部署與網路原則伺服器 (NPS) 的撥號或虛擬私人網路 (VPN) 連線做為 RADIUS 伺服器時,必須採取下列步驟:
-
安裝和設定網路存取伺服器 (NAS) 做為 RADIUS 用戶端。
-
部署驗證方法的元件。
-
將 NPS 設定為 RADIUS 伺服器。
安裝和設定網路存取伺服器 (RADIUS 用戶端)
若要部署撥號存取,您必須安裝和設定 [路由及遠端存取] 做為撥號伺服器。若要部署 VPN 存取,您必須安裝和設定 [路由及遠端存取] 做為 VPN 伺服器。
 | 重要 |
|
用戶端電腦,例如無線可攜式電腦及其他執行用戶端作業系統的電腦,都不屬於 RADIUS 用戶端。 RADIUS 用戶端是使用 RADIUS 通訊協定來與 RADIUS 伺服器 (如網路原則伺服器 (NPS) 等伺服器) 進行通訊,因此 RADIUS 用戶端是一種網路存取伺服器,例如無線存取點、802.1X-支援交換器、虛擬私人網路 (VPN) 伺服器及撥號伺服器等。 |
您可以在本機 NPS 伺服器或遠端電腦上安裝 [路由及遠端存取]。
部署驗證方法的元件
如果是 VPN,您可以使用下列驗證方法:
-
具有傳輸層安全性 (TLS) 之可延伸的驗證通訊協定 (EAP),又稱為 EAP-TLS。
-
Microsoft Challenge Handshake 驗證通訊協定第 2 版 (MS-CHAP v2) 的受保護 EAP (PEAP),又稱為 PEAP-MS-CHAP v2。
-
具有傳輸層安全性 (TLS) 的 PEAP,又稱為 PEAP-TLS。
如果是 EAP-TLS 與 PEAP-TLS,您必須安裝和設定 Active Directory(R) 憑證服務 (AD CS),發行憑證給網域成員用戶端電腦和 NPS 伺服器,以部署公開金鑰基礎結構 (PKI)。這些憑證是在驗證程序期間做為用戶端與 NPS 伺服器的識別證明。您也可以部署智慧卡,而不使用用戶端電腦憑證。在此情況下,您必須發行智慧卡與智慧卡讀取裝置給組織員工。
如果是 PEAP-MS-CHAP v2,您可以使用 AD CS 部署自己的憑證授權單位 (CA),以便將憑證簽發給 NPS 伺服器,或者,您可以向用戶端信任的公開受信任的根 CA 購買伺服器憑證,例如 VeriSign。
將 NPS 設定為 RADIUS 伺服器
當您將 NPS 設定為 RADIUS 伺服器時,必須設定 RADIUS 用戶端、網路原則以及 RADIUS 帳戶處理。
設定 RADIUS 用戶端
設定 RADIUS 用戶端有兩個階段:
-
透過可允許網路存取伺服器與 NPS 伺服器通訊的資訊設定實體 RADIUS 用戶端,例如 VPN 伺服器或撥號伺服器。此資訊包括設定 NPS 伺服器的 IP 位址以及在 VPN 伺服器或撥號伺服器使用者介面中的共用密碼。
-
在 NPS 中,新增 RADIUS 用戶端。在 NPS 伺服器上,新增每部 VPN 伺服器或撥號伺服器做為 RADIUS 用戶端。NPS 可讓您為每個 RADIUS 用戶端提供好記的名稱,以及 RADIUS 用戶端的 IP 位址與共用密碼。
如需相關資訊,請參閱新增 RADIUS 用戶端。
設定網路原則
網路原則是條件、限制和設定的集合,可讓您指定獲得連線到網路之授權的對象以及可進行連線的情況。
如需相關資訊,請參閱網路原則。
設定 RADIUS 帳戶處理
RADIUS 帳戶處理可讓您將使用者驗證及帳戶處理要求記錄在本機記錄檔中,或記錄在本機電腦或遠端電腦上的 Microsoft(R) SQL Server(R) 資料庫中。