Планирование сервера политики сети в качестве прокси-сервера RADIUSPlan NPS as a RADIUS proxy

Применяется к: Windows Server (Semi-Annual Channel), Windows Server 2016Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016

При развертывании сервера политики сети (NPS) в качестве протокол RADIUS ( ) прокси-сервера RADIUS, NPS получает запросы на подключение от клиентов RADIUS, таких как серверы доступа к сети или другие прокси-серверы RADIUS, а затем перенаправляет эти запросы на серверы, на которых выполняются службы NPS или другие серверы RADIUS.When you deploy Network Policy Server (NPS) as a Remote Authentication Dial-In User Service (RADIUS) proxy, NPS receives connection requests from RADIUS clients, such as network access servers or other RADIUS proxies, and then forwards these connection requests to servers running NPS or other RADIUS servers. Эти рекомендации по планированию можно использовать для упрощения развертывания RADIUS.You can use these planning guidelines to simplify your RADIUS deployment.

Эти рекомендации по планированию не включают обстоятельства, в которых требуется развернуть NPS в качестве сервера RADIUS.These planning guidelines do not include circumstances in which you want to deploy NPS as a RADIUS server. При развертывании NPS в качестве сервера RADIUS сервер политики сети выполняет проверку подлинности, авторизацию и учет для запросов на подключение к локальному домену и доменам, которые доверяют локальному домену.When you deploy NPS as a RADIUS server, NPS performs authentication, authorization, and accounting for connection requests for the local domain and for domains that trust the local domain.

Перед развертыванием сервера политики сети в качестве прокси-сервера RADIUS в сети используйте следующие рекомендации по планированию развертывания.Before you deploy NPS as a RADIUS proxy on your network, use the following guidelines to plan your deployment.

  • Спланируйте конфигурацию NPS.Plan NPS configuration.

  • Спланируйте клиенты RADIUS.Plan RADIUS clients.

  • Планирование групп удаленных серверов RADIUS.Plan remote RADIUS server groups.

  • Планирование правил управления атрибутами для пересылки сообщений.Plan attribute manipulation rules for message forwarding.

  • Планирование политик запросов на подключение.Plan connection request policies.

  • Планирование учета NPS.Plan NPS accounting.

Планирование конфигурации NPSPlan NPS configuration

При использовании NPS в качестве прокси-сервера RADIUS сервер политики сети перенаправляет запросы на подключение к серверу политики сети или другим серверам RADIUS для обработки.When you use NPS as a RADIUS proxy, NPS forwards connection requests to an NPS or other RADIUS servers for processing. По этой причине членство в домене прокси-сервера NPS не имеет значения.Because of this, the domain membership of the NPS proxy is irrelevant. Прокси-сервер не должен регистрироваться в службах домен Active Directory Services ( AD DS ) так как ему не требуется доступ к свойствам входящих звонков учетных записей пользователей.The proxy does not need to be registered in Active Directory Domain Services (AD DS) because it does not need access to the dial-in properties of user accounts. Кроме того, не нужно настраивать политики сети на прокси-сервере NPS, так как прокси-сервер не выполняет авторизацию для запросов на подключение.In addition, you do not need to configure network policies on an NPS proxy because the proxy does not perform authorization for connection requests. Прокси-сервер политики сети может быть членом домена или изолированным сервером без членства в домене.The NPS proxy can be a domain member or it can be a stand-alone server with no domain membership.

Сервер политики сети должен быть настроен для взаимодействия с клиентами RADIUS, также называемыми серверами сетевого доступа, с использованием протокола RADIUS.NPS must be configured to communicate with RADIUS clients, also called network access servers, by using the RADIUS protocol. Кроме того, можно настроить типы событий, которые будут записываться в журнал событий, а также ввести описание для сервера.In addition, you can configure the types of events that NPS records in the event log and you can enter a description for the server.

