Настройка клиентов RADIUS

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016

Этот раздел можно использовать для настройки серверов доступа к сети в качестве клиентов RADIUS в NPS.

При добавлении нового сервера сетевого доступа (VPN-сервера, беспроводной точки доступа, проверки подлинности или сервера подключения) в сеть необходимо добавить сервер в качестве клиента RADIUS в NPS, а затем настроить клиент RADIUS для взаимодействия с NPS.

Внимание

Клиентские компьютеры и устройства, такие как ноутбуки, планшеты, телефоны и другие компьютеры под управлением клиентских операционных систем, не являются клиентами RADIUS. Клиенты RADIUS — это серверы доступа к сети, такие как беспроводные точки доступа, коммутаторы с поддержкой 802.1X, серверы виртуальной частной сети (VPN) и серверы с телефонным подключением, так как они используют протокол RADIUS для взаимодействия с серверами RADIUS, такими как серверы NPS.

Этот шаг также необходим, если NPS является членом удаленной группы серверов RADIUS, настроенной на прокси-сервере NPS. В этом случае помимо выполнения действий в этой задаче на прокси-сервере NPS необходимо выполнить следующие действия:

• На прокси-сервере NPS настройте удаленную группу серверов RADIUS, содержащую NPS.
• На удаленном NPS настройте прокси-сервер NPS в качестве клиента RADIUS.

Для выполнения процедур, описанных в этом разделе, необходимо установить по крайней мере один сервер доступа к сети (VPN-сервер, точка беспроводного доступа, переключение подлинности или сервер с телефонным подключением) или прокси-сервер NPS физически установлен в сети.

Настройка сервера доступа к сети

Используйте эту процедуру для настройки серверов доступа к сети для использования с NPS. При развертывании серверов сетевого доступа (NASs) в качестве клиентов RADIUS необходимо настроить клиенты для взаимодействия с NPS, в которых naSs настроены как клиенты.

Эта процедура содержит общие рекомендации по параметрам, которые следует использовать для настройки NAS; Инструкции по настройке устройства, развернутого в сети, см. в документации по продукту NAS.

Настройка сервера сетевого доступа

1. В параметрах RADIUS в nas выберите проверку подлинности RADIUS в порте UDP (UDP) порта 1812 и RADIUS для порта UDP 1813.
2. В сервере проверки подлинности или сервере RADIUS укажите NPS по IP-адресу или полное доменное имя (FQDN) в зависимости от требований NAS.
3. В разделе "Секрет" или "Общий секрет" введите надежный пароль. При настройке NAS в качестве клиента RADIUS в NPS вы будете использовать тот же пароль, поэтому не забывайте об этом.
4. Если вы используете PEAP или EAP в качестве метода проверки подлинности, настройте NAS для использования проверки подлинности EAP.
5. Если вы настраиваете точку беспроводного доступа в SSID, укажите идентификатор набора служб (SSID), который является буквенно-цифровой строкой, которая служит в качестве сетевого имени. Это имя передается точками доступа к беспроводным клиентам и отображается пользователям в ваших беспроводных хот-точках (Wi-Fi).
6. Если вы настраиваете точку беспроводного доступа, в версии 802.1X и WPA включите проверку подлинности IEEE 802.1X, если вы хотите развернуть PEAP-MS-CHAP v2, PEAP-TLS или EAP-TLS.

Добавление сервера доступа к сети в качестве клиента RADIUS в NPS

Используйте эту процедуру для добавления сервера доступа к сети в качестве клиента RADIUS в NPS. Эту процедуру можно использовать для настройки NAS в качестве клиента RADIUS с помощью консоли NPS.

Для выполнения этой процедуры необходимо быть членом группы Администратор istrator.

