Политики запросов на подключениеConnection Request Policies

Применяется к: Windows Server (Semi-Annual Channel), Windows Server 2016Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016

С помощью этого раздела вы узнаете, как использовать политики запросов на подключение NPS для настройки сервера политики сети в качестве сервер RADIUS, прокси-сервера RADIUS или и того, и другого.You can use this topic to learn how to use NPS connection request policies to configure the NPS as a RADIUS server, a RADIUS proxy, or both.

Примечание

Помимо этого раздела, доступна следующая документация по политике запросов на подключение.In addition to this topic, the following connection request policy documentation is available.

Политики запросов на подключение — это наборы условий и параметров, которые позволяют сетевым администраторам определять, какие серверы протокол RADIUS (RADIUS) выполняют проверку подлинности и авторизацию запросов на подключение, которые сервер, на котором работает сервер политики сети (NPS), получает от клиентов RADIUS.Connection request policies are sets of conditions and settings that allow network administrators to designate which Remote Authentication Dial-In User Service (RADIUS) servers perform the authentication and authorization of connection requests that the server running Network Policy Server (NPS) receives from RADIUS clients. Политики запросов на подключение можно настроить так, чтобы указать, какие серверы RADIUS используются для учета RADIUS.Connection request policies can be configured to designate which RADIUS servers are used for RADIUS accounting.

Можно создать политики запросов на подключение, чтобы некоторые сообщения запроса RADIUS, отправленные клиентами RADIUS, обрабатывались локально (NPS используется в качестве сервера RADIUS), а другие типы сообщений перенаправляются на другой сервер RADIUS (NPS используется в качестве прокси-сервера RADIUS).You can create connection request policies so that some RADIUS request messages sent from RADIUS clients are processed locally (NPS is used as a RADIUS server) and other types of messages are forwarded to another RADIUS server (NPS is used as a RADIUS proxy).

С помощью политик запросов на подключение сервер политики сети можно использовать в качестве сервера RADIUS или прокси-сервера RADIUS в зависимости от следующих факторов.With connection request policies, you can use NPS as a RADIUS server or as a RADIUS proxy, based on factors such as the following:

  • Время суток и день неделиThe time of day and day of the week
  • Имя области в запросе на подключениеThe realm name in the connection request
  • Тип запрашиваемого соединенияThe type of connection being requested
  • IP-адрес RADIUS-клиентаThe IP address of the RADIUS client

Сообщения запроса доступа RADIUS обрабатываются или пересылаются NPS только в том случае, если параметры входящего сообщения совпадают по крайней мере с одной из политик запросов на подключение, настроенных на сервере политики сети.RADIUS Access-Request messages are processed or forwarded by NPS only if the settings of the incoming message match at least one of the connection request policies configured on the NPS.

Если параметры политики совпадают и политика требует, чтобы сервер политики сети обрабатывал сообщение, сервер политики сети выступает в качестве сервера RADIUS, проверяют подлинность и авторизацию запроса на подключение.If the policy settings match and the policy requires that the NPS process the message, NPS acts as a RADIUS server, authenticating and authorizing the connection request. Если параметры политики совпадают и политика требует, чтобы сервер политики сети перенаправлял сообщение, сервер политики сети выступает в качестве прокси-сервера RADIUS и перенаправляет запрос на соединение на удаленный сервер RADIUS для обработки.If the policy settings match and the policy requires that the NPS forwards the message, NPS acts as a RADIUS proxy and forwards the connection request to a remote RADIUS server for processing.

Если параметры входящего сообщения запроса доступа RADIUS не совпадают по крайней мере с одной из политик запросов на подключение, клиенту RADIUS отправляется сообщение об отклонении доступа и пользователю или компьютеру, пытающимся подключиться к сети, будет отказано в доступе.If the settings of an incoming RADIUS Access-Request message do not match at least one of the connection request policies, an Access-Reject message is sent to the RADIUS client and the user or computer attempting to connect to the network is denied access.

Примеры конфигурацииConfiguration examples

В следующих примерах конфигурации показано, как можно использовать политики запросов на подключение.The following configuration examples demonstrate how you can use connection request policies.

Сервер политики сети в качестве RADIUS-сервераNPS as a RADIUS server

Политика запросов на подключение по умолчанию — это единственная настроенная политика.The default connection request policy is the only configured policy. В этом примере NPS настраивается в качестве сервера RADIUS, а все запросы на подключение обрабатываются локальным сервером политики сети.In this example, NPS is configured as a RADIUS server and all connection requests are processed by the local NPS. NPS может выполнять проверку подлинности и авторизацию пользователей, учетные записи которых находятся в домене домена NPS и в доверенных доменах.The NPS can authenticate and authorize users whose accounts are in the domain of the NPS domain and in trusted domains.

