網路原則伺服器 (NPS)

適用於: Windows Server 2022、Windows Server 2016、Windows Server 2019

您可以使用本主題了解 Windows Server 2016 和 Windows Server 2019 中的網路原則伺服器概觀。 當您在 Windows Server 2016 和 Server 2019 中安裝網路原則和存取服務 (NPAS) 功能時，就會安裝 NPS。

注意

除了本主題之外，還提供下列 NPS 文件。

• 網路原則伺服器最佳做法
• 網路原則伺服器使用者入門
• 規劃網路原則伺服器
• 部署網路原則伺服器
• 管理網路原則伺服器
• Windows PowerShell 中的網路原則伺服器 (NPS) Cmdlet，適用於 Windows Server 2016 和 Windows 10
• Windows PowerShell 中的網路原則伺服器 (NPS) Cmdlet，適用於 Windows Server 2012 R2 和 Windows 8.1
• Windows PowerShell 中的 NPS Cmdlets，適用於 Windows Server 2012 和 Windows 8

網路原則伺服器 (NPS) 可針對連線要求驗證和授權，建立及強制執行整個組織的網路存取原則。

您也可以將 NPS 設定為遠端驗證撥入使用者服務 (RADIUS) Proxy，將連線要求轉送至遠端 NPS 或其他 RADIUS 伺服器，讓您可以負載平衡的連線要求，並將其轉送至正確的網域以進行驗證和授權。

NPS 可讓您使用下列功能集中設定和管理網路存取驗證、授權和計量：

• RADIUS 伺服器： NPS 會針對無線、驗證交換器、遠端存取撥號和虛擬私人網路 (VPN) 連線，執行集中式驗證、授權和計量作業。 當您使用 NPS 做為 RADIUS 伺服器時，可以設定網路存取伺服器 (例如無線存取點與 VPN 伺服器) 做為 NPS 中的 RADIUS 用戶端。 您也可以設定 NPS 用來授權連線要求的網路原則，並且可以設定 RADIUS 帳戶處理，讓 NPS 將計量資訊記錄到本機硬碟上或 Microsoft SQL Server 資料庫中的記錄檔。 如需詳細資訊，請參閱 RADIUS 伺服器。
• RADIUS Proxy： 您使用 NPS 做為 RADIUS Proxy 時，可以設定連線要求原則，告知 NPS 要將哪些連線要求轉送到其他 RADIUS 伺服器，以及要將連線要求轉送到哪些 RADIUS 伺服器。 您也可以設定 NPS 轉送要由遠端 RADIUS 伺服器群組中一或多部電腦記錄的計量資料。 若要將 NPS 設定為 RADIUS Proxy 伺服器，請參閱下列主題。 如需詳細資訊，請參閱 RADIUS Proxy。
  • 設定連線要求原則
• RADIUS 計量： 您可以將 NPS 設定為將事件記錄到本機記錄檔，或記錄至 Microsoft SQL Server 的本機或執行個體。 如需詳細資訊，請參閱 NPS 記錄。

重要

網路存取保護 (NAP)、健康情況登錄授權單位 (HRA) 和主機認證授權通訊協定 (HCAP) 在 Windows Server 2012 R2 中已被取代，且無法在 Windows Server 2016 中使用。 如果您使用早於 Windows Server 2016 的作業系統進行 NAP 部署，則無法將 NAP 部署移轉至 Windows Server 2016。

您可以使用這些功能的任意組合設定 NPS。 例如，您可以將一個 NPS 設定為 VPN 連線的 RADIUS 伺服器，也可以設定為 RADIUS Proxy 來將某些連線要求轉送給遠端 RADIUS 伺服器群組的成員，以在另一個網域中進行驗證和授權。

Windows Server 版本和 NPS

NPS 會根據您安裝的 Windows Server 版本，提供不同的功能。

Windows Server 2016 或 Windows Server 2019 Standard/Datacenter 版本

使用 Windows Server 2016 Standard 或 Datacenter 中的 NPS，您可以設定無限數量的 RADIUS 用戶端和遠端 RADIUS 伺服器群組。 還可以藉由指定 IP 位址範圍設定 RADIUS 用戶端。

