將 NPS 作為 RADIUS 伺服器規劃

  • 發行項

適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016

當您將網路原則伺服器 (NPS) 部署為遠端驗證撥入使用者服務 (RADIUS) 伺服器時,NPS 會執行驗證、授權,以及針對本機網域和信任本機網域的網域的連線要求。 您可以使用這些規劃指導方針來簡化RADIUS部署。

這些規劃指導方針不包含您想要將 NPS 部署為 RADIUS Proxy 的情況。 當您將 NPS 部署為 RADIUS Proxy 時,NPS 會將連線要求轉送至執行 NPS 的伺服器,或是遠端網域、不受信任的網域或其他 RADIUS 伺服器。

將 NPS 部署為網路上的 RADIUS 伺服器之前,請使用下列指導方針來規劃部署。

  • 規劃 NPS 設定。

  • 規劃RADIUS用戶端。

  • 規劃驗證方法的使用。

  • 規劃網路原則。

  • 規劃 NPS 會計。

規劃 NPS 設定

您必須決定 NPS 是成員的網域。 針對多個網域環境,NPS 可以驗證其所屬網域中用戶帳戶的認證,以及信任 NPS 本機網域的所有網域。 若要允許 NPS 在授權程式期間讀取使用者帳戶的撥入屬性,您必須將 NPS 的電腦帳戶新增至每個網域的 RAS 和 NPS 群組。

在您判斷 NPS 的網域成員資格之後,必須使用 RADIUS 通訊協定,將伺服器設定為與 RADIUS 用戶端通訊,也稱為網路存取伺服器。 此外,您可以設定 NPS 記錄在事件記錄檔中的事件類型,並輸入伺服器的描述。

重要步驟

在規劃 NPS 設定期間,您可以使用下列步驟。

  • 判斷 NPS 用來從 RADIUS 用戶端接收 RADIUS 訊息的 RADIUS 埠。 默認埠為 UDP 連接埠 1812 和 1645,適用於 RADIUS 驗證訊息,以及 RADIUS 會計訊息的埠 1813 和 1646。

  • 如果 NPS 設定了多個網路適配器,請決定您想要允許 RADIUS 流量的適配卡。

  • 決定您希望 NPS 在事件記錄檔中記錄的事件類型。 您可以記錄拒絕的驗證要求、成功的驗證要求,或這兩種類型的要求。

  • 判斷您是否要部署多個 NPS。 若要提供RADIUS型驗證和會計的容錯,請使用至少兩個NPS。 一個 NPS 會作為主要 RADIUS 伺服器使用,另一個則用來做為備份。 然後,每個RADIUS用戶端都會在兩個NPS上設定。 如果主要 NPS 變成無法使用,RADIUS 用戶端就會將 Access-Request 訊息傳送至替代 NPS。

  • 規劃用來將一個 NPS 組態複製到其他 NPS 的腳本,以節省系統管理額外負荷,並防止伺服器不正確的共置。 NPS 提供 Netsh 命令,可讓您複製所有或部分 NPS 組態以匯入至另一個 NPS。 您可以在 Netsh 提示字元手動執行命令。 不過,如果您將命令順序儲存為腳本,如果您決定變更伺服器組態,可以在稍後執行腳本。

規劃RADIUS用戶端

RADIUS 用戶端是網路存取伺服器,例如無線存取點、虛擬專用網 (VPN) 伺服器、支援 802.1X 的交換器,以及撥號伺服器。 將連線要求訊息轉送至RADIUS伺服器的RADIUS Proxy也是RADIUS用戶端。 NPS 支援符合 RADIUS 通訊協定的所有網路存取伺服器和 RADIUS Proxy,如 RFC 2865:「遠端驗證撥入使用者服務(RADIUS),」和 RFC 2866、「RADIUS 會計」中所述。

重要

存取用戶端,例如用戶端計算機,不是RADIUS用戶端。 只有支援RADIUS通訊協定的網路存取伺服器和 Proxy 伺服器是RADIUS用戶端。

此外,無線存取點和交換器都必須能夠進行 802.1X 驗證。 如果您想要部署可延伸驗證通訊協定 (EAP) 或受保護的可延伸驗證通訊協定 (PEAP),存取點和交換器必須支援使用 EAP。

若要測試無線存取點之 PPP 連線的基本互操作性,請將存取點和存取客戶端設定為使用密碼驗證通訊協定 (PAP)。 使用其他 PPP 型驗證通訊協定,例如 PEAP,直到您已測試您想要用於網路存取的通訊協定為止。

重要步驟

在規劃RADIUS客戶端期間,您可以使用下列步驟。

  • 記錄您必須在 NPS 中設定的廠商特定屬性 (VSA)。 如果您的網路存取伺服器需要 VSA,請在 NPS 中設定網路原則時,記錄 VSA 資訊以供稍後使用。

