RADIUS 프록시로 작동하는 NPS 계획

  • 아티클

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016

NPS(네트워크 정책 서버)를 RADIUS(원격 인증 전화 접속 사용자 서비스) 프록시로 배포하는 경우 NPS는 네트워크 액세스 서버 또는 기타 RADIUS 프록시와 같은 RADIUS 클라이언트에서 연결 요청을 수신한 다음 NPS 또는 다른 RADIUS 서버를 실행하는 서버에 이러한 연결 요청을 전달합니다. 이러한 계획 지침을 사용하여 RADIUS 배포를 간소화할 수 있습니다.

이러한 계획 지침에는 NPS를 RADIUS 서버로 배포하려는 상황이 포함되지 않습니다. NPS를 RADIUS 서버로 배포하는 경우 NPS는 로컬 do기본 및 로컬 do기본 신뢰하는 do기본에 대한 연결 요청에 대한 인증, 권한 부여 및 회계를 수행합니다.

NPS를 네트워크에서 RADIUS 프록시로 배포하기 전에 다음 지침을 사용하여 배포를 계획합니다.

  • NPS 구성을 계획합니다.

  • RADIUS 클라이언트를 계획합니다.

  • 원격 RADIUS 서버 그룹을 계획합니다.

  • 메시지 전달에 대한 특성 조작 규칙을 계획합니다.

  • 연결 요청 정책을 계획합니다.

  • NPS 회계를 계획합니다.

NPS 구성 계획

NPS를 RADIUS 프록시로 사용하는 경우 NPS는 처리를 위해 NPS 또는 다른 RADIUS 서버에 연결 요청을 전달합니다. 이 때문에 NPS 프록시의 do기본 멤버 자격은 관련이 없습니다. 프록시는 사용자 계정의 전화 접속 속성에 액세스할 필요가 없으므로 AD DS(Active Directory 도메인 Services)에 등록할 필요가 없습니다. 또한 프록시가 연결 요청에 대한 권한 부여를 수행하지 않으므로 NPS 프록시에서 네트워크 정책을 구성할 필요가 없습니다. NPS 프록시는 할 일기본 멤버이거나기본 멤버 자격 없이 독립 실행형 서버일 수 있습니다.

RADIUS 프로토콜을 사용하여 네트워크 액세스 서버라고도 하는 RADIUS 클라이언트와 통신하도록 NPS를 구성해야 합니다. 또한 NPS가 이벤트 로그에 기록하는 이벤트 유형을 구성하고 서버에 대한 설명을 입력할 수 있습니다.

주요 단계

NPS 프록시 구성을 계획하는 동안 다음 단계를 사용할 수 있습니다.

  • NPS 프록시가 RADIUS 클라이언트에서 RADIUS 메시지를 수신하고 원격 RADIUS 서버 그룹의 멤버에게 RADIUS 메시지를 보내는 데 사용하는 RADIUS 포트를 결정합니다. 기본 UDP(사용자 데이터그램 프로토콜) 포트는 RADIUS 인증 메시지의 경우 1812 및 1645이고 RADIUS 계정 메시지의 경우 UDP 포트는 1813 및 1646입니다.

  • NPS 프록시가 여러 네트워크 어댑터로 구성된 경우 RADIUS 트래픽을 허용할 어댑터를 결정합니다.

  • NPS가 이벤트 로그에 기록할 이벤트 유형을 결정합니다. 거부된 연결 요청, 성공적인 연결 요청 또는 둘 다를 기록할 수 있습니다.

  • 둘 이상의 NPS 프록시를 배포하는지 여부를 확인합니다. 내결함성을 제공하려면 NPS 프록시를 두 개 이상 사용합니다. 한 NPS 프록시는 기본 RADIUS 프록시로 사용되고 다른 하나는 백업으로 사용됩니다. 그런 다음 각 RADIUS 클라이언트는 두 NPS 프록시에서 구성됩니다. 기본 NPS 프록시를 사용할 수 없게 되면 RADIUS 클라이언트는 대체 NPS 프록시에 Access-Request 메시지를 보냅니다.

