Nätverksprincip- och åtkomsttjänster tillhandahåller följande lösningar för nätverksanslutning:
-
NAP (Network Access Protection) NAP är en teknik som används för att skapa, tvinga och reparera principer för klienthälsa. Den ingår i klientoperativsystemet Windows Vista® och i operativsystemet Windows Server® 2008. Med NAP kan systemadministratörer upprätta och automatiskt tvinga fram hälsoprinciper som kan inkludera programkrav, säkerhetsuppdateringskrav, nödvändiga datorkonfigurationer och andra inställningar. Klientdatorer som inte uppfyller hälsoprincipen ges begränsad nätverksåtkomst tills dess att deras konfiguration uppdateras och de uppfyller principen. Beroende på hur du väljer att distribuera NAP kan klienter som inte uppfyller principen uppdateras automatiskt så att användare snabbt kan återfå fullständig nätverksåtkomst utan att manuellt uppdatera eller konfigurera om sina datorer.
-
Säker trådlös och kabelansluten åtkomst. När du distribuerar trådlösa 802.1X-åtkomstpunkter förser den säkra trådlösa åtkomsten trådlösa användare med en säker lösenordsbaserad autentiseringsmetod som är enkel att distribuera. När du distribuerar 802.1X-autentiseringsväxlar kan du med kabelansluten åtkomst skydda nätverket genom att försäkra dig om att intranätanvändare autentiseras innan de kan ansluta till nätverket eller få en IP-adress genom att använda DHCP.
-
Fjärråtkomstlösningar. Med fjärråtkomstlösningar kan du förse användare med VPN (Virtual Private Network) och traditionell fjärranslutning till organisationens nätverk. Du kan också ansluta filialer till nätverket med VPN-lösningar, distribuera programvaruroutrar med fullständiga funktioner i nätverket och dela Internetanslutningar över intranätet.
-
Central hantering av nätverksprinciper med RADIUS-server och -proxy. I stället för att konfigurera nätverksåtkomstprincip på varje nätverksåtkomstserver, t.ex. trådlösa åtkomstpunkter, 802.1X-autentiseringsväxlar, VPN-servrar och fjärranslutningsservrar kan du skapa principer på ett enda ställe som anger alla aspekter av nätverksanslutningsbegäran, inklusive vem som har tillstånd att ansluta, när de kan ansluta och den säkerhetsnivå de måste använda för att ansluta till ditt nätverk.
Rolltjänster för nätverksprincip och åtkomsttjänster
När du installerar Nätverksprincip och åtkomsttjänster finns följande rolltjänster tillgängliga:
-
Network Policy Server (NPS). NPS är Microsoft-implementeringen av en RADIUS-server och -proxy. Du kan använda NPS för att centralt hantera nätverksåtkomst via en rad olika nätverksåtkomstservrar, inklusive trådlösa åtkomstpunkter, VPN-servrar, fjärranslutningsservrar och 802.1X-autentiserande växlar. Dessutom kan du använda NPS för att distribuera säker lösenordsautentisering med PEAP (Protected Extensible Authentication Protocol)-MS-CHAP v2 för trådlösa anslutningar. NPS innehåller dessutom viktiga komponenter för distribuering av NAP i ditt nätverk.
Följande teknik kan distribueras efter installationen av NPS-rolltjänsten:
-
NAP-hälsoprincipserver. När du konfigurerar NPS som en NAP-hälsoprincipserver utvärderar NPS SoH (Statements of Health) som skickas av NAP-kapabla klientdatorer som vill kommunicera i nätverket. Du kan konfigurera NAP-principer på NPS som gör det möjligt för klientdatorer att uppdatera sin konfiguration så att de blir kompatibla med organisationens nätverksprincip.
-
Trådlöst IEEE 802.11. Genom att använda MMC-snapin-modulen NPS kan du konfigurera 802.1X-baserade principer för anslutningsbegäran för nätverksåtkomst med klient med trådlös IEEE 802.11. I NPS kan du också konfigurera trådlösa åtkomstpunkter som RADIUS-klienter (Remote Authentication Dial-In User Service) och använda NPS som en RADIUS-server för att bearbeta anslutningsbegäran, såväl som att utföra autentisering, auktorisering och redovisning för trådlösa 802.11-anslutningar. Du kan fullt integrera trådlös IEEE 802.11-åtkomst med NAP när du distribuerar en trådlös 802.1X-autentiseringsinfrastruktur så att hälsostatus för trådlösa klienter verifieras mot hälsoprincipen innan klienter tillåts att ansluta till nätverket.
