「連線要求原則」是條件與設定的集合,可讓網路系統管理員指定哪些遠端驗證撥號使用者服務 (RADIUS) 伺服器要執行連線要求的驗證與授權,此要求是執行網路原則伺服器 (NPS) 的伺服器從 RADIUS 用戶端接收的要求。您可以設定連線要求原則指定哪些 RADIUS 伺服器用於 RADIUS 帳戶處理。

重要

在使用虛擬私人網路 (VPN) 或具有受保護的可延伸驗證通訊協定 (PEAP) 驗證的 802.1X 強制方法部署網路存取保護 (NAP) 時,即使在本機處理連線要求,也必須在連線要求原則中設定 PEAP 驗證。

您可以建立連線要求原則,在本機處理從 RADIUS 用戶端傳送的一些 RADIUS 要求訊息 (NPS 當作 RADIUS 伺服器使用),而其他類型的訊息轉送到另一個 RADIUS 伺服器 (NPS 當作 RADIUS Proxy 使用)。

利用連線要求原則,您可以根據下列因素決定將 NPS 做為 RADIUS 伺服器或 RADIUS Proxy 使用:

  • 一天當中的時間與一週中的一天

  • 連線要求中的領域名稱

  • 要求的連線類型

  • RADIUS 用戶端的 IP 位址

當連入訊息的設定至少符合一個 NPS 伺服器上所設定的連線要求原則時,NPS 才會處理或轉送 RADIUS Access-Request 訊息。如果原則設定符合 NPS 處理訊息所需的原則,NPS 會扮演 RADIUS 伺服器的角色,驗證和授權該連線要求。如果原則設定符合 NPS 轉送訊息所需的原則,NPS 會扮演 RADIUS Proxy 的角色,將連線要求轉送到遠端 RADIUS 伺服器進行處理。

如果連入 RADIUS Access-Request 訊息的設定至少與一個連線要求原則不符,Access-Reject 訊息就會傳送到 RADIUS 用戶端,而嘗試連線到網路的使用者或電腦會被拒絕存取。

設定範例

下列設定範例示範如何使用連線要求原則:

  • NPS 做為 RADIUS 伺服器

    預設的連線要求原則是唯一已設定的原則。在此範例中,NPS 被設定為 RADIUS 伺服器,所有連線要求都是由本機 NPS 伺服器處理。NPS 伺服器可以驗證和授權其帳戶在 NPS 伺服器網域和信任網域中的使用者。

  • NPS 做為 RADIUS Proxy

    會刪除預設連線要求原則,並建立兩個新的連線要求原則,將要求轉送到兩個不同網域。在此範例中,NPS 被設定為 RADIUS Proxy。NPS 不會處理本機伺服器上的任何連線要求。而是將連線要求轉送到 NPS 或其他 RADIUS 伺服器,這些伺服器被設定為遠端 RADIUS 伺服器群組的成員。

  • NPS 做為 RADIUS 伺服器及 RADIUS Proxy

    除了預設的連線要求原則之外,還會建立新的連線要求原則,將連線要求轉送到不受信任網域中的 NPS 或其他 RADIUS 伺服器。在此範例中,Proxy 原則會顯示在原則排序清單中的第一個。如果連線要求符合 Proxy 原則,會將連線要求轉送到遠端 RADIUS 伺服器群組中的 RADIUS 伺服器。如果連線要求不符合 Proxy 原則,但符合預設的連線要求原則,NPS 會在本機伺服器上處理連線要求。如果連線要求不符合任一原則,就會被捨棄。

  • NPS 做為具有遠端帳戶處理伺服器的 RADIUS 伺服器

    在此範例中,本機 NPS 伺服器並未設定執行帳戶處理,而預設連線要求原則已修訂,使 RADIUS 帳戶處理訊息轉送到遠端 RADIUS 伺服器群組中的 NPS 或其他 RADIUS 伺服器。雖然會轉送帳戶處理訊息,但不會轉送驗證與授權訊息,而本機 NPS 伺服器會為本機和所有信任網域執行這些功能。

  • NPS 具有 Windows 使用者對應的遠端 RADIUS

    在此範例中,NPS 扮演每個連線要求的 RADIUS 伺服器與 RADIUS Proxy,將驗證要求轉送到遠端 RADIUS 伺服器,而使用本機 Windows 使用者帳戶進行授權。將 [Windows 使用者對應的遠端 RADIUS] 屬性設定為連線要求原則的條件,即可實作此設定。(此外,必須在本機建立名稱與遠端使用者帳戶相同的使用者帳戶,遠端 RADIUS 伺服器對此帳戶執行驗證。)

