網路原則伺服器 (NPS) 可用來做為遠端驗證撥號使用者服務 (RADIUS) 伺服器,為 RADIUS 用戶端執行驗證、授權以及帳戶處理。RADIUS 用戶端可以是存取伺服器 (例如撥號伺服器或無線存取點) 或 RADIUS Proxy。當 NPS 做為 RADIUS 伺服器時,可提供下列功能:
-
針對 RADIUS 用戶端所傳送的所有存取要求,提供集中的驗證與授權服務。
NPS 使用 Microsoft(R) Windows NT(R) Server 4.0 網域、Active Directory(R) 網域服務 (AD DS) 網域或本機安全性帳戶管理員 (SAM) 使用者帳戶資料庫,來驗證嘗試連線的使用者認證。NPS 使用使用者帳戶的撥入內容以及網路原則來授權連線。
-
針對 RADIUS 用戶端所傳送的所有帳戶處理要求,提供集中的帳戶處理記錄服務。
帳戶處理要求會儲存在本機記錄檔或 Microsoft(R) SQL Server(TM) 資料庫中以供分析。
以下圖例顯示做為各種存取用戶端之 RADIUS 伺服器的 NPS,同時還顯示 RADIUS Proxy。NPS 使用 Active Directory(R) 網域對傳入的 RADIUS Access-Request 訊息進行使用者認證驗證。
當 NPS 做為 RADIUS 伺服器時,RADIUS 訊息會以下列方式,為網路存取連線提供驗證、授權以及帳戶處理:
-
存取伺服器,例如撥號網路存取伺服器、VPN 伺服器以及無線存取點,都會從存取用戶端接收連線要求。
-
設定使用 RADIUS 做為驗證、授權以及帳戶處理通訊協定的存取伺服器,會建立 Access-Request 訊息並將它傳送到 NPS 伺服器。
-
NPS 伺服器會評估 Access-Request 訊息。
-
必要時,NPS 伺服器會傳送一份 Access-Challenge 訊息給存取伺服器。存取伺服器會處理挑戰,並傳送更新的 Access-Request 給 NPS 伺服器。
-
檢查使用者認證以及取得使用者帳戶的撥入內容時,是透過連到網域控制站的安全連線。
-
授權連線嘗試時,是同時透過使用者帳戶的撥入內容以及網路原則。
-
如果連線嘗試同時通過驗證與授權,NPS 伺服器就會傳送 Access-Challenge 訊息給存取伺服器。
如果連線嘗試未通過驗證或授權,NPS 伺服器就會傳送 Access-Reject 訊息給存取伺服器。
-
存取伺服器會完成與存取用戶端的連線程序,然後傳送 Accounting-Request 訊息給記錄訊息的 NPS 伺服器。
-
NPS 伺服器則會傳送 Accounting-Response 給存取伺服器。
附註 | |
當存取用戶端連線關閉時,以及當存取伺服器啟動和停止時,存取伺服器也會在建立連線期間傳送 Accounting-Request 訊息。 |
您可以在下列情況使用 NPS 做為 RADIUS 伺服器:
-
您使用 Windows NT Server 4.0 網域、AD DS 網域或是本機 SAM 使用者帳戶資料庫,做為存取用戶端的使用者帳戶資料庫。
-
您在多個撥號伺服器、VPN 伺服器或指定撥號路由器上使用路由及遠端存取,而想要集中管理網路原則的設定以及帳戶處理的連線記錄。
-
您將撥號、VPN 或無線存取外包給服務提供者。存取伺服器使用 RADIUS 來驗證和授權您組織成員所建立的連線。
-
您想要集中管理一組異質存取伺服器的驗證、授權以及帳戶處理。
附註 | |
在 Windows Server(R) 2003 作業系統的網際網路驗證服務 (IAS) 中,網路原則又稱為遠端存取原則。 |