网络策略服务器 (NPS) 允许您通过以下三个功能集中配置和管理网络策略:远程身份验证拨入用户服务 (RADIUS) 服务器、RADIUS 代理和网络访问保护 (NAP) 策略服务器。
RADIUS 服务器和代理
NPS 可用作 RADIUS 服务器、RADIUS 代理或两者。
RADIUS 服务器
NPS 是 Internet 工程任务组 (IETF) 在 RFC 2865 和 2866 中指定的 RADIUS 标准的 Microsoft 实现。作为 RADIUS 服务器,NPS 为许多类型的网络访问(包括无线、身份验证交换机、拨号和虚拟专用网 (VPN) 远程访问以及路由器到路由器连接)执行集中化的连接身份验证、授权和记帐。
NPS 支持使用一组异类无线、交换机、远程访问或 VPN 设备。可以将 NPS 与 Microsoft Windows 2000、Windows Server 2003,Standard Edition、Windows Server 2003,Enterprise Edition 和 Windows Server 2003,Datacenter Edition 中可用的路由和远程访问服务一起使用。
运行 NPS 的服务器是 Active Directory(R) 域服务 (AD DS) 域的成员时,NPS 将目录服务用作其用户帐户数据库,并且是单一登录解决方案的一部分。将同一组凭据用于网络访问控制(对网络的身份验证和授权访问)和登录到 AD DS 域。
Internet 服务提供商 (ISP) 和维护网络访问的组织对从单一管理点管理所有类型的网络访问将面临越来越大的挑战,这与使用的网络访问设备的类型无关。RADIUS 标准在同类和异类环境中都支持该功能。RADIUS 是一种客户端-服务器协议,使得网络访问设备(用作 RADIUS 客户端)可以向 RADIUS 服务器提交身份验证和记帐请求。
RADIUS 服务器具有对用户帐户信息的访问权限,并可以检查网络访问身份验证凭据。如果用户的凭据是经过身份验证的,并且连接尝试获得授权,RADIUS 服务器将根据指定条件向用户授予访问权限,然后将网络访问连接记录到记帐日志中。使用 RADIUS 允许在一个中心位置(而不是在每台访问服务器上)收集并维护网络访问用户身份验证、授权和记帐数据。
有关详细信息,请参阅 RADIUS 服务器。
RADIUS 代理
作为 RADIUS 代理,NPS 将身份验证和记帐消息转发到其他 RADIUS 服务器。
使用 NPS,各组织还可以在保留对用户身份验证、授权和记帐活动控制的同时,将远程访问基础结构外包给服务提供商。
可以为以下方案创建 NPS 配置:
-
无线访问
-
组织拨号或虚拟专用网络 (VPN) 远程访问
-
外包拨号或无线访问
-
Internet 访问
-
对业务合作伙伴 Extranet 资源的经过身份验证的访问
有关详细信息,请参阅 RADIUS 代理。
RADIUS 服务器和 RADIUS 代理配置示例
以下配置示例演示如何将 NPS 配置成 RADIUS 服务器和 RADIUS 代理。
NPS as a RADIUS server。在该示例中,NPS 配置为 RADIUS 服务器,默认连接请求策略是唯一配置的策略,所有连接请求都由本地 NPS 服务器处理。NPS 服务器可以对帐户位于 NPS 服务器域和受信域中的用户进行身份验证和授权。
NPS as a RADIUS proxy。在该示例中,NPS 服务器配置为 RADIUS 代理,用于将连接请求转发到两个未受信任域中的远程 RADIUS 服务器组。删除默认连接请求策略,并新建两个连接请求策略,以将请求转发到两个未受信任域的每个域。在此示例中,NPS 并不处理本地服务器上的任何连接请求。
NPS as both RADIUS server and RADIUS proxy。除了可以指定在本地处理连接请求的默认连接请求策略之外,还创建了一个新的连接请求策略,以将连接请求转发到未受信任域中的 NPS 或其他 RADIUS 服务器。此处的第二个策略命名为“代理”策略。在此示例中,代理策略首先出现在策略的有序列表中。如果连接请求与代理策略匹配,连接请求将被转发到远程 RADIUS 服务器组中的 RADIUS 服务器。如果连接请求与代理策略不匹配,但与默认连接请求策略匹配,NPS 会在本地服务器上处理该连接请求。如果连接请求与任一策略不匹配,则丢弃该连接请求。
NPS as a RADIUS server with remote accounting servers。在此示例中,未将本地 NPS 服务器配置为执行记帐,并修改默认连接请求策略以便将 RADIUS 记帐消息转发到远程 RADIUS 服务器组中的 NPS 服务器或其他 RADIUS 服务器。尽管转发记帐消息,但不转发身份验证和授权消息,并且本地 NPS 服务器会为本地域和所有受信任域执行这些功能。
NPS with remote RADIUS to Windows user mapping。在此示例中,通过将身份验证请求转发到远程 RADIUS 服务器,并同时使用本地 Windows 用户帐户进行授权,NPS 同时充当了每个单个连接请求的 RADIUS 服务器和 RADIUS 代理。通过将“远程 RADIUS 到 Windows 用户映射”属性配置为连接请求策略的条件,从而实现此配置。(此外,必须在 RADIUS 服务器本地创建与远程用户帐户名称相同的用户帐户,远程 RADIUS 服务器针对该远程用户帐户执行身份验证。)
NAP 策略服务器
NAP 包含在 Windows Vista(R)、Windows(R) 7、Windows Server(R) 2008 和 Windows Server(R) 2008 R2 中,并通过确保按照组织网络健康策略配置客户端计算机后才允许它们连接到网络资源,从而有助于保护对专用网络的访问。此外,计算机连接到网络时,NAP 会监视客户端计算机对健康策略的遵从情况。通过使用 NAP 自动更新,可以自动更新不符合要求的计算机,以使其遵从健康策略,从而使它们能够连接到网络。
系统管理员可以定义网络健康策略,并使用 NPS 中或其他公司(取决于 NAP 部署)提供的 NAP 组件创建这些策略。
健康策略可以包含软件要求、安全更新要求和所需的配置设置等内容。NAP 通过检查和评估客户端计算机的健康,在认为客户端计算机不健康时限制网络访问以及修正不健康的客户端计算机以进行充分的网络访问,来强制运行健康策略。
有关详细信息,请参阅 NPS 中的网络访问保护。