Основные шагиKey steps

Во время планирования конфигурации прокси-сервера NPS можно выполнить следующие действия.During the planning for NPS proxy configuration, you can use the following steps.

  • Определите порты RADIUS, используемые прокси-сервером NPS для получения сообщений RADIUS от клиентов RADIUS и для отправки сообщений RADIUS членам удаленных групп RADIUS-серверов.Determine the RADIUS ports that the NPS proxy uses to receive RADIUS messages from RADIUS clients and to send RADIUS messages to members of remote RADIUS server groups. UDP-порты по умолчанию — 1812 и 1645 для сообщений проверки подлинности RADIUS и UDP-порты 1813 и 1646 для RADIUS-сообщений учета.The default User Datagram Protocol (UDP) ports are 1812 and 1645 for RADIUS authentication messages and UDP ports 1813 and 1646 for RADIUS accounting messages.

  • Если прокси-сервер NPS настроен с несколькими сетевыми адаптерами, определите адаптеры, по которым должен быть разрешен трафик RADIUS.If the NPS proxy is configured with multiple network adapters, determine the adapters over which you want RADIUS traffic to be allowed.

  • Определите типы событий, которые должны записываться NPS в журнал событий.Determine the types of events that you want NPS to record in the Event Log. Можно регистрировать отклоненные запросы на подключение, успешные запросы на подключение или и то, и другое.You can log rejected connection requests, successful connection requests, or both.

  • Определите, развертывается ли более одного прокси-сервера NPS.Determine whether you are deploying more than one NPS proxy. Чтобы обеспечить отказоустойчивость, используйте по крайней мере два прокси-сервера NPS.To provide fault tolerance, use at least two NPS proxies. Один прокси-сервер NPS используется в качестве основного прокси-сервера RADIUS, а другой используется в качестве резервной копии.One NPS proxy is used as the primary RADIUS proxy and the other is used as a backup. Затем каждый клиент RADIUS настраивается как на прокси-серверах NPS.Each RADIUS client is then configured on both NPS proxies. Если основной прокси-сервер NPS становится недоступным, клиенты RADIUS отправляют Access-Request сообщения на альтернативный прокси-сервер NPS.If the primary NPS proxy becomes unavailable, RADIUS clients then send Access-Request messages to the alternate NPS proxy.

  • Спланируйте сценарий, используемый для копирования одной конфигурации прокси-сервера NPS в другие прокси NPS для экономии административных издержек и предотвращения неверной настройки сервера.Plan the script used to copy one NPS proxy configuration to other NPS proxies to save on administrative overhead and to prevent the incorrect configuration of a server. NPS предоставляет команды Netsh, позволяющие копировать конфигурацию прокси-сервера NPS или его часть для импорта на другой прокси-сервер NPS.NPS provides the Netsh commands that allow you to copy all or part of an NPS proxy configuration for import onto another NPS proxy. Команды можно выполнять вручную в командной строке Netsh.You can run the commands manually at the Netsh prompt. Однако если вы сохраните последовательность команд в качестве скрипта, вы можете запустить сценарий позже, если вы решите изменить конфигурацию прокси-сервера.However, if you save your command sequence as a script, you can run the script at a later date if you decide to change your proxy configurations.

Планирование клиентов RADIUSPlan RADIUS clients

RADIUS-клиенты — это серверы сетевого доступа, такие как точки беспроводного доступа, ( VPN-серверы виртуальной частной сети ) , коммутаторы с поддержкой 802.1 x и серверы удаленного доступа.RADIUS clients are network access servers, such as wireless access points, virtual private network (VPN) servers, 802.1X-capable switches, and dial-up servers. Прокси-серверы RADIUS, которые перенаправляют сообщения запроса на подключение на серверы RADIUS, также являются RADIUS-клиентами.RADIUS proxies, which forward connection request messages to RADIUS servers, are also RADIUS clients. Сервер политики сети поддерживает все серверы доступа к сети и прокси-серверы RADIUS, которые соответствуют протоколу RADIUS, как описано в RFC 2865, «RADIUS-сервер удаленной проверки подлинности» ( ) и RFC 2866, «RADIUS Accounting».NPS supports all network access servers and RADIUS proxies that comply with the RADIUS protocol, as described in RFC 2865, "Remote Authentication Dial-in User Service (RADIUS)," and RFC 2866, "RADIUS Accounting."

