網路原則與存取服務提供下列網路連線解決方案:

  • 網路存取保護 (NAP)。NAP 是一種用戶端健康原則建立、強制及補救技術,包含在 Windows Vista® 用戶端作業系統和 Windows Server® 2008 作業系統中。系統管理員可以使用 NAP,建立並自動強制執行健康原則,包括軟體需求、安全性更新需求、必要的電腦設定和其他設定。會提供不符合健康原則的用戶端電腦限制的網路存取權限,直到更新設定並符合原則為止。視您選擇部署 NAP 的方式而定,可以將不符合原則的用戶端自動更新,讓使用者不必手動更新或重新設定電腦,即可迅速重新獲得完整的網路存取權限。

  • 安全的無線和有線存取。當您部署 802.1X 無線存取點時,安全無線存取提供無線使用者一種安全且容易部署的密碼型驗證方法。當您部署 802.1X 驗證交換器時,有線存取可讓您確保內部網路使用者必須先通過驗證,然後才能連線至網路或使用 DHCP 取得 IP 位址,以保護網路的安全。

  • 遠端存取解決方案。您可以利用遠端存取解決方案,提供使用者虛擬私人網路 (VPN) 和傳統撥號方式來存取您組織的網路。您也可以使用 VPN 解決方案將分公司連線到您的網路、在網路上部署全功能的軟體路由器,以及讓整個內部網路共用網際網路連線。

  • 以 RADIUS 伺服器與 Proxy 執行中央網路原則管理。您可以在單一位置上建立原則,指定所有層面的網路連線需求,包括允許哪些人連線、這些人何時可以連線,以及他們必須使用何種安全性等級才能連線到您的網路,而不需要在每個網路存取伺服器 (如無線存取點、802.1X 驗證交換器、VPN 伺服器和撥號伺服器) 設定網路存取原則。

網路原則與存取服務的角色服務

當您安裝網路原則與存取服務時,可使用下列角色服務:

  • 網路原則伺服器 (NPS)。NPS 是 Microsoft 對於 RADIUS 伺服器和 Proxy 的實作方式。您可以透過無線存取點、VPN 伺服器、撥號伺服器以及 802.1X 驗證交換器等各種網路存取伺服器,利用 NPS 來集中管理網路存取。此外,您可以使用 NPS 以用於無線連線的「受保護的可延伸驗證通訊協定 (PEAP)」-MS-CHAP v2 來部署安全密碼驗證。NPS 也包含在網路上部署 NAP 的主要元件。

    安裝 NPS 角色服務之後,可以部署下列技術:

    • NAP 健康原則伺服器。當您設定 NPS 做為 NAP 健康原則伺服器時,NPS 會評估要在網路上相互通訊並支援 NAP 的用戶端電腦所傳送的健康狀態聲明 (SoH)。您可以在 NPS 上設定 NAP 原則,讓用戶端電腦更新其設定,變成與您組織的網路原則相容。

    • IEEE 802.11 無線。使用 NPS MMC 嵌入式管理單元,您可以為 IEEE 802.11 無線用戶端網路存取設定 802.1X 型連線要求原則。您也可以設定無線存取點做為 NPS 中的遠端驗證撥入使用者服務 (RADIUS) 用戶端,並使用 NPS 做為 RADIUS 伺服器來處理連線要求,也可以為 802.11 無線連線執行驗證、授權和帳戶處理等作業。 當您部署無線 802.1X 驗證基礎結構時,可以將 IEEE 802.11 無線存取和 NAP 完全整合,如此就能在允許用戶端連線到網路之前,根據健康原則檢查無線用戶端的健康情況。

    • IEEE 802.3 有線。使用 NPS MMC 嵌入式管理單元,您可以為 IEEE 802.3 有線用戶端乙太網路存取設定 802.1X 型連線要求原則。您也可以設定 802.1X 相容切換做為 NPS 中的 RADIUS 用戶端,並使用 NPS 做為 RADIUS 伺服器處理連線要求,也可以為 802.3 乙太網路連線執行驗證、授權和帳戶處理等作業。當您部署有線 802.1X 驗證基礎結構時,可以將 IEEE 802.3 有線用戶端存取與 NAP 完全整合。

    • RADIUS 伺服器。NPS 會針對無線、驗證切換以及遠端存取撥號和 VPN 連線,執行集中式連線驗證、授權和帳戶處理等作業。當您使用 NPS 做為 RADIUS 伺服器時,可以設定網路存取伺服器 (例如無線存取點與 VPN 伺服器) 做為 NPS 中的 RADIUS 用戶端。您也要設定 NPS 用來授權連線要求的網路原則,而且您可以設定 RADIUS 帳戶處理,讓 NPS 將帳戶處理資訊記錄到本機硬碟或 Microsoft(R) SQL Server(TM) 資料庫中的記錄檔。