條件

與連入 RADIUS Access-Request 訊息的屬性相比較,「連線要求原則條件」是一或多個 RADIUS 屬性。如果有多重條件,連線要求訊息與連線要求原則中的所有條件都必須相符,NPS 才能強制此原則。

下列是可在連線要求原則中設定的可用條件屬性。

[連線內容] 屬性群組包含下列屬性。

  • [已框架處理通訊協定]。用來指定連入封包的框架類型。範例有點對點通訊協定 (PPP)、序列線路網際網路通訊協定 (SLIP)、框架轉送及 X.25。

  • [服務類型]。用來指定所要求的服務類型。範例包含已框架處理 (例如 PPP 連線) 與登入 (例如 Telnet 連線)。如需 RADIUS 服務類型的相關資訊,請參閱 RFC 2865<遠端驗證撥入使用者服務 (RADIUS)>。

  • [通道類型]。用來指定要求用戶端所建立的通道類型。通道類型包括「點對點通道通訊協定」(PPTP) 和「第二層通道通訊協定」(L2TP)。

[日期和時間限制] 屬性群組包含 [日期和時間限制] 屬性。利用此屬性,您可以指定一天當中的時間與一週中的一天進行連線嘗試。日期和時間與 NPS 伺服器的日期和時間有關。

[閘道] 屬性群組包含下列屬性。

  • [被呼叫的工作站識別碼]。用來指定網路存取伺服器的電話號碼。此屬性是字元字串。您可以使用模式比對語法指定區碼。

  • [NAS 識別碼]。用來指定網路存取伺服器的名稱。此屬性是字元字串。您可以使用模式比對語法指定 NAS 識別碼。

  • [NAS IPv4 位址]。用來指派網路存取伺服器 (RADIUS 用戶端) 的網際網路通訊協定第 4 版 (IPv4) 位址。此屬性是字元字串。您可以使用模式比對語法指定 IP 網路。

  • [NAS IPv6 位址]。用來指定網路存取伺服器 (RADIUS 用戶端) 的網際網路通訊協定第 6 版 (IPv6) 位址。此屬性是字元字串。您可以使用模式比對語法指定 IP 網路。

  • [NAS 連接埠類型]。用來指定存取用戶端使用的媒體類型。例如類比電話線 (稱為「非同步」)、整合式服務數位網路 (ISDN)、通道或虛擬私人網路 (VPN)、IEEE 802.11 無線以及乙太網路交換器。

[電腦識別碼] 屬性群組包含 [電腦識別碼] 屬性。您可以使用此屬性指定在原則中用來識別用戶端的方法。

[RADIUS 用戶端內容] 屬性群組包含下列屬性。

  • [發出呼叫的工作站識別碼]。用來指定呼叫者 (存取用戶端) 使用的電話號碼。此屬性是字元字串。您可以使用模式比對語法指定區碼。

  • [好記的用戶端名稱]。用來指定要求驗證的 RADIUS 用戶端電腦的名稱。此屬性是字元字串。您可以使用模式比對語法指定用戶端名稱。

  • [用戶端 IPv4 位址]。用來指定網路存取伺服器 (RADIUS 用戶端) 的 IPv4 位址。此屬性是字元字串。您可以使用模式比對語法指定 IP 網路。

  • [用戶端 IPv6 位址]。用來指定網路存取伺服器 (RADIUS 用戶端) 的 IPv6 位址。此屬性是字元字串。您可以使用模式比對語法指定 IP 網路。

  • [用戶端廠商]。用來指定要求驗證的網路存取伺服器的廠商。執行 [路由及遠端存取] 服務的電腦是 Microsoft NAS 製造商。您可以使用此屬性設定不同 NAS 製造商的個別原則。此屬性是字元字串。您可以使用模式比對語法。

[使用者名稱] 屬性群組包含 [使用者名稱] 屬性。您可以使用此屬性指定使用者名稱或部分使用者名稱,它必須符合 RADIUS 訊息中存取用戶端所提供的使用者名稱。此屬性是字元字串,通常包含領域名稱與使用者帳戶名稱。您可以使用模式比對語法指定使用者名稱。

設定

連線要求原則設定是一組內容,可套用到連入 RADIUS 訊息。設定包含下列內容群組:

  • 驗證

  • 帳戶處理

  • 屬性操作

  • 進階

驗證

您可以使用此設定值覆寫所有網路原則中設定的驗證設定,而且可指定連線到網路所需的驗證方法與類型。

重要

如果在連線要求原則中設定的驗證方法,比網路原則中設定的驗證方法更不安全,將會覆寫您在網路原則中設定較安全的驗證方法。例如,如果您擁有需要使用受保護的可延伸驗證通訊協定-Microsoft Challenge Handshake 驗證通訊協定第 2 版 (PEAP-MS-CHAP v2) 的網路原則,它是以密碼為基礎保護無線安全的驗證方法,同時設定連線要求原則以允許未驗證的存取,則不需要使用 PEAP-MS-CHAP v2 驗證用戶端。在此範例中,所有連線到網路的用戶端都會被授與未驗證的存取權。

帳戶處理

您可以使用此設定將連線要求原則設定為將帳戶處理資訊轉送到 NPS 伺服器,或遠端 RADIUS 伺服器群組中的其他 RADIUS 伺服器,讓遠端 RADIUS 伺服器群組執行帳戶處理。

附註

如果您有多個 RADIUS 伺服器,而且想要將所有伺服器的帳戶處理資訊存放在單一集中的 RADIUS 帳戶處理資料庫中,可以在每個 RADIUS 伺服器的原則中使用連線要求原則帳戶處理設定,將帳戶處理資料從所有伺服器轉送到單一 NPS,或轉送到指定做為帳戶處理伺服器的其他 RADIUS 伺服器。

連線要求原則帳戶處理設定功能與本機 NPS 伺服器的帳戶處理設定無關。換句話說,如果您設定本機 NPS 伺服器將 RADIUS 帳戶處理資訊記錄到本機檔案或 Microsoft(R) SQL Server(TM) 資料庫,它就會執行此動作,與您是否設定連線要求原則將帳戶處理訊息轉送到遠端 RADIUS 伺服器群組無關。

如果您要在遠端而不是在本機記錄帳戶處理資訊,就必須設定本機 NPS 伺服器不執行帳戶處理,同時也要在連線要求原則中設定帳戶處理將帳戶處理資料轉送到遠端 RADIUS 伺服器群組。

屬性操作

您可以設定一組尋找和取代規則,操作下列其中一個屬性的文字字串:

  • 使用者名稱

  • 被呼叫的工作站識別碼

  • 發出呼叫的工作站識別碼

在 RADIUS 訊息之前發生的其中一個前述屬性的尋找和取代規則處理,受制於驗證和帳戶處理設定。屬性操作規則只適用於單一屬性。您無法為每個屬性設定屬性操作規則。此外,您可操作的屬性清單是靜態清單;您無法新增可用的屬性清單進行操作。

附註

使用 MS-CHAP v2 驗證通訊協定時,如果使用連線要求原則轉送 RADIUS 訊息,就無法操作 [使用者名稱] 屬性。唯一的例外只有使用反斜線 (\) 字元時,此操作只影響它左邊的資訊。反斜線字元通常用來指出網域名稱 (反斜線字元左邊的資訊) 及網域中的使用者帳戶名稱 (反斜線字元右邊的資訊)。在此情況下,只允許修改或取代網域名稱的屬性操作規則。

轉寄要求

您可以設定下列用於 RADIUS Access-Request 訊息的轉寄要求選項:

[驗證這個伺服器上的要求]。使用此設定,NPS 會使用 Windows NT 4.0 網域、Active Directory 或本機安全性帳戶管理員 (SAM) 使用者帳戶資料庫驗證連線要求。此設定也會指定在 NPS 中設定的相符網路原則及使用者帳戶的撥入內容,由 NPS 用來授權連線要求。在此情況下,NPS 伺服器設定為當作 RADIUS 伺服器執行。

[轉送要求到下列遠端 RADIUS 伺服器群組]。使用此設定,NPS 會將連線要求轉送到您指定的遠端 RADIUS 伺服器群組。如果 NPS 伺服器收到有效的 Access-Accept 訊息 (對應到 Access-Request 訊息),連線嘗試會視為已驗證和已授權。在此情況下,NPS 扮演 RADIUS Proxy。

[不確認認證即接受使用者]。使用此設定,NPS 就不會檢查嘗試連線到網路的使用者識別身分,而 NPS 也不會嘗試檢查該使用者或電腦是否有權連線到網路。當 NPS 被設定為允許未驗證存取時,NPS 會在接收連線要求時立即傳送 Access-Accept 訊息到 RADIUS 用戶端,而使用者或電腦被授與網路存取權。此設定用於一些強制通道的類型,這種類型的存取用戶端在驗證使用者認證之前就是通道。

