網路原則伺服器 (NPS)

適用于: Windows server 2022、Windows Server 2016 Windows Server 2019

您可以使用本主題來瞭解 Windows Server 2016 和 Windows Server 2019 中的網路原則伺服器。 當您安裝網路原則,並在 Windows Server 2016 和伺服器2019中 Access Services (NPAS) 功能時,會安裝 NPS。

網路原則伺服器 (NPS) 可讓您建立並執行全組織網路存取原則,以用於連線要求驗證與授權。

您也可以將 NPS 設定為遠端驗證撥入消費者服務 (RADIUS) proxy 以將連線要求轉送到遠端 NPS 或其他 RADIUS 伺服器,讓您可以對連線要求進行負載平衡,並將其轉送到正確的網域以進行驗證和授權。

NPS 可讓您使用下列功能集中設定和管理網路存取驗證、授權及帳戶處理:

  • RADIUS 伺服器。 NPS 會對無線、驗證交換器、遠端存取撥號和虛擬私人網路執行集中式驗證、授權及帳戶處理, (VPN) 連線。 當您使用 NPS 做為 RADIUS 伺服器時,可以設定網路存取伺服器 (例如無線存取點與 VPN 伺服器) 做為 NPS 中的 RADIUS 用戶端。 您也可以設定 NPS 用來授權連線要求的網路原則,並且可以設定 RADIUS 帳戶處理,讓 NPS 將計量資訊記錄到本機硬碟上或 Microsoft SQL Server 資料庫中的記錄檔。 如需詳細資訊,請參閱 RADIUS 伺服器
  • RADIUS proxy。 當您使用 NPS 做為 RADIUS proxy 時,您可以設定連線要求原則,告訴 NPS 哪些連線要求轉送到其他 RADIUS 伺服器,以及要將連線要求轉送到哪些 RADIUS 伺服器。 您也可以設定 NPS 轉送要由遠端 RADIUS 伺服器群組中一或多部電腦記錄的計量資料。 若要將 NPS 設定為 RADIUS proxy 伺服器,請參閱下列主題。 如需詳細資訊,請參閱 RADIUS proxy
  • RADIUS 帳戶處理。 您可以設定 NPS 將事件記錄到本機記錄檔或本機或遠端的 Microsoft SQL Server 實例。 如需詳細資訊,請參閱 NPS 記錄

重要

網路存取保護 (NAP) 、健康情況登錄授權 (HRA) 和主機認證授權通訊協定 (HCAP) 在 Windows Server 2012 R2 中已淘汰,且在 Windows Server 2016 中無法使用。 如果您使用的作業系統早于 Windows Server 2016 的 nap 部署,則無法將 nap 部署遷移至 Windows Server 2016。

您可以使用這些功能的任何組合來設定 NPS。 例如,您可以針對 VPN 連線將一個 NPS 設定為 RADIUS 伺服器,也可以將一個 NPS 設定為 RADIUS proxy,將某些連線要求轉寄到遠端 RADIUS 伺服器群組的成員,以便在另一個網域中進行驗證和授權。

Windows伺服器版本和 NPS

NPS 會根據您安裝的 Windows 伺服器版本提供不同的功能。

Windows Server 2016 或 Windows Server 2019 Standard/Datacenter 版本

使用 Windows Server 2016 Standard 或 Datacenter 中的 NPS,您可以設定不限數量的 RADIUS 用戶端和遠端 radius 伺服器群組。 還可以藉由指定 IP 位址範圍設定 RADIUS 用戶端。

注意

使用 Server Core 安裝選項安裝的系統無法使用 WIndows 網路原則和 Access Services 功能。

下列各節提供有關 NPS 做為 RADIUS 伺服器和 proxy 的詳細資訊。

RADIUS 伺服器及 Proxy

您可以使用 NPS 做為 RADIUS 伺服器、RADIUS proxy 或兩者。

RADIUS 伺服器

NPS 是 Microsoft 在 Rfc 2865 和2866中由網際網路工程任務推動小組 (IETF) 所指定之 RADIUS 標準的實作為。 做為 RADIUS 伺服器,NPS 會執行許多網路存取類型的集中連線驗證、授權以及帳戶處理,包括無線、驗證交換器、撥號及虛擬私人網路 (VPN) 遠端存取,以及路由對路由連線。

