將 NPS 作為 RADIUS Proxy 規劃

  • 發行項

適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016

當您將網路原則伺服器 (NPS) 部署為遠端驗證撥入使用者服務 (RADIUS) Proxy 時,NPS 會接收來自 RADIUS 用戶端的連線要求,例如網路存取伺服器或其他 RADIUS Proxy,然後將這些連線要求轉送至執行 NPS 的伺服器或其他 RADIUS 伺服器。 您可以使用這些規劃指導方針來簡化 RADIUS 部署。

這些規劃指導方針不包含您想要將 NPS 部署為 RADIUS 伺服器的情況。 當您將 NPS 部署為 RADIUS 伺服器時,NPS 會針對本機網域和信任本機網域的網域提出的連線要求執行驗證、授權和計量。

在網路上將 NPS 部署為 RADIUS Proxy 之前,請使用下列指導方針來規劃部署。

  • 規劃 NPS 設定。

  • 規劃 RADIUS 用戶端。

  • 規劃遠端 RADIUS 伺服器群組。

  • 規劃訊息轉送的屬性操作規則。

  • 規劃連線要求原則。

  • 規劃 NPS 計量。

規劃 NPS 設定

當您使用 NPS 做為 RADIUS Proxy 時,NPS 會將連線要求轉送至 NPS 或其他 RADIUS 伺服器進行處理。 因此,NPS Proxy 的網域成員資格是無關的。 Proxy 不需要在 Active Directory Domain Services (AD DS) 中註冊,因為它不需要存取使用者帳戶的撥入屬性。 此外,您不需要在 NPS Proxy 上設定網路原則,因為 Proxy 不會對連線要求執行授權。 NPS Proxy 可以是網域成員,也可以是沒有網域成員資格的獨立伺服器。

NPS 必須設定為使用 RADIUS 通訊協定與 RADIUS 用戶端通訊,也稱為網路存取伺服器。 此外,您可以設定 NPS 記錄在事件記錄檔中的事件類型,並輸入伺服器的描述。

重要步驟

在規劃 NPS Proxy 設定期間,您可以使用下列步驟。

  • 決定 NPS Proxy 用來從 RADIUS 用戶端接收 RADIUS 訊息,以及將 RADIUS 訊息傳送至遠端 RADIUS 伺服器群組成員的 RADIUS 連接埠。 預設使用者資料包通訊協定 (UDP) 連接埠為 1812 和 1645 (用於 RADIUS 身份驗證訊息),以及 UDP 連接埠 1813 和 1646 (用於 RADIUS 會記訊息)。

  • 如果 NPS Proxy 已設定多個網路介面卡,請決定您想要允許 RADIUS 流量的介面卡。

  • 決定您希望 NPS 在 [事件記錄檔] 中記錄的事件類型。 您可以記錄拒絕的連線要求、成功的連線要求,或兩者均包含。

  • 決定您是否要部署多個 NPS Proxy。 若要提供容錯,請至少使用兩個 NPS Proxy。 一個 NPS Proxy 會做為主要 RADIUS Proxy 使用,另一個則做為備份使用。 然後,每個 RADIUS 用戶端都會在兩個 NPS Proxy 上設定。 如果主要 NPS Proxy 無法使用,RADIUS 用戶端就會將 Access-Request 訊息傳送至備用的 NPS Proxy。

  • 規劃用來將一個 NPS Proxy 設定複製到其他 NPS Proxy 的指令碼,以節省系統管理額外負荷,且避免伺服器設定不正確。 NPS 提供 Netsh 命令,可讓您複製所有或部分 NPS Proxy 設定,以匯入至另一個 NPS Proxy。 您可以在 Netsh 提示字元手動執行命令。 不過,如果您將命令順序儲存為指令碼,則如果您決定變更 Proxy 設定,可以在稍後執行指令碼。

規劃 RADIUS 用戶端

RADIUS 用戶端是網路存取伺服器,例如無線存取點、虛擬私人網路 (VPN) 伺服器、支援 802.1X 的交換器和撥號伺服器。 將連線要求訊息轉送至 RADIUS 伺服器的 RADIUS Proxy 也是 RADIUS 用戶端。 NPS 支援符合 RADIUS 通訊協定的所有網路存取伺服器和 RADIUS Proxy,如 RFC 2865 中「遠端驗證撥入使用者服務 (RADIUS)」和 RFC 2866 中「RADIUS 計量」所述。