  • 記錄RADIUS用戶端和NPS的IP位址,以簡化所有裝置的設定。 當您部署RADIUS用戶端時,必須將它們設定為使用RADIUS通訊協定,並將NPS IP位址輸入為驗證伺服器。 當您將 NPS 設定為與 RADIUS 用戶端通訊時,您必須在 NPS 嵌入式管理單元中輸入 RADIUS 用戶端 IP 位址。

  • 在RADIUS用戶端和NPS嵌入式管理單元中建立設定的共用秘密。 您必須使用共用密碼或密碼來設定 RADIUS 用戶端,在 NPS 中設定 RADIUS 用戶端時,您也將輸入 NPS 嵌入式管理單元。

規劃驗證方法的使用

NPS 同時支持密碼型和憑證型驗證方法。 不過,並非所有網路存取伺服器都支援相同的驗證方法。 在某些情況下,您可能會想要根據網路存取類型來部署不同的驗證方法。

例如,您可能想要為組織部署無線和 VPN 存取,但針對每種存取類型使用不同的驗證方法:適用於 VPN 連線的 EAP-TLS,因為 EAP 與傳輸層安全性 (EAP-TLS) 提供的強安全性,以及 PEAP-MS-CHAP v2 用於 802.1X 無線連線。

PEAP 與 Microsoft 挑戰交握驗證通訊協定第 2 版 (PEAP-MS-CHAP v2) 提供名為快速重新連線的功能,專為可攜式計算機和其他無線裝置使用而設計。 快速重新連線可讓無線用戶端在相同網路上的無線存取點之間移動,而不會每次與新的存取點產生關聯時重新驗證。 這為無線使用者提供更好的體驗,並允許他們在存取點之間移動,而不需要重新輸入其認證。 由於快速重新連線,以及PEAP-MS-CHAP v2所提供的安全性,PEAP-MS-CHAP v2是無線連線的驗證方法的邏輯選擇。

針對 VPN 連線,EAP-TLS 是一種憑證式驗證方法,可提供強大的安全性,以保護網路流量,即使網路流量從家庭或行動電腦傳輸至組織 VPN 伺服器也一樣。

憑證式驗證方法

憑證式驗證方法具有提供強式安全性的優點:而且其缺點是比密碼型驗證方法更難部署。

PEAP-MS-CHAP v2 和 EAP-TLS 都是憑證式驗證方法,但兩者之間有許多差異,以及部署方式。

EAP-TLS

EAP-TLS 會針對客戶端和伺服器驗證使用憑證,而且要求您在組織中部署公鑰基礎結構 (PKI)。 部署 PKI 可能很複雜,而且需要與規劃 NPS 作為 RADIUS 伺服器無關的規劃階段。

使用 EAP-TLS 時,NPS 會向證書頒發機構單位註冊伺服器證書,並將憑證儲存在證書存儲的本機計算機上。 在驗證程式期間,當 NPS 將其伺服器證書傳送至存取用戶端,向存取客戶端證明其身分識別時,就會發生伺服器驗證。 存取客戶端會檢查各種憑證屬性,以判斷憑證是否有效且適合在伺服器驗證期間使用。 如果伺服器證書符合最低伺服器證書需求,而且是由存取用戶端信任的 CA 所簽發,則用戶端已成功驗證 NPS。

同樣地,當用戶端將用戶端憑證傳送至 NPS 以向 NPS 證明其身分識別時,客戶端驗證會在驗證程式期間進行。 NPS 會檢查憑證,如果客戶端憑證符合最低用戶端憑證需求,而且是由 NPS 信任的 CA 所簽發,則存取用戶端會由 NPS 成功驗證。

雖然伺服器證書必須儲存在 NPS 上的證書存儲中,但客戶端或使用者證書可以儲存在用戶端上的證書存儲或智慧卡上。

若要讓此驗證程式成功,所有計算機都必須在本機計算機和目前使用者的受信任跟證書授權單位證書存儲中擁有您組織的 CA 憑證。

PEAP-MS-CHAP v2

PEAP-MS-CHAP v2 使用憑證進行伺服器驗證,並使用密碼型認證進行用戶驗證。 因為憑證僅用於伺服器驗證,因此您不需要部署 PKI 才能使用 PEAP-MS-CHAP v2。 當您部署PEAP-MS-CHAP v2時,您可以透過下列兩種方式之一取得 NPS 的伺服器證書:

  • 您可以安裝 Active Directory 憑證服務 (AD CS),然後將憑證自動註冊至 NPS。 如果您使用此方法,您也必須向聯機到您網路的用戶端電腦註冊 CA 憑證,讓它們信任核發給 NPS 的憑證。