Сервер политики сети в качестве прокси-сервера RADIUSNPS as a RADIUS proxy

Политика запросов на подключение по умолчанию удаляется, а для пересылки запросов в два разных домена создаются две новые политики запросов на подключение.The default connection request policy is deleted, and two new connection request policies are created to forward requests to two different domains. В этом примере NPS настраивается в качестве прокси-сервера RADIUS.In this example, NPS is configured as a RADIUS proxy. Сервер политики сети не обрабатывает запросы на подключение на локальном сервере.NPS does not process any connection requests on the local server. Вместо этого он перенаправляет запросы на подключение к серверу политики сети или другим серверам RADIUS, настроенным в качестве членов удаленных групп серверов RADIUS.Instead, it forwards connection requests to NPS or other RADIUS servers that are configured as members of remote RADIUS server groups.

Сервер политики сети в качестве RADIUS-сервера и прокси-сервера RADIUSNPS as both RADIUS server and RADIUS proxy

В дополнение к политике запросов на подключение по умолчанию создается новая политика запросов на подключение, которая перенаправляет запросы на подключение к NPS или другому RADIUS-серверу в домене, не являющемся доверенным.In addition to the default connection request policy, a new connection request policy is created that forwards connection requests to an NPS or other RADIUS server in an untrusted domain. В этом примере политика прокси-сервера отображается первой в упорядоченном списке политик.In this example, the proxy policy appears first in the ordered list of policies. Если запрос на подключение соответствует политике прокси, запрос на подключение перенаправляется на сервер RADIUS в группе удаленных серверов RADIUS.If the connection request matches the proxy policy, the connection request is forwarded to the RADIUS server in the remote RADIUS server group. Если запрос на подключение не соответствует политике прокси-сервера, но соответствует политике запросов на подключение по умолчанию, NPS обрабатывает запрос на подключение на локальном сервере.If the connection request does not match the proxy policy but does match the default connection request policy, NPS processes the connection request on the local server. Если запрос на подключение не соответствует ни одной из политик, он отбрасывается.If the connection request does not match either policy, it is discarded.

Сервер политики сети в качестве сервера RADIUS с удаленными серверами учетаNPS as RADIUS server with remote accounting servers

В этом примере локальный сервер политики сети не настроен для выполнения учета, и изменена политика запросов на подключение по умолчанию, поэтому сообщения учета RADIUS перенаправляются на сервер политики сети или другой RADIUS в группе удаленных серверов RADIUS.In this example, the local NPS is not configured to perform accounting and the default connection request policy is revised so that RADIUS accounting messages are forwarded to an NPS or other RADIUS server in a remote RADIUS server group. Несмотря на то, что сообщения учета пересылаются, сообщения проверки подлинности и авторизации не пересылаются, а локальный сервер политики сети выполняет эти функции для локального домена и всех доверенных доменов.Although accounting messages are forwarded, authentication and authorization messages are not forwarded, and the local NPS performs these functions for the local domain and all trusted domains.

Сопоставление пользователей NPS с удаленным сервером RADIUS для WindowsNPS with Remote RADIUS to Windows User Mapping

В этом примере сервер политики сети выступает в качестве сервера RADIUS и прокси-сервера RADIUS для каждого отдельного запроса на подключение, перенаправляя запрос проверки подлинности на удаленный сервер RADIUS при использовании локальной учетной записи пользователя Windows для авторизации.In this example, NPS acts as both a RADIUS server and as a RADIUS proxy for each individual connection request by forwarding the authentication request to a remote RADIUS server while using a local Windows user account for authorization. Эта конфигурация реализуется путем настройки атрибута сопоставления пользователя Remote RADIUS to Windows в качестве условия политики запросов на подключение.This configuration is implemented by configuring the Remote RADIUS to Windows User Mapping attribute as a condition of the connection request policy. (Кроме того, учетная запись пользователя должна быть создана локально, имя которой совпадает с именем удаленной учетной записи пользователя, для которой выполняется проверка подлинности на удаленном RADIUS-сервере.)(In addition, a user account must be created locally that has the same name as the remote user account against which authentication is performed by the remote RADIUS server.)

