• 项目

网络专家网络策略服务器

Joseph Davies

本专栏基于 Windows Server 2008 的预发布版。文中的所有信息均可能发生变更。

Windows Server 2008 中的网络策略服务器 (NPS) 服务取代了 Windows Server 2003 中的 Internet 身份验证服务 (IAS)。NPS 允许运行 Windows Server 2008 的计算机充当远程身份验证拨入用户服务 (RADIUS) 服务器和代理。RADIUS 是在 RFC 2865 和 2866 中指定的 Internet 工程任务

组 (IETF) 协议,可为网络访问设备(如无线访问点)提供集中的身份验证、授权和帐户管理 (AAA)。RADIUS 服务器为网络访问设备执行 AAA。RADIUS 代理在 RADIUS 客户端(网络访问设备)和 RADIUS 服务器之间转发 RADIUS 消息。

NPS 包括许多增强功能,可对部署经过身份验证的网络访问提供便利、扩展第三方组件并支持最新的网络技术和平台。新 NPS 管理单元如图 1 所示。

Figure 1 The new NPS snap-in

Figure 1** The new NPS snap-in **(单击该图像获得较大视图)

网络策略服务器功能

在本专栏中,我将介绍 NPS 功能,Windows® 的先前版本不包括这些功能。首先,我将介绍网络访问保护 (NAP) 如何为网络强制实施运行状况要求,然后介绍管理、配置、IPv6 支持以及其他元素。此外,我还将介绍新 NPS 管理单元的功能。

网络访问保护 NAP(已在 Windows Server® 2008 中引入)是一套新技术,有助于强制遵守计算机运行状况要求,同时允许您更好地保护 Intranet。例如,您的运行状况策略可以指定必须安装并启用防火墙,以及连接到您的网络的所有客户端都必须安装最新的操作系统更新。使用 NAP,您可以创建自定义的策略,以便在允许网络访问或通信之前确认计算机的运行状况,自动更新计算机以确保持续的符合性,并在违规计算机遵从符合性前对其进行网络限制。有关详细信息,请参见 microsoft.com/nap

在 NAP 部署中,NPS 服务器是 NAP 运行状况策略服务器,可代表 NAP 强制点(如健康注册授权 (HRA)、802.1X 访问点、虚拟专用网络 (VPN) 服务器以及动态主机配置协议 (DHCP) 服务器)评估 NAP 客户端的运行状况。NPS 服务器还确定应授予客户端对 Intranet 的完全访问权限还是受限访问权限。网络策略、运行状况策略和 NAP 设置确定了 NPS 的运行状况评估行为。

EAPHost 和 EAP 策略支持 NPS 支持 EAPHost,后者是可扩展的身份验证协议 (EAP) 身份验证方法的一种新体系结构。使用这种新的体系结构,EAP 方法供应商可以同时在客户端计算机和 NPS 服务器上针对 802.1X 或基于点对点协议 (PPP) 的身份验证轻松开发并安装新的 EAP 方法。

EAPHost 将支持安装和使用 EAP 注册表 www.iana.org/assignments/eap-numbers 上列出的所有 EAP 方法,还支持其他常用的身份验证方法,如 Cisco Systems 轻型 EAP (LEAP)。EAPHost 允许 EAP 方法的多个实现共存。例如,您可以同时安装和选择受保护的 EAP (PEAP) 的 Microsoft 版本和 Cisco Systems 版本。

对于 EAP 方法供应商,EAPHost 支持已针对 Windows XP 和 Windows Server 2003 开发的 EAP 方法,并提供了一种更为简单的方法,用于为 Windows Vista® 和 Windows Server 2008 开发新的 EAP 方法。安装完成后,可以在网络策略中为给定的网络访问方案配置所需的 EAP 方法。NPS 的网络策略与 IAS 的远程访问策略相同。

有关 EAPHost 体系结构的详细信息,请参见 technetmagazine.com/issues/2007/05/CableGuy

XML 中存储的配置 IAS 将其配置信息存储在 Jet 数据库中。现在,NPS 以 XML 格式存储配置信息,这样更易于导出一个 NPS 服务器的配置,然后再将其导入另一个服务器。导出和导入配置文件是对容错配置中多个 NPS 服务器设置进行同步的一种方法。可以使用 netsh nps 导出命令导出 NPS 配置,然后再使用 netsh nps 导入命令将其导入。