注意

WIndows 網路原則和存取服務功能無法在安裝 Server Core 安裝選項的系統上使用。

下列各節提供有關 NPS 做為 RADIUS 伺服器和 Proxy 的更多詳細資訊。

RADIUS 伺服器和 Proxy

您可以使用 NPS 做為 RADIUS 伺服器、RADIUS Proxy 或兩者。

RADIUS 伺服器

NPS 是 Microsoft 在 RFC 2865 和 2866 中由網際網路工程任務推動小組 (IETF) 指定的 RADIUS 標準實作。 NPS 做為 RADIUS 伺服器，會執行集中式連線驗證、授權，並計量許多類型的網路存取，包括無線、驗證交換器、撥號和虛擬私人網路 (VPN) 遠端存取，以及路由器對路由器連線。

注意

如需將 NPS 部署為 RADIUS 伺服器的資訊，請參閱部署網路原則伺服器。

NPS 可讓您使用一組異質的無線、交換器、遠端存取或 VPN 設備。 您可以將 NPS 與 Windows Server 2016 中提供的遠端存取服務一起使用。

NPS 會使用 Active Directory 網域服務 (AD DS) 網域或本機安全性帳戶管理員 (SAM) 使用者帳戶資料庫來驗證使用者認證以進行連線嘗試。 當執行 NPS 的伺服器是 AD DS 網域的成員時，NPS 會使用目錄服務做為其使用者帳戶的資料庫，而且是單一登入解決方案的一部分。 相同的認證集用於網路存取控制 (驗證和授權網路存取權)，以及登入 AD DS 網域。

注意

NPS 會將使用者帳戶的撥入屬性和網路原則用來授權連線。

維護網路存取權的網際網路服務提供者 (ISP) 和組織面臨的挑戰日漸困難，亦即從單一管理點管理所有的網路存取類型，不論他們使用的網路存取設備類型為何。 RADIUS 標準支援在同質和異質環境中的這項功能。 RADIUS 是一種用戶端-伺服器通訊協定，可啟用網路存取設備 (做為 RADIUS 用戶端) 將驗證和計量要求提交至 RADIUS 伺服器。

RADIUS 伺服器有權限存取使用者帳戶資訊，並可檢查網路存取驗證認證。 若使用者認證已驗證且授權連線嘗試，RADIUS 伺服器會基於指定的條件授權使用者的存取權，並在計量記錄中記錄此網路存取連線。 使用 RADIUS 可讓您在中央位置收集和管理網路存取使用者驗證、授權以及計量資料，而無須在每個存取伺服器上都要執行這些工作。

將 NPS 做為 RADIUS 伺服器使用

在下列情況下，您可以將 NPS 做為 RADIUS 伺服器使用：

• 您使用的是 AD DS 網域或本機 SAM 使用者帳戶資料庫做為存取客戶端的使用者帳戶資料庫。
• 您在多個撥號伺服器、VPN 伺服器或指定撥號路由器上使用遠端存取，而且您想要集中網路原則的設定和連線記錄與計量。
• 您正在將撥號、VPN 或無線存取外包給服務提供者。 存取伺服器會使用 RADIUS 來驗證和授權貴組織成員所建立的連線。
• 您想要針對一組異質存取伺服器進行集中驗證、授權和計量。

下圖顯示 NPS 做為各種存取用戶端的 RADIUS 伺服器。

RADIUS Proxy

做為 RADIUS Proxy，NPS 會將驗證和計量訊息轉送至 NPS 和其他 RADIUS 伺服器。 您可以使用 NPS 作為 RADIUS Proxy，在 RADIUS 用戶端 (也稱為網路存取伺服器) 和 RADIUS 伺服器之間提供 RADIUS 訊息的路由，以執行連線嘗試的使用者驗證、授權和計量。

當 NPS 做為 RADIUS Proxy 使用時，其為一個中央切換或路由點，RADIUS 可在其中存取和計量訊息流程。 NPS 會記錄有關轉送訊息的計量記錄檔中的資訊。

