Nätverksprincipservern (NPS) gör att du centralt kan konfigurera och hantera nätverksprinciper med följande tre funktioner: Remote Authentication Dial-In User Service (RADIUS)-server, RADIUS-proxy och Network Access Protection (NAP)-principserver.
RADIUS-server och RADIUS-proxy
NPS går att använda som en RADIUS-server, en RADIUS-proxy eller båda.
RADIUS-server
NPS är Microsofts implementering av den RADIUS-standard som specificerats av Internet Engineering Task Force (IETF) i RFCs 2865 och 2866. Som en RADIUS-server utför NPS centraliserad anslutningsautentisering, auktorisering och redovisning för många typer av nätverksåtkomster, inklusive trådlösa anslutningar, autentiseringsväxlar, fjärranslutningar för uppringda nätverk och VPN samt router-to-router-anslutningar.
NPS gör det möjligt att använda en mängd olika utrustningar för trådlösa anslutningar, växelanslutningar, fjärranslutningar och VPN-anslutningar. Du kan använda NPS med tjänsten Routning och fjärråtkomst (RAS) som finns i Microsoft Windows 2000, Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition och Windows Server 2003, Datacenter Edition.
När en server som kör NAP är medlem i en Active Directory® Domain Services (AD DS)-domän använder NPS katalogtjänsten som användarkontodatabas och ingår i en lösning för enkel inloggning. Samma uppsättning autentiseringsuppgifter används till nätverksåtkomstkontroll (autentisering och auktorisering av tillgången till ett nätverk) som till inloggning i en AD DS-domän.
Internetleverantörer och organisationer som underhåller nätverksanslutningar måste hantera utmaningen i att hantera alla typer av nätverksanslutningar från en enda administrationspunkt, oavsett vilken typ av utrustning för nätverksanslutningen som används. RADIUS-standarden stöder denna funktion både i homogena och heterogena miljöer. RADIUS är ett klient-serverprotokoll som gör att utrustning för nätverksanslutning (används som RADIUS-klienter) kan skicka begäranden om autentisering och redovisning till en RADIUS-server.
En RADIUS-server har tillgång till användarkontoinformation och kan kontrollera autentiseringsuppgifterna för nätverksanslutningen. Om användarens autentiseringsuppgifter godkänns och anslutningsförsöket auktoriseras, auktoriserar RADIUS-servern användarens anslutning på grundval av de angivna villkoren och nätverksanslutningen loggas i en redovisningslogg. Tack vare RADIUS kan data om autentisering, auktorisering och redovisning av nätverksanvändarna samlas in och sparas på en central plats, istället för på varje åtkomstserver.
Mer information finns i avsnittet RADIUS-server.
RADIUS-proxy
Som RADIUS-proxy vidarebefordrar NPS autentiserings- och redovisningsmeddelanden till andra RADIUS-servrar.
Med hjälp av NPS kan organisationer också lägga ut infrastrukturen för fjärranslutningar på en leverantör och fortfarande behålla kontrollen över autentiseringen, auktoriseringen och redovisningen.
Det går att skapa olika NPS-konfigurationer för följande situationer:
-
Trådlös åtkomst
-
Fjärråtkomst via organisationens fjärranslutning eller VPN (virtuellt privat nätverk)
-
Utkontrakterad fjärranslutning eller trådlös åtkomst
-
Internetåtkomst
-
Autentiserad åtkomst till extranätsresurser för affärspartner
Mer information finns i avsnittet RADIUS-proxy.
Exempel på konfigurationer med en RADIUS-server och RADIUS-proxy
I följande exempel visas hur du kan konfigurera NPS som en RADIUS-server och en RADIUS-proxy.
NPS as a RADIUS server. I det här exemplet är NPS konfigurerad som en RADIUS-server, standardprincipen för anslutningsbegäran är den enda konfigurerade principen och alla anslutningsbegäranden bearbetas av den lokala NPS-servern. NPS-servern kan autentisera och auktorisera användare som har konton i domänen där NPS-servern finns och i betrodda domäner.