    • RADIUS Proxy。使用 NPS 做為 RADIUS Proxy 時,您可以設定連線要求原則,告訴 NPS 伺服器要將哪些連線要求轉送到其他 RADIUS 伺服器,以及要將連線要求轉送到哪些 RADIUS 伺服器。您也可以設定 NPS 轉送要由遠端 RADIUS 伺服器群組中一或多部電腦記錄的帳戶處理資料。

  • 路由及遠端存取。您可以利用路由及遠端存取,部署 VPN 和撥號遠端存取服務以及多重通訊協定 LAN-to-LAN、LAN-to-WAN、VPN 和網路位址轉譯 (NAT) 路由服務。

    在安裝路由及遠端存取角色服務的過程中,可以部署下列技術:

    • 遠端存取服務。您可以利用路由及遠端存取,透過網際網路通訊協定安全性 (IPsec) VPN 連線部署點對點通道通訊協定 (PPTP)、安全通訊端通道通訊協定 (SSTP) 或第二層通道通訊協定 (L2TP),讓一般使用者可以從遠端存取您組織的網路。您也可以建立位於不同地點的兩部伺服器之間的站台對站台 VPN 連線。每台伺服器都會設定路由及遠端存取,可安全地傳送私人資料。兩台伺服器之間的連線可以是持續的 (一直在連線狀態) 或是依需求 (指定撥號)。

      遠端存取也提供傳統撥號遠端存取,可支援行動使用者,或是從家中撥入組織內部網路的使用者。安裝在執行路由及遠端存取之伺服器上的撥號設備,會回應來自撥號網路用戶端的連入連線要求。遠端存取伺服器會回應呼叫、驗證及授權呼叫者,然後在撥號網路用戶端與組織內部網路之間轉送資料。

    • 路由。路由提供全功能軟體路由器,以及用於路由和網際網路功能的開放平台。它會對區域網路 (LAN) 和廣域網路 (WAN) 環境中的企業提供路由服務。

      當您部署 NAT 時,執行路由及遠端存取的伺服器會設定為與私人網路上的電腦共用網際網路連線,以及轉譯其公用位址與私人網路之間的流量。藉由使用 NAT,私人網路上的電腦可取得一定程度的保護,因為已設定 NAT 的路由器不會從網際網路轉送流量到私人網路,除非私人網路用戶端曾提出該要求,或除非已明確允許流量。

      當您部署 VPN 和 NAT 時,執行路由及遠端存取的伺服器會設定為提供私人網路 NAT 並接受 VPN 連線。網際網路上的電腦將無法判斷私人網路上的電腦 IP 位址。但是 VPN 用戶端則可以連線到私人網路上的電腦,如同實際連接到相同的網路一般。

  • 健康情況登錄授權 (HRA)。HRA 是一種 NAP 元件,會對已通過由 NPS 使用用戶端 SoH 執行健康原則驗證之用戶端發出健康情況憑證。HRA 只能與 NAP IPsec 強制方法一起使用。

  • 主機認證授權通訊協定 (HCAP)。HCAP 可以讓您將 Microsoft NAP 解決方案與 Cisco Network 存取控制伺服器整合在一起。當您同時部署 HCAP 與 NPS 和 NAP 時,NPS 可執行用戶端健康情況評估與 Cisco 802.1X 存取用戶端的授權。

管理網路原則與存取服務伺服器角色

下列工具可供您管理網路原則與存取服務伺服器角色:

  • NPS MMC 嵌入式管理單元。使用 NPS MMC 設定 RADIUS 伺服器、RADIUS Proxy 或 NAP 技術。

  • 用於 NPS 的 Netsh 命令。用於 NPS 的 Netsh 命令提供一組命令,完全等同於整個 NPS MMC 嵌入式管理單元中可用的所有組態設定。Netsh 命令可以在 Netsh 提示或系統管理員指令碼中手動執行。

  • HRA MMC 嵌入式管理單元。使用 HRA MMC 指派憑證授權單位 (CA),HRA 會用來取得用戶端電腦的健康情況憑證,並定義 HRA 傳送用戶端 SoH 的目標 NPS 伺服器,以便針對健康原則進行驗證。

  • 用於 HRA 的 Netsh 命令。用於 HRA 的 Netsh 命令提供一組命令,完全等同於整個 HRA MMC 嵌入式管理單元中可用的所有組態設定。Netsh 命令可以在 Netsh 提示或系統管理員編寫的指令碼中手動執行。

  • NAP 用戶端管理 MMC 嵌入式管理單元。您可以使用 NAP 用戶端管理嵌入式管理單元來設定安全性設定,以及支援 NAP 架構之用戶端電腦上的使用者介面設定。

