Přehled serveru Network Policy Server

Tento článek obsahuje přehled serveru NPS (Network Policy Server) ve Windows Serveru. NpS můžete použít k vytvoření a vynucování zásad síťového přístupu na úrovni celé organizace pro ověřování a autorizaci požadavků na připojení. Server NPS můžete také nakonfigurovat jako proxy serveru RADIUS (Remote Authentication Dial-In User Service). Když server NPS použijete jako proxy server RADIUS, server NPS přesměruje požadavky na připojení na vzdálený server RADIUS serveru NPS nebo jiné servery RADIUS. Konfiguraci proxy serveru můžete použít k vyrovnávání zatížení požadavků na připojení a jejich předání do správné domény pro ověřování a autorizaci. NpS se nainstaluje při instalaci role Network Policy and Access Services (NPAS) ve Windows Serveru.

Funkce NPS

NPS můžete použít k centrální konfiguraci a správě ověřování, autorizace a účtování přístupu k síti. NPS nabízí pro tento účel následující funkce:

  • Server RADIUS. NPS provádí centralizované ověřování, autorizaci a účtování pro bezdrátové připojení, autentizaci pro přepínače, telefonické připojení vzdáleného přístupu a připojení k virtuální privátní síti (VPN). Při použití serveru NPS jako serveru RADIUS nakonfigurujete následující součásti:

    • Servery síťového přístupu, jako jsou bezdrátové přístupové body a servery VPN. Nakonfigurujete je jako klienty RADIUS v NPS.
    • Síťové zásady, které NPS používá k autorizaci požadavků na připojení.
    • Účtování protokolu RADIUS. Tato komponenta je volitelná. Pokud ho nakonfigurujete, NPS zapisuje informace o účetnictví do protokolových souborů na místním pevném disku nebo v databázi Microsoft SQL Server.

    Další informace najdete v tématu Server RADIUS.

  • Proxy server RADIUS. Při použití serveru NPS jako proxy serveru RADIUS nakonfigurujete zásady požadavků na připojení, které serveru NPS sdělí:

    • Určete, které požadavky na připojení se mají předávat jiným serverům RADIUS.
      • Definujte cílové servery RADIUS, na které se tyto požadavky na připojení předávají.

    Kromě toho můžete server NPS nakonfigurovat tak, aby předával účetní data pro účely protokolování do jednoho nebo více počítačů ve vzdálené skupině serverů RADIUS. Informace o konfiguraci serveru NPS jako proxy serveru RADIUS najdete v následujících zdrojích informací:

  • Účtování protokolu RADIUS. Server NPS můžete nakonfigurovat tak, aby protokolovat události do místního souboru protokolu nebo do místní nebo vzdálené instance SQL Serveru. Další informace najdete v tématu Protokolování serveru NPS.

NPS můžete nakonfigurovat s libovolnou kombinací těchto funkcí. Můžete například nakonfigurovat jedno nasazení SERVERU NPS jako server RADIUS pro připojení VPN. Můžete také nakonfigurovat stejné nasazení jako proxy serveru RADIUS pro předávání určitých požadavků na připojení. Konkrétně může některé požadavky předávat členům vzdálené skupiny serverů RADIUS pro ověřování a autorizaci v jiné doméně.

Important

V předchozích verzích Windows Serveru zahrnoval NPAS ochranu síťového přístupu (NAP), autoritu pro registraci stavu (HRA) a protokol HCAP (Host Credential Authorization Protocol). Architektura NAP, HRA a HCAP byly ve Windows Serveru 2012 R2 zastaralé a nejsou dostupné ve Windows Serveru 2016 nebo novějším. Pokud máte nasazení architektury NAP, které používá operační systémy starší než Windows Server 2016, nemůžete migrovat nasazení architektury NAP na Windows Server 2016 nebo novější.

Možnosti instalace Windows Serveru a NPS

Dostupnost funkcí SERVERU NPS závisí na možnostech, které vyberete při instalaci Windows Serveru:

  • Pokud používáte možnost instalace Serveru s desktopovým prostředím, je role NPAS dostupná na Windows Serveru. Role je dostupná v edicích Standard a Datacenter.
  • Pokud použijete možnost instalace jádra serveru, role NPAS není dostupná.

