當您使用網路原則伺服器 (NPS) 做為遠端驗證撥號使用者服務 (RADIUS) 伺服器來部署 802.1X 有線或無線存取時,必須採取下列步驟:

  • 安裝和設定網路存取伺服器 (NAS) 做為 RADIUS 用戶端。

  • 部署驗證方法的元件。

  • 將 NPS 設定為 RADIUS 伺服器。

安裝和設定網路存取伺服器 (RADIUS 用戶端)

若要部署 802.1X 無線存取,必須安裝和設定無線存取點。若要部署 802.1X 有線存取,必須安裝和設定 802.1X 驗證交換器。

重要

用戶端電腦,例如無線可攜式電腦及其他執行用戶端作業系統的電腦,都不屬於 RADIUS 用戶端。 RADIUS 用戶端是使用 RADIUS 通訊協定來與 RADIUS 伺服器 (如網路原則伺服器 (NPS) 等伺服器) 進行通訊,因此 RADIUS 用戶端是一種網路存取伺服器,例如無線存取點、802.1X-支援交換器、虛擬私人網路 (VPN) 伺服器及撥號伺服器等。

這兩種情況的網路存取伺服器都必須符合下列需求:

  • 支援國際電機電子工程師學會 (IEEE) 標準 802.1X 驗證

  • 支援 RADIUS 驗證與 RADIUS 帳戶處理

如果您使用需要工作階段相互關聯的收費或帳戶應用程式,則需要下列項目:

  • 支援網際網路工程任務推動小組 (IETF) 在 RFC 2865「遠端驗證撥入使用者服務 (RADIUS)」中定義的類別屬性,以允許 RADIUS 驗證與帳戶處理記錄的工作階段相互關聯。就工作階段相互關聯而言,當您在 NPS 伺服器或 Proxy 設定 RADIUS 帳戶處理時,必須記錄所有的帳戶處理資料,以允許應用程式 (例如收費應用程式) 查詢資料庫、關聯相關的欄位,然後在查詢結果中傳回每個工作階段的彙總檢視。為了至少能夠提供工作階段相互關聯,您必須記錄下列 NPS 帳戶處理資料:NAS-IP-Address;NAS-Identifier (您需要 NAS-IP-Address 與 NAS-Identifier,因為存取伺服器可以傳送任一屬性);Class;Acct-Session-Id;Acct-Multi-Session-Id;Packet-Type;Acct-Status-Type;Acct-Interim-Interval;NAS-Port;以及 Event-Timestamp。

  • 支援帳戶處理暫時要求,這些要求會在使用者工作階段期間由部分網路存取伺服器 (NAS) 定期傳送,並加以記錄。將 Acct-Interim-Interval RADIUS 屬性設定成支援 NPS 伺服器遠端存取設定檔中的定期要求時,可以使用此類型的要求。如果您要在 NPS 伺服器記錄暫時要求,NAS 必須支援使用帳戶處理暫時要求。

如果您使用虛擬區域網路 (VLAN),則 NAS 必須支援 VLAN。

網路存取伺服器應該針對廣域網路 (WAN) 環境提供下列項目:

  • 支援動態重新傳輸逾時 (RTO) 預估或指數退後,以處理 WAN 環境中的壅塞與延遲。

此外,還有網路存取伺服器應該支援的篩選功能,以便為網路提供增強的安全性。這些篩選選項包括:

  • DHCP 篩選。NAS 必須篩選 IP 連接埠,以防止用戶端若為動態主機設定通訊協定 (DHCP) 伺服器時,傳輸 DHCP 廣播訊息。網路存取伺服器必須封鎖用戶端從連接埠 68 傳送 IP 封包到網路。

  • DNS 篩選。NAS 必須篩選 IP 連接埠,以防止用戶端以 DNS 伺服器的方式執行。NAS 必須封鎖用戶端從連接埠 53 傳送 IP 封包到網路。

如果您正在部署無線存取點,最好採用支援 Wi-Fi 保護的存取 (WPA)。Windows Vista® 與 Windows XP Service Pack 2 皆支援 WPA。若要部署 WPA,請同時使用支援 WPA 的無線網路介面卡。

部署驗證方法的元件

您可以針對 802.1X 無線與有線使用下列驗證方法:

  • 具有傳輸層安全性 (TLS) 之可延伸的驗證通訊協定 (EAP),又稱為 EAP-TLS。

  • 具有 Microsoft Challenge Handshake 驗證通訊協定版本 2 (MS-CHAP v2) 的受保護 EAP (PEAP),又稱為 PEAP-MS-CHAP v2。

  • 具有 EAP-TLS 的 PEAP,又稱為 PEAP-TLS。

如果是 EAP-TLS 與 PEAP-TLS,您必須安裝和設定 Active Directory(R) 憑證服務 (AD CS),發行憑證給網域成員用戶端電腦和 NPS 伺服器,以部署公開金鑰基礎結構 (PKI)。這些憑證是在驗證程序期間做為用戶端與 NPS 伺服器的識別證明。您也可以部署智慧卡,而不使用用戶端電腦憑證。在此情況下,您必須發行智慧卡與智慧卡讀取裝置給組織員工。

如果是 PEAP-MS-CHAP v2,您可以使用 AD CS 部署自己的憑證授權單位 (CA),以便將憑證簽發給 NPS 伺服器,或者,您可以向用戶端信任的公開受信任的根 CA 購買伺服器憑證,例如 VeriSign。

如需相關資訊,請參閱 EAP 概觀 以及 PEAP 概觀

將 NPS 設定為 RADIUS 伺服器

當您將 NPS 設定為 RADIUS 伺服器時,必須設定 RADIUS 用戶端、網路原則以及 RADIUS 帳戶處理。

設定 RADIUS 用戶端

設定 RADIUS 用戶端有兩個階段:

  • 透過可允許網路存取伺服器與 NPS 伺服器通訊的資訊設定實體 RADIUS 用戶端,例如無線存取點或是驗證交換器。此資訊包括設定 NPS 伺服器的 IP 位址以及在存取點或交換器使用者介面中的共用密碼。

  • 在 NPS 中,新增 RADIUS 用戶端。在 NPS 伺服器上,將每個存取點或驗證交換器新增為 RADIUS 用戶端。NPS 可讓您為每個 RADIUS 用戶端提供好記的名稱,以及 RADIUS 用戶端的 IP 位址與共用密碼。

如需相關資訊,請參閱新增 RADIUS 用戶端

設定網路原則

網路原則是條件、限制和設定的集合,可讓您指定獲得連線到網路之授權的對象以及可進行連線的情況。

如需相關資訊,請參閱網路原則

設定 RADIUS 帳戶處理

RADIUS 帳戶處理可讓您將使用者驗證及帳戶處理要求記錄在本機記錄檔中,或記錄在本機電腦或遠端電腦上的 Microsoft(R) SQL Server(R) 資料庫中。

如需相關資訊,請參閱 RADIUS 帳戶處理

請參閱


目錄