  • 관리 오버헤드를 절약하고 서버의 잘못된 구성을 방지하기 위해 하나의 NPS 프록시 구성을 다른 NPS 프록시에 복사하는 데 사용되는 스크립트를 계획합니다. NPS는 다른 NPS 프록시로 가져오기 위해 NPS 프록시 구성의 전부 또는 일부를 복사할 수 있는 Netsh 명령을 제공합니다. Netsh 프롬프트에서 명령을 수동으로 실행할 수 있습니다. 그러나 명령 순서를 스크립트로 저장하는 경우 프록시 구성을 변경하기로 결정한 경우 나중에 스크립트를 실행할 수 있습니다.

RADIUS 클라이언트 계획

RADIUS 클라이언트는 무선 액세스 지점, VPN(가상 사설망) 서버, 802.1X 지원 스위치 및 전화 접속 서버와 같은 네트워크 액세스 서버입니다. 연결 요청 메시지를 RADIUS 서버로 전달하는 RADIUS 프록시도 RADIUS 클라이언트입니다. NPS는 RFC 2865, "RADIUS(원격 인증 전화 접속 사용자 서비스)" 및 RFC 2866, "RADIUS 계정"에 설명된 대로 RADIUS 프로토콜을 준수하는 모든 네트워크 액세스 서버 및 RADIUS 프록시를 지원합니다.

또한 무선 액세스 지점과 스위치 모두 802.1X 인증을 수행할 수 있어야 합니다. EAP(Extensible Authentication Protocol) 또는 PEAP(Protected Extensible Authentication Protocol)를 배포하려는 경우 액세스 지점 및 스위치는 EAP 사용을 지원해야 합니다.

무선 액세스 지점에 대한 PPP 연결에 대한 기본 상호 운용성을 테스트하려면 PAP(암호 인증 프로토콜)를 사용하도록 액세스 지점 및 액세스 클라이언트를 구성합니다. 네트워크 액세스에 사용하려는 인증 프로토콜을 테스트할 때까지 PEAP와 같은 추가 PPP 기반 인증 프로토콜을 사용합니다.

주요 단계

RADIUS 클라이언트를 계획하는 동안 다음 단계를 사용할 수 있습니다.

  • NPS에서 구성해야 하는 VSA(공급업체별 특성)를 문서화합니다. NAS에 VSA가 필요한 경우 NPS에서 네트워크 정책을 구성할 때 나중에 사용할 수 있는 VSA 정보를 기록합니다.

  • RADIUS 클라이언트 및 NPS 프록시의 IP 주소를 문서화하여 모든 디바이스의 구성을 간소화합니다. RADIUS 클라이언트를 배포할 때는 인증 서버로 입력된 NPS 프록시 IP 주소와 함께 RADIUS 프로토콜을 사용하도록 구성해야 합니다. 또한 RADIUS 클라이언트와 통신하도록 NPS를 구성할 때는 NPS 스냅인에 RADIUS 클라이언트 IP 주소를 입력해야 합니다.

  • RADIUS 클라이언트 및 NPS 스냅인에서 구성에 대한 공유 비밀을 만듭니다. NPS에서 RADIUS 클라이언트를 구성하는 동안 NPS 스냅인에도 입력할 공유 비밀 또는 암호를 사용하여 RADIUS 클라이언트를 구성해야 합니다.

원격 RADIUS 서버 그룹 계획

NPS 프록시에서 원격 RADIUS 서버 그룹을 구성할 때 네트워크 액세스 서버 및 NPS 프록시 또는 기타 RADIUS 프록시에서 수신하는 일부 또는 모든 연결 요청 메시지를 보낼 위치를 NPS 프록시에 알려 줍니다.