Условия политики запросов на подключениеConnection request policy conditions

Условия политики запросов на подключение — это один или несколько атрибутов RADIUS, которые сравниваются с атрибутами входящего сообщения запроса доступа RADIUS.Connection request policy conditions are one or more RADIUS attributes that are compared to the attributes of the incoming RADIUS Access-Request message. Если существует несколько условий, все условия в сообщении запроса на подключение и в политике запросов на подключение должны совпадать, чтобы политика была принудительно применена NPS.If there are multiple conditions, then all of the conditions in the connection request message and in the connection request policy must match in order for the policy to be enforced by NPS.

Ниже приведены доступные атрибуты условия, которые можно настроить в политиках запросов на подключение.Following are the available condition attributes that you can configure in connection request policies.

Группа атрибутов свойств соединенияConnection Properties attribute group

Группа атрибутов свойства соединения содержит следующие атрибуты.The Connection Properties attribute group contains the following attributes.

  • Протокол Framed.Framed Protocol. Используется для обозначения типа кадрирования для входящих пакетов.Used to designate the type of framing for incoming packets. Примерами могут быть протокол PPP (PPP), последовательный протокол Интернета (SLIP), Frame Relay и X. 25.Examples are Point-to-Point Protocol (PPP), Serial Line Internet Protocol (SLIP), Frame Relay, and X.25.
  • Тип службы.Service Type. Используется для обозначения типа запрашиваемой службы.Used to designate the type of service being requested. Примеры включают в себя фреймы (например, PPP-подключения) и имя входа (например, Telnet-подключения).Examples include framed (for example, PPP connections) and login (for example, Telnet connections). Дополнительные сведения о типах служб RADIUS см. в статье RFC 2865, «удаленный вход в службу удаленной проверки подлинности (RADIUS)».For more information about RADIUS service types, see RFC 2865, "Remote Authentication Dial-in User Service (RADIUS)."
  • Тип туннеля.Tunnel Type. Используется для обозначения типа туннеля, создаваемого запрашивающим клиентом.Used to designate the type of tunnel that is being created by the requesting client. Типы туннелей включают протокол туннелирования "точка — точка" (PPTP) и туннельный протокол уровня 2 (L2TP).Tunnel types include the Point-to-Point Tunneling Protocol (PPTP) and the Layer Two Tunneling Protocol (L2TP).

Группа атрибутов "ограничения дня и времени"Day and Time Restrictions attribute group

Группа атрибутов "ограничения дня и времени" содержит атрибут "ограничения дня и времени".The Day and Time Restrictions attribute group contains the Day and Time Restrictions attribute. С помощью этого атрибута можно назначить день недели и время суток попытки подключения.With this attribute, you can designate the day of the week and the time of day of the connection attempt. День и время зависят от дня и времени NPS.The day and time is relative to the day and time of the NPS.

Группа атрибутов шлюзаGateway attribute group

Группа атрибутов шлюза содержит следующие атрибуты.The Gateway attribute group contains the following attributes.

  • Идентификатор вызываемой станции.Called Station ID. Используется для обозначения номера телефона сервера доступа к сети.Used to designate the phone number of the network access server. Этот атрибут является символьной строкой.This attribute is a character string. Для указания кодов областей можно использовать синтаксис сопоставления шаблонов.You can use pattern-matching syntax to specify area codes.
  • Идентификатор NAS.NAS Identifier. Используется для обозначения имени сервера доступа к сети.Used to designate the name of the network access server. Этот атрибут является символьной строкой.This attribute is a character string. Для указания идентификаторов NAS можно использовать синтаксис сопоставления шаблонов.You can use pattern-matching syntax to specify NAS identifiers.
  • IPv4-адрес NAS.NAS IPv4 Address. Используется для обозначения адреса протокола IP версии 4 (IPv4) сервера доступа к сети (RADIUS-клиента).Used to designate the Internet Protocol version 4 (IPv4) address of the network access server (the RADIUS client). Этот атрибут является символьной строкой.This attribute is a character string. Для указания IP-сетей можно использовать синтаксис сопоставления шаблонов.You can use pattern-matching syntax to specify IP networks.
  • IPv6-адрес NAS.NAS IPv6 Address. Используется для обозначения IPv6-адреса сервера доступа к сети (RADIUS-клиента).Used to designate the Internet Protocol version 6 (IPv6) address of the network access server (the RADIUS client). Этот атрибут является символьной строкой.This attribute is a character string. Для указания IP-сетей можно использовать синтаксис сопоставления шаблонов.You can use pattern-matching syntax to specify IP networks.
  • Тип порта NAS.NAS Port Type. Используется для обозначения типа носителя, используемого клиентом доступа.Used to designate the type of media used by the access client. Примерами являются аналоговые телефонные линии (например, Async), Digital Networking Services (ISDN), туннели или виртуальные частные сети (VPN), беспроводная сеть IEEE 802,11 и коммутаторы Ethernet.Examples are analog phone lines (known as async ), Integrated Services Digital Network (ISDN), tunnels or virtual private networks (VPNs), IEEE 802.11 wireless, and Ethernet switches.