附註

此驗證選項無法在存取用戶端的驗證通訊協定為 MS-CHAP v2 或可延伸驗證通訊協定-傳輸層安全性 (EAP-TLS) 時使用,而這兩者皆提供相互驗證。在相互驗證中,存取用戶端證明它是驗證伺服器 (NPS 伺服器) 的有效存取用戶端,而且驗證伺服器證明它是存取用戶端的有效驗證伺服器。使用此驗證選項時,會傳回 Access-Accept 訊息。不過,驗證伺服器不會提供存取用戶端的驗證,因此相互驗證失敗。

進階

您可以設定進階內容指定此系列 RADIUS 屬性,這些屬性可以:

  • 在 NPS 伺服器做為 RADIUS 驗證或帳戶處理伺服器時,新增至 RADIUS 回應訊息。

    當網路原則與連線要求原則都指定屬性時,在 RADIUS 回應訊息中傳送的屬性是兩組屬性的組合。

  • 在 NPS 伺服器做為 RADIUS 驗證或帳戶處理 Proxy 時,新增至 RADIUS 訊息。如果屬性已經在被轉送的訊息中,會以連線要求原則中指定的屬性值取代。

此外,在 [進階] 類別中的連線要求原則 [設定] 索引標籤上,可用來設定的一些屬性會提供特殊功能。例如,您可以在想要分割兩個使用者帳戶資料庫之間連線要求的驗證與授權時,設定 [Windows 使用者對應的遠端 RADIUS] 屬性。

[Windows 使用者對應的遠端 RADIUS] 屬性指定為遠端 RADIUS 伺服器所驗證的使用者執行 Windows 授權。換句話說,遠端 RADIUS 伺服器針對遠端使用者帳戶資料庫中的使用者帳戶執行驗證,但本機 NPS 伺服器針對本機使用者帳戶資料庫中的使用者帳戶授權此連線要求。當您想要允許訪客存取網路時,這個選項非常有用。

例如,來自夥伴組織的訪客可利用其夥伴組織 RADIUS 伺服器加以驗證,然後使用您組織的 Windows 使用者帳戶存取網路上的來賓區域網路 (LAN)。

提供特殊功能的其他屬性包括:

  • [MS-Quarantine-IPFilter 與 MS-Quarantine-Session-Timeout]。使用 [路由及遠端存取] VPN 部署以部署網路存取隔離控制 (NAQC) 時可使用這些屬性。

  • [Passport-User-Mapping-UPN-Suffix]。此屬性可讓您使用 Windows Live(TM) ID 使用者帳戶認證以驗證連線要求。

  • [Tunnel-Tag]。此屬性指定 VLAN 識別碼,它是在部署虛擬區域網路 (VLAN) 時,NAS 所指派連線的編號。

預設連線要求原則

預設連線要求原則是在安裝 NPS 時建立。此原則具有下列設定:

  • 未設定 [驗證]

  • 未設定 [帳戶處理] 將帳戶處理資訊轉送到遠端 RADIUS 伺服器群組。

  • 未使用屬性操作規則設定 [屬性],此規則將連線要求轉送到遠端 RADIUS 伺服器群組。

  • 設定 [轉寄要求]轉寄要求,使連線要求在本機 NPS 伺服器上獲得驗證和授權。

  • 未設定 [進階] 屬性。

預設連線要求原則使用 NPS 做為 RADIUS 伺服器。若要設定執行 NPS 的伺服器做為 RADIUS Proxy,您還必須設定遠端 RADIUS 伺服器群組。您可以使用 [新增連線要求原則精靈],在建立新連線要求原則時,建立新的遠端 RADIUS 伺服器群組。您可以刪除預設連線要求原則,或確認預設連線要求原則是最後處理的原則。

附註

如果 NPS 與 [路由及遠端存取] 服務安裝在相同電腦上,而且 [路由及遠端存取] 服務設定用於 Windows 驗證與帳戶處理,則 [路由及遠端存取] 的驗證與帳戶處理要求可能會被轉送到 RADIUS 伺服器。當 [路由及遠端存取] 驗證與帳戶處理要求符合連線要求原則,該原則設定將其轉送到遠端 RADIUS 伺服器群組時,就會發生此情況。

目錄