Кроме того, точки беспроводного доступа и коммутаторы должны поддерживать проверку подлинности 802.1 X.In addition, both wireless access points and switches must be capable of 802.1X authentication. Если требуется развернуть протокол EAP или протокол PEAP, точки доступа и коммутаторы должны поддерживать использование протокола EAP.If you want to deploy Extensible Authentication Protocol (EAP) or Protected Extensible Authentication Protocol (PEAP), access points and switches must support the use of EAP.

Чтобы проверить базовое взаимодействие подключений PPP для точек беспроводного доступа, настройте точку доступа и клиент доступа для использования протокола проверки пароля (PAP).To test basic interoperability for PPP connections for wireless access points, configure the access point and the access client to use Password Authentication Protocol (PAP). Используйте дополнительные протоколы проверки подлинности на основе PPP, такие как PEAP, до тех пор, пока не протестировали те, которые планируется использовать для сетевого доступа.Use additional PPP-based authentication protocols, such as PEAP, until you have tested the ones that you intend to use for network access.

Основные шагиKey steps

При планировании клиентов RADIUS можно выполнить следующие действия.During the planning for RADIUS clients, you can use the following steps.

  • Задокументируйте зависящие от поставщика атрибуты (VSA), которые необходимо настроить в NPS.Document the vendor-specific attributes (VSAs) you must configure in NPS. Если NAS требует VSA, заполните данные VSA для последующего использования при настройке политик сети в NPS.If your NASs require VSAs, log the VSA information for later use when you configure your network policies in NPS.

  • Задокументируйте IP-адреса клиентов RADIUS и прокси-сервера NPS, чтобы упростить настройку всех устройств.Document the IP addresses of RADIUS clients and your NPS proxy to simplify the configuration of all devices. При развертывании клиентов RADIUS необходимо настроить для них использование протокола RADIUS с IP-адресом прокси-сервера NPS, введенным в качестве сервера проверки подлинности.When you deploy your RADIUS clients, you must configure them to use the RADIUS protocol, with the NPS proxy IP address entered as the authenticating server. При настройке NPS для взаимодействия с клиентами RADIUS необходимо ввести IP-адреса клиентов RADIUS в оснастку NPS.And when you configure NPS to communicate with your RADIUS clients, you must enter the RADIUS client IP addresses into the NPS snap-in.

  • Создайте общие секреты для конфигурации на клиентах RADIUS и в оснастке NPS.Create shared secrets for configuration on the RADIUS clients and in the NPS snap-in. Необходимо настроить RADIUS-клиенты с помощью общего секрета или пароля, которые также будут входить в оснастку NPS при настройке клиентов RADIUS в NPS.You must configure RADIUS clients with a shared secret, or password, that you will also enter into the NPS snap-in while configuring RADIUS clients in NPS.

Планирование групп удаленных серверов RADIUSPlan remote RADIUS server groups

При настройке удаленной группы серверов RADIUS на прокси-сервере NPS вы указываете прокси-сервер NPS, куда будут отправлены некоторые или все сообщения запросов на подключение, получаемые от серверов доступа к сети и прокси-серверов NPS или других прокси RADIUS.When you configure a remote RADIUS server group on an NPS proxy, you are telling the NPS proxy where to send some or all connection request messages that it receives from network access servers and NPS proxies or other RADIUS proxies.