Server RADIUS a proxy

NPS můžete použít jako server RADIUS, proxy server RADIUS nebo obojí. Následující části obsahují podrobné informace o těchto použitích.

Server RADIUS

NPS je implementace standardu RADIUS určeného protokolem IETF (Internet Engineering Task Force) v požadavku na komentáře (RFCS) 2865 a 2866. NpS jako server RADIUS provádí centralizované ověřování připojení, autorizaci a účtování mnoha typů síťového přístupu. Mezi příklady typů přístupu k síti patří bezdrátové připojení, ověřovací přepínač, telefonické připojení, vzdálený přístup VPN a připojení typu směrovač-směrovač.

Note

Informace o nasazení serveru NPS jako serveru RADIUS najdete v tématu Nasazení serveru NPS.

NPS podporuje použití heterogenního souboru bezdrátových zařízení, zařízení typu switch, zařízení pro vzdálený přístup nebo zařízení VPN. NPS můžete použít se službou vzdáleného přístupu, která je dostupná ve Windows Serveru.

NPS používá doménu služby Active Directory Domain Services (AD DS) nebo databázi uživatelských účtů místního správce účtů zabezpečení (SAM) k ověření přihlašovacích údajů uživatele pro pokusy o připojení. Pokud je server se systémem NPS členem domény služby AD DS, server NPS používá adresářovou službu jako databázi uživatelského účtu. V tomto případě je NPS součástí řešení jednotného přihlašování. Stejná sada přihlašovacích údajů se používá pro řízení přístupu k síti (ověřování a autorizaci přístupu k síti) a k přihlášení k doméně služby AD DS.

Note

NPS používá parametry vytáčeného připojení uživatelského účtu a síťové zásady k autorizaci připojení.

Poskytovatelé internetových služeb a organizace, které udržují přístup k síti, mají zvýšenou výzvu. Potřebují spravovat všechny typy síťového přístupu z jediného místa správy bez ohledu na typ používaného síťového přístupového zařízení. Standard RADIUS tuto funkci podporuje v homogenních i heterogenních prostředích. RADIUS je protokol klienta-server, který umožňuje síťovému přístupovém vybavení (používanému jako klienti RADIUS) odesílat požadavky na ověřování a účtování na server RADIUS.

Server RADIUS má přístup k informacím o uživatelském účtu a může kontrolovat přihlašovací údaje pro ověřování přístupu k síti. Pokud jsou přihlašovací údaje uživatele ověřeny a pokus o připojení je autorizovaný, server RADIUS autorizuje přístup uživatele na základě zadaných podmínek. Server RADIUS pak protokoluje připojení síťového přístupu do protokolu účtů. Použití protokolu RADIUS umožňuje shromažďovat a udržovat data pro ověřování uživatelů přístupu k síti, autorizaci a účtování v centrálním umístění, nikoli na každém přístupovém serveru.

Použití SERVERU NPS jako serveru RADIUS

NpS můžete použít jako server RADIUS v následujících případech:

  • Používáte doménu AD DS nebo databázi místních uživatelských účtů SAM jako databázi uživatelských účtů pro přístup klientů.
  • Používáte vzdálený přístup na více vytáčených serverech, serverech VPN nebo směrovačích vytáčených na vyžádání a chcete centralizovat konfiguraci síťových zásad a zaznamenávání připojení a jejich účtování.
  • Outsourcujete svůj vytáčený, VPN nebo bezdrátový přístup k poskytovateli služeb. Přístupové servery používají protokol RADIUS k ověřování a autorizaci připojení vytvořených členy vaší organizace.
  • Chcete centralizovat ověřování, autorizaci a účtování heterogenní sady přístupových serverů.

Následující diagram znázorňuje NPS jako server RADIUS pro různé přístupové klienty.