  • 您可以從公用 CA 購買伺服器證書,例如 VeriSign。 如果您使用此方法,請確定您選取用戶端電腦已信任的 CA。 若要判斷客戶端電腦是否信任 CA,請在用戶端電腦上開啟憑證 Microsoft Management Console (MMC) 嵌入式管理單元,然後檢視本機計算機和目前使用者的受信任跟證書授權單位存放區。 如果這些證書存儲中有來自 CA 的憑證,用戶端電腦會信任 CA,因此會信任 CA 所簽發的任何憑證。

使用PEAP-MS-CHAP v2 進行驗證程式期間,當 NPS 將其伺服器證書傳送至客戶端電腦時,就會發生伺服器驗證。 存取客戶端會檢查各種憑證屬性,以判斷憑證是否有效且適合在伺服器驗證期間使用。 如果伺服器證書符合最低伺服器證書需求,而且是由存取用戶端信任的 CA 所簽發,則用戶端已成功驗證 NPS。

當使用者嘗試連線到網路類型密碼型認證,並嘗試登入時,就會發生用戶驗證。 NPS 會接收認證,並執行驗證和授權。 如果使用者已成功驗證並授權,而且用戶端計算機已成功驗證 NPS,則會授與連線要求。

重要步驟

在規劃使用驗證方法期間,您可以使用下列步驟。

  • 識別您計劃提供的網路存取類型,例如無線、VPN、支援 802.1X 的交換器,以及撥號存取。

  • 決定您想要用於每種存取類型的驗證方法或方法。 建議您使用提供強式安全性的憑證式驗證方法;不過,部署 PKI 可能並不實用,因此其他驗證方法可能會提供更好的網路需求平衡。

  • 如果您要部署 EAP-TLS,請規劃 PKI 部署。 這包括規劃您要用於伺服器證書和用戶端計算機憑證的證書範本。 它也包括決定如何將憑證註冊到網域成員和非網域成員計算機,以及決定是否要使用智慧卡。

  • 如果您要部署PEAP-MS-CHAP v2,請判斷是否要安裝AD CS以向NPS發行伺服器證書,或是否要從公用CA購買伺服器憑證,例如 VeriSign。

規劃網路原則

NPS 會使用網路原則來判斷從 RADIUS 用戶端收到的連線要求是否獲得授權。 NPS 也會使用用戶帳戶的撥入屬性來進行授權判斷。

由於網路原則會依照其出現在 NPS 嵌入式管理單元中的順序進行處理,因此計劃先將限制性最嚴格的原則放在原則清單中。 針對每個連線要求,NPS 會嘗試比對原則的條件與連線要求屬性。 NPS 會檢查每個網路原則,直到找到相符項目為止。 如果找不到相符專案,則會拒絕連線要求。

重要步驟

在規劃網路原則期間,您可以使用下列步驟。

  • 決定網路原則的慣用 NPS 處理順序,從最嚴格到最不嚴格。

  • 判斷原則狀態。 原則狀態可以啟用或停用的值。 如果啟用原則,NPS 會在執行授權時評估原則。 如果未啟用原則,則不會評估該原則。

  • 判斷原則類型。 您必須判斷當原則的條件符合連線要求時,原則的設計是要授與存取權,還是當原則的條件符合連線要求時,原則是否設計為拒絕存取權。 例如,如果您想要明確拒絕 Windows 群組成員的無線存取,您可以建立網路原則來指定群組、無線連線方法,以及具有拒絕存取的原則類型設定。

  • 判斷是否要讓 NPS 忽略屬於原則所依據群組成員之用戶帳戶的撥入屬性。 如果未啟用此設定,用戶帳戶的撥入屬性會覆寫網路原則中設定的設定。 例如,如果網路原則設定為授與使用者存取權,但該使用者使用者帳戶的撥入屬性設定為拒絕存取,則會拒絕使用者存取。 但是,如果您啟用原則類型設定 [忽略使用者帳戶撥入屬性],則會將相同的使用者授與網路存取權。

  • 判斷原則是否使用原則來源設定。 此設定可讓您輕鬆地指定所有存取要求的來源。 可能的來源是終端機服務閘道(TS 閘道)、遠端訪問伺服器(VPN 或撥號)、DHCP 伺服器、無線存取點和健康情況註冊授權單位伺服器。 或者,您可以指定廠商特定的來源。

  • 判斷必須比對的條件,才能套用網路原則。

  • 判斷連線要求符合網路原則條件時所套用的設定。

  • 判斷您是否要使用、修改或刪除預設網路原則。

規劃 NPS 會計

NPS 能夠以三種格式記錄 RADIUS 會計數據,例如使用者驗證和會計要求:IAS 格式、資料庫相容格式和 Microsoft SQL Server 記錄。

IAS 格式和資料庫相容格式會以文字檔格式在本機 NPS 上建立記錄檔。

SQL Server 記錄可讓您登入 SQL Server 2000 或 SQL Server 2005 XML 相容資料庫,並擴充 RADIUS 會計,以利用記錄至關係資料庫的優點。

