当您部署拨号或虚拟专用网络 (VPN) 连接以将网络策略服务器 (NPS) 用作 RADIUS 服务器时,必须采取以下步骤:
-
安装网络访问服务器 (NAS) 并将其配置为 RADIUS 客户端。
-
部署用于身份验证方法的组件。
-
将 NPS 配置为 RADIUS 服务器。
安装和配置网络访问服务器(RADIUS 客户端)
若要部署拨号访问,必须将路由和远程访问安装和配置为拨号服务器。若要部署 VPN 访问,必须将路由和远程访问安装和配置为 VPN 服务器。
 | 重要 |
|
客户端计算机(例如,无线便携式计算机和其他运行客户端操作系统的计算机)并非 RADIUS 客户端。RADIUS 客户端是网络访问服务器,例如无线访问点、802.1X-支持交换、虚拟专用网 (VPN) 服务器和拨号服务器等,因为此类客户端使用 RADIUS 协议来与 RADIUS 服务器(例如网络策略服务器 (NPS))通信。 |
可以在本地 NPS 服务器或远程计算机上安装路由和远程访问。
部署用于身份验证方法的组件
对于 VPN,可以使用以下身份验证方法:
-
带传输层安全性 (TLS) 的可扩展的身份验证协议 (EAP),称为 EAP-TLS。
-
带 Microsoft 质询握手身份验证协议版本 2 (MS-CHAP v2) 的受保护 EAP (PEAP),称为 PEAP-MS-CHAP v2。
-
带传输层安全性 (TLS) 的 PEAP,称为 PEAP-TLS。
对于 EAP-TLS 和 PEAP-TLS,必须通过安装和配置 Active Directory(R) 证书服务 (AD CS) 来部署公钥基础结构 (PKI),以便将证书颁发到域成员客户端计算机和 NPS 服务器。在身份验证过程中,客户端和 NPS 服务器将这些证书用作身份证明。如果需要,可以部署智能卡,而不使用客户端计算机证书。在此情况下,必须向组织员工颁发智能卡和智能卡读卡器。
对于 PEAP-MS-CHAP v2,可以使用 AD CS 部署自己的证书颁发机构 (CA) 以将证书颁发到 NPS 服务器,还可以从客户端信任的受信任公用根 CA(如 VeriSign)购买服务器证书。
将 NPS 配置为 RADIUS 服务器
将 NPS 配置为 RADIUS 服务器时,必须配置 RADIUS 客户端、网络策略和 RADIUS 记帐。
配置 RADIUS 客户端
配置 RADIUS 客户端分为两个阶段:
-
使用允许网络访问服务器与 NPS 服务器通信的信息配置物理 RADIUS 客户端,如 VPN 服务器或拨号服务器。此信息包括在 VPN 服务器或拨号服务器的用户界面中配置 NPS 服务器 IP 地址和共享机密。
-
在 NPS 中,添加新的 RADIUS 客户端。在 NPS 服务器上,将每个 VPN 服务器或拨号服务器作为 RADIUS 客户端进行添加。NPS 允许您为每个 RADIUS 客户端提供一个友好名称,以及 RADIUS 客户端的 IP 地址和共享机密。
有关详细信息,请参阅添加新的 RADIUS 客户端。
配置网络策略
网络策略是一组条件、约束和设置,允许您指定授权谁连接到网络以及其可以连接的环境。
有关详细信息,请参阅网络策略。
配置 RADIUS 记帐
使用 RADIUS 记帐可以在本地日志文件或本地计算机或远程计算机上的 Microsoft(R) SQL Server(R) 数据库中记录用户身份验证和记帐请求。