注意

如需將 NPS 部署為 RADIUS 伺服器的詳細資訊,請參閱 部署網路原則伺服器

NPS 啟用無線、交換器、遠端存取或 VPN 設備的異質集使用。 您可以使用 NPS 搭配遠端存取服務(可在 Windows Server 2016 中取得)。

NPS 使用 Active Directory Domain Services (AD DS) 網域或本機安全性帳戶管理員 (SAM) 使用者帳戶資料庫來驗證連線嘗試的使用者認證。 當執行 NPS 的伺服器是 AD DS 網域的成員時,NPS 會使用目錄服務做為其使用者帳戶資料庫,而且是單一登入解決方案的一部分。 您可以使用相同的一組認證來進行網路存取控制, (驗證及授權網路) 的存取權,以及登入 AD DS 網域。

注意

NPS 使用使用者帳戶的撥入內容以及網路原則來授權連線。

網際網路服務提供者 (ISP) 和維護網路存取權的組織,不論使用何種網路存取設備,從單一管理點管理所有網路存取類型都已面臨更大的挑戰。 RADIUS 標準在同質和異質環境中都支援此功能。 RADIUS 是一種從屬通訊協定,可讓網路存取設備 (當作 RADIUS 用戶端使用) 將驗證和帳戶處理要求提交到 RADIUS 伺服器。

RADIUS 伺服器有權存取使用者帳戶資訊,且可檢查網路存取驗證認證。 如果已驗證使用者認證,且已授權連線嘗試,RADIUS 伺服器會根據指定的條件授權使用者存取,然後將網路存取連線記錄在帳戶處理記錄中。 使用 RADIUS 可讓您在集中位置收集和管理網路存取使用者驗證、授權以及帳戶處理資料,不需在每個存取伺服器上執行這些工作。

使用 NPS 做為 RADIUS 伺服器

您可以在下列情況使用 NPS 做為 RADIUS 伺服器:

  • 您使用 AD DS 網域或本機 SAM 使用者帳戶資料庫作為存取用戶端的使用者帳戶資料庫。
  • 您在多部撥號伺服器、VPN 伺服器或指定撥號路由器上使用遠端存取,而您想要集中設定網路原則和連線記錄和帳戶處理。
  • 您將撥號、VPN 或無線存取外包給服務提供者。 存取伺服器使用 RADIUS 來驗證和授權您組織成員所建立的連線。
  • 您想要集中管理一組異質存取伺服器的驗證、授權以及帳戶處理。

下圖顯示 NPS 做為各種存取用戶端的 RADIUS 伺服器。

NPS 作為 RADIUS 伺服器

RADIUS Proxy

NPS 作為 RADIUS proxy,將驗證和帳戶處理訊息轉送到 NPS 和其他 RADIUS 伺服器。 您可以使用 NPS 做為 RADIUS proxy,在 RADIUS 用戶端之間提供 RADIUS 訊息的路由 (也稱為網路存取伺服器) 以及執行連線嘗試的使用者驗證、授權和帳戶處理的 RADIUS 伺服器。

做為 RADIUS Proxy 時,NPS 是 RADIUS 存取和處理帳戶訊息流的中央交換點或路由點。 NPS 將轉寄訊息的相關資訊記錄在帳戶處理記錄中。

使用 NPS 做為 RADIUS proxy

當下列條件成立時,您可以使用 NPS 做為 RADIUS Proxy:

  • 您是提供外部撥號、VPN 或無線網路存取服務給多個客戶的服務提供者。 您的 Nas 會將連接要求傳送到 NPS RADIUS proxy。 NPS RADIUS Proxy 會根據連線要求中的使用者名稱領域部分,將連線要求轉寄到由客戶維護的 RADIUS 伺服器,而且可驗證和授權連線嘗試。
  • 您想要為使用者帳戶提供驗證和授權,而這些使用者帳戶不是 NPS 所屬網域的成員,或是與 NPS 所屬網域具有雙向信任關係的其他網域。 這些帳戶包括不受信任的網域、單向受信任的網域和其他樹系中的帳戶。 您可以不要設定存取伺服器將它們的連線要求傳送到 NPS RADIUS 伺服器,而是傳送到 NPS RADIUS Proxy。 NPS RADIUS proxy 會使用使用者名稱的領域名稱部分,並將要求轉送到正確網域或樹系中的 NPS。 針對某個網域或樹系中的使用者帳戶進行連線嘗試,可針對另一個網域或樹系中的 Nas 進行驗證。
  • 您要使用不是 Windows 帳戶資料庫的資料庫執行驗證與授權。 在這種情況下,會將符合指定領域名稱的連線要求轉寄到 RADIUS 伺服器,此伺服器可以存取不同使用者帳戶的資料庫與授權資料。 其他使用者資料庫的範例包括 Novell 目錄服務 (NDS) 與結構化查詢語言 (SQL) 資料庫。
  • 您要處理大量的連線要求。 在這種情況下,您可以不要設定 RADIUS 用戶端嘗試在多個 RADIUS 伺服器之間平衡它們的連線與帳戶處理要求,而是將連線與帳戶處理要求傳送到 NPS RADIUS Proxy。 NPS RADIUS proxy 會動態地平衡多部 RADIUS 伺服器之間的連線和帳戶處理要求負載,並增加大量 RADIUS 用戶端的處理和每秒的驗證數目。
  • 您要提供 RADIUS 驗證與授權給委外服務提供者,並將內部網路防火牆設定減至最低。 內部網路防火牆介於周邊網路 (內部網路與網際網路之間的網路) 與內部網路之間。 藉由將 NPS 放在周邊網路上,您的周邊網路與內部網路之間的防火牆必須允許 NPS 與多個網域控制站之間的流量流動。 藉由將 NPS 取代為 NPS proxy,防火牆必須只允許 NPS proxy 與內部網路內的一或多個 NPSs 之間的 RADIUS 流量流動。

下圖顯示 NPS 作為 RADIUS 用戶端與 RADIUS 伺服器之間的 RADIUS proxy。

NPS 作為 RADIUS Proxy

利用 NPS,組織也可以將遠端存取基礎結構外包給服務提供者,同時保留使用者驗證、授權以及帳戶處理的控制。

您可以針對下列案例建立 NPS 設定:

  • 無線存取
  • 組織撥號或虛擬私人網路 (VPN) 遠端存取
  • 委外撥號或無線存取
  • 網際網路存取
  • 企業夥伴驗證存取外部網路資源

RADIUS 伺服器與 RADIUS Proxy 設定範例

下列設定範例示範如何將 NPS 設定為 RADIUS 伺服器與 RADIUS Proxy。

NPS 作為 RADIUS 伺服器。 在此範例中,NPS 設定為 RADIUS 伺服器,預設連線要求原則是唯一設定的原則,而且所有連線要求都是由本機 NPS 處理。 NPS 可以驗證和授權其帳戶位於 NPS 網域和受信任網域中的使用者。

NPS 作為 RADIUS proxy。 在此範例中,NPS 設定為 RADIUS proxy,將連線要求轉送到兩個不受信任網域中的遠端 RADIUS 伺服器群組。 系統會刪除預設的連線要求原則,並建立兩個新的連線要求原則,將要求轉送到兩個不受信任的網域。 在此範例中,NPS 不會處理本機伺服器上的任何連接要求。