將 NPS 做為 RADIUS Proxy 使用

在下列情況下，您可以將 NPS 做為 RADIUS Proxy 使用：

• 您是服務提供者，為多個客戶提供外包撥號、VPN 或無線網路存取服務。 您的 NAS 會將連線要求傳送至 NPS RADIUS Proxy。 根據連線要求中使用者名稱的領域部分，NPS RADIUS Proxy 會將連線要求轉送給由客戶維護的 RADIUS 伺服器，並可驗證和授權連線嘗試。
• 您想要提供驗證和授權給非下列兩種網域成員的使用者帳戶：NPS 為成員的網域，或是與 NPS 為成員的網域有雙向信任的另一個網域。 這包括不受信任的網域、單向信任網域和其他樹系中的帳戶。 無需設定存取伺服器來將其連線要求傳送至 NPS RADIUS 伺服器，您可以設定它們將其連線要求傳送至 NPS RADIUS Proxy。 NPS RADIUS Proxy 會將使用者名稱的領域名稱部分拿來使用，並將要求轉送至正確網域或樹系中的 NPS。 某個網域或樹系中的使用者帳戶連線嘗試，可以在另一個網域或樹系中驗證 NAS。
• 您想要使用不是 Windows 帳戶資料庫的資料庫來執行驗證和授權。 在此情況下，符合指定領域名稱的連線要求會轉送至 RADIUS 伺服器，該伺服器可以存取不同的使用者帳戶資料庫和授權資料。 其他使用者資料庫的範例包括 Novell Directory Services (NDS) 和結構化查詢語言 (SQL) 資料庫。
• 您想要處理大量的連線要求。 在此情況下，您無需設定 RADIUS 用戶端嘗試在多個 RADIUS 伺服器之間平衡其連線和計量要求，而是設定它們將連線和計量要求傳送至 NPS RADIUS Proxy。 NPS RADIUS Proxy 會動態平衡多個 RADIUS 伺服器之間的連線和計量要求負載，並增加每秒大量 RADIUS 用戶端和驗證的處理。
• 您想要為外包服務提供者提供 RADIUS 驗證和授權，並將內部網路防火牆設定降到最低。 內部網路防火牆位於您的周邊網路 (內部網路與網際網路之間的網路) 和內部網路之間。 藉由將 NPS 放在周邊網路上，周邊網路與內部網路之間的防火牆必須允許 NPS 與多網域控制器之間的網路流量流動。 藉由將 NPS 取代為 NPS Proxy，防火牆必須只允許 RADIUS 流量在 NPS Proxy 與內部網路內的一或多個 NPS 之間流動。

重要

當樹系功能等級為 Windows Server 2003 或更高版本，且樹系之間有雙向信任關係時，NPS 支援跨樹系進行驗證，而不需 RADIUS Proxy。 但是，如果您使用 EAP-TLS 或 PEAP-TLS 搭配憑證為驗證方法，則必須使用 RADIUS Proxy 進行跨樹系的驗證。

下圖顯示 NPS 做為 RADIUS 用戶端與 RADIUS 伺服器之間的 RADIUS Proxy。

組織也可使用 NPS 將遠端存取基礎結構外包給服務提供者，同時保留對於使用者驗證、授權以及計量的控制。

可為以下案例建立 NPS 設定：

• 無線存取
• 組織撥號或虛擬私人網路 (VPN) 遠端存取
• 外包撥號或無線存取。
• 網際網路存取
• 企業夥伴驗證存取外部網路資源

RADIUS 伺服器和 RADIUS Proxy 設定範例

下列設定範例示範如何將 NPS 設定為 RADIUS 伺服器和 RADIUS Proxy。

NPS 做為 RADIUS 伺服器。 在此範例中，NPS 會設定為 RADIUS 伺服器，預設連線要求原則是唯一設定的原則，而且所有連線要求都會由本機 NPS 處理。 NPS 可以驗證和授權其帳戶位於 NPS 網域和受信任網域中的使用者。

NPS 做為 RADIUS Proxy。 在此範例中，NPS 會設定為 RADIUS Proxy，將連線要求轉送至兩個不受信任的網域中的遠端 RADIUS 伺服器群組。 系統會刪除預設連線要求原則，並建立兩個新的連線要求原則，以將要求轉送至兩個不受信任的網域。 在此範例中，NPS 不會處理本機伺服器上的任何連線要求。

