網路原則伺服器 (NPS) 可做為 RADIUS Proxy,提供 RADIUS 用戶端存取伺服器和 RADIUS 伺服器之間的 RADIUS 訊息路由,執行連線嘗試的使用者驗證、授權和帳戶處理。做為 RADIUS Proxy 時,NPS 是 RADIUS 存取和處理帳戶訊息流的中央交換點或路由點。NPS 將轉寄訊息的相關資訊記錄在帳戶處理記錄中。
以下圖例顯示 NPS 做為 RADIUS 用戶端 (存取伺服器) 和 RADIUS 伺服器或其他 RADIUS Proxy 之間的 RADIUS Proxy。
當 NPS 做為 RADIUS 用戶端與 RADIUS 伺服器之間的 RADIUS Proxy 時,網路存取連線嘗試的 RADIUS 訊息會以下列方式轉寄:
-
存取伺服器,例如撥號網路存取伺服器、虛擬私人網路 (VPN) 伺服器以及無線存取點,都會從存取用戶端接收連線要求。
-
設定成使用 RADIUS 做為驗證、授權、帳戶處理通訊協定的存取伺服器,建立 Access-Request 訊息,並將它傳送到做為 NPS RADIUS Proxy 的 NPS 伺服器。
-
NPS RADIUS Proxy 接收 Access-Request 訊息,並根據本機設定的連線要求原則,判斷將 Access-Request 訊息轉寄到何處。
-
NPS RADIUS Proxy 將 Access-Request 訊息轉寄到適當的 RADIUS 伺服器。
-
RADIUS 伺服器評估 Access-Request 訊息。
-
必要時,RADIUS 伺服器將 Access-Challenge 訊息傳送到 NPS RADIUS Proxy,在此將它轉寄到存取伺服器。存取伺服器處理與存取用戶端的挑戰,並將更新的 Access-Request 傳送到 NPS RADIUS Proxy,在此將它轉寄到 RADIUS 伺服器。
-
RADIUS 伺服器驗證並授權連線嘗試。
-
如果同時驗證和授權連線嘗試,RADIUS 伺服器會將 Access-Challenge 訊息傳送到 NPS RADIUS Proxy,在此將它轉寄到存取伺服器。
如果既未驗證也未授權連線嘗試,RADIUS 伺服器會將 Access-Reject 訊息傳送到 NPS RADIUS Proxy,在此將它轉寄到存取伺服器。
-
存取伺服器完成與存取用戶端的連線程序,並傳送 Accounting-Request 訊息給 NPS RADIUS Proxy。NPS RADIUS Proxy 記錄帳戶處理資料,並將訊息轉寄到 RADIUS 伺服器。
-
RADIUS 伺服器將 Accounting-Response 傳送到 NPS RADIUS Proxy,在此將它轉寄到存取伺服器。
當下列條件成立時,您可以使用 NPS 做為 RADIUS Proxy:
-
您是提供委外撥號、VPN 或無線網路存取服務給多個客戶的服務提供者。您的 NAS 會傳送連線要求給 NPS RADIUS Proxy。NPS RADIUS Proxy 會根據連線要求中的使用者名稱領域部分,將連線要求轉寄到由客戶維護的 RADIUS 伺服器,而且可驗證和授權連線嘗試。
-
您要提供使用者帳戶的驗證和授權,但這些使用者帳戶並非下列網域的成員:NPS 伺服器為其成員的網域、與前述網域有雙向信任的其他網域。這些帳戶包括不受信任的網域、單向受信任的網域和其他樹系中的帳戶。您可以不要設定存取伺服器將它們的連線要求傳送到 NPS RADIUS 伺服器,而是傳送到 NPS RADIUS Proxy。NPS RADIUS Proxy 會使用使用者名稱的領域名稱部分,並將要求轉寄到正確網域或樹系中的 NPS 伺服器。一個網域或樹系中的使用者帳戶連線嘗試,可以驗證另一個網域或樹系中的 NAS。
-
您要使用不是 Windows 帳戶資料庫的資料庫執行驗證與授權。在這種情況下,會將符合指定領域名稱的連線要求轉寄到 RADIUS 伺服器,此伺服器可以存取不同使用者帳戶的資料庫與授權資料。其他使用者資料庫的範例包括 Novell 目錄服務 (NDS) 與結構化查詢語言 (SQL) 資料庫。
-
您要處理大量的連線要求。在這種情況下,您可以不要設定 RADIUS 用戶端嘗試在多個 RADIUS 伺服器之間平衡它們的連線與帳戶處理要求,而是將連線與帳戶處理要求傳送到 NPS RADIUS Proxy。NPS RADIUS Proxy 會動態平衡多個 RADIUS 伺服器之間的連線負載與帳戶處理要求,並增加大量 RADIUS 用戶端與驗證每秒處理的數目。
-
您要提供 RADIUS 驗證與授權給委外服務提供者,並將內部網路防火牆設定減至最低。內部網路防火牆介於周邊網路 (內部網路與網際網路之間的網路) 與內部網路之間。在周邊網路上放置 NPS 伺服器之後,介於周邊網路與內部網路之間的防火牆就必須允許 NPS 伺服器與多個網域控制站之間的流量。如果以 NPS Proxy 取代 NPS 伺服器,防火牆必須只允許 NPS Proxy 與內部網路中的一或多個 NPS 伺服器之間的 RADIUS 流量。