  • 用於設定 NAP 用戶端設定的 Netsh 命令。用於 NAP 用戶端設定的 Netsh 命令提供一組命令,完全等同於整個 NAP 用戶端管理嵌入式管理單元中可用的所有組態設定。Netsh 命令可以在 Netsh 提示或系統管理員編寫的指令碼中手動執行。

  • 路由及遠端存取 MMC 嵌入式管理單元。使用此 MMC 嵌入式管理單元可設定 VPN 伺服器、撥號網路伺服器、路由器、NAT、VPN 和 NAT,或是 VPN 站台對站台連線。

  • 用於遠端存取的 Netsh 命令。用於遠端存取的 Netsh 命令提供一組命令,完全等同於整個路由及遠端存取 MMC 嵌入式管理單元中可用的所有遠端存取組態設定。Netsh 命令可以在 Netsh 提示或系統管理員指令碼中手動執行。

  • 用於路由的 Netsh 命令。用於路由的 Netsh 命令提供一組命令,完全等同於整個路由及遠端存取 MMC 嵌入式管理單元中可用的所有路由組態設定。Netsh 命令可以在 Netsh 提示或系統管理員指令碼中手動執行。

  • 無線網路 (IEEE 802.11) 原則 - 群組原則管理主控台 (GPMC)。無線網路 (IEEE 802.11) 原則擴充可使用支援無線區域網路自動設定服務 (WLAN Autoconfig Service) 的無線網路介面卡驅動程式,自動化電腦上的無線網路設定組態。您可以在群組原則管理主控台中使用無線網路 (IEEE 802.11) 原則擴充來指定 Windows XP 和 Windows Vista 無線用戶端 (任一或兩者) 的組態設定。無線網路 (IEEE 802.11) 原則群組原則擴充包括通用無線設定、慣用網路清單、Wi-Fi 保護的存取 (WPA) 設定,以及 IEEE 802.1X 設定。

    完成設定之後,會將設定下載到屬於網域成員的 Windows 無線用戶端。此原則所設定的無線設定屬於電腦設定群組原則的一部分。根據預設,不會設定或啟用無線網路 (IEEE 802.11) 原則。

  • 用於無線區域網路 (WLAN) 的 Netsh 命令。Netsh WLAN 是使用群組原則設定 Windows Vista 無線連線和安全性設定的替代方案。您可以使用 Netsh WLAN 命令來設定本機電腦,或使用登入指令檔來設定多台電腦。您也可以使用 Netsh WLAN 命令來檢視無線群組原則設定,以及管理無線網際網路服務提供者 (WISP) 和使用者的無線設定。

    無線 Netsh 介面具有下列好處:

    • 混合模式支援:允許系統管理員將用戶端設定成支援多重安全性選項。例如,可將用戶端設定成同時支援 WPA2 和 WPA 驗證標準。這可以讓用戶端使用 WPA2 連線到支援 WPA2 的網路,並使用 WPA 連線到僅支援 WPA 的網路。

    • 封鎖不需要的網路:系統管理員可以藉由將網路或網路類型加入拒絕的網路清單中,封鎖及隱藏對非企業無線網路的存取。同樣地,系統管理員可以允許存取企業無線網路。

  • 有線網路 (IEEE 802.3) 原則 - 群組原則管理主控台 (GPMC)。如果 Windows Vista 用戶端配備了支援有線自動設定服務的網路介面卡和驅動程式,您就可以使用有線網路 (IEEE 802.3) 原則來指定和修改該用戶端的組態設定。無線網路 (IEEE 802.11) 原則群組原則擴充包括通用有線和 IEEE 802.1X 設定。這些設定包括一整組與 [一般] 索引標籤和 [安全性] 索引標籤相關聯的有線設定項目。

    完成設定之後,會將設定下載到屬於網域成員的 Windows 無線用戶端。此原則所設定的無線設定屬於電腦設定群組原則的一部分。根據預設,不會設定或啟用有線網路 (IEEE 802.3) 原則。

  • 用於有線區域網路 (LAN) 的 Netsh 命令。Netsh WLAN 介面是使用 Windows Server 2008 中的群組原則設定 Windows Vista 有線連線和安全性設定的替代方案。您可以使用 Netsh LAN 命令列來設定本機電腦,或在登入指令檔中使用這些命令來設定多台電腦。您也可以使用 Netsh LAN 命令來檢視有線網路 (IEEE 802.3) 原則,以及管理用戶端有線 1x 設定。

其他資源

若要深入了解網路原則與存取服務,請開啟下列其中一個 MMC 嵌入式管理單元,然後按 F1 鍵顯示 [說明]:

  • NPS MMC 嵌入式管理單元

  • 路由及遠端存取 MMC 嵌入式管理單元

  • HRA MMC 嵌入式管理單元

目錄