Der Netzwerkrichtlinienserver (Network Policy Server, NPS) kann als RADIUS-Proxy für das Routing von RADIUS-Meldungen zwischen RADIUS-Clients (Zugriffsserver) und RADIUS-Servern verwendet werden, die die Benutzerauthentifizierung, Autorisierung und Kontoführung für den Verbindungsversuch ausführen. Wenn der Netzwerkrichtlinienserver als RADIUS-Proxy verwendet wird, ist er ein zentraler Switch- oder Routingpunkt, über den RADIUS-Zugriffs- und Kontoführungsnachrichten weitergeleitet werden. NPS zeichnet in einem Kontoführungsprotokoll Informationen zu den weitergeleiteten Nachrichten auf.
Die folgende Abbildung zeigt NPS als RADIUS-Proxy zwischen RADIUS-Clients (Zugriffsserver) und RADIUS-Servern oder einem anderen RADIUS-Proxy.
Wenn NPS als RADIUS-Proxy zwischen einem RADIUS-Client und einem RADIUS-Server verwendet wird, werden RADIUS-Meldungen für Verbindungsversuche mit dem Netzwerk wie folgt weitergeleitet:
-
Zugriffsserver, wie z. B. DFÜ-Netzwerkzugriffsserver, VPN-Server und Drahtloszugriffspunkte, empfangen Verbindungsanforderungen von Zugriffsclients.
-
Der Zugriffsserver, für den die Verwendung von RADIUS als Authentifizierungs-, Autorisierungs- und Kontoführungsprotokoll konfiguriert ist, erstellt eine Access-Request-Nachricht und sendet sie an den Netzwerkrichtlinienserver, der als NPS-RADIUS-Proxy verwendet wird.
-
Der NPS-RADIUS-Proxy empfängt die Access-Request-Nachricht und bestimmt anhand der lokal konfigurierten Verbindungsanforderungsrichtlinien, wohin die Access-Request-Nachricht weitergeleitet werden soll.
-
Der NPS-RADIUS-Proxy leitet die Access-Request-Nachricht an den entsprechenden RADIUS-Server weiter.
-
Der RADIUS-Server wertet die Access-Request-Nachricht aus.
-
Der RADIUS-Server sendet ggf. eine Access-Challenge-Nachricht an den NPS-RADIUS-Proxy, von wo sie an den Zugriffsserver weitergeleitet wird. Der Zugriffsserver verarbeitet die Abfrage mit dem Zugriffsserver und sendet eine aktualisierte Access-Request-Nachricht an den NPS-RADIUS-Proxy, von wo sie an den RADIUS-Server weitergeleitet wird.
-
Der RADIUS-Server authentifiziert und autorisiert den Verbindungsversuch.
-
Wenn der Verbindungsversuch authentifiziert und autorisiert ist, sendet der RADIUS-Server eine Access-Accept-Nachricht an den NPS-RADIUS-Proxy, von wo sie an den Zugriffsserver weitergeleitet wird.
Wenn der Verbindungsversuch nicht authentifiziert oder nicht autorisiert ist, sendet der RADIUS-Server eine Access-Reject-Nachricht an den NPS-RADIUS-Proxy, von wo sie an den Zugriffsserver weitergeleitet wird.
-
Der Zugriffsserver schließt den Verbindungsvorgang mit dem Zugriffsclient ab und sendet eine Accounting-Request-Nachricht an den NPS-RADIUS-Proxy. Der NPS-RADIUS-Proxy protokolliert die Kontoführungsdaten und leitet die Nachricht an den RADIUS-Server weiter.
-
Der RADIUS-Server sendet eine Accounting-Response-Nachricht an den NPS-RADIUS-Proxy, von wo sie an den Zugriffsserver weitergeleitet wird.
