Настройка политик сети

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016

С помощью этого раздела можно настроить политики сети в NPS.

Добавление сетевой политики

NPS-сервер политики сети ( ) использует политики сети и свойства входящих звонков учетных записей пользователей, чтобы определить, имеет ли запрос на подключение разрешение на подключение к сети.

Эту процедуру можно использовать для настройки новой сетевой политики в консоли NPS или консоли удаленного доступа.

Выполнение авторизации

Когда NPS выполняет авторизацию запроса на подключение, он сравнивает запрос с каждой сетевой политикой в упорядоченном списке политик, начиная с первой политики, а затем перемещая список настроенных политик. Если NPS находит политику, условия которой соответствуют запросу на подключение, NPS использует политику сопоставления и свойства удаленного доступа учетной записи пользователя для выполнения авторизации. Если свойства удаленного доступа учетной записи пользователя настроены для предоставления доступа или управления доступом с помощью политики сети, а запрос на подключение является полномочным, NPS применяет параметры, настроенные в сетевой политике, к подключению.

Если сервер политики сети не находит политику сети, совпадающую с запросом на подключение, запрос на подключение отклоняется, если только свойства входящих звонков в учетной записи пользователя не настроены для предоставления доступа.

Если в свойствах входящих звонков учетной записи пользователя задан запрет доступа, запрос на подключение отклоняется NPS.

Параметры ключа

При создании сетевой политики с помощью мастера создания сетевой политики значение, указанное в методе сетевого подключения , используется для автоматической настройки условия типа политики :

  • Если значение по умолчанию не указано, то создаваемая политика сети оценивается сервером политики сети для всех типов сетевых подключений, использующих любой тип сервера доступа к сети (NAS).
  • Если указан метод сетевого подключения, NPS оценивает политику сети только в том случае, если запрос на подключение исходит от типа указанного сервера доступа к сети.

Чтобы разрешить пользователям подключаться к сети, на странице права доступа необходимо выбрать значение предоставлен доступ . Если вы хотите, чтобы политика не предпрепятствовала подключению пользователей к сети, выберите доступ запрещен.

Если требуется, чтобы разрешения доступа определялись свойствами удаленного доступа учетной записи пользователя в Active Directory ® доменных службах ( AD DS ) , можно установить флажок доступ определяется по свойствам входящих звонков пользователя .

Членство в группе Администраторы домена или эквивалентной является минимальным требованием для выполнения данной процедуры.

Добавление сетевой политики

  1. Откройте консоль NPS, а затем дважды щелкните политики.

  2. В дереве консоли щелкните правой кнопкой мыши узел политики сети и выберите команду создать. Откроется мастер создания сетевой политики.

  3. Используйте мастер создания политики сети для создания политики.

Создание сетевых политик для удаленного доступа или VPN с помощью мастера

Эту процедуру можно использовать для создания политик запросов на подключение и сетевых политик, необходимых для развертывания серверов удаленного доступа или VPN-серверов виртуальной частной сети в ( ) качестве протокол RADIUS ( RADIUS- ) клиентов на сервер политики сети RADIUS.

Примечание

Клиентские компьютеры, такие как переносные компьютеры и другие компьютеры с клиентскими операционными системами, не являются клиентами RADIUS. Клиенты RADIUS — это серверы сетевого доступа, такие как точки беспроводного доступа, 802.1 X проверки подлинности, ( VPN-серверы виртуальной частной сети ) и серверы удаленного доступа, так как эти устройства используют протокол RADIUS для взаимодействия с серверами RADIUS, такими как НПСС.

В этой процедуре описывается, как открыть мастер создания подключений удаленного доступа или виртуальной частной сети в NPS.

После запуска мастера создаются следующие политики.

  • Одна политика запросов на подключение
  • Одна сетевая политика

Мастер создания подключений удаленного доступа или виртуальной частной сети можно использовать каждый раз, когда необходимо создать новые политики для серверов удаленного доступа и VPN-серверов.

Запуск нового мастера подключений удаленного доступа или виртуальной частной сети — это не единственный шаг, необходимый для развертывания серверов удаленного доступа или VPN в качестве RADIUS-клиентов для сервера политики сети. Для обоих методов доступа к сети требуется развернуть дополнительные аппаратные и программные компоненты.

