeby ewidencjonowania aktywności.
Zaplanuj wyłączenie lokalnego rozliczania proxy NPS, jeśli planujesz przekazywać komunikaty dotyczące rozliczeń do innych serwerów.
Zaplanuj kroki konfiguracji zasad żądania połączenia, jeśli planujesz przekazywanie komunikatów księgowych do innych serwerów. Jeśli wyłączysz lokalne ewidencjonowanie aktywności serwera proxy nps, wszystkie zasady żądań połączeń skonfigurowane na tym serwerze proxy muszą mieć włączone i prawidłowo skonfigurowane przekazywanie komunikatów ewidencjonowania aktywności.
Określ format rejestrowania, którego chcesz użyć: pliki dziennika formatu IAS, pliki dziennika zgodne z bazą danych lub rejestrowanie SQL Server NPS.
Aby skonfigurować równoważenie obciążenia serwera NPS jako serwera proxy usługi RADIUS, zobacz Równoważenie obciążenia serwera proxy npS.