-
Kabelanslutet IEEE 802.3. Genom att använda MMC-snapin-modulen NPS kan du konfigurera 802.1X-baserade principer för anslutningsbegäran för Ethernet-nätverksåtkomst med den kabelanslutna IEEE 802.3-klienten. Du kan också konfigurera 802.1X-kompatibla växlar som RADIUS-klienter i NPS, och använda NPS som en RADIUS-server för att bearbeta anslutningsbegäran, såväl som att utföra autentisering, auktorisering och redovisning för 802.3 Ethernet-anslutningar. Du kan fullständigt integrera åtkomst för kabelansluten IEEE 802.3-klient med NAP när du distribuerar en infrastruktur med kabelansluten 802.1X-autentisering.
-
RADIUS-server. NPS utför centraliserad anslutningsautentisering, auktorisering och -redovisning för trådlös, autentiserande växel och fjärranslutning och VPN-anslutningar för fjärråtkomst. När du använder NPS som en RADIUS-server konfigurerar du servrar för nätverksåtkomst, t.ex. trådlösa åtkomstpunkter och VPN-servrar, t.ex. RADIUS-klienter i NPS. Du konfigurerar dessutom nätverksprinciper som NPS använder för att auktorisera anslutningsbegäran och du kan konfigurera RADIUS-redovisning så att NPS-loggar redovisningsinformation till loggfiler på den lokala hårddisken eller i en Microsoft® SQL Server™-databas.
-
RADIUS-proxy. När du använder NPS som en RADIUS-proxy konfigurerar du principer för anslutningsbegäran som talar om för NPS-servern vilka anslutningsbegäran som ska vidarebefordras till andra RADIUS-servrar och till vilka RADIUS-servrar du vill vidarebefordra anslutningsbegäran. Du kan dessutom konfigurera NPS så att det vidarebefordrar redovisningsdata som ska loggas av en eller flera datorer i en fjärr-RADIUS-servergrupp.
-
NAP-hälsoprincipserver. När du konfigurerar NPS som en NAP-hälsoprincipserver utvärderar NPS SoH (Statements of Health) som skickas av NAP-kapabla klientdatorer som vill kommunicera i nätverket. Du kan konfigurera NAP-principer på NPS som gör det möjligt för klientdatorer att uppdatera sin konfiguration så att de blir kompatibla med organisationens nätverksprincip.
-
Routning och fjärråtkomst Med routning och fjärråtkomst kan du distribuera VPN och fjärråtkomsttjänster för fjärranslutning och routningstjänster av typ LAN-till-LAN, LAN-till-WAN, VPN med flera protokoll och NAT (översättning av nätverksadresser).
Följande teknik kan distribueras under installationen av rolltjänsten Routning och fjärråtkomst:
-
Tjänsten Fjärråtkomst. Genom att använda Routning och fjärråtkomst kan du distribuera PPTP (Point-to-Point Tunneling Protocol), SSTP (Secure Socket Tunneling Protocol) eller L2TP (Layer Two Tunneling Protocol) med IPsec (Internet Protocol securit) VPN-anslutningar för att förse slutanvändare med fjärråtkomst till organisationens nätverk. Du kan också skapa en VPN-anslutning av typ plats-till-plats mellan två servrar på olika platser. Varje server är konfigurerad med Routning och fjärråtkomst för att skicka privata data på ett säkert sätt. Anslutningen mellan de två servrarna kan vara beständig (alltid aktiv) eller på begäran (uppringning på begäran).
Fjärråtkomst tillhandahåller dessutom traditionell fjärråtkomst i form av fjärranslutning för att ge stöd åt mobilanvändare eller hemanvändare som ringer in till en organisations intranät. Fjärranslutningsutrustning som installeras på den server som kör Routning och fjärråtkomst svarar på inkommande anslutningsbegäran från nätverksklienter med fjärranslutning. Fjärråtkomstservern svarar på anropet, autentiserar och auktoriserar anroparen och överför data mellan nätverksklienten med fjärranslutning och organisationens intranät.
-
Routning. Routning tillhandahåller en programvarurouter med alla funktioner och en öppen plattform för routning och Internetfunktion. Den erbjuder routningstjänster till verksamheter i LAN- och WAN-miljöer.
När du distribuerar NAT konfigureras den server som kör Routning och fjärråtkomst (RAS) att dela en Internetanslutning med datorer i det privata nätverket och att översätta trafik mellan dess offentliga adress och det privata nätverket. Genom att använda NAT får datorerna i det privata nätverket ett visst skydd eftersom routern med NAT konfigurerat inte vidarebefordrar trafik från Internet till det privata nätverket såvida inte en privat nätverksklient hade begärt det eller såvida inte trafiken uttryckligen tillåts.