通用工程标准符合性 NPS 已经更新,可支持在必须符合 Microsoft® 通用工程标准 (CEC) 的环境中进行部署。有关详细信息,请参见 microsoft.com/windowsserversystem/cer/allcriteria.mspx

功能强大的 NPS 扩展 DLL NPS 服务可通过扩展和授权 DLL 进行扩展。与 IAS 相比,这些第三方组件在 NPS 中采用沙箱安全机制,以便遇到的任何问题都不会影响 NPS 服务的操作或运行。

IPv6 支持 NPS 支持 IPv6 以及在本机或以隧道方式运行的 IPv6 环境中进行部署。可以为 RADIUS 客户端或远程 RADIUS 服务器配置 IPv6 地址,NPS 服务也可以通过 IPv6 进行通信,从而执行 Active Directory® 域服务帐户身份验证和授权操作。

IAS 与 NPS

如果您已经熟悉 Windows Server 2003 的 IAS 管理单元,您会欣赏 NPS 管理单元中的以下更改:

  • 远程访问策略已成为网络策略,并且已经移动到“策略”节点下。
  • “RADIUS 客户端”节点已经移动到“RADIUS 客户端和服务器”节点下。
  • “连接请求处理”节点已经不存在。“连接请求策略”节点已经移动到“策略”下,并且“远程 RADIUS 服务器组”节点已经移动到“RADIUS 客户端和服务器”下。
  • 远程访问策略条件和配置文件设置已在网络策略属性的“概述”、“条件”、“限制”和“设置”选项卡上进行重组。
  • 连接请求策略条件和配置文件设置已在连接请求策略属性的“概述”、“条件”和“设置”选项卡上进行重组。
  • “远程访问日志记录”文件夹已重命名为“帐户”节点,而且不再具有本地文件或 SQL ServerTM 节点。

自动生成功能强大的 RADIUS 共享机密 RADIUS 共享机密用于验证具有相同共享机密配置的 RADIUS 客户端、服务器或代理是否已发送 RADIUS 消息。共享机密还可用于加密一些敏感的 RADIUS 属性(如密码和加密密钥)。功能强大的 RADIUS 共享机密由一长串(超过 22 个字符)的随机字母、数字和标点组成。

使用 NPS 管理单元,可在添加或编辑 RADIUS 客户端时自动生成功能强大的 RADIUS 共享机密。可以将此功能强大的共享机密复制到文本编辑器(如 Notepad),以便使用相同的共享机密来配置网络访问设备或 NAP 强制点。

与服务器管理器集成 您可以通过“初始配置任务”和“服务器管理器”工具安装 NPS。在这两种情况下,将使用网络策略和访问服务角色来安装 NPS。要开始安装,请在“自定义此服务器”下的“初始配置任务”工具中,单击“添加角色”选项。在“服务器管理器”工具中,打开“角色摘要”,然后单击“添加角色”。

安装 NPS 后,单击服务器管理器控制台树中“角色”节点下的“网络策略”和“访问服务”,以检查 NPS 服务的状态并查看最近 24 小时内遇到的错误事件。扩展控制台中的“网络策略和访问服务”节点时,可以使用 NPS 管理单元配置 NPS。

增强的 Netsh 支持 Windows Server 2003 的 netsh aaaa 上下文中包含一组有限的命令,用于配置 IAS。在 Windows Server 2008 中,新的 netsh nps 上下文包含大量命令,可以在命令行中配置 NPS,也可以通过脚本进行配置。现在,您可以使用 netsh nps 命令配置 RADIUS 客户端和远程 RADIUS 服务器、网络策略、日志记录,还可以为 NAP 配置运行状况策略、系统健康验证程序和更新服务器组。由 netsh nps 上下文中的命令组成的脚本为您同步容错配置中多个 NPS 服务器的设置提供了另一种方法。

网络策略隔离的源标记 可以为特定类型的网络访问服务器或 NAP 强制点(如 DHCP 服务器或 HRA)配置网络策略,这将成为用于分类网络策略的一种源标记。基于 Windows Server 2008 的访问服务器和 NAP 强制点的 RADIUS 消息中都包含此源标记。收到请求访问的 RADIUS 消息后,NPS 服务会尝试查找与传入消息具有相同源标记的匹配网络策略。如果没有匹配的策略,NPS 将尝试在未指定源标记的策略中查找匹配的网络策略。