NPS 作為 radius 伺服器和 radius proxy。 除了指定在本機處理連線要求的預設連線要求原則之外,還會建立新的連線要求原則,將連線要求轉送到不受信任網域中的 NPS 或其他 RADIUS 伺服器。 第二個原則稱為 Proxy 原則。 在此範例中,Proxy 原則會顯示在原則排序清單中的第一個。 如果連線要求符合 Proxy 原則,會將連線要求轉送到遠端 RADIUS 伺服器群組中的 RADIUS 伺服器。 如果連線要求不符合 Proxy 原則,但符合預設的連線要求原則,NPS 會在本機伺服器上處理連線要求。 如果連線要求不符合任一原則,就會被捨棄。

NPS 做為具有遠端帳戶處理伺服器的 RADIUS 伺服器。 在此範例中,本機 NPS 未設定為執行帳戶處理,且預設連線要求原則已修訂,以將 RADIUS 帳戶處理訊息轉送到遠端 RADIUS 伺服器群組中的 NPS 或其他 RADIUS 伺服器。 雖然帳戶處理訊息是轉送的,但不會轉送驗證和授權訊息,而本機 NPS 會針對本機網域和所有受信任的網域執行這些功能。

使用遠端 RADIUS Windows 使用者對應的 NPS。 在此範例中,NPS 扮演每個連線要求的 RADIUS 伺服器與 RADIUS Proxy,將驗證要求轉送到遠端 RADIUS 伺服器,而使用本機 Windows 使用者帳戶進行授權。 藉由設定 [Windows 使用者對應的遠端 RADIUS] 屬性做為連線要求原則的條件,可以實作此設定。 (此外,您必須在 RADIUS 伺服器的本機上建立使用者帳戶,且該伺服器的名稱與遠端使用者帳戶相同,因為遠端 RADIUS 伺服器會執行驗證。 )

組態

若要將 NPS 設定為 RADIUS 伺服器,您可以在 NPS 主控台或伺服器管理員中使用 standard configuration 或 advanced configuration。 若要設定 NPS 做為 RADIUS Proxy,則必須使用進階設定。

標準設定

使用標準設定時,會提供精靈協助您針對下列情況設定 NPS:

  • 撥號或 VPN 連線的 RADIUS 伺服器
  • 802.1X 無線或有線連線的 RADIUS 伺服器

若要使用精靈設定 NPS,請開啟 NPS 主控台,選取前述其中一種情況,然後按一下連結來開啟精靈。

進階組態

當您使用 advanced configuration 時,請手動將 NPS 設定為 RADIUS 伺服器或 RADIUS proxy。

若要使用 advanced configuration 設定 NPS,請開啟 NPS 主控台,然後按一下 [ Advanced configuration ] 旁邊的箭號以展開此區段。

會提供下列進階設定項目。

設定 RADIUS 伺服器

若要設定 NPS 做為 RADIUS 伺服器,您必須設定 RADIUS 用戶端、網路原則以及 RADIUS 帳戶處理。

如需進行這些設定的指示,請參閱下列主題。

設定 RADIUS Proxy

若要設定 NPS 做為 RADIUS Proxy,您必須設定 RADIUS 用戶端、遠端 RADIUS 伺服器群組以及連線要求原則。

如需進行這些設定的指示,請參閱下列主題。

NPS 記錄

NPS 記錄也稱為 RADIUS 帳戶處理。 設定 NPS 記錄以符合您的需求,不論是使用 NPS 做為 RADIUS 伺服器、proxy 或這些設定的任何組合。

若要設定 NPS 記錄,您必須設定要使用事件檢視器記錄和查看哪些事件,然後判斷您想要記錄哪些其他資訊。 此外,您還必須決定要將使用者驗證與帳戶處理資訊記錄到儲存在本機電腦的記錄檔中,或是記錄到本機電腦或遠端電腦的 SQL Server 資料庫中。

如需詳細資訊,請參閱 設定網路原則伺服器帳戶處理。