NPS можно использовать в качестве прокси-сервера RADIUS для пересылки запросов на подключение к одной или нескольким группам удаленных серверов RADIUS, и каждая группа может содержать один или несколько серверов RADIUS.You can use NPS as a RADIUS proxy to forward connection requests to one or more remote RADIUS server groups, and each group can contain one or more RADIUS servers. Если требуется, чтобы прокси-сервер NPS перенаправлял сообщения нескольким группам, настройте одну политику запросов на подключение для каждой группы.When you want the NPS proxy to forward messages to multiple groups, configure one connection request policy per group. Политика запросов на подключение содержит дополнительные сведения, такие как правила управления атрибутами, которые указывают прокси-серверу NPS, какие сообщения должны быть отправлены в группу удаленных серверов RADIUS, указанную в политике.The connection request policy contains additional information, such as attribute manipulation rules, that tell the NPS proxy which messages to send to the remote RADIUS server group specified in the policy.

Вы можете настроить удаленные группы серверов RADIUS с помощью команд Netsh для NPS, настроив группы непосредственно в оснастке NPS в разделе удаленные группы серверов RADIUS или запустив мастер создания политики запроса на подключение.You can configure remote RADIUS server groups by using the Netsh commands for NPS, by configuring groups directly in the NPS snap-in under Remote RADIUS Server Groups, or by running the New Connection Request Policy wizard.

Основные шагиKey steps

Во время планирования групп удаленных серверов RADIUS можно выполнить следующие действия.During the planning for remote RADIUS server groups, you can use the following steps.

  • Определите домены, содержащие серверы RADIUS, на которых прокси-сервер NPS должен пересылать запросы на подключение.Determine the domains that contain the RADIUS servers to which you want the NPS proxy to forward connection requests. Эти домены содержат учетные записи пользователей, подключающихся к сети через развертываемые клиенты RADIUS.These domains contain the user accounts for users that connect to the network through the RADIUS clients you deploy.

  • Определите, нужно ли добавлять новые серверы RADIUS в домены, где RADIUS еще не развернут.Determine whether you need to add new RADIUS servers in domains where RADIUS is not already deployed.

  • Задокументируйте IP-адреса серверов RADIUS, которые необходимо добавить в удаленные группы RADIUS-серверов.Document the IP addresses of RADIUS servers that you want to add to remote RADIUS server groups.

  • Определите, сколько групп удаленных серверов RADIUS необходимо создать.Determine how many remote RADIUS server groups you need to create. В некоторых случаях лучше создать одну группу удаленных серверов RADIUS для каждого домена, а затем добавить в нее серверы RADIUS для домена.In some cases, it is best to create one remote RADIUS server group per domain, and then add the RADIUS servers for the domain to the group. Однако могут возникнуть ситуации, в которых имеется большой объем ресурсов в одном домене, включая большое количество пользователей с учетными записями пользователей в домене, большое количество контроллеров домена и большое количество серверов RADIUS.However, there might be cases in which you have a large amount of resources in one domain, including a large number of users with user accounts in the domain, a large number of domain controllers, and a large number of RADIUS servers. Или домен может охватывать большую географическую область, что приведет к тому, что серверы сетевого доступа и серверы RADIUS будут находиться в расположениях, расположенных далеко друг от друга.Or your domain might cover a large geographical area, causing you to have network access servers and RADIUS servers in locations that are distant from each other. В этих и, возможно, в других случаях можно создать несколько удаленных групп серверов RADIUS для каждого домена.In these and possibly other cases, you can create multiple remote RADIUS server groups per domain.

  • Создайте общие секреты для конфигурации на прокси-сервере NPS и на удаленных RADIUS-серверах.Create shared secrets for configuration on the NPS proxy and on the remote RADIUS servers.

Планирование правил управления атрибутами для пересылки сообщенийPlan attribute manipulation rules for message forwarding

Правила обработки атрибутов, настроенные в политиках запросов на подключение, позволяют выявление Access-Request сообщений, которые необходимо пересылать в конкретную группу удаленных серверов RADIUS.Attribute manipulation rules, which are configured in connection request policies, allow you to identify the Access-Request messages that you want to forward to a specific remote RADIUS server group.