使用网络策略和传入 RADIUS 消息中的源标记分隔不同类型的网络策略。例如,DHCP 服务器的网络策略不能用于 VPN 连接。

与 Cisco 网络访问控制集成 NPS 支持可以更好地集成到使用 Cisco 硬件和网络访问控制 (NAC) 的环境中的一些功能。这些功能包括支持主机凭据身份验证协议 (HCAP) 和 HCAP 条件、策略终止条件以及网络策略中的扩展状态网络访问保护设置。

新的网络策略条件 NPS 中的网络策略包含一些新条件,这些条件旨在指定计算机组、用户组、允许的 EAP 类型以及客户端和访问服务器 IPv6 地址。为了实现 HCAP 支持,NPS 包含针对本地组和用户组的新条件。为了实现 NAP 支持,NPS 包含针对标识类型、运行状况策略、支持 NAP 的计算机、操作系统以及策略终止的新策略条件。

NPS 管理单元 新的 NPS 管理单元已得到显著增强,您可以更轻松地创建和管理 RADIUS 客户端和远程 RADIUS 服务器、常见网络访问方案的网络策略、运行状况策略、NAP 方案的 NAP 设置以及日志记录设置。

在“RADIUS 客户端和服务器”节点中,您可以配置 RADIUS 客户端(当 NPS 充当 RADIUS 服务器时为网络访问服务器、NAP 强制点或其他 RADIUS 代理)和远程 RADIUS 服务器组(当 NPS 充当 RADIUS 代理时为其他 RADIUS 服务器)。

在“策略”节点中,可以配置连接请求策略(无论 NPS 服务是充当 RADIUS 服务器还是代理)、网络策略(当 NPS 服务充当 RADIUS 服务器时为授权和连接设置以及限制)和运行状况策略(NAP 客户端的系统健康状况符合性)。在“详细信息”窗格中选择连接请求策略或网络策略时,NPS 管理单元会显示该策略的条件和设置。图 2 中显示了类似示例。

Figure 2 The NPS snap-in enhanced display

Figure 2** The NPS snap-in enhanced display **(单击该图像获得较大视图)

在“网络访问保护”节点中,“系统健康验证程序”节点允许您配置 NAP 运行状况要求。使用“更新服务器组”节点,您可以将服务器集配置为允许受限的 NAP 客户端访问 VPN 和 DHCP NAP 强制方法。最后,在“帐户”节点中,您可以配置 NPS 存储帐户信息的方式。

NPS 管理单元包括大量向导集,可以自动完成 RADIUS 客户端的初始配置、NAP 强制方法所需的策略、拨号或基于 VPN 的连接以及通过身份验证的 802.1X 无线连接和有线连接。对于 NAP 强制方法,NAP 向导会自动配置所有连接请求策略、网络策略和运行状况策略。

单击 NPS 管理单元中的“NPS”节点可使用这些新向导。要为 NAP 强制方法配置策略和设置,请选择“标准配置”下拉框中的“网络访问保护”,然后单击“配置 NAP”。要为 VPN 或拨号网络访问配置策略和设置,请在“标准配置”下拉框中为“拨号”或“VPN 连接”选择 RADIUS 服务器,然后单击“配置 VPN”或“拨号”。要为通过身份验证的 802.1X 无线访问或有线访问配置策略和设置,请在“标准配置”下拉框中为 802.1X 无线连接或有线连接选择 RADIUS 服务器,然后单击“配置 802.1X”。

上述每个向导都会为您介绍所选方案中最常见的配置元素。NAP 强制方法的向导尤其有用:VPN 强制的 NAP 向导将创建一个连接请求策略、三个网络策略(分别适用于兼容的 NAP 客户端、不兼容的 NAP 客户端及不支持 NAP 的客户端)以及两个运行状况策略(分别适用于兼容的和不兼容的 NAP 客户端)。

通过新的 NAP 向导和用于创建 RADIUS 客户端、远程 RADIUS 服务器组、连接请求策略和网络策略的其他向导,可以更轻松地为各种网络访问方案配置 NPS。

Joseph Davies 是 Microsoft 的一位技术撰稿人,从 1992 年起一直从事 Windows 网络主题的培训和编写工作。他曾为 Microsoft Press 编写了五本著作,是每月在线 TechNet 网络专家专栏的作者。

© 2008 Microsoft Corporation 与 CMP Media, LLC.保留所有权利;不得对全文或部分内容进行复制.