重要步驟

在規劃 NPS 會計期間,您可以使用下列步驟。

  • 判斷您要將 NPS 會計資料儲存在記錄檔或 SQL Server 資料庫中。

使用本機記錄檔的 NPS 會計

記錄檔中的使用者驗證和會計要求主要用於連線分析和計費用途,也可作為安全性調查工具,為您提供在攻擊後追蹤惡意用戶活動的方法。

重要步驟

使用本機記錄檔規劃 NPS 會計期間,您可以使用下列步驟。

  • 決定您想要用於 NPS 記錄檔的文字檔案格式。

  • 選擇您想要記錄的資訊類型。 您可以記錄會計要求、驗證要求和定期狀態。

  • 決定您要儲存記錄檔的硬碟位置。

  • 設計記錄檔備份解決方案。 您儲存記錄檔的硬碟位置應該是可讓您輕鬆地備份資料的位置。 此外,應為儲存記錄檔的資料夾設定存取控制清單 (ACL) 來保護硬碟位置。

  • 判斷您想要建立新記錄檔的頻率。 如果您想要根據檔案大小建立記錄檔,請決定 NPS 建立新記錄檔之前允許的檔案大小上限。

  • 如果硬碟用盡儲存空間,請判斷是否要讓 NPS 刪除較舊的記錄檔。

  • 決定您想要用來檢視會計數據併產生報表的應用程式或應用程式。

NPS SQL Server 記錄

當您需要會話狀態資訊、用於報表建立和數據分析用途,以及集中和簡化會計數據的管理時,會使用 NPS SQL Server 記錄。

NPS 可讓您使用 SQL Server 記錄,記錄從一或多部網路存取伺服器收到的使用者驗證和會計要求,以在執行 Microsoft SQL Server Desktop Engine (MSDE 2000) 或比 SQL Server 2000 晚的任何 SQL Server 版本。

會計數據會以 XML 格式從 NPS 傳遞至資料庫中的預存程式,其同時支援結構化查詢語言 (SQL) 和 XML (SQLXML)。 在符合 XML 規範的 SQL Server 資料庫中記錄使用者驗證和會計要求,可讓多個 NPS 擁有一個數據源。

重要步驟

使用 NPS SQL Server 記錄規劃 NPS 帳戶期間,您可以使用下列步驟。

  • 判斷您或貴組織的另一個成員是否有 SQL Server 2000 或 SQL Server 2005 關係資料庫開發體驗,並瞭解如何使用這些產品來建立、修改、管理及管理 SQL Server 資料庫。

  • 判斷 SQL Server 是否安裝在 NPS 或遠端電腦上。

  • 設計將在 SQL Server 資料庫中使用的預存程式,以處理包含 NPS 會計數據的傳入 XML 檔案。

  • 設計 SQL Server 資料庫復寫結構和流程。

  • 決定您想要用來檢視會計數據併產生報表的應用程式或應用程式。

  • 規劃使用所有會計要求中傳送 Class 屬性的網路存取伺服器。 Class 屬性會在 Access-Accept 訊息中傳送至 RADIUS 用戶端,而且有助於將 Accounting-Request 訊息與驗證會話相互關聯。 如果類別屬性是由會計要求訊息中的網路存取伺服器傳送,它可以用來比對會計和驗證記錄。 Unique-Serial-Number、Service-Reboot-Time 和 Server-Address 屬性的組合,必須是伺服器接受的每個驗證的唯一標識符。

  • 規劃使用支援過渡帳戶的網路存取伺服器。

  • 規劃使用網路存取伺服器來傳送 Accounting-on 和 Accounting-off 訊息。

  • 規劃使用支援儲存和轉送會計數據的網路存取伺服器。 當網路存取伺服器無法與 NPS 通訊時,支援此功能的網路存取伺服器可以儲存會計數據。 當 NPS 可供使用時,網路存取伺服器會將儲存的記錄轉送至 NPS,透過未提供這項功能的網路存取伺服器,提供更高的可靠性。

  • 規劃在網路原則中一律設定 Acct-Interim-Interval 屬性。 Acct-Interim-Interval 屬性會設定網路存取伺服器所傳送之每個過渡更新之間的間隔(以秒為單位)。 根據 RFC 2869,Acct-Interim-Interval 屬性的值不得小於 60 秒(1 分鐘),且不應小於 600 秒(10 分鐘),這表示超過 600 秒的值會降低 RADIUS 伺服器收到的更新頻率。 如需詳細資訊,請參閱 RFC 2869

  • 請確定您的 NPS 上已啟用定期狀態的記錄。