Вы можете настроить NPS для пересылки всех запросов на подключение к одной группе удаленных серверов RADIUS без использования правил обработки атрибутов.You can configure NPS to forward all connection requests to one remote RADIUS server group without using attribute manipulation rules.

Однако при наличии нескольких расположений, для которых необходимо перенаправить запросы на подключение, необходимо создать политику запросов на подключение для каждого расположения, а затем настроить политику с помощью группы удаленных серверов RADIUS, в которую будут пересылаться сообщения, а также с помощью правил обработки атрибутов, указывающих серверу политики сети, какие сообщения пересылать.If you have more than one location to which you want to forward connection requests, however, you must create a connection request policy for each location, then configure the policy with the remote RADIUS server group to which you want to forward messages as well as with the attribute manipulation rules that tell NPS which messages to forward.

Можно создать правила для следующих атрибутов.You can create rules for the following attributes.

  • Называется-Station-ID.Called-Station-ID. Номер телефона сервера сетевого доступа (NAS).The phone number of the network access server (NAS). Значением этого атрибута является символьная строка.The value of this attribute is a character string. Для указания кодов областей можно использовать синтаксис сопоставления шаблонов.You can use pattern-matching syntax to specify area codes.

  • Вызывающий-Station-ID.Calling-Station-ID. Номер телефона, используемый вызывающим объектом.The phone number used by the caller. Значением этого атрибута является символьная строка.The value of this attribute is a character string. Для указания кодов областей можно использовать синтаксис сопоставления шаблонов.You can use pattern-matching syntax to specify area codes.

  • Имя пользователя.User-Name. Имя пользователя, предоставленное клиентом доступа и включенное NAS в сообщении Access-Request RADIUS.The user name that is provided by the access client and that is included by the NAS in the RADIUS Access-Request message. Значением этого атрибута является символьная строка, которая обычно содержит имя области и имя учетной записи пользователя.The value of this attribute is a character string that typically contains a realm name and a user account name.

Чтобы правильно заменить или преобразовать имена областей в имени пользователя запроса на подключение, необходимо настроить правила обработки атрибутов для атрибута User-Name в соответствующей политике запросов на подключение.To correctly replace or convert realm names in the user name of a connection request, you must configure attribute manipulation rules for the User-Name attribute on the appropriate connection request policy.

Основные шагиKey steps

Во время планирования правил обработки атрибутов можно выполнить следующие действия.During the planning for attribute manipulation rules, you can use the following steps.

  • Спланируйте маршрутизацию сообщений от NAS через прокси-сервер к удаленным серверам RADIUS, чтобы убедиться в наличии логического пути, с помощью которого перенаправлять сообщения на серверы RADIUS.Plan message routing from the NAS through the proxy to the remote RADIUS servers to verify that you have a logical path with which to forward messages to the RADIUS servers.

  • Определите один или несколько атрибутов, которые необходимо использовать для каждой политики запросов на подключение.Determine one or more attributes that you want to use for each connection request policy.

  • Задокументируйте правила обработки атрибутов, которые планируется использовать для каждой политики запросов на подключение, и сопоставьте правила с группой удаленных серверов RADIUS, в которую перенаправляются сообщения.Document the attribute manipulation rules that you plan to use for each connection request policy, and match the rules to the remote RADIUS server group to which messages are forwarded.

Планирование политик запросов на подключениеPlan connection request policies

Политика запросов на подключение по умолчанию настраивается для NPS, если она используется в качестве сервера RADIUS.The default connection request policy is configured for NPS when it is used as a RADIUS server. Дополнительные политики запросов на подключение можно использовать для определения более конкретных условий, создания правил обработки атрибутов, указывающих серверу политики сети, какие сообщения следует пересылать в удаленные группы RADIUS-серверов, а также для указания дополнительных атрибутов.Additional connection request policies can be used to define more specific conditions, create attribute manipulation rules that tell NPS which messages to forward to remote RADIUS server groups, and to specify advanced attributes. Используйте мастер создания новой политики запросов на подключение для создания общих или настраиваемых политик запросов на подключение.Use the New Connection Request Policy Wizard to create either common or custom connection request policies.

