网络策略服务器 (NPS) 可用作对远程身份验证拨入用户服务 (RADIUS) 客户端执行身份验证、授权和记帐的 RADIUS 服务器。RADIUS 客户端可以是访问服务器(如拨号服务器或无线访问点)或者 RADIUS 代理。将 NPS 用作 RADIUS 服务器时,它提供以下功能:
-
为 RADIUS 客户端发送的所有访问请求提供中心身份验证和授权服务。
NPS 使用 Microsoft(R) Windows NT(R) Server 4.0 域、Active Directory(R) 域服务 (AD DS) 域或本地安全帐户管理器 (SAM) 用户帐户数据库对用于尝试连接的用户凭据进行身份验证。NPS 使用用户帐户的拨入属性和网络策略对连接授权。
-
为 RADIUS 客户端发送的所有记帐请求提供中心记帐记录服务。
记帐请求存储在本地日志文件或 Microsoft(R) SQL Server(TM) 数据库中,以用于进行分析。
下图显示了作为各种访问客户端的 RADIUS 服务器的 NPS,还显示了 RADIUS 代理。NPS 使用 AD DS 域对传入的 RADIUS 访问请求消息执行用户凭据身份验证。
将 NPS 用作 RADIUS 服务器时,RADIUS 消息将采用以下方式为网络访问连接提供身份验证、授权和记帐功能:
-
访问服务器(如拨号网络访问服务器、VPN 服务器和无线访问点)从访问客户端接收连接请求。
-
访问服务器(配置为使用 RADIUS 作为身份验证、授权、记帐协议)将创建访问请求消息并将其发送给 NPS 服务器。
-
NPS 服务器将评估访问请求消息。
-
如果需要,NPS 服务器会向访问服务器发送访问质询消息。访问服务器将处理质询,并向 NPS 服务器发送更新的访问请求。
-
系统将检查用户凭据,并使用指向域控制器的安全连接来获取用户帐户的拨入属性。
-
系统将使用用户帐户的拨入属性和网络策略对连接尝试进行授权。
-
如果对连接尝试进行身份验证和授权,则 NPS 服务器会向访问服务器发送访问接受消息。
如果不对连接尝试进行身份验证或授权,则 NPS 服务器会向访问服务器发送访问拒绝消息。
-
访问服务器将完成与访问客户端的连接过程,并向 NPS 服务器发送记帐请求消息,在那里记录消息。
-
NPS 服务器会向访问服务器发送记帐响应消息。
注意 | |
此外,在建立连接期间、关闭访问客户端连接时,以及启动和停止访问服务器时,访问服务器还会发送记帐请求消息。 |
在以下情况下,您可以使用 NPS 作为 RADIUS 服务器:
-
使用 Windows NT Server 4.0 域、AD DS 域或本地 SAM 用户帐户数据库作为访问客户端的用户帐户数据库。
-
在多个拨号服务器、VPN 服务器或请求拨号路由器上使用路由和远程访问,并且要将网络策略配置与记帐连接日志记录集中在一起。
-
您正在向服务提供商外购拨号、VPN 或无线访问。访问服务器使用 RADIUS 对您所在组织的成员建立的连接进行身份验证和授权。
-
您要对一组不同种类的访问服务器集中进行身份验证、授权和记帐。
注意 | |
在 Windows Server(R) 2003 操作系统的 Internet 验证服务 (IAS) 中,网络策略即是远程访问策略。 |