Diagram znázorňující server NPS jako server RADIUS, který komunikuje s různými typy přístupových serverů, řadičem domény a SQL Serverem

Proxy server RADIUS

Server NPS jako proxy server RADIUS předává ověřovací a účtovací zprávy k RADIUS serverům NPS a dalším RADIUS serverům. Při použití serveru NPS jako proxy serveru RADIUS směruje zprávy RADIUS mezi klienty RADIUS a servery RADIUS. Klienti RADIUS se také označují jako servery pro přístup k síti. Servery RADIUS provádějí ověření uživatele, autorizaci a účtování pokusu o připojení.

V NPS můžete nakonfigurovat neomezený počet klientů RADIUS a vzdálených skupin serverů RADIUS. Klienty RADIUS můžete nakonfigurovat také zadáním rozsahu IP adres.

Pokud použijete NPS jako RADIUS proxy, slouží jako centrální přepínač nebo směrovací bod, přes který proudí zprávy o přístupu a účetnictví RADIUS. NPS zaznamenává informace v protokolu účtů o přeposlaných zprávách.

Použití serveru NPS jako proxy serveru RADIUS

Server NPS můžete použít jako proxy serveru RADIUS v následujících případech:

  • Jste poskytovatelem služeb, který nabízí služby vzdáleného telefonického připojení, sítě VPN nebo bezdrátové sítě pro více zákazníků. Vaše systémy úložiště připojené k síti (NAS) odesílají požadavky na připojení k proxy serveru RADIUS serveru NPS. Na základě části uživatelského jména odpovídající oblasti v požadavku na připojení předá proxy server NPS RADIUS požadavek na server RADIUS. Zákazník udržuje tento server, který může ověřit a autorizovat pokus o připojení.

  • Chcete poskytnout ověřování a autorizaci pro uživatelské účty, které nejsou členy některé z následujících domén:

    • Doména, kde je nasazení SERVERU NPS členem.
    • Doména, která má oboustranný vztah důvěry s doménou, jejíž členem je nasazení NPS.

    Mezi příklady uživatelských účtů patří účty v nedůvěryhodných doménách, jednosměrných důvěryhodných doménách a dalších doménových strukturách. Místo konfigurace přístupových serverů tak, aby odesílaly požadavky na připojení k serveru NPS RADIUS, můžete je nakonfigurovat tak, aby odesílaly žádosti o připojení na proxy serveru RADIUS serveru NPS. NPS RADIUS proxy server používá část názvu oblasti z uživatelského jména a předá požadavek na RADIUS server NPS ve správné doméně nebo lese. Pokusy o navázání spojení pro uživatelské účty v jedné doméně nebo doménové struktuře mohou být autentizovány pro systémy NAS v jiné doméně nebo doménové struktuře.

  • Chcete provést ověřování a autorizaci pomocí databáze, která není databází účtů systému Windows. V tomto případě se požadavky na připojení, které odpovídají zadanému názvu sféry, předávají serveru RADIUS, který má přístup k jiné databázi uživatelských účtů a autorizačních dat. Mezi příklady dalších uživatelských databází patří databáze NetIQ eDirectory a SQL (Structured Query Language).

  • Chcete zpracovat velký počet požadavků na připojení. V takovém případě můžete místo konfigurace klientů RADIUS, aby se pokusili vyvážit svá připojení a požadavky na účtování přes několik serverů RADIUS, nakonfigurovat je tak, aby odesílaly tyto požadavky na proxy RADIUS server NPS. Proxy server RADIUS serveru NPS dynamicky vyrovnává zatížení požadavků na připojení a účtování na více serverech RADIUS a zvyšuje zpracování velkého počtu klientů RADIUS a ověřování za sekundu.

  • Chcete zajistit ověřování a autorizaci protokolu RADIUS pro poskytovatele externích služeb a minimalizovat konfiguraci intranetové brány firewall. Intranetová brána firewall je mezi intranetem a hraniční sítí (síť mezi intranetem a internetem). Pokud umístíte server NPS do hraniční sítě, brána firewall mezi hraniční sítí a intranetem musí umožňovat tok provozu mezi serverem NPS a více řadiči domény. Pokud nahradíte nasazení NPS proxy serverem NPS, brána firewall musí povolit, aby mezi proxy serverem NPS a jedním nebo několika nasazeními NPS v intranetu proudil pouze provoz protokolu RADIUS.

