När du distribuerar en fjärranslutning eller VPN-anslutning med nätverksprincipservern (NPS) som en RADIUS-server måste du utföra följande steg:

  • Installera och konfigurera nätverksåtkomstservrar (NAS) som RADIUS-klienter.

  • Distribuera komponenter för autentiseringsmetoder.

  • Konfigurera NPS som en RADIUS-server.

Installera och konfigurera nätverksåtkomstservrar (RADIUS-klienter)

För att kunna distribuera en fjärranslutning måste du installera och konfigurera tjänsten Routning och fjärråtkomst (RAS) som en fjärranslutningsserver. För att kunna distribuera en VPN-anslutning måste du installera och konfigurera tjänsten Routning och fjärråtkomst (RAS) som en VPN-server.

Viktigt!

Klientdatorer, till exempel trådlösa bärbara datorer och andra datorer som kör klientoperativsystem, är inte RADIUS-klienter. RADIUS-klienter är nätverksåtkomstservrar, till exempel trådlösa åtkomstpunkter, 802.1X-kompatibla växlar, VPN-servrar och fjärranslutningsservrar, där RADIUS-protokollet används för att kommunicera med RADIUS-servrar, till exempel NPS-servrar.

Du kan installera Routning och fjärråtkomst (RAS) på den lokala NPS-servern eller en fjärrdator.

Distribuera komponenter för autentiseringsmetoder

Du kan använda följande användarautentiseringsmetoder till VPN:

  • EAP (Extensible Authentication Protocol) med TLS (Transport Layer Security) – EAP-TLS.

  • PEAP (Protected EAP) med MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol version 2) – PEAP-MS-CHAP v2.

  • PEAP med TLS (Transport Layer Security) – PEAP-TLS.

För EAP-TLS och PEAP-TLS måste du distribuera en PKI (Public Key Infrastructure) genom att installera och konfigurera Active Directory® Certificate Services (AD CS) för att kunna utfärda certifikat till domänmedlemsklientdatorer och NPS-servrar. Certifikaten används vid autentiseringen som bevis på klienternas och NPS-servrarnas identiteter. Du kan också distribuera smartkort i stället för klientdatorcertifikat. I så fall måste du förse organisationens personal med smartkort och smartkortläsare.

Om du använder PEAP-MS-CHAP v2 kan du distribuera din egen certifikatutfärdare med Active Directory-certifikattjänsterna för att utfärda certifikat till NPS-servrar. Du kan också köpa servercertifikat från en offentlig, betrodd rotcertifikatutfärdare som betraktas som betrodd av klientdatorerna, t.ex. VeriSign.

Mer information finns i Översikt över EAP och Översikt över PEAP.

Konfigurera NPS som en RADIUS-server

När du konfigurerar NPS som en RADIUS-server måste du konfigurera RADIUS-klienterna, nätverksprincipen och RADIUS-redovisningen.

Konfigurera RADIUS-klienter

Du konfigurerar RADIUS-klienter i två steg:

  • Konfigurera den fysiska RADIUS-klienten, t.ex. VPN-servern eller fjärranslutningsservern, med information som gör att nätverksåtkomstservern kan kommunicera med NPS-servrar. Du måste bland annat konfigurera NPS-serverns IP-adress och den delade hemligheten i användargränssnittet för VPN-servern eller fjärranslutningsservern.

  • Lägg till en ny RADIUS-klient i NPS. Lägg till varje VPN-server eller fjärranslutningsserver som en RADIUS-klient på NPS-servern. NPS innebär att du kan ge RADIUS-klienterna egna namn samt IP-adressen för RADIUS-klienten och den delade hemligheten.

Mer information finns i Lägga till en ny RADIUS-klient.

Konfigurera nätverksprinciper

Nätverksprinciper är en rad villkor, begränsningar och inställningar som gör att du kan bestämma vem som får ansluta till nätverket och under vilka omständigheter de får ansluta.

Mer information finns i Nätverksprinciper.

Konfigurera RADIUS-redovisning

Genom att använda RADIUS-redovisning kan du registrera användarautentiserings- och redovisningsförfrågningar i en lokal loggfil eller i en Microsoft® SQL Server®-databas på den lokala datorn eller på en fjärrdator.

Innehåll