NPS as a RADIUS proxy. I det här exemplet är NPS-servern konfigurerad som en RADIUS-proxy som vidarebefordrar anslutningsbegäranden till fjärr-RADIUS-servergrupper i två domäner som inte är betrodda. Standardprincipen för anslutningsbegäranden har tagits bort och två nya principer för anslutningsbegäranden skapas för att kunna vidarebefordra begäranden till de båda ej betrodda domänerna. I det här exemplet bearbetar NPS inte anslutningsbegärandena på den lokala servern.
NPS as both RADIUS server and RADIUS proxy. Förutom standardprincipen för anslutningsbegäranden, som anger att anslutningsbegäranden ska bearbetas lokalt, skapas en ny princip för anslutningsbegäranden. I den nya principen anges att anslutningsbegäranden ska vidarebefordras till en NPS eller en annan RADIUS-server i en domän som inte är betrodd. Den nya principen kallas proxyprincip. I det här exemplet visas proxyprincipen först i principlistan. Om anslutningsbegäran överensstämmer med proxyprincipen vidarebefordras begäran till RADIUS-servern i fjärr-RADIUS-servergruppen. Om anslutningsbegäran inte överensstämmer med proxyprincipen, men med standardprincipen bearbetar NPS begäran på den lokala servern. Om anslutningsbegäran inte överensstämmer med någon princip avvisas den.
NPS as a RADIUS server with remote accounting servers. I det här exemplet är den lokala NPS-servern inte konfigurerad så att den utför redovisning, och standardprincipen för anslutningsbegäran ändras så att RADIUS-redovisningsmeddelanden vidarebefordras till en NPS-server eller annan RADIUS-server i en fjärr-RADIUS-servergrupp. Redovisningsmeddelanden vidarebefordras men inte meddelanden om autentisering och auktorisering, och den lokala NPS-servern utför dessa funktioner för den lokala domänen och alla betrodda domäner.
NPS with remote RADIUS to Windows user mapping. I det här exemplet fungerar NPS som både RADIUS-server och RADIUS-proxy för varje enskild anslutningsbegäran genom att vidarebefordra autentiseringsbegäran till en fjärr-RADIUS-server samtidigt som ett lokalt Windows-användarkonto används för auktorisering. Konfigurationen implementeras genom att attributet Mappning av fjärr-RADIUS till Windows-användare konfigureras som ett villkor i principen för anslutningsbegäranden. (Dessutom måste ett användarkonto skapas lokalt på RADIUS-servern och ha samma namn som fjärranvändarkontot som fjärr-RADIUS-servern autentiserar mot.)
NAP-principserver
NAP ingår i Windows Vista®, Windows® 7, Windows Server® 2008 och Windows Server® 2008 R2 och skyddar anslutningarna till privata nätverk genom att kontrollera att klientdatorerna är inställda enligt organisationens nätverkshälsoprinciper innan de tillåts ansluta till nätverksresurserna. Dessutom övervakas att klientdatorerna är kompatibla med hälsoprincipen så länge datorn är ansluten till nätverket. Med hjälp av den automatiska justeringsfunktionen i NAP går det att automatiskt uppdatera icke-kompatibla datorer så att de blir kompatibla med hälsoprincipen och kan ansluta till nätverket.
Systemadministratörer definierar nätverkshälsoprinciper och skapar principerna med hjälp av NAP-komponenter i NPS och, beroende på NAP-distributionen, från andra företag.
Hälsoprinciper kan innefatta sådant som programvarukrav, säkerhetsuppdateringskrav och obligatoriska konfigurationsinställningar. NAP upprätthåller hälsoprinciperna genom att genomsöka och utvärdera klientdatorernas hälsostatus, begränsa nätverksåtkomsten när klientdatorerna bedöms inte uppfylla kraven och åtgärda datorer som inte uppfyller kraven så att de kan få obegränsad tillgång till nätverket.
Mer information finns i avsnittet NAP (Network Access Protection) i NPS.