Группа атрибутов удостоверений компьютераMachine Identity attribute group

Группа атрибут удостоверения компьютера содержит атрибут удостоверения компьютера.The Machine Identity attribute group contains the Machine Identity attribute. С помощью этого атрибута можно указать метод, с помощью которого клиенты определяются в политике.By using this attribute, you can specify the method with which clients are identified in the policy.

Группа атрибутов свойств клиента RADIUSRADIUS Client Properties attribute group

Группа атрибутов «свойства клиента RADIUS» содержит следующие атрибуты.The RADIUS Client Properties attribute group contains the following attributes.

  • Идентификатор вызывающей станции.Calling Station ID. Используется для обозначения номера телефона, используемого вызывающим объектом (клиентом доступа).Used to designate the phone number used by the caller (the access client). Этот атрибут является символьной строкой.This attribute is a character string. Для указания кодов областей можно использовать синтаксис сопоставления шаблонов.You can use pattern-matching syntax to specify area codes. При проверке подлинности 802.1 x MAC-адрес обычно заполняется и может быть сопоставлен с клиентом.In 802.1x authentications the MAC Address is typically populated and can be matched from the client. Это поле обычно используется для сценариев обхода MAC-адресов, если для политики запросов на подключение настроено значение "принять пользователей без проверки учетных данных".This field is typically used for Mac Address Bypass scenarios when the connection request policy is configured for 'Accept users without validating credentials'.
  • Понятное имя клиента.Client Friendly Name. Используется для обозначения имени клиентского компьютера RADIUS, запрашивающего проверку подлинности.Used to designate the name of the RADIUS client computer that is requesting authentication. Этот атрибут является символьной строкой.This attribute is a character string. Для указания имен клиентов можно использовать синтаксис сопоставления шаблонов.You can use pattern-matching syntax to specify client names.
  • IPv4-адрес клиента.Client IPv4 Address. Используется для обозначения IPv4-адреса сервера доступа к сети (клиента RADIUS).Used to designate the IPv4 address of the network access server (the RADIUS client). Этот атрибут является символьной строкой.This attribute is a character string. Для указания IP-сетей можно использовать синтаксис сопоставления шаблонов.You can use pattern-matching syntax to specify IP networks.
  • IPv6-адрес клиента.Client IPv6 Address. Используется для обозначения IPv6-адреса сервера доступа к сети (RADIUS-клиента).Used to designate the IPv6 address of the network access server (the RADIUS client). Этот атрибут является символьной строкой.This attribute is a character string. Для указания IP-сетей можно использовать синтаксис сопоставления шаблонов.You can use pattern-matching syntax to specify IP networks.
  • Поставщик клиента.Client Vendor. Используется для назначения поставщика сервера доступа к сети, запрашивающего проверку подлинности.Used to designate the vendor of the network access server that is requesting authentication. Компьютер, на котором работает служба маршрутизации и удаленного доступа, является изготовителем Microsoft NAS.A computer running the Routing and Remote Access service is the Microsoft NAS manufacturer. Этот атрибут можно использовать для настройки отдельных политик для разных изготовителей NAS.You can use this attribute to configure separate policies for different NAS manufacturers. Этот атрибут является символьной строкой.This attribute is a character string. Можно использовать синтаксис сопоставления шаблонов.You can use pattern-matching syntax.

Группа атрибутов "имя пользователя"User Name attribute group

Группа атрибутов «имя пользователя» содержит атрибут «имя пользователя».The User Name attribute group contains the User Name attribute. С помощью этого атрибута можно назначить имя пользователя или часть имени пользователя, которая должна совпадать с именем пользователя, предоставленным клиентом доступа в сообщении RADIUS.By using this attribute, you can designate the user name, or a portion of the user name, that must match the user name supplied by the access client in the RADIUS message. Этот атрибут представляет собой символьную строку, которая обычно содержит имя области и имя учетной записи пользователя.This attribute is a character string that typically contains a realm name and a user account name. Для указания имен пользователей можно использовать синтаксис сопоставления шаблонов.You can use pattern-matching syntax to specify user names.

Параметры политики запросов на подключениеConnection request policy settings

Параметры политики запросов на подключение — это набор свойств, которые применяются к входящему сообщению RADIUS.Connection request policy settings are a set of properties that are applied to an incoming RADIUS message. Параметры состоят из следующих групп свойств.Settings consist of the following groups of properties.