此外,無線存取點和交換器都必須能夠進行 802.1X 驗證。 如果您想要部署可延伸的驗證通訊協定 (EAP) 或受保護的可延伸驗證通訊協定 (PEAP),存取點和交換器必須支援使用 EAP。

若要測試無線存取點的 PPP 連線基本互通性,請將存取點和存取客戶端設定為使用密碼驗證通訊協定 (PAP)。 使用其他 PPP 型驗證通訊協定,例如 PEAP,直到您測試過您想要用於網路存取的通訊協定為止。

重要步驟

在規劃 RADIUS 用戶端期間,您可以使用下列步驟。

  • 記錄您必須在 NPS 中設定的廠商特定屬性 (VSA)。 如果您的 NAS 需要 VSA,請在 NPS 中設定網路原則時,記錄 VSA 資訊以供稍後使用。

  • 記錄 RADIUS 用戶端和 NPS Proxy 的 IP 位址以簡化所有裝置的設定。 當您部署 RADIUS 用戶端時,必須將它們設定為使用 RADIUS 通訊協定,並將 NPS Proxy IP 位址輸入為驗證伺服器。 當您將 NPS 設定為與 RADIUS 用戶端通訊時,您必須在 NPS 嵌入式管理單元中輸入 RADIUS 用戶端 IP 位址。

  • 在 RADIUS 用戶端和 NPS 嵌入式管理單元中建立設定的共用密碼。 您必須使用共用密碼或密碼來設定 RADIUS 用戶端,在 NPS 中設定 RADIUS 用戶端時,您也將把該密碼輸入 NPS 嵌入式管理單元。

規劃遠端 RADIUS 伺服器群組

當您在 NPS Proxy 上設定遠端 RADIUS 伺服器群組時,您是在告知 NPS Proxy 要將從網路存取伺服器和 NPS Proxy 或其他 RADIUS Proxy 接收的一些或所有連線要求訊息傳送至何處。

您可以使用 NPS 做為 RADIUS Proxy,將連線要求轉送至一或多個遠端 RADIUS 伺服器群組,而且每個群組可以包含一或多個 RADIUS 伺服器。 當您想要 NPS Proxy 將訊息轉送至多個群組時,請為每個群組設定一個連線要求原則。 連線要求原則包含其他資訊,例如屬性操作規則,這會告知 NPS Proxy 要將哪些訊息傳送至原則中所指定遠端 RADIUS 伺服器群組。

您可以透過使用 NPS 適用的 Netsh 命令、直接在 [遠端 RADIUS 伺服器群組] 下的 NPS 嵌入式管理單元中設定群組,或執行 [新增連線要求原則] 精靈來設定遠端 RADIUS 伺服器群組。

重要步驟

在規劃遠端 RADIUS 伺服器群組期間,您可以使用下列步驟。

  • 決定包含您要 NPS Proxy 轉送連線要求的 RADIUS 伺服器網域。 這些網域包含透過您所部署 RADIUS 的用戶端,其使用者可連線到網路的使用者帳戶。

  • 決定您是否需要在尚未部署 RADIUS 的網域中新增 RADIUS 伺服器。

  • 記錄您想要新增至遠端 RADIUS 伺服器群組的 RADIUS 伺服器 IP 位址。

  • 決定您需要建立多少個遠端 RADIUS 伺服器群組。 在某些情況下,最好為每個網域建立一個遠端 RADIUS 伺服器群組,然後將網域的 RADIUS 伺服器新增至群組。 不過,在某些情況下,您會在一個網域中有大量的資源,包括網域中具有使用者帳戶的大量使用者、大量的網域控制站,以及大量的 RADIUS 伺服器。 或者,您的網域可能涵蓋大範圍地理區域,因而讓您在彼此距離較遠的位置上擁有網路存取伺服器和 RADIUS 伺服器。 在這些情況和其他可能的情況下,您可以為每個網域建立多個遠端 RADIUS 伺服器群組。

