RADIUS-server

NPS (Network Policy Server) kan als een RADIUS-server (Remote Authentication Dial-In User Service) worden gebruikt om verificatie, autorisatie en accounting uit te voeren voor RADIUS-clients. Een RADIUS-client kan een toegangsserver (zoals een inbelserver of een draadloos toegangspunt) of een RADIUS-proxy zijn. Als NPS als een RADIUS-server wordt gebruikt, wordt het volgende geboden:

• Een centrale service voor verificatie en autorisatie van alle toegangsaanvragen die door RADIUS-clients zijn verzonden.
  
  In NPS wordt gebruik gemaakt van een Microsoft® Windows NT® Server 4.0-domein, een AD DS-domein (Active Directory® Domain Services) of de lokale SAM-gebruikersaccountdatabase (Security Accounts Manager) om gebruikersreferenties te verifiëren voor verbindingspogingen. Ook maakt NPS gebruik van de inbeleigenschappen van het gebruikersaccount en het netwerkbeleid om een verbinding te autoriseren.
  
  
• Een centrale vastlegservice voor alle accountingaanvragen die door RADIUS-clients zijn verzonden.
  
  Accountingaanvragen worden opgeslagen in een lokaal logboekbestand of een Microsoft® SQL Server™-database voor analyse.
  
  

De volgende illustratie toont NPS als een RADIUS-server voor diverse toegangsclients, en toont tevens een RADIUS-proxy. In NPS wordt gebruik gemaakt van een AD DS-domein voor de verificatie van gebruikersreferenties van binnenkomende Access-Request-berichten voor RADIUS.

Wanneer NPS wordt gebruikt als een RADIUS-server, bieden RADIUS-berichten op de volgende manier verificatie, autorisatie en accounting voor netwerktoegangsverbindingen:

1. Toegangsservers, zoals inbelservers, VPN-servers en draadloze toegangspunten, ontvangen verbindingsaanvragen van toegangsclients.
   
   
2. De toegangsserver, geconfigureerd voor het gebruik van RADIUS als protocol voor verificatie, autorisatie en accounting, maakt een Access-Request-bericht en stuurt dit naar de NPS-server.
   
   
3. De NPS-server evalueert het Access-Request-bericht.
   
   
4. Indien vereist, stuurt de NPS-server een Access-Challenge-bericht naar de toegangsserver. De toegangsserver verwerkt de challenge en stuurt een bijgewerkte Access-Request naar de NPS-server.
   
   
5. De gebruikersreferenties worden gecontroleerd en de inbeleigenschappen van het gebruikersaccount worden opgehaald via een beveiligde verbinding met een domeincontroller.
   
   
6. De verbindingspoging wordt geautoriseerd met zowel de inbeleigenschappen van het gebruikersaccount als het netwerkbeleid.
   
   
7. Als de verbindingspoging zowel geverifieerd als geautoriseerd is, stuurt de NPS-server een Access-Accept-bericht naar de toegangsserver.
   
   Als de verbindingspoging niet geverifieerd of geautoriseerd is, stuurt de NPS-server een Access-Reject-bericht naar de toegangsserver.
   
   
8. Het verbindingsproces met de toegangsclient wordt door de toegangsserver voltooid en deze stuurt een Accounting-Request-bericht naar de NPS-server, waar het bericht wordt vastgelegd in het logboek.
   
   
9. De NPS-server stuurt een Accounting-Response naar de toegangsserver.
   
   

	Opmerking
	De toegangsserver stuurt ook Accounting-Request-berichten wanneer de verbinding tot stand wordt gebracht, wanneer de verbinding met de toegangsclient wordt gesloten en wanneer de toegangsserver wordt gestart en gestopt.

U kunt NPS als een RADIUS-server gebruiken wanneer:

• U een Windows NT Server 4.0-domein, een AD DS-domein of de lokale SAM-gebruikersaccountdatabase gebruikt als gebruikersaccountdatabase voor toegangsclients.
  
  
• U Routering en RAS gebruikt op meerdere inbelservers, VPN-servers of routers voor bellen-op-verzoek en u zowel de configuratie van netwerkbeleidsregels als verbindingsregistratie voor accounting wilt centraliseren.
  
  
• U de inbelverbinding, VPN-verbinding of draadloze verbinding uitbesteedt aan een serviceprovider. De toegangsservers maken gebruik van RADIUS om verbindingen te verifiëren en autoriseren die tot stand worden gebracht door leden van uw organisatie.
  
  
• U verificatie, autorisatie en accounting wilt centraliseren voor een heterogene set toegangsservers.
  
  

	Opmerking
	In IAS (Internet Authentication Service) in Windows Server® 2003-besturingssystemen wordt het netwerkbeleid ook wel het RAS-beleid genoemd.