網路原則伺服器 (NPS) 可讓您使用下列三個功能集中設定和管理網路原則:遠端驗證撥號使用者服務 (RADIUS) 伺服器、RADIUS Proxy 以及網路存取保護 (NAP) 原則伺服器。
RADIUS 伺服器及 Proxy
NPS 可以當作 RADIUS 伺服器、RADIUS Proxy 或兩者使用。
RADIUS 伺服器
NPS 是 RADIUS 標準的 Microsoft 實作,由網際網路工程任務推動小組 (IETF) 在 RFC 2865 與 2866 所指定。做為 RADIUS 伺服器,NPS 會執行許多網路存取類型的集中連線驗證、授權以及帳戶處理,包括無線、驗證交換器、撥號及虛擬私人網路 (VPN) 遠端存取,以及路由對路由連線。
NPS 啟用無線、交換器、遠端存取或 VPN 設備的異質集使用。您可以搭配 [路由及遠端存取] 服務使用 NPS,此服務可在 Microsoft Windows 2000 Windows Server 2003, Standard Edition、Windows Server 2003, Enterprise Edition 以及 Windows Server 2003, Datacenter Edition 中使用。
當執行 NPS 的伺服器是 Active Directory(R) 網域服務 (AD DS) 網域的成員時,NPS 會使用目錄服務做為其使用者帳戶資料庫,而且是單一登入解決方案的一部分。相同的認證集會用於網路存取控制 (驗證和授權存取網路),並用於登入 AD DS 網域。
網際網路服務提供者 (ISP) 和維護網路存取權的組織,不論使用何種網路存取設備,從單一管理點管理所有網路存取類型都已面臨更大的挑戰。RADIUS 標準在同質和異質環境中都支援此功能。RADIUS 是一種從屬通訊協定,可讓網路存取設備 (當作 RADIUS 用戶端使用) 將驗證和帳戶處理要求提交到 RADIUS 伺服器。
RADIUS 伺服器有權存取使用者帳戶資訊,且可檢查網路存取驗證認證。如果使用者認證已驗證並授權嘗試連線,則 RADIUS 伺服器會根據指定的條件授與使用者存取權,並在帳戶處理記錄中記錄此網路存取連線。使用 RADIUS 可讓您在集中位置收集和管理網路存取使用者驗證、授權以及帳戶處理資料,不需在每個存取伺服器上執行這些工作。
如需相關資訊,請參閱 RADIUS 伺服器。
RADIUS Proxy
做為 RADIUS Proxy,NPS 會將驗證和帳戶處理訊息轉送到其他 RADIUS 伺服器。
利用 NPS,組織也可以將遠端存取基礎結構外包給服務提供者,同時保留使用者驗證、授權以及帳戶處理的控制。
您可以針對下列案例建立 NPS 設定:
-
無線存取
-
組織撥號或虛擬私人網路 (VPN) 遠端存取
-
委外撥號或無線存取
-
網際網路存取
-
企業夥伴驗證存取外部網路資源
如需相關資訊,請參閱 RADIUS Proxy。
RADIUS 伺服器與 RADIUS Proxy 設定範例
下列設定範例示範如何將 NPS 設定為 RADIUS 伺服器與 RADIUS Proxy。
NPS as a RADIUS server。在此範例中,NPS 被設定為 RADIUS 伺服器,預設連線要求原則是唯一設定的原則,而所有連線要求都是由本機 NPS 伺服器處理。NPS 伺服器可以驗證和授權其帳戶在 NPS 伺服器網域或信任網域中的使用者。
NPS as a RADIUS proxy。在此範例中,NPS 伺服器被設定為 RADIUS Proxy,它會將連線要求轉送到位於兩個不受信任網域中的遠端 RADIUS 伺服器群組。會刪除預設連線要求原則,並建立兩個新的連線要求原則,將要求轉送到這兩個不受信任網域。例如,NPS 不會處理本機伺服器上的任何連線要求。
NPS as both RADIUS server and RADIUS proxy。除了指定在本機處理連線要求的預設連線要求原則之外,還會建立新的連線要求原則,將連線要求轉送到不受信任網域中的 NPS 或其他 RADIUS 伺服器。第二個原則稱為 [Proxy] 原則。在此範例中,Proxy 原則會顯示在原則排序清單中的第一個。如果連線要求符合 Proxy 原則,會將連線要求轉送到遠端 RADIUS 伺服器群組中的 RADIUS 伺服器。如果連線要求不符合 Proxy 原則,但符合預設的連線要求原則,NPS 會在本機伺服器上處理連線要求。如果連線要求不符合任一原則,就會被捨棄。
NPS as a RADIUS server with remote accounting servers。在此範例中,本機 NPS 伺服器並未設定執行帳戶處理,而預設連線要求原則已修訂,使 RADIUS 帳戶處理訊息轉送到遠端 RADIUS 伺服器群組中的 NPS 或其他 RADIUS 伺服器。雖然會轉送帳戶處理訊息,但不會轉送驗證與授權訊息,而本機 NPS 伺服器會為本機和所有信任網域執行這些功能。
NPS with remote RADIUS to Windows user mapping。在此範例中,NPS 扮演每個個別連線要求的 RADIUS 伺服器與 RADIUS Proxy,將驗證要求轉送到遠端 RADIUS 伺服器,並使用本機 Windows 使用者帳戶進行授權。將 [Windows 使用者對應的遠端 RADIUS] 屬性設定為連線要求原則的條件,即可實作此設定。(此外,必須在本機 RADIUS 伺服器上建立名稱與遠端使用者帳戶相同的使用者帳戶,而遠端 RADIUS 伺服器會對此帳戶執行驗證)。
NAP 原則伺服器
NAP 包含在 Windows Vista®、Windows® 7、Windows Server® 2008 及 Windows Server® 2008 R2 中,確保用戶端電腦是依據組織網路健康原則設定後才連線到網路資源,以協助保護私人網路的存取權。此外,當用戶端電腦連線到網路時,NAP 會監視該電腦是否符合健康原則。使用 NAP 自動修復,可以自動更新不相容的電腦,使其符合健康原則而可連線到網路。
系統管理員會定義網路健康原則,並根據 NAP 部署,使用 NAP 或其他公司所提供的 NAP 元件來建立這些原則。
健康原則可以包含像是軟體需求、安全性更新需求以及必要的組態設定等事項。NAP 以檢查和評定用戶端電腦的健康情況、當用戶端電腦視為不健康時限制網路存取,以及修復不健康的用戶端電腦以取得完整網路存取權,以強制健康原則。
如需相關資訊,請參閱NPS 中的網路存取保護。