Членство в группе Администраторы домена или эквивалентной является минимальным требованием для выполнения данной процедуры.

Создание политик для удаленного доступа или VPN с помощью мастера

  1. Откройте консоль NPS. Щелкните ( локальный ) сервер политики сети, если он еще не выбран. Если вы хотите создать политики на удаленном сервере политики сети, выберите сервер.

  2. В Начало работы и стандартной конфигурации выберите RADIUS-сервер для коммутируемого подключения или VPN-подключений. Текст и ссылки под текстом изменятся в соответствии с выбором.

  3. Щелкните Настройка VPN или удаленный доступ с помощью мастера. Откроется мастер создания подключений удаленного доступа или виртуальной частной сети.

  4. Следуйте инструкциям мастера, чтобы завершить создание новых политик.

Создание сетевых политик для 802.1 X Wired или Wireless с помощью мастера

Эту процедуру можно использовать для создания политики запросов на подключение и политики сети, необходимой для развертывания ключей 802.1 X проверки подлинности или точек беспроводного доступа 802.1 X как клиентов протокол RADIUS (RADIUS) на сервере политики сети RADIUS.

В этой процедуре описывается запуск нового мастера защищенных проводных и беспроводных подключений IEEE 802.1 X на сервере NPS.

После запуска мастера создаются следующие политики.

  • Одна политика запросов на подключение
  • Одна сетевая политика

Новый мастер защищенных проводных и беспроводных подключений IEEE 802.1 X можно запускать каждый раз, когда необходимо создать новые политики для доступа к 802.1 X.

Запуск нового мастера защищенных проводных и беспроводных подключений IEEE 802.1 X — это не единственный шаг, необходимый для развертывания коммутаторов проверки подлинности 802.1 X и точек беспроводного доступа в качестве RADIUS-клиентов для сервера политики сети. Для обоих методов доступа к сети требуется развернуть дополнительные аппаратные и программные компоненты.

Членство в группе Администраторы домена или эквивалентной является минимальным требованием для выполнения данной процедуры.

Создание политик для проводных или беспроводных сетей 802.1 X с помощью мастера

  1. На сервере политики сети в диспетчер сервера щелкните средства, а затем — сервер политики сети. Откроется консоль NPS.

  2. Щелкните ( локальный ) сервер политики сети, если он еще не выбран. Если вы хотите создать политики на удаленном сервере политики сети, выберите сервер.

  3. В Начало работы и стандартной конфигурации выберите RADIUS-сервер для беспроводных или проводных подключений 802.1 x. Текст и ссылки под текстом изменятся в соответствии с выбором.

  4. Щелкните настроить 802.1 x с помощью мастера. Откроется новый мастер защищенных проводных и беспроводных подключений IEEE 802.1 X.

  5. Следуйте инструкциям мастера, чтобы завершить создание новых политик.

Настройка NPS для пропуска свойств удаленного доступа учетной записи пользователя

Используйте эту процедуру, чтобы настроить сетевую политику NPS для игнорирования свойств входящих звонков учетных записей пользователей в Active Directory в процессе авторизации. Учетные записи пользователей в Active Directory пользователи и компьютеры имеют свойства удаленного доступа, которые NPS оценивает во время авторизации, если только свойство разрешения сетевого доступа учетной записи пользователя не настроено для управления доступом с помощью политики сети NPS.

Существует два обстоятельства, в которых может потребоваться настроить NPS для игнорирования свойств входящих звонков учетных записей пользователей в Active Directory:

  • Если требуется упростить авторизацию NPS с помощью сетевой политики, но не все учетные записи пользователей имеют свойство разрешения на доступ к сети , заданное для управления доступом через политику сети NPS. Например, некоторые учетные записи пользователей могут иметь свойство разрешения на доступ к сети для учетной записи пользователя, заданную как запретить доступ или Разрешить доступ.