När du distribuerar VPN och NAT konfigureras den server som kör Routning och fjärråtkomst (RAS) så att NAT tillhandahålls för det privata nätverket och VPN-anslutningar accepteras. Datorer på Internet kan inte identifiera IP-adresser för datorer i det privata nätverket. VPN-klienter kan dock ansluta till datorer i det privata nätverket som om de vore fysiskt anslutna till samma nätverk.
-
Tjänsten Fjärråtkomst. Genom att använda Routning och fjärråtkomst kan du distribuera PPTP (Point-to-Point Tunneling Protocol), SSTP (Secure Socket Tunneling Protocol) eller L2TP (Layer Two Tunneling Protocol) med IPsec (Internet Protocol securit) VPN-anslutningar för att förse slutanvändare med fjärråtkomst till organisationens nätverk. Du kan också skapa en VPN-anslutning av typ plats-till-plats mellan två servrar på olika platser. Varje server är konfigurerad med Routning och fjärråtkomst för att skicka privata data på ett säkert sätt. Anslutningen mellan de två servrarna kan vara beständig (alltid aktiv) eller på begäran (uppringning på begäran).
-
HRA (Health Registration Authority). HRA är en NAP-komponent som utfärdar hälsocertifikat till klienter som skickar hälsoprincipverifiering som utförs av NPS genom att använda SoH-klienten. HRA används endast med NAP-metoden IPsec-tvingande.
-
HCAP (Host Credential Authorization Protocol). Med HCAP kan du integrera Microsoft NAP-lösningen med Cisco Network Access Control Server. När du distribuerar HCAP med NPS och NAP, kan NPS utföra klienthälsoutvärdering och auktorisering för Cisco 802.1X-åtkomstklienter.
Hantera serverrollen för Nätverksprincip och åtkomsttjänster
Följande verktyg tillhandahålls för att hantera serverrollen för Nätverksprincip och åtkomsttjänster:
-
MMC-snapin-modulen NPS. Använd NPS MMC för att konfigurera en RADIUS-server, RADIUS-proxy eller NAP-teknik.
-
Netsh-kommandon för NPS. Netsh-kommandona för NPS tillhandahåller en kommandouppsättning som är helt likvärdig alla konfigurationsinställningar som finns tillgängliga via MMC-snapin-modulen NPS. Netsh-kommandon kan köras manuellt vid Netsh-prompten eller i administratörsskript.
-
MMC-snapin-modulen HRA. Använd HRA MMC för att utse den certifikatutfärdare som HRA använder för att få hälsocertifikat för klientdatorer och för att definiera den NPS-server till vilken HRA skickar klient-SoH:er för verifiering mot hälsoprincip.
-
Netsh-kommandon för HRA. Netsh-kommandona för HRA tillhandahåller en kommandouppsättning som är helt likvärdig alla konfigurationsinställningar som finns tillgängliga via MMC-snapin-modulen HRA. Netsh-kommandon kan köras manuellt vid Netsh-prompten eller i administratörsskrivna skript.
-
MMC-snapin-modulen för hantering av NAP-klient. Du kan använda snapin-modulen för hantering av NAP-klienter för att konfigurera säkerhetsinställningar och inställningar för användargränssnitt på klientdatorer som stöder NAP-arkitekturen.
-
Netsh-kommandon för konfiguration av inställningar för NAP-klienter. Netsh-kommandona för inställningar för NAP-klienter tillhandahåller en kommandouppsättning som är helt likvärdig alla konfigurationsinställningar som finns tillgängliga via snapin-modulen för hantering av NAP-klienter. Netsh-kommandon kan köras manuellt vid Netsh-prompten eller i administratörsskrivna skript.
-
MMC-snapin-modulen Routning och fjärråtkomst Använd den här MMC-snapin-modulen till att konfigurera en VPN-server, en nätverksserver för fjärranslutning, en router, NAT, VPN och NAT, eller en VPN plats-till-plats-anslutning.
-
Netsh-kommandon för fjärråtkomst. Netsh-kommandona för fjärråtkomst tillhandahåller en kommandouppsättning som är helt likvärdig alla konfigurationsinställningar för fjärråtkomst som finns tillgängliga via MMC-snapin-modulen Routning och fjärråtkomst. Netsh-kommandon kan köras manuellt vid Netsh-prompten eller i administratörsskript.
-
Netsh-kommandon för routning. Netsh-kommandona för routning tillhandahåller en kommandouppsättning som är helt likvärdig alla routningskonfigurationsinställningar som finns tillgängliga via MMC-snapin-modulen Routning och fjärråtkomst. Netsh-kommandon kan köras manuellt vid Netsh-prompten eller i administratörsskript.