  • Проверка подлинностиAuthentication
  • УчетAccounting
  • Управление атрибутамиAttribute manipulation
  • Пересылка запросаForwarding request
  • ДополнительноAdvanced

Следующие разделы содержат дополнительные сведения об этих параметрах.The following sections provide additional detail about these settings.

Проверка подлинностиAuthentication

С помощью этого параметра можно переопределить параметры проверки подлинности, настроенные во всех сетевых политиках, а также указать методы и типы проверки подлинности, необходимые для подключения к сети.By using this setting, you can override the authentication settings that are configured in all network policies and you can designate the authentication methods and types that are required to connect to your network.

Важно!

При настройке метода проверки подлинности в политике запросов на подключение, которая менее безопасна, чем метод проверки подлинности, настроенный в политике сети, более безопасный метод проверки подлинности, настроенный в политике сети, переопределяется.If you configure an authentication method in connection request policy that is less secure than the authentication method you configure in network policy, the more secure authentication method that you configure in network policy is overridden. Например, если у вас есть одна сетевая политика, требующая использования защищенного расширяемого протокола проверки подлинности, протокола проверки подлинности Microsoft Challenge, версия 2 ( PEAP-MS-CHAP v2 ) , которая является методом проверки подлинности на основе пароля для защищенного беспроводного подключения, а также настройка политики запросов на подключение для разрешения доступа без проверки подлинности, в результате клиенты не должны проходить проверкуFor example, if you have one network policy that requires the use of Protected Extensible Authentication Protocol-Microsoft Challenge Handshake Authentication Protocol version 2 (PEAP-MS-CHAP v2), which is a password-based authentication method for secure wireless, and you also configure a connection request policy to allow unauthenticated access, the result is that no clients are required to authenticate by using PEAP-MS-CHAP v2. В этом примере всем клиентам, подключающимся к сети, предоставляется доступ без проверки подлинности.In this example, all clients connecting to your network are granted unauthenticated access.

УчетAccounting

С помощью этого параметра можно настроить политику запросов на подключение для пересылки сведений об учетных данных на NPS или другой сервер RADIUS в группе удаленных серверов RADIUS, чтобы группа удаленных серверов RADIUS выполняла учет.By using this setting, you can configure connection request policy to forward accounting information to an NPS or other RADIUS server in a remote RADIUS server group so that the remote RADIUS server group performs accounting.

Примечание

Если у вас несколько серверов RADIUS и требуется получить сведения об учетных данных для всех серверов, хранящихся в одной центральной базе данных учета RADIUS, можно использовать параметр учета политики запроса на подключение в политике на каждом сервере RADIUS, чтобы перенаправить данные учета со всех серверов на один сервер политики сети или другой, назначенный сервером учетных записей.If you have multiple RADIUS servers and you want accounting information for all servers stored in one central RADIUS accounting database, you can use the connection request policy accounting setting in a policy on each RADIUS server to forward accounting data from all of the servers to one NPS or other RADIUS server that is designated as an accounting server.

Параметры учета политики запросов на подключение работают независимо от конфигурации учета локального сервера политики сети.Connection request policy accounting settings function independent of the accounting configuration of the local NPS. Иными словами, если настроить локальный сервер политики сети для записи данных учета RADIUS в локальный файл или в Microsoft SQL Server базу данных, это будет сделано независимо от того, настроена ли политика запросов на подключение для пересылки сообщений учета в группу удаленных серверов RADIUS.In other words, if you configure the local NPS to log RADIUS accounting information to a local file or to a Microsoft SQL Server database, it will do so regardless of whether you configure a connection request policy to forward accounting messages to a remote RADIUS server group.

Если вы хотите, чтобы сведения об учетных данных были зарегистрированы удаленно, но не локально, необходимо настроить локальный сервер политики сети так, чтобы он не выполнял ведение учета, а также настроить учет в политике запросов на подключение для пересылки данных учета в группу удаленных серверов RADIUS.If you want accounting information logged remotely but not locally, you must configure the local NPS to not perform accounting, while also configuring accounting in a connection request policy to forward accounting data to a remote RADIUS server group.

Управление атрибутамиAttribute manipulation

Можно настроить набор правил поиска и замены, которые управляют текстовыми строками одного из следующих атрибутов.You can configure a set of find-and-replace rules that manipulate the text strings of one of the following attributes.