Добавление сервера доступа к сети в качестве клиента RADIUS в NPS

1. На NPS в диспетчер сервера щелкните "Сервис" и выберите сервер политики сети. Откроется консоль NPS.
2. В консоли NPS дважды щелкните radius-клиенты и серверы. Щелкните правой кнопкой мыши клиенты RADIUS и выберите новый клиент RADIUS.
3. В новом клиенте RADIUS убедитесь, что выбрано поле "Включить этот клиент RADIUS" проверка.
4. В новом клиенте RADIUS введите отображаемое имя ДЛЯ NAS. В поле Address (IP или DNS) введите IP-адрес NAS или полное доменное имя (FQDN). Если ввести полное доменное имя, нажмите кнопку "Проверить , правильно ли имя" и сопоставляется с допустимым IP-адресом.
5. В новом клиенте RADIUS в поставщике укажите имя производителя NAS. Если вы не уверены, что имя производителя NAS не указано, выберите стандарт RADIUS.
6. В новом клиенте RADIUS в общем секрете выполните одно из следующих действий:
   • Убедитесь, что выбрано вручную , а затем в разделе "Общий секрет" введите надежный пароль, который также введен в NAS. Повторно введите общий секрет в подтверждении общего секрета.
   • Выберите "Создать" и нажмите кнопку "Создать", чтобы автоматически создать общий секрет. Сохраните созданный общий секрет для настройки на NAS, чтобы он смог взаимодействовать с NPS.
7. В новом клиенте RADIUS в разделе "Дополнительные параметры", если вы используете любые методы проверки подлинности, отличные от EAP и PEAP, и если NAS поддерживает использование атрибута проверки подлинности сообщений, выберите " Запрос доступа" должен содержать атрибут Authenticator сообщения.
8. Щелкните OK. Ваш NAS отображается в списке клиентов RADIUS, настроенных на NPS.

Настройка клиентов RADIUS по диапазону IP-адресов в Windows Server 2016 Datacenter

Если вы используете Windows Server 2016 Datacenter, вы можете настроить клиенты RADIUS в NPS по диапазону IP-адресов. Это позволяет добавлять большое количество клиентов RADIUS (таких как точки беспроводного доступа) в консоль NPS одновременно, а не добавлять каждый клиент RADIUS по отдельности.

Вы не можете настроить клиенты RADIUS по диапазону IP-адресов, если вы используете NPS в Windows Server 2016 Standard.

Используйте эту процедуру, чтобы добавить группу серверов доступа к сети (NAS) в качестве клиентов RADIUS, настроенных с IP-адресами из одного диапазона IP-адресов.

Все клиенты RADIUS в диапазоне должны использовать одну и ту же конфигурацию и общий секрет.

Для выполнения этой процедуры необходимо быть членом группы Администратор istrator.

Настройка клиентов RADIUS по диапазону IP-адресов

1. На NPS в диспетчер сервера щелкните "Сервис" и выберите сервер политики сети. Откроется консоль NPS.
2. В консоли NPS дважды щелкните radius-клиенты и серверы. Щелкните правой кнопкой мыши клиенты RADIUS и выберите новый клиент RADIUS.
3. В новом клиенте RADIUS в поле "Понятное имя" введите отображаемое имя для коллекции NASs.
4. В поле Address (IP или DNS) введите диапазон IP-адресов для клиентов RADIUS с помощью нотации "Маршрутизация между доменами" (CIDR). Например, если диапазон IP-адресов для NASs равен 10.10.0.0, введите 10.10.0.0/16.
5. В новом клиенте RADIUS в поставщике укажите имя производителя NAS. Если вы не уверены, что имя производителя NAS не указано, выберите стандарт RADIUS.
6. В новом клиенте RADIUS в общем секрете выполните одно из следующих действий:
   • Убедитесь, что выбрано вручную , а затем в разделе "Общий секрет" введите надежный пароль, который также введен в NAS. Повторно введите общий секрет в подтверждении общего секрета.
   • Выберите "Создать" и нажмите кнопку "Создать", чтобы автоматически создать общий секрет. Сохраните созданный общий секрет для настройки на NAS, чтобы он смог взаимодействовать с NPS.
7. В новом клиенте RADIUS в дополнительных параметрах, если вы используете любые методы проверки подлинности, отличные от EAP и PEAP, и если все ваши NAS поддерживают использование атрибута проверки подлинности сообщений, выберите " Запрос доступа" должен содержать атрибут Authenticator сообщения.
8. Щелкните OK. В списке клиентов RADIUS, настроенных на NPS, отображаются значения NAS.

Дополнительные сведения см. в разделе "Клиенты RADIUS".

Дополнительные сведения о NPS см. в разделе "Сервер политики сети" (NPS).