Important

NpS podporuje ověřování napříč doménovými strukturami bez proxy serveru RADIUS, pokud je funkční úroveň doménové struktury Windows Server 2003 nebo vyšší a existuje obousměrný vztah důvěryhodnosti mezi doménovými strukturami. Pokud ale jako metodu ověřování používáte některou z následujících architektur s certifikáty, musíte pro ověřování napříč doménovými strukturami použít proxy server RADIUS:

  • Rozšiřitelná autentizace Protocol-Transport vrstva zabezpečení (EAP-TLS)
  • Chráněná rozšiřitelná autentizační vrstva zabezpečení (PEAP-TLSProtocol-Transport)

Následující diagram znázorňuje server NPS jako proxy server RADIUS mezi klienty RADIUS a servery RADIUS.

Diagram znázorňující server NPS jako proxy server, který používá protokol RADIUS ke komunikaci s přístupovými servery a servery RADIUS

Díky serveru NPS můžou organizace také odsoudět infrastrukturu vzdáleného přístupu poskytovateli služeb a zároveň zachovat kontrolu nad ověřováním, autorizací a účtováním uživatelů.

Konfigurace serveru NPS můžete vytvořit pro následující scénáře:

  • Bezdrátový přístup
  • Dálkový přístup pro organizaci nebo VPN připojení.
  • Externí vytáčený nebo bezdrátový přístup
  • Přístup k internetu
  • Ověřený přístup k extranetových prostředkům pro obchodní partnery

Příklady konfigurace serveru RADIUS a proxy serveru RADIUS

Následující příklady konfigurace ukazují, jak nakonfigurovat NPS jako server RADIUS a proxy server RADIUS.

NPS jako server RADIUS

V tomto příkladu se používá následující konfigurace:

  • Server NPS je nakonfigurovaný jako server RADIUS.
  • Výchozí zásada žádosti o připojení je jediná nakonfigurovaná zásada.
  • Místní server NPS RADIUS zpracovává všechny požadavky na připojení.

Server RADIUS serveru NPS může ověřovat a autorizovat uživatelské účty, které jsou v doméně serveru NPS RADIUS a v důvěryhodných doménách.

NPS jako proxy server RADIUS

V tomto příkladu je server NPS nakonfigurovaný jako proxy server RADIUS, který předává požadavky na připojení. Požadavky se předávají do vzdálených skupin serverů RADIUS ve dvou nedůvěryhodných doménách.

Odstraní se výchozí zásada žádosti o připojení. Vytvoří se dvě nové zásady žádostí o připojení pro přeposílání požadavků na obě nedůvěryhodné domény.

V tomto příkladu NPS nezpracovává žádné požadavky na připojení na místním serveru.

NPS jako server RADIUS i RADIUS proxy

V tomto příkladu se používají dvě zásady požadavků na připojení:

  • Výchozí zásada žádosti o připojení, která určuje, že se požadavky na připojení zpracovávají místně.
  • Nová zásada žádosti o připojení. Předává požadavky na připojení serveru NPS RADIUS nebo jinému serveru RADIUS v nedůvěryhodné doméně.

Druhá zásada má název zásady proxy serveru. Zobrazí se jako první v uspořádaném seznamu zásad.

  • Pokud požadavek na připojení odpovídá zásadám proxy serveru, požadavek na připojení se přesměruje na server RADIUS ve vzdálené skupině serverů RADIUS.
  • Pokud požadavek na připojení neodpovídá zásadám proxy serveru, ale odpovídá výchozí zásadě žádosti o připojení, server NPS zpracuje požadavek na připojení na místním serveru.
  • Pokud se požadavek na připojení neshoduje s některou zásadou, zahodí se.