  • Имя пользователяUser Name
  • Идентификатор вызываемой станцииCalled Station ID
  • Идентификатор вызывающей станцииCalling Station ID

Обработка правил поиска и замены выполняется для одного из описанных выше атрибутов перед тем, как сообщения RADIUS подчиняются параметрам проверки подлинности и учета.Find-and-replace rule processing occurs for one of the preceding attributes before the RADIUS message is subject to authentication and accounting settings. Правила обработки атрибутов применяются только к одному атрибуту.Attribute manipulation rules apply only to a single attribute. Правила обработки атрибутов для каждого атрибута настраивать нельзя.You cannot configure attribute manipulation rules for each attribute. Кроме того, список атрибутов, которыми можно управлять, — статический список; невозможно добавить в список атрибутов, доступных для манипуляции.In addition, the list of attributes that you can manipulate is a static list; you cannot add to the list of attributes available for manipulation.

Примечание

Если используется протокол проверки подлинности MS-CHAP v2, вы не можете управлять атрибутом имени пользователя, если для пересылки сообщения RADIUS используется политика запросов на подключение.If you are using the MS-CHAP v2 authentication protocol, you cannot manipulate the User Name attribute if the connection request policy is used to forward the RADIUS message. Единственное исключение возникает, когда обратная косая черта ( ) символ используется и манипуляция влияет только на сведения, налевыеся слева от него).The only exception occurs when a backslash () character is used and the manipulation only affects the information to the left of it. Символ обратной косой черты обычно используется для обозначения доменного имени (слева от символа обратной косой черты) и имени учетной записи пользователя в домене (сведения, расположенные справа от символа обратной косой черты).A backslash character is typically used to indicate a domain name (the information to the left of the backslash character) and a user account name within the domain (the information to the right of the backslash character). В этом случае разрешены только правила обработки атрибутов, которые изменяют или заменяют доменное имя.In this case, only attribute manipulation rules that modify or replace the domain name are allowed.

Примеры управления именем области в атрибуте имени пользователя см. в разделе "примеры по управлению именем области в атрибуте имени пользователя" статьи Использование регулярных выражений в NPS.For examples of how to manipulate the realm name in the User Name attribute, see the section "Examples for manipulation of the realm name in the User Name attribute" in the topic Use Regular Expressions in NPS.

Пересылка запросаForwarding request

Можно задать следующие параметры запроса на перенаправление, которые используются для сообщений запроса доступа RADIUS.You can set the following forwarding request options that are used for RADIUS Access-Request messages:

  • Проверка подлинности запросов на этом сервере.Authenticate requests on this server. С помощью этого параметра NPS использует домен Windows NT 4,0, Active Directory или локальную базу данных учетных записей безопасности (SAM) для проверки подлинности запроса на подключение.By using this setting, NPS uses a Windows NT 4.0 domain, Active Directory, or the local Security Accounts Manager (SAM) user accounts database to authenticate the connection request. Этот параметр также указывает, что соответствующая сетевая политика, настроенная в NPS, а также свойства входящих звонков учетной записи пользователя, используются NPS для авторизации запроса на подключение.This setting also specifies that the matching network policy configured in NPS, along with the dial-in properties of the user account, are used by NPS to authorize the connection request. В этом случае сервер политики сети настроен для выполнения в качестве сервера RADIUS.In this case, the NPS is configured to perform as a RADIUS server.

  • Перенаправлять запросы в следующую группу удаленных серверов RADIUS.Forward requests to the following remote RADIUS server group. С помощью этого параметра NPS перенаправляет запросы на подключение в указанную группу удаленных серверов RADIUS.By using this setting, NPS forwards connection requests to the remote RADIUS server group that you specify. Если сервер политики сети получает допустимое сообщение о доступе, соответствующее сообщению запроса доступа, попытка подключения считается аутентифицированной и авторизованной.If the NPS receives a valid Access-Accept message that corresponds to the Access-Request message, the connection attempt is considered authenticated and authorized. В этом случае NPS выступает в качестве прокси-сервера RADIUS.In this case, the NPS acts as a RADIUS proxy.

  • Принятие пользователей без проверки учетных данных.Accept users without validating credentials. С помощью этого параметра NPS не проверяет подлинность пользователя, пытающегося подключиться к сети, а NPS не пытается проверить, имеет ли пользователь или компьютер право на подключение к сети.By using this setting, NPS does not verify the identity of the user attempting to connect to the network and NPS does not attempt to verify that the user or computer has the right to connect to the network. Если сервер политики сети настроен для разрешения доступа без проверки подлинности и получает запрос на подключение, NPS немедленно отправляет клиенту RADIUS сообщение о принятии доступа, а пользователю или компьютеру предоставляется доступ к сети.When NPS is configured to allow unauthenticated access and it receives a connection request, NPS immediately sends an Access-Accept message to the RADIUS client and the user or computer is granted network access. Этот параметр используется для некоторых типов принудительного туннелирования, на которых клиент доступа будет туннелем до проверки подлинности учетных данных пользователя.This setting is used for some types of compulsory tunneling where the access client is tunneled before user credentials are authenticated.