NPS kann in folgenden Situationen als RADIUS-Proxy verwendet werden:
-
Sie sind ein ausgegliederter Dienstanbieter, der den DFÜ-, VPN- oder Drahtlosnetzwerkzugriff mehreren Kunden anbietet. Ihre Netzwerkzugriffsserver senden Verbindungsanforderungen an den NPS-RADIUS-Proxy. Basierend auf der Bereichskomponente des Benutzernamens in der Verbindungsanforderung leitet der NPS-RADIUS-Proxy die Verbindungsanforderung an einen RADIUS-Server weiter, der vom Kunden verwaltet wird und den Verbindungsversuch authentifizieren und autorisieren kann.
-
Sie möchten die Authentifizierung und Autorisierung für Benutzerkonten bereitstellen, die nicht Mitglied der Domäne sind, bei der der Netzwerkrichtlinienserver Mitglied ist, oder die nicht Mitglied einer anderen Domäne sind, die eine bidirektionale Vertrauensstellung mit der Domäne aufweist, bei der der Netzwerkrichtlinienserver Mitglied ist. Hierzu zählen Konten in nicht vertrauenswürdigen Domänen, Domänen mit unidirektionaler Vertrauensstellung und anderen Gesamtstrukturen. Anstatt für Ihre Zugriffsserver festzulegen, dass die Verbindungsanforderungen an einen NPS-RADIUS-Server gesendet werden, können Sie festlegen, dass sie an einen NPS-RADIUS-Proxy gesendet werden. Der NPS-RADIUS-Proxy verwendet den Bereichsnamensabschnitt des Benutzernamens und leitet die Anforderung an einen NPS in der richtigen Domäne oder in der richtigen Gesamtstruktur weiter. Verbindungsversuche für Benutzerkonten in einer Domäne oder Gesamtstruktur können für Netzwerkzugriffsserver in einer anderen Domäne oder Gesamtstruktur authentifiziert werden.
-
Sie möchten die Authentifizierung und Autorisierung mithilfe einer Datenbank ausführen, bei der es sich nicht um eine Windows-Kontodatenbank handelt. In diesem Fall werden Verbindungsversuche, die mit einem angegebenen Bereich übereinstimmen, an einen RADIUS-Server weitergeleitet, der Zugriff auf eine andere Datenbank mit Benutzerkonten und Autorisierungsdaten hat. Beispiele für andere Benutzerdatenbanken sind NDS- und SQL-Datenbanken (Novell Directory Services und Structured Query Language).
-
Sie möchten sehr viele Verbindungsanforderungen verarbeiten. Anstatt für die RADIUS-Clients festzulegen, dass die Verbindungs- und Kontoführungsanforderungen auf mehrere RADIUS-Server verteilt werden, können Sie festlegen, dass sie an einen NPS-RADIUS-Proxy gesendet werden. Der NPS-RADIUS-Proxy verteilt die Verbindungs- und Kontoführungsanforderungen dynamisch auf mehrere RADIUS-Server und erhöht dadurch die Anzahl der pro Sekunde verarbeiteten RADIUS-Clients und Authentifizierungen.
-
Sie möchten ausgegliederten Dienstanbietern die RADIUS-Authentifizierung und -Autorisierung bereitstellen und die Intranetfirewallkonfiguration minimieren. Eine Intranetfirewall ist zwischen Ihrem Umkreisnetzwerk (das Netzwerk zwischen Ihrem Intranet und dem Internet) und Ihrem Intranet vorhanden. Durch die Platzierung eines Netzwerkrichtlinienservers im Umkreisnetzwerk muss die Firewall zwischen dem Umkreisnetzwerk und dem Intranet Datenverkehr zwischen dem Netzwerkrichtlinienserver und mehreren Domänencontrollern zulassen. Wenn Sie den Netzwerkrichtlinienserver durch einen NPS-Proxy ersetzen, muss die Firewall nur RADIUS-Datenverkehr zwischen dem NPS-Proxy und mindestens einem Netzwerkrichtlinienserver in Ihrem Intranet zulassen.