NPS를 RADIUS 프록시로 사용하여 하나 이상의 원격 RADIUS 서버 그룹에 연결 요청을 전달할 수 있으며 각 그룹에는 하나 이상의 RADIUS 서버가 포함될 수 있습니다. NPS 프록시가 메시지를 여러 그룹으로 전달하도록 하려면 그룹당 하나의 연결 요청 정책을 구성합니다. 연결 요청 정책에는 정책에 지정된 원격 RADIUS 서버 그룹으로 보낼 메시지를 NPS 프록시에 알려주는 특성 조작 규칙과 같은 추가 정보가 포함됩니다.

NPS용 Netsh 명령을 사용하거나, NPS 스냅인의 원격 RADIUS 서버 그룹에서 직접 그룹을 구성하거나, 새 커넥트ion 요청 정책 마법사를 실행하여 원격 RADIUS 서버 그룹을 구성할 수 있습니다.

주요 단계

원격 RADIUS 서버 그룹을 계획하는 동안 다음 단계를 사용할 수 있습니다.

  • NPS 프록시가 연결 요청을 전달할 RADIUS 서버를 포함하는 do기본를 결정합니다. 이러한 기본 배포하는 RADIUS 클라이언트를 통해 네트워크에 연결하는 사용자의 사용자 계정을 포함합니다.

  • RADIUS가 아직 배포되지 않은 do기본에서 새 RADIUS 서버를 추가해야 하는지 여부를 결정합니다.

  • 원격 RADIUS 서버 그룹에 추가하려는 RADIUS 서버의 IP 주소를 문서화합니다.

  • 만들어야 하는 원격 RADIUS 서버 그룹 수를 결정합니다. 경우에 따라 do기본당 하나의 원격 RADIUS 서버 그룹을 만든 다음 do기본 대한 RADIUS 서버를 그룹에 추가하는 것이 가장 좋습니다. 그러나 do기본 사용자 계정이 있는 많은 사용자, 많은 수의 할 일기본 컨트롤러 및 많은 수의 RADIUS 서버를 포함하여 한 가지 기본 많은 양의 리소스가 있는 경우가 있을 수 있습니다. 또는 기본 큰 지리적 영역을 포함할 수 있으므로 네트워크 액세스 서버와 RADIUS 서버가 서로 멀리 떨어져 있는 위치에 있을 수 있습니다. 이러한 경우와 다른 경우에는 할 일당 여러 원격 RADIUS 서버 그룹을 만들 수 있습니다기본.

  • NPS 프록시 및 원격 RADIUS 서버에서 구성에 대한 공유 비밀을 만듭니다.

메시지 전달을 위한 특성 조작 규칙 계획

연결 요청 정책에 구성된 특성 조작 규칙을 사용하면 특정 원격 RADIUS 서버 그룹으로 전달하려는 액세스 요청 메시지를 식별할 수 있습니다.

특성 조작 규칙을 사용하지 않고 모든 연결 요청을 하나의 원격 RADIUS 서버 그룹으로 전달하도록 NPS를 구성할 수 있습니다.

그러나 연결 요청을 전달할 위치가 두 개 이상 있는 경우 각 위치에 대한 연결 요청 정책을 만든 다음 메시지를 전달할 원격 RADIUS 서버 그룹과 NPS에 전달할 메시지를 알려주는 특성 조작 규칙을 사용하여 정책을 구성해야 합니다.

다음 특성에 대한 규칙을 만들 수 있습니다.

  • 호출된 스테이션 ID입니다. NAS(네트워크 액세스 서버)의 전화 번호입니다. 이 특성의 값은 문자열입니다. 패턴 일치 구문을 사용하여 지역 코드를 지정할 수 있습니다.

  • 통화 스테이션 ID입니다. 발신자가 사용하는 전화 번호입니다. 이 특성의 값은 문자열입니다. 패턴 일치 구문을 사용하여 지역 코드를 지정할 수 있습니다.

  • 사용자 이름입니다. 액세스 클라이언트에서 제공하고 RADIUS 액세스 요청 메시지에 NAS에 의해 포함된 사용자 이름입니다. 이 특성의 값은 일반적으로 영역 이름과 사용자 계정 이름을 포함하는 문자열입니다.