Примечание

Этот параметр проверки подлинности нельзя использовать, если клиент Access использует протокол проверки подлинности MS-CHAP v2 или расширенный протокол проверки подлинности (EAP-TLS), оба из которых обеспечивают взаимную проверку подлинности.This authentication option cannot be used when the authentication protocol of the access client is MS-CHAP v2 or Extensible Authentication Protocol-Transport Layer Security (EAP-TLS), both of which provide mutual authentication. При взаимной проверке подлинности клиент доступа подтверждает, что это допустимый клиент доступа к серверу проверки подлинности (NPS), и сервер проверки подлинности подтверждает, что он является действительным сервером проверки подлинности для клиента доступа.In mutual authentication, the access client proves that it is a valid access client to the authenticating server (the NPS), and the authenticating server proves that it is a valid authenticating server to the access client. При использовании этого параметра проверки подлинности возвращается сообщение Access-Accept.When this authentication option is used, the Access-Accept message is returned. Однако сервер проверки подлинности не обеспечивает проверку клиента доступа, и взаимная проверка подлинности завершается неудачно.However, the authenticating server does not provide validation to the access client, and mutual authentication fails.

Примеры использования регулярных выражений для создания правил маршрутизации, которые пересылают сообщения RADIUS с указанным именем области в удаленную группу серверов RADIUS, см. в подразделе "пример сообщения RADIUS, пересылаемого прокси-сервером" статьи Использование регулярных выражений в NPS.For examples of how to use regular expressions to create routing rules that forward RADIUS messages with a specified realm name to a remote RADIUS server group, see the section "Example for RADIUS message forwarding by a proxy server" in the topic Use Regular Expressions in NPS.

ДополнительноAdvanced

Вы можете задать дополнительные свойства, чтобы указать ряд атрибутов RADIUS, которые:You can set advanced properties to specify the series of RADIUS attributes that are:

  • Добавляется в ответное сообщение RADIUS при использовании NPS в качестве сервера проверки подлинности или учета RADIUS.Added to the RADIUS response message when the NPS is being used as a RADIUS authentication or accounting server. Если в политике сети и в политике запросов на подключение заданы атрибуты, то атрибуты, отправляемые в ответном сообщении RADIUS, являются сочетанием двух наборов атрибутов.When there are attributes specified on both a network policy and the connection request policy, the attributes that are sent in the RADIUS response message are the combination of the two sets of attributes.
  • Добавляется в сообщение RADIUS при использовании NPS в качестве прокси-сервера проверки подлинности или учета RADIUS.Added to the RADIUS message when the NPS is being used as a RADIUS authentication or accounting proxy. Если атрибут уже существует в перенаправляемом сообщении, он заменяется значением атрибута, указанным в политике запросов на подключение.If the attribute already exists in the message that is forwarded, it is replaced with the value of the attribute specified in the connection request policy.

Кроме того, некоторые атрибуты, доступные для настройки на вкладке " Параметры политики запросов на подключение" в категории " Дополнительно ", предоставляют специализированные функциональные возможности.In addition, some attributes that are available for configuration on the connection request policy Settings tab in the Advanced category provide specialized functionality. Например, можно настроить атрибут сопоставления удаленного сервера RADIUS для Windows , если необходимо разделить проверку подлинности и авторизацию запроса на соединение между двумя базами данных учетных записей пользователей.For example, you can configure the Remote RADIUS to Windows User Mapping attribute when you want to split the authentication and authorization of a connection request between two user accounts databases.

Атрибут сопоставления пользователя Remote RADIUS to Windows указывает, что авторизация Windows выполняется для пользователей, прошедших проверку подлинности на УДАЛЕННОМ RADIUS-сервере.The Remote RADIUS to Windows User Mapping attribute specifies that Windows authorization occurs for users who are authenticated by a remote RADIUS server. Иными словами, удаленный сервер RADIUS выполняет проверку подлинности для учетной записи пользователя в удаленной базе данных учетных записей пользователей, но локальный сервер политики сети разрешает запрос на подключение к учетной записи пользователя в локальной базе данных учетных записей пользователей.In other words, a remote RADIUS server performs authentication against a user account in a remote user accounts database, but the local NPS authorizes the connection request against a user account in a local user accounts database. Это полезно, если требуется разрешить посетителям доступ к сети.This is useful when you want to allow visitors access to your network.

