网络策略服务器 (NPS) 可用作对远程身份验证拨入用户服务 (RADIUS) 客户端执行身份验证、授权和记帐的 RADIUS 服务器。RADIUS 客户端可以是访问服务器(如拨号服务器或无线访问点)或者 RADIUS 代理。将 NPS 用作 RADIUS 服务器时,它提供以下功能:

  • 为 RADIUS 客户端发送的所有访问请求提供中心身份验证和授权服务。

    NPS 使用 Microsoft(R) Windows NT(R) Server 4.0 域、Active Directory(R) 域服务 (AD DS) 域或本地安全帐户管理器 (SAM) 用户帐户数据库对用于尝试连接的用户凭据进行身份验证。NPS 使用用户帐户的拨入属性和网络策略对连接授权。

  • 为 RADIUS 客户端发送的所有记帐请求提供中心记帐记录服务。

    记帐请求存储在本地日志文件或 Microsoft(R) SQL Server(TM) 数据库中,以用于进行分析。

下图显示了作为各种访问客户端的 RADIUS 服务器的 NPS,还显示了 RADIUS 代理。NPS 使用 AD DS 域对传入的 RADIUS 访问请求消息执行用户凭据身份验证。

作为 RADIUS 服务器的 NPS

将 NPS 用作 RADIUS 服务器时,RADIUS 消息将采用以下方式为网络访问连接提供身份验证、授权和记帐功能:

  1. 访问服务器(如拨号网络访问服务器、VPN 服务器和无线访问点)从访问客户端接收连接请求。

  2. 访问服务器(配置为使用 RADIUS 作为身份验证、授权、记帐协议)将创建访问请求消息并将其发送给 NPS 服务器。

  3. NPS 服务器将评估访问请求消息。

  4. 如果需要,NPS 服务器会向访问服务器发送访问质询消息。访问服务器将处理质询,并向 NPS 服务器发送更新的访问请求。

  5. 系统将检查用户凭据,并使用指向域控制器的安全连接来获取用户帐户的拨入属性。

  6. 系统将使用用户帐户的拨入属性和网络策略对连接尝试进行授权。

  7. 如果对连接尝试进行身份验证和授权,则 NPS 服务器会向访问服务器发送访问接受消息。

    如果不对连接尝试进行身份验证或授权,则 NPS 服务器会向访问服务器发送访问拒绝消息。

  8. 访问服务器将完成与访问客户端的连接过程,并向 NPS 服务器发送记帐请求消息,在那里记录消息。

  9. NPS 服务器会向访问服务器发送记帐响应消息。

注意

此外,在建立连接期间、关闭访问客户端连接时,以及启动和停止访问服务器时,访问服务器还会发送记帐请求消息。

在以下情况下,您可以使用 NPS 作为 RADIUS 服务器:

  • 使用 Windows NT Server 4.0 域、AD DS 域或本地 SAM 用户帐户数据库作为访问客户端的用户帐户数据库。

  • 在多个拨号服务器、VPN 服务器或请求拨号路由器上使用路由和远程访问,并且要将网络策略配置与记帐连接日志记录集中在一起。

  • 您正在向服务提供商外购拨号、VPN 或无线访问。访问服务器使用 RADIUS 对您所在组织的成员建立的连接进行身份验证和授权。

  • 您要对一组不同种类的访问服务器集中进行身份验证、授权和记帐。

注意

在 Windows Server(R) 2003 操作系统的 Internet 验证服务 (IAS) 中,网络策略即是远程访问策略。


目录