  • Если другие свойства входящих звонков учетных записей пользователей не применяются к типу подключения, настроенному в политике сети. Например, свойства, отличные от настройки разрешений на доступ к сети , применимы только к коммутируемым или VPN-подключениям, но создаваемая вами политика сети предназначена для беспроводных подключений или подключения коммутаторов с проверкой подлинности.

С помощью этой процедуры можно настроить NPS для пропуска свойств удаленного доступа учетной записи пользователя. Если запрос на подключение соответствует политике сети, где установлен этот флажок, NPS не использует свойства удаленного доступа учетной записи пользователя, чтобы определить, разрешен ли доступ к сети пользователю или компьютеру. для определения авторизации используются только параметры сетевой политики.

Членство в группах « Администраторы» или «эквивалентное» является минимальным требованием для выполнения этой процедуры.

  1. На сервере политики сети в диспетчер сервера щелкните средства, а затем — сервер политики сети. Откроется консоль NPS.

  2. Дважды щелкните политики, щелкните Сетевые политики, а затем в области сведений дважды щелкните политику, которую нужно настроить.

  3. В диалоговом окне Свойства политики на вкладке Обзор в разделе разрешение на доступ установите флажок игнорировать свойства удаленного доступа к учетной записи пользователя и нажмите кнопку ОК.

Настройка NPS для пропуска свойств входящих звонков учетной записи пользователя

Настройка NPS для виртуальных ЛС

используя серверы сетевого доступа и NPS, поддерживающие VLAN, в Windows Server 2016 можно предоставить группам пользователей доступ только к сетевым ресурсам, подходящим для их разрешений безопасности. Например, вы можете предоставить посетителям возможность беспроводного доступа к Интернету, не разрешая им доступ к сети Организации.

Кроме того, виртуальные ЛС позволяют логически группировать сетевые ресурсы, которые существуют в разных физических расположениях или в разных физических подсетях. Например, участники отдела продаж и их сетевые ресурсы, такие как клиентские компьютеры, серверы и принтеры, могут находиться в разных зданиях Организации, но все эти ресурсы можно разместить в одной виртуальной ЛС, использующей один и тот же диапазон IP-адресов. Затем виртуальная ЛС функционирует с точки зрения конечных пользователей в качестве одной подсети.

Виртуальные ЛС также можно использовать, если требуется разделить сеть между разными группами пользователей. Определив, как вы хотите определить группы, можно создать группы безопасности в оснастке Active Directory пользователи и компьютеры, а затем добавить в группы участников.

Настройка сетевой политики для виртуальных ЛС

Эту процедуру можно использовать для настройки политики сети, которая назначает пользователей виртуальной ЛС. При использовании сетевого оборудования, поддерживающего виртуальную ЛС, например маршрутизаторов, коммутаторов и контроллеров доступа, можно настроить политику сети, чтобы указать серверам доступа, какие члены конкретных групп Active Directory в конкретных виртуальных ЛС. Эта возможность логически группировать сетевые ресурсы с помощью виртуальных ЛС обеспечивает гибкость при проектировании и реализации сетевых решений.

при настройке параметров политики сети NPS для использования с виртуальными лс необходимо настроить атрибуты Tunnel-Medium-Type, Tunnel-пвт-Group-ID, Tunnel-Type и Tunnel-Tag.

Эта процедура предоставляется в качестве рекомендации. в конфигурации сети могут потребоваться параметры, отличные от описанных ниже.

Членство в группах « Администраторы» или «эквивалентное» является минимальным требованием для выполнения этой процедуры.

Настройка сетевой политики для виртуальных ЛС

  1. На сервере политики сети в диспетчер сервера щелкните средства, а затем — сервер политики сети. Откроется консоль NPS.

  2. Дважды щелкните политики, щелкните Сетевые политики, а затем в области сведений дважды щелкните политику, которую нужно настроить.

  3. в диалоговом окне свойства политики перейдите на вкладку Параметры .

  4. в свойствах политики в Параметры в атрибутах RADIUS убедитесь, что выбрано " стандартный ".

