U kunt NPS (Network Policy Server) gebruiken als een RADIUS-proxy om RADIUS-berichten te verzenden tussen RADIUS-clients (toegangsservers) en RADIUS-servers die gebruikersverificatie, -autorisatie en -accounting uitvoeren voor de verbindingspoging. Wanneer NPS wordt gebruikt als een RADIUS-proxy, is NPS een centraal schakel- of routeringspunt via waar RADIUS-berichten voor toegang en accounting worden verzonden. Informatie over de doorgestuurde berichten wordt door NPS vastgelegd in een logboek.

De volgende illustratie toont NPS als een RADIUS-proxy tussen RADIUS-clients (toegangsservers) en RADIUS-servers of een andere RADIUS-proxy.

NPS als een RADIUS-proxy

Wanneer NPS wordt gebruikt als een RADIUS-proxy tussen een RADIUS-client en een RADIUS-server, worden RADIUS-berichten voor verbindingspogingen op de volgende manier doorgestuurd:

  1. Toegangsservers, zoals inbelservers, VPN-servers (Virtual Private Network) en draadloze toegangspunten, ontvangen verbindingsaanvragen van toegangsclients.

  2. De toegangsserver, geconfigureerd voor het gebruik van RADIUS als protocol voor verificatie, autorisatie en accounting, maakt een Access-Request-bericht en stuurt dit naar de NPS-server die als NPS RADIUS-proxy wordt gebruikt.

  3. De NPS RADIUS-proxy ontvangt het Access-Request-bericht en bepaalt op basis van de lokaal geconfigureerde beleidsregels voor verbindingsaanvragen waarnaar het bericht moet worden doorgestuurd.

  4. De NPS RADIUS-proxy stuurt het Access-Request-bericht door naar de juiste RADIUS-server.

  5. De RADIUS-server evalueert het Access-Request-bericht.

  6. Indien vereist, stuurt de RADIUS-server een Access-Challenge-bericht naar de NPS RADIUS-proxy, vanaf waar het bericht wordt doorgestuurd naar de toegangsserver. De challenge voor de toegangsclient wordt door de toegangsserver voltooid en deze stuurt een bijgewerkt Acces-Request-bericht naar de NPS RADIUS-proxy, vanaf waar het bericht wordt doorgestuurd naar de RADIUS-server.

  7. De RADIUS-server verifieert en autoriseert de verbindingspoging.

  8. Als de verbindingspoging kan worden geverifieerd en geautoriseerd, stuurt de RADIUS-server een Access-Accept-bericht naar de NPS RADIUS-proxy, vanaf waar het bericht wordt doorgestuurd naar de toegangsserver.

    Als de verbindingspoging niet kan worden geverifieerd of niet kan worden geautoriseerd, stuurt de RADIUS-server een Access-Reject-bericht naar de NPS RADIUS-proxy, vanaf waar het bericht wordt doorgestuurd naar de toegangsserver.

  9. Het verbindingsproces met de toegangsclient wordt door de toegangsserver voltooid en deze stuurt een Accounting-Request-bericht naar de NPS RADIUS-proxy. De NPS RADIUS-proxy legt de accountinggegevens vast in een logboek en stuurt het bericht door naar de RADIUS-server.

  10. De RADIUS-server stuurt een Accounting-Response naar de NPS RADIUS-proxy, vanaf waar het bericht wordt doorgestuurd naar de toegangsserver.

U kunt NPS als een RADIUS-proxy gebruiken wanneer:

  • U een serviceprovider bent die uitbestede services voor inbelverbindingen, VPN-verbindingen of draadloze verbindingen biedt aan meerdere klanten. Verbindingsaanvragen worden door uw NAS-servers naar de NPS RADIUS-proxy verzonden. Op basis van het realm-gedeelte van de gebruikersnaam in de verbindingsaanvraag wordt de aanvraag door de NPS RADIUS-proxy doorgestuurd naar een RADIUS-server die wordt onderhouden door de klant en die de verbindingsaanvraag kan verifiëren en autoriseren.

  • U gebruikersaccounts wilt verifiëren en autoriseren die geen lid zijn van het domein met de NPS-server of een ander domein met een tweerichtingsvertrouwensrelatie met het domein met de NPS-server. Dit omvat accounts in niet-vertrouwde domeinen, domeinen met een éénrichtingsvertrouwensrelatie, en andere forests. In plaats van de toegangsservers zo te configureren dat ze verbindingsaanvragen naar een NPS RADIUS-server sturen, kunt u ze configureren om verbindingsaanvragen naar een NPS RADIUS-proxy te sturen. De NPS RADIUS-proxy gebruikt het realm-gedeelte van de gebruikersnaam en stuurt de aanvraag door naar een NPS-server in het juiste domein of forest. Verbindingsaanvragen voor gebruikersaccounts in een bepaald domein of forest kunnen worden geverifieerd voor NAS-servers in een ander domein of forest.

  • U wilt verifiëren en autoriseren met behulp van een database die geen Windows-accountdatabase is. In dit geval worden verbindingsaanvragen die met een opgegeven realm-naam overeenkomen, doorgestuurd naar een RADIUS-server die toegang heeft tot een andere database met gebruikersaccounts en autorisatiegegevens. Voorbeelden van andere gebruikersdatabases zijn NDS- (Novell Directory Services) en SQL-databases (Structured Query Language).

  • U een groot aantal verbindingsaanvragen wilt verwerken. In dit geval worden de RADIUS-clients niet geconfigureerd om een evenwicht te bepalen tussen de verbindings- en accountingaanvragen van meerdere RADIUS-servers, maar kunt u de clients zo configureren dat verbindings- en accountingaanvragen naar een NPS RADIUS-proxy worden gestuurd. De NPS RADIUS-proxy maakt een dynamisch evenwicht tussen het aantal verbindings- en accountingaanvragen van meerdere RADIUS-servers en verhoogt de verwerking van grote aantallen RADIUS-clients en verificaties per seconde.

  • U RADIUS-verificatie en -autorisatie wilt bieden voor uitbestede serviceproviders en de configuratie van intranetfirewalls wilt minimaliseren. Een intranetfirewall bevindt zich tussen het perimeternetwerk (het netwerk tussen uw intranet en het internet) en het intranet. Als u een NPS-server in het perimeternetwerk plaatst, moet de firewall tussen het perimeternetwerk en het intranet de doorstroom van verkeer toestaan tussen de NPS-server en meerdere domeincontrollers. Wanneer u de NPS-server vervangt door een NPS-proxy, mag de firewall alleen de doorstroom van RADIUS-verkeer toestaan tussen de NPS-proxy en een of meer NPS-servers binnen het intranet.

Inhoudsopgave