网络策略服务器 (NPS) 可以用作 RADIUS 代理,以提供对 RADIUS 客户端访问服务器和为连接尝试执行用户身份验证、授权和记帐的 RADIUS 服务器之间的 RADIUS 消息的路由。当用作 RADIUS 代理时,NPS 是一个中央切换点或路由点,其中 RADIUS 访问和记帐消息从中流过。NPS 将被转发的消息的有关信息记录在记帐日志中。

下图表示在 RADIUS 客户端(访问服务器)和 RADIUS 服务器或另外一个 RADIUS 代理之间充当 RADIUS 代理的 NPS。

作为 RADIUS 代理的 NPS

当 NPS 用作 RADIUS 客户端和 RADIUS 服务器之间的 RADIUS 代理时,网络访问连接尝试的 RADIUS 消息通过下列方式转发:

  1. 拨号网络访问服务器、虚拟专用网 (VPN) 服务器和无线访问点等访问服务器从访问客户端接收连接请求。

  2. 配置以将 RADIUS 用作身份验证、授权和记帐协议的访问服务器创建访问请求消息,并将其发送到用作 NPS RADIUS 代理的 NPS 服务器。

  3. NPS RADIUS 代理接收访问请求-消息,并根据本地配置的连接请求策略,确定将访问-请求消息转发的位置。

  4. NPS RADIUS 代理将访问-请求消息转发到合适的 RADIUS 服务器。

  5. RADIUS 服务器评估访问-请求消息。

  6. 如果需要,RADIUS 服务器将向 NPS RADIUS 代理发送访问-质询消息,在此将访问-质询消息转发到访问服务器。访问服务器通过访问客户端处理质询,并将已更新的访问-请求发送到 NPS RADIUS 代理,在此将访问-请求转发到 RADIUS 服务器。

  7. RADIUS 服务器对连接尝试进行身份验证和授权。

  8. 如果对连接尝试进行了身份验证和授权,RADIUS 服务器将向 NPS RADIUS 代理发送访问-接受消息,在此将访问-接受消息转发到访问服务器。

    如果未对连接尝试进行身份验证或授权,RADIUS 服务器将向 NPS RADIUS 代理发送访问-拒绝消息,在此将访问-拒绝消息转发到访问服务器。

  9. 访问服务器使用访问客户端完成连接过程,并将记帐-请求消息发送到 NPS RADIUS 代理。NPS RADIUS 代理记录记帐数据,并将消息转发到 RADIUS 服务器。

  10. RADIUS 服务器将记帐-响应消息发送到 NPS RADIUS 代理,在此将记帐-响应消息转发到访问服务器。

出现以下情况,可以将 NPS 用作 RADIUS 代理:

  • 您是向多个客户提供外包拨号、VPN 或无线网络访问服务的服务提供商。您的 NAS 将连接请求发送到 NPS RADIUS 代理。NPS RADIUS 代理根据连接请求中的用户名的领域部分,将连接请求转发到客户维持的 RADIUS 服务器,并可以对连接尝试进行身份验证和授权。

  • 您希望向用户帐户提供身份验证和授权,而这些用户帐户既不是 NPS 服务器所属域的成员,也不是与 NPS 服务器所属域具有双向信任关系的另外一个域的成员。这包括未受信任域、单向受信任域和其他林中的帐户。不是将访问服务器配置为将其连接请求发送到 NPS RADIUS 服务器,而是将它们配置为将其连接请求发送到 NPS RADIUS 代理。NPS RADIUS 代理使用用户名的领域名称部分,并将请求转发到正确的域或林中的 NPS 服务器。一个域或林中的用户帐户的连接尝试可以为另一个域或林中的 NAS 接受身份验证。

  • 您希望使用不是 Windows 帐户数据库的数据库执行身份验证和授权。在这种情况下,与指定领域名称匹配的连接请求转发到 RADIUS 服务器,后者拥有对不同用户帐户和授权数据数据库的访问权限。其他用户数据库示例包括 Novell Directory Services (NDS) 和结构化查询语言 (SQL) 数据库。

  • 您希望处理大量连接请求。在这种情况下,可以不将 RADIUS 客户端配置为尝试跨多个 RADIUS 服务器平衡其连接和记帐请求,而将它们配置为将其连接和记帐请求发送到 NPS RADIUS 代理。NPS RADIUS 代理动态地平衡跨多个 RADIUS 服务器的连接和记帐请求负载,并增加每秒处理的大量 RADIUS 客户端和身份验证数。

  • 您希望向外包服务提供商提供 RADIUS 身份验证和授权,并最大限度减少 Intranet 防火墙配置。Intranet 防火墙介于外围网络(Intranet 和 Internet 之间的网络)和 Intranet 之间。通过将 NPS 服务器放置到外围网络上,外围网络和 Intranet 之间的防火墙必须允许通信在 NPS 服务器和多个域控制器之间流动。如果使用 NPS 代理替换 NPS 服务器,防火墙必须仅允许 RADIUS 通信在 NPS 代理和 Intranet 中的一个或多个 NPS 服务器之间流动。


目录