Основные шагиKey steps

В ходе планирования политик запросов на подключение можно выполнить следующие действия.During the planning for connection request policies, you can use the following steps.

  • Удалите политику запросов на подключение по умолчанию на каждом сервере политики сети, который работает исключительно в качестве прокси-сервера RADIUS.Delete the default connection request policy on each server running NPS that functions solely as a RADIUS proxy.

  • Планируйте дополнительные условия и параметры, необходимые для каждой политики, объединяя эти сведения с группой удаленных серверов RADIUS и правилами управления атрибутами, запланированными для политики.Plan additional conditions and settings that are required for each policy, combining this information with the remote RADIUS server group and the attribute manipulation rules planned for the policy.

  • Разработайте план для распространения общих политик запросов на подключение ко всем прокси-серверам NPS.Design the plan to distribute common connection request policies to all NPS proxies. Создайте политики, общие для нескольких прокси-серверов NPS в одном NPS, а затем используйте команды Netsh для NPS, чтобы импортировать политики запросов на подключение и конфигурацию сервера для всех других учетных записей-посредников.Create policies common to multiple NPS proxies on one NPS, and then use the Netsh commands for NPS to import the connection request policies and server configuration on all other proxies.

Планирование учета NPSPlan NPS accounting

При настройке сервера политики сети в качестве прокси-сервера RADIUS его можно настроить для выполнения учета RADIUS с помощью файлов журнала формата NPS, файлов журнала формата, совместимых с базой данных, или журнала SQL Server.When you configure NPS as a RADIUS proxy, you can configure it to perform RADIUS accounting by using NPS format log files, database-compatible format log files, or NPS SQL Server logging.

Кроме того, можно пересылать сообщения учета в группу удаленных серверов RADIUS, которая выполняет учет с помощью одного из этих форматов ведения журнала.You can also forward accounting messages to a remote RADIUS server group that performs accounting by using one of these logging formats.

Основные шагиKey steps

При планировании учета NPS можно выполнить следующие действия.During the planning for NPS accounting, you can use the following steps.

  • Определите, должен ли прокси-сервер NPS выполнять службы учета или перенаправлять сообщения учета в группу удаленных серверов RADIUS для учета.Determine whether you want the NPS proxy to perform accounting services or to forward accounting messages to a remote RADIUS server group for accounting.

  • Запланируйте отключение учета локального прокси-сервера NPS, если планируется перенаправлять сообщения учета на другие серверы.Plan to disable local NPS proxy accounting if you plan to forward accounting messages to other servers.

  • Спланируйте шаги по настройке политики запросов на подключение, если вы планируете перенаправлять сообщения учета на другие серверы.Plan connection request policy configuration steps if you plan to forward accounting messages to other servers. При отключении локального учета для прокси-сервера NPS для каждой политики запросов на подключение, настроенной на этом прокси-сервере, необходимо включить и правильно настроить перенаправление сообщений учета.If you disable local accounting for the NPS proxy, each connection request policy that you configure on that proxy must have accounting message forwarding enabled and configured properly.

  • Определите формат ведения журнала, который вы хотите использовать: файлы журнала формата IAS, файлы журнала формата, совместимые с базой данных, или журнал SQL Server NPS.Determine the logging format that you want to use: IAS format log files, database-compatible format log files, or NPS SQL Server logging.

Сведения о настройке балансировки нагрузки для сервера политики сети в качестве прокси-сервера RADIUS см. в статье Балансировка нагрузки прокси-серверов NPS.To configure load balancing for NPS as a RADIUS proxy, see NPS Proxy Server Load Balancing.