网络策略服务器

网络策略服务器

应用到: Windows Server 2008 R2

网络策略服务器

使用网络策略服务器 (NPS),可以为客户端运行状况、连接请求身份验证和连接请求授权创建并强制使用组织范围的网络访问策略。另外,可以将 NPS 用作远程身份验证拨入用户服务 (RADIUS) 代理,以便将连接请求转发到在远程 RADIUS 服务器组中配置的运行 NPS 的服务器或其他 RADIUS 服务器。

通过以下三种功能,NPS 可集中配置和管理网络访问身份验证、授权和客户端运行状况策略:

  • RADIUS server。NPS 为无线、身份验证交换机、远程访问拨号和虚拟专用网络 (VPN) 连接执行集中化的身份验证、授权和记帐。将 NPS 用作 RADIUS 服务器时,可以将无线访问点和 VPN 服务器等网络访问服务器配置为 NPS 中的 RADIUS 客户端。还可以配置 NPS 用于对连接请求进行授权的网络策略,并且可以配置 RADIUS 记帐,以便 NPS 将记帐信息记录到本地硬盘上或 Microsoft SQL Server 数据库中的日志文件。有关详细信息,请参阅 RADIUS 服务器

  • RADIUS proxy。将 NPS 用作 RADIUS 代理时,可以配置连接请求策略,以告诉 NPS 服务器将哪些连接请求转发给其他 RADIUS 服务器,以及要将连接请求转发给哪些 RADIUS 服务器。您还可以配置 NPS,以转发将由远程 RADIUS 服务器组中的一台或多台计算机记录的记帐数据。有关详细信息,请参阅RADIUS 代理

  • Network Access Protection (NAP) policy server。将 NPS 配置为 NAP 策略服务器时,NPS 将评估要连接到网络并支持 NAP 的客户端计算机发送的健康声明 (SoH)。已配置有 NAP 的 NPS 还充当 RADIUS 服务器,从而对连接请求执行身份验证和授权。可以在 NPS 中配置 NAP 策略和设置,包括系统健康验证程序 (SHV)、健康策略和允许客户端计算机将其配置更新为与组织的网络策略兼容的更新服务器组。有关详细信息,请参阅 NPS 中的网络访问保护

可以使用前述功能的任意组合配置 NPS。例如,您可以使用一种或多种强制方法配置一台 NPS 服务器,使之充当 NAP 策略服务器,同时还可以将同一 NPS 服务器配置为用于拨号连接的 RADIUS 服务器,以及配置为 RADIUS 代理,以便将某些连接请求转发到远程 RADIUS 服务器组的成员,以在另一域中进行身份验证和授权。

配置

若要将 NPS 配置为 RADIUS 服务器或 NAP 策略服务器,可以使用 NPS 控制台或服务器管理器中的标准配置或高级配置。若要将 NPS 配置为 RADIUS 代理,则必须使用高级配置。

标准配置

使用标准配置将提供向导,有助于针对以下方案配置 NPS:

  • NAP 策略服务器

  • 用于拨号或 VPN 连接的 RADIUS 服务器

  • 用于 802.1X 无线或有线连接的 RADIUS 服务器

若要使用向导配置 NPS,请打开 NPS 控制台,选择上述方案之一,然后单击打开向导的链接。

高级配置

使用高级配置时,您可以手动将 NPS 配置为 RADIUS 服务器、NAP 策略服务器或 RADIUS 代理。提供的某些向导可帮助您进行策略和 NAP 配置,但是,这些向导是从 NPS 控制台的 NPS 文件夹树中打开的,而不是从控制台细节窗格的“入门”部分打开的。

若要使用高级配置来配置 NPS,请打开 NPS 控制台,然后单击“高级配置”旁边的箭头,展开该部分。

将提供以下高级配置项。

配置 RADIUS 服务器

若要将 NPS 配置为 RADIUS 服务器,您必须配置 RADIUS 客户端、网络策略和 RADIUS 记帐。

下面的“帮助”部分提供了将 NPS 部署为 RADIUS 服务器所需的信息:

配置 NAP 策略服务器

若要部署 NAP,除配置 RADIUS 客户端和网络策略之外,还必须配置 NAP 组件。

下面的“帮助”部分提供了将 NPS 部署为 NAP 策略服务器所需的信息:

配置 RADIUS 代理

若要将 NPS 配置为 RADIUS 代理,您必须配置 RADIUS 客户端、远程 RADIUS 服务器组和连接请求策略。

下面的“帮助”部分提供了将 NPS 部署为 RADIUS 代理所需的信息:

NPS 日志记录

NPS 日志记录也称为“RADIUS 记帐”。无论将 NPS 用作 RADIUS 服务器、代理、NAP 策略服务器还是这三种配置的任意组合,均可根据您的要求配置 NPS 日志记录。

若要配置 NPS 日志记录,您必须配置要使用“事件查看器”记录和查看的事件,然后确定要记录的其他信息。另外,还必须决定是将用户身份验证和记帐信息记录到本地计算机上存储的文本日志文件中,还是记录到本地计算机或远程计算机的 SQL Server 数据库中。

下面的“帮助”部分提供了部署 RADIUS 记帐所需的信息:

posted @ 2016-03-10 19:13  lostARK  阅读(3484)  评论(0编辑  收藏  举报