NPS 做為 RADIUS 伺服器和 RADIUS Proxy。 除了預設連線要求原則之外，其會指定在本機處理連線要求，也會建立新的連線要求原則，以將連線要求轉送至 NPS 或其他未受信任網域中的 RADIUS 伺服器。 此第二個原則名為 Proxy 原則。 在此範例中，Proxy 原則會先出現在已排序的原則清單中。 如果連線要求符合 Proxy 原則，連線要求會轉送至遠端 RADIUS 伺服器群組中的 RADIUS 伺服器。 如果連線要求不符合 Proxy 原則，但與預設連線要求原則相符，NPS 會在本機伺服器上處理連線要求。 如果連接要求不符合任一個原則，則會捨棄它。

NPS 做為具有遠端計量伺服器的 RADIUS 伺服器。 在此範例中，本機 NPS 未設定為執行計量並修訂過預設連線要求原則，以便 RADIUS 計量訊息轉送至遠端 RADIUS 伺服器群組中的 NPS 或其他 RADIUS 伺服器。 雖然會轉送計量訊息，但不會轉送驗證和授權訊息，而本機 NPS 會針對本機網域和所有受信任的網域執行這些功能。

具有遠端 RADIUS 的 NPS 與 Windows 使用者對應。 在此範例中，NPS 會同時做為 RADIUS 伺服器和每次個別連線要求的 RADIUS Proxy，方法是將驗證要求轉送至遠端 RADIUS 伺服器，同時使用本機 Windows 使用者帳戶進行授權。 此設定是藉由將 [遠端 RADIUS 到 Windows 使用者對應] 屬性設定為連線要求原則的條件來實作。 (此外，必須在 RADIUS 伺服器上本機建立使用者帳戶，且其名稱與遠端 RADIUS 伺服器執行驗證的遠端使用者帳戶相同。)

組態

若要將 NPS 設定為 RADIUS 伺服器，您可以在 NPS 主控台或 [伺服器管理員] 中使用標準設定或進階設定。 若要將 NPS 設定為 RADIUS Proxy，您必須使用進階設定。

標準設定

使用標準設定時，會提供精靈來協助您設定下列案例的 NPS：

• 用於撥號或 VPN 連線的 RADIUS 伺服器
• 802.1X 無線或有線連線的 RADIUS 伺服器

若要使用精靈設定 NPS，請開啟 NPS 主控台，選取上述其中一個案例，然後按一下開啟精靈的連結。

進階設定

當您使用進階設定時，請手動將 NPS 設定為 RADIUS 伺服器或 RADIUS Proxy。

若要使用進階設定設定 NPS，請開啟 NPS 主控台，然後按一下 [進階設定] 旁的箭號以展開本區段。

提供下列進階設定項目。

設定 RADIUS 伺服器

若要將 NPS 設定為 RADIUS 伺服器，您必須設定 RADIUS 用戶端、網路原則和 RADIUS 計量。

如需進行這些設定的指示，請參閱下列主題。

• 設定 RADIUS 用戶端
• 設定網路原則
• 設定網路原則伺服器計量

設定 RADIUS Proxy

若要將 NPS 設定為 RADIUS Proxy，您必須設定 RADIUS 用戶端、遠端 RADIUS 伺服器群組和連線要求原則。

如需進行這些設定的指示，請參閱下列主題。

• 設定 RADIUS 用戶端
• 設定遠端 RADIUS 伺服器群組
• 設定連線要求原則

NPS 記錄

NPS 記錄也稱為 RADIUS 計量。 設定 NPS 記錄以符合您的需求，不論 NPS 是用於做為 RADIUS 伺服器、Proxy 或這些設定的任何組合。

若要設定 NPS 記錄，您必須設定 [事件檢視器] 要記錄並檢視哪些事件，然後決定您想要記錄的其他資訊。 此外，您必須決定是否要將使用者驗證和計量資訊記錄到儲存在本機電腦上的文字記錄檔，或是記錄到本機電腦或遠端電腦上的 SQL Server 資料庫。

如需詳細資訊，請參閱設定網路原則伺服器計量。