-
Principer för trådlöst nätverk (IEEE 802.11) - GPMC (Group Policy Management Console). Tillägget med principer för trådlöst nätverk (IEEE 802.11) automatiserar konfigurationen av trådlösa nätverksinställningar på datorer med drivrutiner för trådlösa nätverksadaptrar som stöder WLAN Autoconfiguration Service (Wireless LAN Autoconfig Service). Du kan använda tillägget med principer för trådlöst nätverk (IEEE 802.11) i GPMC för att ange konfigurationsinställningar för en av eller båda trådlösa klienter för Windows XP och Windows Vista. Tilläggen för grupprincip för principer för trådlöst nätverk (IEEE 802.11) omfattar globala trådlösa inställningar, listan med standardnätverk, WPA-inställningar (Wi-Fi Protected Access) och IEEE 802.1X-inställningar.
När de konfigureras hämtas inställningarna till Windows trådlösa klienter som är medlemmar i domänen. De trådlösa inställningar som konfigureras av den här principen är del av grupprincipen för datorkonfiguration. Standard är att principer för trådlöst nätverk (IEEE 802.11) inte konfigureras eller aktiveras.
-
Netsh-kommandon för WLAN (wireless local area network). Netsh WLAN är ett alternativ till att använda grupprincip för att konfigurera inställningar för trådlös anslutning och säkerhet i Windows Vista. Du kan använda Netsh wlan-kommandon för att konfigurera den lokala datorn eller för att konfigurera flera datorer genom att använda ett inloggningsskript. Du kan också använda Netsh wlan-kommandon för att visa trådlösa inställningar för grupprinciper och administrera WIPS-inställningar (Wireless Internet Service Provider) och användarinställningar för trådlöst.
Det trådlösa Netsh-gränssnittet har följande fördelar:
-
Stöd för blandat läge: Gör det möjligt för administratörer att konfigurera klienter så att de stöder flera säkerhetsalternativ. En klient kan exempelvis konfigureras så att den stöder både autentiseringsstandarden WPA2 och WPA. Detta gör det möjligt för klienten att använda WPA2 för att ansluta till nätverk som stöder WPA2 och att använda WPA för att ansluta till nätverk som bara stöder WPA.
-
Blockera oönskade nätverk: Administratörer kan blockera och dölja åtkomst till trådlösa icke-företagsnätverk genom att lägga till nätverk eller nätverkstyper i listan med nekade nätverk. På liknande sätt kan administratörer tillåta åtkomst till företagets trådlösa nätverk.
-
Stöd för blandat läge: Gör det möjligt för administratörer att konfigurera klienter så att de stöder flera säkerhetsalternativ. En klient kan exempelvis konfigureras så att den stöder både autentiseringsstandarden WPA2 och WPA. Detta gör det möjligt för klienten att använda WPA2 för att ansluta till nätverk som stöder WPA2 och att använda WPA för att ansluta till nätverk som bara stöder WPA.
-
Principer för kabelanslutet nätverk (IEEE 802.3) - GPMC (Group Policy Management Console). Du kan använda principer för kabelanslutet nätverk (IEEE 802.3) för att ange och ändra konfigurationsinställningar för Windows Vista-klienter som är utrustade med nätverksadaptrar och drivrutiner som stöder Wired AutoConfig Service. Tilläggen grupprincip för principer för trådlöst nätverk (IEEE 802.11) inkluderar globala inställningar för kabelanslutet och IEEE 802.1X. Dessa inställningar inkluderar hela uppsättningen med alternativ för kabelansluten konfiguration som associeras med fliken Allmänt och fliken Säkerhet.
När de konfigureras hämtas inställningarna till Windows trådlösa klienter som är medlemmar i domänen. De trådlösa inställningar som konfigureras av den här principen är del av grupprincipen för datorkonfiguration. Standard är att principer för kabelanslutet nätverk (IEEE 802.3) inte konfigureras eller aktiveras.
-
Netsh-kommandon för kabelanslutna lokala nätverk (LAN). Netsh LAN-gränssnittet är ett alternativ till att använda grupprincip i Windows Server 2008 för att konfigurera inställningar för kabelansluten anslutning och säkerhet i Windows Vista. Du kan använda Netsh LAN-kommandoraden för att konfigurera den lokala datorn eller för att använda kommandona i inloggningsskript för att konfigurera flera datorer. Du kan också använda Netsh LAN-kommandon för att visa principer för kabelanslutet nätverk (IEEE 802.3) och för att administrera klientinställningar för kabelanslutet 1x.
Ytterligare resurser
Du kan få mer information om Nätverksprincip och åtkomsttjänster genom att öppna en av följande MMC-snapin-moduler och sedan trycka på F1 för att visa hjälpen:
-
MMC-snapin-modulen NPS
-
MMC-snapin-modulen Routning och fjärråtkomst
-
MMC-snapin-modulen HRA