Например, пользователи из партнерских организаций могут проходить проверку подлинности на сервере RADIUS партнерской организации, а затем использовать учетную запись пользователя Windows в Организации для доступа к гостевой локальной сети (LAN) в сети.For example, visitors from partner organizations can be authenticated by their own partner organization RADIUS server, and then use a Windows user account at your organization to access a guest local area network (LAN) on your network.

Другие атрибуты, обеспечивающие специализированные функциональные возможности:Other attributes that provide specialized functionality are:

  • MS-карантин-ипфилтер и MS-карантин-Session-Timeout.MS-Quarantine-IPFilter and MS-Quarantine-Session-Timeout. Эти атрибуты используются при развертывании управления карантином сетевого доступа (НАКК) с развертыванием виртуальной частной сети и маршрутизацией удаленного доступа.These attributes are used when you deploy Network Access Quarantine Control (NAQC) with your Routing and Remote Access VPN deployment.
  • Passport-User-Mapping-UPN-суффикс.Passport-User-Mapping-UPN-Suffix. Этот атрибут позволяет проверять подлинность запросов на подключение с учетными данными учетной записи пользователя Windows Live™ ID.This attribute allows you to authenticate connection requests with Windows Live™ ID user account credentials.
  • Тег Tunnel.Tunnel-Tag. Этот атрибут обозначает ИДЕНТИФИКАЦИОНный номер виртуальной ЛС, на который NAS должен назначить подключение при развертывании виртуальных локальных сетей (VLAN).This attribute designates the VLAN ID number to which the connection should be assigned by the NAS when you deploy virtual local area networks (VLANs).

Политика запросов на подключение по умолчаниюDefault connection request policy

Политика запросов на подключение по умолчанию создается при установке NPS.A default connection request policy is created when you install NPS. Эта политика имеет следующую конфигурацию.This policy has the following configuration.

  • Проверка подлинности не настроена.Authentication is not configured.
  • Для учета не настроена переадресация данных учета в группу удаленных серверов RADIUS.Accounting is not configured to forward accounting information to a remote RADIUS server group.
  • Атрибут не настроен с помощью правил обработки атрибутов, пересылаемых через запросы на соединение с удаленными группами RADIUS-серверов.Attribute is not configured with attribute manipulation rules that forward connection requests to remote RADIUS server groups.
  • Запрос на перенаправление настроен таким образом, что запросы на подключение проходят проверку подлинности и авторизованы на локальном сервере политики сети.Forwarding Request is configured so that connection requests are authenticated and authorized on the local NPS.
  • Дополнительные атрибуты не настроены.Advanced attributes are not configured.

Политика запросов на подключение по умолчанию использует NPS в качестве сервера RADIUS.The default connection request policy uses NPS as a RADIUS server. Чтобы настроить сервер политики сети на работу в качестве прокси-сервера RADIUS, необходимо также настроить группу удаленных серверов RADIUS.To configure a server running NPS to act as a RADIUS proxy, you must also configure a remote RADIUS server group. Вы можете создать новую группу удаленных серверов RADIUS во время создания новой политики запросов на подключение с помощью мастера создания политики запросов на подключение.You can create a new remote RADIUS server group while you are creating a new connection request policy by using the New Connection Request Policy Wizard. Можно либо удалить политику запросов на подключение по умолчанию, либо убедиться, что политика запросов на подключение по умолчанию является последней политикой, обработанной NPS, поместив ее последним в упорядоченный список политик.You can either delete the default connection request policy or verify that the default connection request policy is the last policy processed by NPS by placing it last in the ordered list of policies.

Примечание

Если сервер политики сети и служба удаленного доступа установлены на одном компьютере, а служба удаленного доступа настроена для проверки подлинности и учета Windows, то запросы на проверку подлинности и учетные данные удаленного доступа могут перенаправляться на сервер RADIUS.If NPS and the Remote Access service are installed on the same computer, and the Remote Access service is configured for Windows authentication and accounting, it is possible for Remote Access authentication and accounting requests to be forwarded to a RADIUS server. Это может произойти, когда запросы на проверку подлинности удаленного доступа и учетные данные соответствуют политике запросов на подключение, настроенной на пересылку их в группу удаленных серверов RADIUS.This can occur when Remote Access authentication and accounting requests match a connection request policy that is configured to forward them to a remote RADIUS server group.