可以使用此过程在网络策略服务器 (NPS) Microsoft 管理控制台 (MMC) 管理单元中添加一个网络访问服务器作为远程身份验证拨入用户服务 (RADIUS) 客户端。
如果在 NPS 管理单元中将网络访问服务器 (NAS) 配置为 RADIUS 客户端,则 RADIUS 客户端会将连接请求从访问客户端转发到 NPS 服务器进行身份验证、授权和记帐。
重要 | |
客户端计算机(例如,无线便携式计算机和其他运行客户端操作系统的计算机)并非 RADIUS 客户端。RADIUS 客户端是网络访问服务器,例如无线访问点、802.1X-支持交换、虚拟专用网 (VPN) 服务器和拨号服务器等,因为此类客户端使用 RADIUS 协议来与 RADIUS 服务器(例如网络策略服务器 (NPS))通信。 |
除配置新的 RADIUS 客户端之外,还必须配置网络访问服务器,以便与 NPS 通信。有关详细信息,请参阅 NAS 制造商的文档。
若要在 NPS 中配置新的 RADIUS 客户端,则必须运行新建 RADIUS 客户端向导。在新建 RADIUS 客户端向导中执行以下步骤时:
-
如果 NAS 支持使用消息身份验证器属性(也称为“签名属性”),请在新建 RADIUS 客户端向导中单击“请求必须包含消息身份验证器属性”。如果 NAS 不支持消息身份验证器属性,请勿选择此设置。在网络策略中将密码身份验证协议 (PAP)、质询握手身份验证协议 (CHAP)、Microsoft 质询握手身份验证协议 (MS-CHAP) 和 MS-CHAP v2 配置为身份验证方法时,启用消息身份验证器属性可以提供额外的安全保证。可扩展身份验证协议 (EAP) 默认情况下使用消息身份验证器属性,不需要您启用它。
-
如果使用 NAS 特定的网络策略(例如,包含供应商特定属性的网络策略),请单击“客户端-供应商”,然后选择 NAS 制造商的名称。如果不知道 NAS 制造商的名称,或其不在列表中,请选择“RADIUS 标准”。
注意 | |
如果 NPS 接收来自 RADIUS 代理的访问请求,则它无法检测到发出该请求的 NAS 制造商。如果计划使用基于客户端供应商的网络策略条件,且至少有一个 RADIUS 客户端作为 RADIUS 代理,这可能会导致出现问题。在此情况下,从 RADIUS 代理转发到 NPS 的连接请求可能与任何网络策略都不匹配,从而导致拒绝所有连接请求。鉴于此原因,使用 RADIUS 代理时,必须至少配置一个不是基于 NAS 特定的属性(如供应商特定的属性)的网络策略。 |
若要完成此过程,至少要具有 Domain Admins 成员身份或同等身份。
添加新的 RADIUS 客户端的步骤 |
打开 NPS MMC 管理单元,然后双击“RADIUS 客户端和服务器”。
右键单击“RADIUS 客户端”,然后单击“新建 RADIUS 客户端”。
按照新建 RADIUS 客户端向导中的步骤执行操作。