تخطيط وتنفيذ خادم نهج الشبكة
ينفذ NPS مصادقة اتصال مركزية وتخويل ومحاسبة لخوادم RD Gateway اللاسلكية ومفاتيح المصادقة والشبكات الظاهرية الخاصة واتصالات الطلب الهاتفي. ولكن يجب على Contoso أولا تكوين نهج الشبكة التي تستخدمها NPS لتخويل طلبات الاتصال، ويمكنهم أيضا اختيار تكوين محاسبة RADIUS بحيث يسجل NPS معلومات المحاسبة لتسجيل الملفات على القرص الثابت المحلي أو في قاعدة بيانات Microsoft SQL Server.
اختر أسلوب مصادقة NPS
تقوم NPS بمصادقة طلب اتصال وتخويله قبل السماح بالوصول أو رفضه عندما يحاول المستخدمون الاتصال بشبكتك من خلال NASs. عند نشر NPS، يمكنك تحديد النوع المطلوب من أسلوب المصادقة للوصول إلى شبكتك.
يتم دعم أساليب المصادقة التالية بواسطة NPS:
- PAP
- بروتوكول مصادقة كلمة مرور Shiva (SPAP)
- بروتوكول CHAP
- MS-CHAP
- MS-CHAP v2
- EAP
تلميح
عند اختيار EAP كطريقة مصادقة، يحدث التفاوض على نوع EAP بين عميل الوصول وخادم NPS.
تنبيه
يجب عدم استخدام PAP أو SPAP أو CHAP أو MS-CHAP في بيئة إنتاج لأنها تعتبر غير آمنة للغاية.
محاسبة NPS
تحتاج أيضا إلى التفكير في كيفية تكوين التسجيل ل NPS. يمكنك تسجيل طلبات مصادقة المستخدم وطلبات المحاسبة لتسجيل الملفات بتنسيق نصي أو تنسيق قاعدة بيانات، أو يمكنك تسجيل الدخول إلى إجراء مخزن في قاعدة بيانات Microsoft SQL Server. استخدم تسجيل الطلبات بشكل أساسي لأغراض تحليل الاتصال والفوترة، وكأداة للتحقيق الأمني، لأنها تمكنك من تحديد نشاط المتسلل.
تكوين النهج على NPS
يدعم NPS نهج طلب الاتصال ونهج الشبكة. ويلي وصفها في الجدول التالي.
| النوع | الوصف |
|---|---|
| نهج طلب الاتصال | تسمح لك نهج طلب الاتصال باختيار ما إذا كان خادم NPS المحلي يعالج طلبات الاتصال أو يقوم بإعادة توجيهها إلى خادم RADIUS آخر للمعالجة |
| نهج الشبكة | تسمح لك نهج الشبكة بتعيين المستخدمين الذين تخولهم للاتصال بالشبكة والظروف التي يمكنهم أو لا يمكنهم الاتصال بها. |
إنشاء نهج الشبكة
نهج الشبكة هو مجموعة من الشروط والقيود والإعدادات التي تمكنك من تحديد من ستخوله للاتصال بالشبكة، والظروف التي يمكنهم أو لا يمكنهم الاتصال بها. يحتوي كل نهج شبكة على أربع فئات من الخصائص.
| الخاصية | الوصف |
|---|---|
| نظرة عامة | تسمح لك خصائص النظرة العامة بتحديد ما إذا كان النهج ممكنا، وما إذا كان النهج يمنح الوصول أو يرفضه، وما إذا كانت طلبات الاتصال تتطلب أسلوب اتصال شبكة معين أو نوع خادم الوصول إلى الشبكة. تمكنك خصائص النظرة العامة أيضا من تحديد ما إذا كنت تريد تجاهل خصائص الطلب لحسابات المستخدمين في AD DS. إذا قمت بتحديد هذا الخيار، فإن NPS تستخدم إعدادات نهج الشبكة فقط لتحديد ما إذا كان يجب تخويل الاتصال أم لا. |
| شروط | تسمح لك هذه الخصائص بتحديد الشروط التي يجب أن يتطابق فيها طلب الاتصال مع نهج الشبكة. إذا تطابقت الشروط التي تم تكوينها في النهج مع طلب الاتصال، فإن NPS تطبق إعدادات نهج الشبكة على الاتصال. على سبيل المثال، إذا حددت عنوان IPv4 لخادم الوصول إلى الشبكة (عنوان NAS IPv4) كشرط لنهج الشبكة، وتتلقى NPS طلب اتصال من NAS يحتوي على عنوان IP المحدد، فإن الشرط في النهج يطابق طلب الاتصال. |
| القيود | القيود هي معلمات إضافية لنهج الشبكة المطلوبة لمطابقة طلب الاتصال. إذا لم يتطابق طلب الاتصال مع قيد، فإن NPS ترفض الطلب تلقائيا. على عكس استجابة NPS للشروط غير المتطابقة في الشبكة، إذا لم يتطابق القيد، لا تقوم NPS بتقييم نهج الشبكة الإضافية، وترفض طلب الاتصال. |
| إعدادات | تسمح لك خصائص الإعدادات بتحديد الإعدادات التي تنطبق عليها NPS على طلب الاتصال، شريطة أن تتطابق جميع شروط نهج الشبكة الخاصة بالنهج ويتم قبول الطلب. |
هام
عند نشر دور NPS لأول مرة، يرفض نهجا الشبكة الافتراضيان الوصول عن بعد إلى جميع محاولات الاتصال. يمكنك بعد ذلك تكوين نهج شبكة إضافية لإدارة محاولات الاتصال.
عندما تخول NPS طلب اتصال، فإنها تقارن الطلب مع كل نهج شبكة في قائمة النهج مرتبة، بدءا من النهج الأول والانتقال إلى العنصر التالي في القائمة. إذا عثر NPS على نهج تتطابق فيه الشروط مع طلب الاتصال، تستخدم NPS نهج المطابقة وخصائص الطلب لحساب المستخدم لتخويل الطلب. إذا قمت بتكوين خصائص الطلب لحساب المستخدم لمنح الوصول أو التحكم فيه من خلال نهج الشبكة، وكان طلب الاتصال معتمدا، فإن NPS يطبق الإعدادات التي تقوم بتكوينها في نهج الشبكة على الاتصال:
- إذا لم يعثر NPS على نهج شبكة يطابق طلب الاتصال، فإن NPS ترفض الاتصال.
- إذا تم تعيين خصائص الطلب لحساب المستخدم لرفض الوصول، فإن NPS ترفض طلب الاتصال على أي حال.
يتم تلخيص هذا في الرسم التخطيطي التالي.