  5. В области сведений в поле атрибуты атрибуту типа "служба " настраивается значение по умолчанию "в рамке". По умолчанию для политик с методами доступа VPN и коммутируемого подключения атрибут Framed-Protocol настраивается со значением PPP. Чтобы указать дополнительные атрибуты подключения, необходимые для виртуальных ЛС, нажмите кнопку Добавить. Откроется диалоговое окно Добавление атрибута RADIUS Standard .

  6. В поле Добавить стандартный атрибут RADIUS в поле атрибуты прокрутите вниз до и добавьте следующие атрибуты:

    • Tunnel-Medium-Type. Выберите значение, соответствующее ранее выбранным параметрам политики. Например, если настраивается политика беспроводной сети, выберите значение: 802 (включает все файлы мультимедиа 802 и канонический формат Ethernet).

    • Tunnel-пвт-Group-ID. Введите целое число, представляющее номер виртуальной ЛС, которому будут назначены члены группы.

    • Tunnel — тип. Выберите виртуальные локальные сети (VLAN).

  7. В окне Добавить стандартный атрибут RADIUS нажмите кнопку Закрыть.

  8. если сервер сетевого доступа (NAS) требует использования атрибута Tunnel-tag , выполните следующие действия, чтобы добавить атрибут Tunnel-tag в сетевую политику. Если в документации NAS не упоминается этот атрибут, не добавляйте его в политику. При необходимости добавьте атрибуты следующим образом:

    • в свойствах политики в Параметры в атрибутах RADIUS щелкните зависящие от поставщика.

    • В области сведений нажмите кнопку Добавить. Откроется диалоговое окно Добавление атрибута для конкретного поставщика .

    • в окне атрибуты прокрутите вниз до и выберите Tunnel-тег, а затем нажмите кнопку добавить. Откроется диалоговое окно сведения об атрибутах .

    • В поле значение атрибута введите значение, полученное в документации по оборудованию.

Настройка размера полезных данных EAP

В некоторых случаях маршрутизаторы или брандмауэры удаляют пакеты, так как они настроены для удаления пакетов, требующих фрагментации.

При развертывании сервера политики сети с сетевыми политиками, использующими протокол ( EAP ) с ( TLS ) , или EAP-TLS в качестве метода проверки подлинности, максимальный MTU единицы передачи, используемый службой ( ) NPS для полезных данных EAP, составляет 1500 байт.

Этот максимальный размер полезных данных EAP может создавать сообщения RADIUS, требующие фрагментации маршрутизатором или брандмауэром между сервером политики сети и клиентом RADIUS. В этом случае маршрутизатор или брандмауэр, находящийся между клиентом RADIUS и сервером политики сети, может удалить некоторые фрагменты, что приведет к сбою проверки подлинности и невозможности подключения клиента доступа к сети.

Используйте следующую процедуру, чтобы уменьшить максимальный размер, используемый NPS для полезных данных EAP. для этого в политике сети установите значение не больше 1344.

Членство в группах « Администраторы» или «эквивалентное» является минимальным требованием для выполнения этой процедуры.

Настройка атрибута «Framed-MTU»

  1. На сервере политики сети в диспетчер сервера щелкните средства, а затем — сервер политики сети. Откроется консоль NPS.

  2. Дважды щелкните политики, щелкните Сетевые политики, а затем в области сведений дважды щелкните политику, которую нужно настроить.

  3. в диалоговом окне свойства политики перейдите на вкладку Параметры .

  4. в Параметры в списке атрибуты RADIUS щелкните стандартный. В области сведений нажмите кнопку Добавить. Откроется диалоговое окно Добавление атрибута RADIUS Standard .

  5. В области атрибуты прокрутите вниз до и щелкните элемент с рамкой-MTU, а затем нажмите кнопку добавить. Откроется диалоговое окно сведения об атрибутах .

  6. В списке значение атрибута введите значение, равное или меньшее 1344. Нажмите кнопку ОК, нажмите кнопку Закрыть, а затем — кнопку ОК.

Дополнительные сведения о сетевых политиках см. в разделе политики сети.

Примеры синтаксиса сопоставления шаблонов для указания атрибутов сетевой политики см. в разделе Использование регулярных выражений в NPS.

Дополнительные сведения о NPS см. в разделе сервер политики сети (NPS).