  • 在 NPS Proxy 和遠端 RADIUS 伺服器上建立設定的共用密碼。

規劃訊息轉送的屬性操作規則

在連線要求原則中設定的屬性操作規則,可讓您識別您想要轉送至特定遠端 RADIUS 伺服器群組的 Access-Request 訊息。

您可以設定 NPS 將所有連線要求轉送至一個遠端 RADIUS 伺服器群組,而不使用屬性操作規則。

不過,如果您有多個要轉送連線要求的位置,您必須為每個位置建立連線要求原則,然後使用您要轉送訊息的遠端 RADIUS 伺服器群組,以及告知 NPS 要轉送哪些訊息的屬性操作規則來設定原則。

您可以建立下列屬性的規則。

  • [Called-Station-ID]。 網路存取伺服器 (NAS) 的電話號碼。 這個屬性的值是字元字串。 您可以使用模式比對語法來指定區域代碼。

  • [Calling-Station-ID]。 呼叫端所使用的電話號碼。 這個屬性的值是字元字串。 您可以使用模式比對語法來指定區域代碼。

  • [User-Name]。 存取用戶端所提供的使用者名稱,以及在 RADIUS [Access-Request] 訊息中 NAS 包含的使用者名稱。 此屬性的值是字元字串,通常包含領域名稱和使用者帳戶名稱。

若要在連線要求的使用者名稱中正確取代或轉換領域名稱,您必須在適當的連線要求原則上設定 [User-Name] 屬性的屬性操作規則。

重要步驟

在規劃屬性操作規則期間,您可以使用下列步驟。

  • 規劃從 NAS 到 Proxy 直到遠端 RADIUS 伺服器的訊息路線規劃,以驗證您有邏輯路徑,可轉送訊息至 RADIUS 伺服器。

  • 決定您想要用於每個連線要求原則的一或多個屬性。

  • 記錄您計劃用於每個連線要求原則的屬性操作規則,並讓規則與轉送訊息的遠端 RADIUS 伺服器群組相符。

規劃連線要求原則

預設連線要求原則會在做為 RADIUS 伺服器使用時,為 NPS 進行設定。 其他連線要求原則可用來定義更特定的條件、建立屬性操作規則以告知 NPS 要轉送至遠端 RADIUS 伺服器群組的訊息,以及指定進階屬性。 使用 [新增連線要求原則精靈] 來建立一般或自訂連線要求原則。

重要步驟

在規劃連線要求原則期間,您可以使用下列步驟。

  • 在執行 NPS 的每個伺服器上刪除預設連線要求原則,該伺服器只能當做 RADIUS Proxy 運作。

  • 規劃每個原則所需的額外條件和設定,將這項資訊與遠端 RADIUS 伺服器群組,以及針對原則規劃的屬性操作規則結合。

  • 設計將一般連線要求原則散發給所有 NPS Proxy 的計劃。 在一個 NPS 上建立多個 NPS Proxy 通用的原則,然後使用 NPS 適用的 Netsh 命令,在所有其他 Proxy 上匯入連線要求原則和伺服器設定。

規劃 NPS 計量

當您將 NPS 設定為 RADIUS Proxy 時,您可以透過使用 NPS 格式記錄檔、資料庫相容的格式記錄檔或 NPS SQL Server 記錄,將它設定為執行 RADIUS 計量。

您也可以使用下列其中一種記錄格式,將計量訊息轉送至執行會計的遠端 RADIUS 伺服器群組。

重要步驟

在規劃 NPS 計量期間,您可以使用下列步驟。

  • 決定是否要 NPS Proxy 執行計量服務,或將計量訊息轉送至遠端 RADIUS 伺服器群組以進行計量。

  • 如果您打算將計量訊息轉送至其他伺服器,請規劃停用本機 NPS Proxy 計量。

  • 如果您打算將計量訊息轉送至其他伺服器,請規劃連線要求原則設定步驟。 如果您停用 NPS Proxy 的本機計量,您在該 Proxy 上設定的每個連線要求原則都必須啟用並正確設定轉送計量訊息。

  • 決定您想要使用的記錄格式:IAS 格式記錄檔、資料庫相容的格式記錄檔或 NPS SQL Server 記錄。

若要將 NPS 的負載平衡設定為 RADIUS Proxy,請參閱 NPS Proxy 伺服器負載平衡