연결 요청의 사용자 이름에서 영역 이름을 올바르게 바꾸거나 변환하려면 적절한 연결 요청 정책에서 사용자 이름 특성에 대한 특성 조작 규칙을 구성해야 합니다.

주요 단계

특성 조작 규칙을 계획하는 동안 다음 단계를 사용할 수 있습니다.

  • NAS에서 프록시를 통해 원격 RADIUS 서버로의 메시지 라우팅을 계획하여 메시지를 RADIUS 서버로 전달할 논리적 경로가 있는지 확인합니다.

  • 각 연결 요청 정책에 사용할 특성을 하나 이상 결정합니다.

  • 각 연결 요청 정책에 사용할 특성 조작 규칙을 문서화하고 메시지가 전달되는 원격 RADIUS 서버 그룹에 규칙을 일치합니다.

연결 요청 정책 계획

기본 연결 요청 정책은 RADIUS 서버로 사용될 때 NPS에 대해 구성됩니다. 추가 연결 요청 정책을 사용하여 보다 구체적인 조건을 정의하고, NPS에 원격 RADIUS 서버 그룹으로 전달할 메시지를 알려주고, 고급 특성을 지정하는 특성 조작 규칙을 만들 수 있습니다. 새 커넥트온 요청 정책 마법사를 사용하여 공통 또는 사용자 지정 연결 요청 정책을 만듭니다.

주요 단계

연결 요청 정책을 계획하는 동안 다음 단계를 사용할 수 있습니다.

  • RADIUS 프록시로만 작동하는 NPS를 실행하는 각 서버에서 기본 연결 요청 정책을 삭제합니다.

  • 이 정보를 원격 RADIUS 서버 그룹 및 정책에 대해 계획된 특성 조작 규칙과 결합하여 각 정책에 필요한 추가 조건 및 설정을 계획합니다.

  • 모든 NPS 프록시에 공통 연결 요청 정책을 배포하는 계획을 디자인합니다. 하나의 NPS에서 여러 NPS 프록시에 공통적인 정책을 만든 다음 NPS용 Netsh 명령을 사용하여 다른 모든 프록시에서 연결 요청 정책 및 서버 구성을 가져옵니다.

NPS 회계 계획

NPS를 RADIUS 프록시로 구성하는 경우 NPS 형식 로그 파일, 데이터베이스 호환 형식 로그 파일 또는 NPS SQL Server 로깅을 사용하여 RADIUS 회계를 수행하도록 구성할 수 있습니다.

이러한 로깅 형식 중 하나를 사용하여 회계를 수행하는 원격 RADIUS 서버 그룹에 회계 메시지를 전달할 수도 있습니다.

주요 단계

NPS 회계를 계획하는 동안 다음 단계를 사용할 수 있습니다.

  • NPS 프록시가 회계 서비스를 수행할지 또는 회계를 위해 원격 RADIUS 서버 그룹에 회계 메시지를 전달할지 여부를 결정합니다.

  • 계정 메시지를 다른 서버로 전달하려는 경우 로컬 NPS 프록시 회계를 사용하지 않도록 설정하도록 계획합니다.

  • 계정 메시지를 다른 서버로 전달하려는 경우 연결 요청 정책 구성 단계를 계획합니다. NPS 프록시에 대한 로컬 회계를 사용하지 않도록 설정하는 경우 해당 프록시에서 구성하는 각 연결 요청 정책에는 계정 메시지 전달을 사용하도록 설정하고 올바르게 구성해야 합니다.

  • 사용하려는 로깅 형식을 결정합니다. IAS 형식 로그 파일, 데이터베이스 호환 형식 로그 파일 또는 NPS SQL Server 로깅.

NPS에 대한 부하 분산을 RADIUS 프록시로 구성하려면 NPS 프록시 서버 부하 분산을 참조하세요.