NPS jako server RADIUS se vzdálenými účetními servery

V tomto příkladu není místní server NPS RADIUS nakonfigurovaný tak, aby prováděl účtování. Výchozí zásada žádosti o připojení je upravena tak, aby se zprávy monitorování účtů RADIUS předávaly serveru NPS RADIUS nebo jinému serveru RADIUS ve vzdálené skupině serverů RADIUS.

I když se v tomto příkladu přeposílají účetní zprávy, ověřování a autorizační zprávy se nepřeposílají. Místní server NPS RADIUS provádí ověřovací a autorizační funkce pro místní doménu a všechny důvěryhodné domény.

NPS s mapováním mezi vzdálenými uživateli RADIUS a místními uživateli Windows

V tomto příkladu funguje NPS jako server RADIUS i jako proxy server RADIUS. Server NPS zpracovává každý jednotlivý požadavek na připojení následujícím způsobem:

  • Požadavek na ověření se předá vzdálenému serveru RADIUS.
  • K autorizaci se používá místní uživatelský účet systému Windows.

Chcete-li implementovat tuto konfiguraci, nakonfigurujete vzdálený protokol RADIUS na atribut Mapování uživatelů systému Windows jako podmínku zásady žádosti o připojení. Také vytvoříte uživatelský účet místně na serveru RADIUS. Tento účet musí mít stejný název jako účet vzdáleného uživatele, proti kterému vzdálený server RADIUS provádí ověřování.

Configuration

Pokud chcete server NPS nakonfigurovat jako server RADIUS, můžete použít standardní konfiguraci nebo pokročilou konfiguraci v konzole NPS nebo ve Správci serveru. Pokud chcete server NPS nakonfigurovat jako proxy server RADIUS, musíte použít pokročilou konfiguraci.

Standardní konfigurace

Pomocí standardní konfigurace vám průvodci pomůžou nakonfigurovat NPS pro následující scénáře:

  • Server RADIUS pro telefonické připojení nebo připojení VPN
  • Server RADIUS pro bezdrátová nebo drátová připojení 802.1X

Pokud chcete nakonfigurovat server NPS pomocí průvodce, otevřete konzolu NPS, vyberte jeden z předchozích scénářů a pak vyberte odkaz pro průvodce.

Pokročilá konfigurace

Pokud používáte pokročilou konfiguraci, ručně nakonfigurujete NPS jako server RADIUS nebo RADIUS proxy.

Chcete-li nakonfigurovat server NPS pomocí pokročilé konfigurace, otevřete konzolu NPS a rozbalte položku Pokročilá konfigurace.

Následující části popisují položky rozšířené konfigurace, které jsou k dispozici.

Konfigurace serveru RADIUS

Pokud chcete server NPS nakonfigurovat jako server RADIUS, musíte nakonfigurovat klienty RADIUS, zásady sítě a účet radius.

Pokyny k provedení těchto konfigurací najdete v následujících článcích:

Konfigurace proxy serveru RADIUS

Pokud chcete server NPS nakonfigurovat jako proxy server RADIUS, musíte nakonfigurovat klienty RADIUS, skupiny vzdálených serverů RADIUS a zásady požadavků na připojení.

Pokyny k provedení těchto konfigurací najdete v následujících článcích:

Protokolování SERVERU NPS

Protokolování NPS se také označuje jako účtování RADIUS. Protokolování serveru NPS můžete nakonfigurovat tak, aby splňovalo vaše požadavky, ať už se NPS používá jako server RADIUS, proxy server nebo jakákoli kombinace těchto konfigurací.

Pokud chcete nakonfigurovat protokolování serveru NPS, musíte nakonfigurovat události, které chcete protokolovat a zobrazit pomocí Prohlížeče událostí, a pak určit, které další informace chcete protokolovat. Musíte se také rozhodnout, kam ukládat protokoly informací o ověřování a účetnictví uživatelů. K dispozici jsou následující možnosti:

  • Textové soubory protokolu uložené v místním počítači
  • Databáze SQL Serveru na místním počítači nebo ve vzdáleném počítači

Další informace naleznete v tématu Konfigurace účtování serveru správy síťových zásad.

Související obsah

  • Last updated on