Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Když nasadíte server NPS (Network Policy Server) jako proxy server RADIUS (Remote Authentication Dial-In User Service), server NPS přijme požadavky na připojení od klientů RADIUS, jako jsou servery síťového přístupu nebo jiné proxy servery RADIUS, a pak tyto požadavky na připojení předá serverům se systémem NPS nebo jinými servery RADIUS. Pomocí těchto pokynů pro plánování můžete zjednodušit nasazení protokolu RADIUS.
Tyto pokyny pro plánování nezahrnují okolnosti, ve kterých chcete nasadit NPS jako server RADIUS. Když server NPS nasadíte jako server RADIUS, nps provede ověřování, autorizaci a účtování požadavků na připojení pro místní doménu a pro domény, které důvěřují místní doméně.
Před nasazením serveru NPS jako proxy serveru RADIUS v síti naplánujte nasazení pomocí následujících pokynů.
Plánování konfigurace serveru NPS
Plánování klientů RADIUS
Plánování vzdálených skupin serverů RADIUS
Plánování pravidel manipulace s atributy pro přeposílání zpráv
Plánovat zásady žádostí o připojení
Plánování účetnictví NPS
Plánování konfigurace NPS
Pokud server NPS použijete jako proxy server RADIUS, server NPS předá požadavky na připojení serveru NPS nebo jiným serverům RADIUS ke zpracování. Z tohoto důvodu je členství v doméně proxy serveru NPS irelevantní. Proxy server nemusí být zaregistrován ve službě Active Directory Domain Services (AD DS), protože nepotřebuje přístup k vlastnostem pro dálkové připojení uživatelských účtů. Kromě toho není nutné konfigurovat zásady sítě na proxy serveru NPS, protože proxy neprovádí autorizaci pro žádosti o připojení. Proxy server NPS může být členem domény nebo může být samostatným serverem bez členství v doméně.
Server NPS musí být nakonfigurovaný tak, aby komunikoval s klienty RADIUS, označovanými také jako servery síťového přístupu, pomocí protokolu RADIUS. Kromě toho můžete nakonfigurovat typy událostí, které NPS zaznamenává v protokolu událostí, a můžete zadat popis serveru.
Klíčové kroky
Během plánování konfigurace proxy serveru NPS můžete použít následující kroky.
Určete porty RADIUS, které proxy server NPS používá k příjmu zpráv RADIUS z klientů RADIUS a k odesílání zpráv PROTOKOLU RADIUS členům vzdálených skupin serverů RADIUS. Výchozí porty UDP (User Datagram Protocol) jsou 1812 a 1645 pro ověřovací zprávy protokolu RADIUS a porty UDP 1813 a 1646 pro účetní zprávy protokolu RADIUS.
Pokud je proxy server NPS nakonfigurovaný s více síťovými adaptéry, určete adaptéry, u kterých chcete povolit provoz RADIUS.
Určete typy událostí, které má NPS zaznamenávat v protokolu událostí. Můžete protokolovat odmítnuté žádosti o připojení, úspěšné žádosti o připojení nebo obojí.
Určete, jestli nasazujete více než jeden proxy server NPS. Pokud chcete zajistit odolnost proti chybám, použijte alespoň dvě proxy servery NPS. Jeden proxy server NPS se používá jako primární proxy server RADIUS a druhý se používá jako záloha. Každý klient RADIUS se pak nakonfiguruje na obou proxy serverech NPS. Pokud primární proxy server NPS přestane být dostupný, klienti RADIUS pak posílají Access-Request zprávy do alternativního proxy serveru NPS.
Naplánujte skript použitý ke zkopírování jedné konfigurace proxy serveru NPS do jiných proxy serverů NPS, abyste ušetřili režijní náklady na správu a zabránili nesprávné konfiguraci serveru. NPS poskytuje příkazy Netsh, které umožňují zkopírovat konfiguraci proxy serveru NPS nebo její část pro import do jiného proxy serveru NPS. Příkazy můžete spustit ručně na příkazovém řádku Netsh. Pokud ale pořadí příkazů uložíte jako skript, můžete skript spustit později, pokud se rozhodnete změnit konfiguraci proxy serveru.
Plánování klientů RADIUS
Klienti RADIUS jsou servery síťového přístupu, jako jsou bezdrátové přístupové body, servery virtuální privátní sítě (VPN), přepínače s podporou 802.1X a servery pro vytáčené připojení. Proxy servery RADIUS, které přesměrovávají zprávy požadavků na připojení serverům RADIUS, jsou také klienty RADIUS. NPS podporuje všechny servery síťového přístupu a proxy servery RADIUS, které splňují protokol RADIUS, jak je popsáno v dokumentu RFC 2865, "Remote Authentication Dial-in User Service (RADIUS) a RFC 2866, "Radius Accounting" (Účet protokolu RADIUS).
Kromě toho musí být bezdrátové přístupové body i přepínače schopné ověřování 802.1X. Pokud chcete nasadit protokol EAP (Extensible Authentication Protocol) nebo protokol PEAP (Protected Extensible Authentication Protocol), musí přístupové body a přepínače podporovat použití protokolu EAP.
Pokud chcete otestovat základní interoperabilitu připojení PPP pro bezdrátové přístupové body, nakonfigurujte přístupový bod a přístupového klienta tak, aby používal protokol PAP (Password Authentication Protocol). Používejte další ověřovací protokoly založené na PPP, jako je PEAP, dokud netestujete ty, které chcete použít pro přístup k síti.
Klíčové kroky
Při plánování klientů RADIUS můžete použít následující kroky.
Zdokumentujte atributy specifické pro dodavatele (VSA), které musíte nakonfigurovat v NPS. Pokud vaše NASy vyžadují VSA, protokolujte informace o VSA pro pozdější použití při konfiguraci zásad sítě v NPS.
Zdokumentujte IP adresy klientů RADIUS a proxy serveru NPS, abyste zjednodušili konfiguraci všech zařízení. Když nasadíte klienty RADIUS, musíte je nakonfigurovat tak, aby používaly protokol RADIUS s IP adresou proxy serveru NPS zadaná jako ověřovací server. Když nakonfigurujete server NPS pro komunikaci s klienty RADIUS, musíte do modulu snap-in NPS zadat IP adresy klienta RADIUS.
Vytvořte sdílené tajné kódy pro konfiguraci klientů RADIUS a v modulu snap-in NPS. Musíte nakonfigurovat klienty RADIUS se sdíleným tajným kódem nebo heslem, které také zadáte do modulu snap-in NPS při konfiguraci klientů RADIUS v serveru NPS.
Plánování vzdálených skupin serverů RADIUS
Když nakonfigurujete vzdálenou skupinu serverů RADIUS na proxy serveru NPS, říkáte proxy serveru NPS, kam mají odesílat některé nebo všechny zprávy žádosti o připojení, které přijímá ze serverů síťového přístupu a proxy serverů NPS nebo jiných proxy serverů RADIUS.
Server NPS můžete použít jako proxy server RADIUS k předávání požadavků na připojení do jedné nebo více vzdálených skupin serverů RADIUS a každá skupina může obsahovat jeden nebo více serverů RADIUS. Pokud chcete, aby proxy server NPS předával zprávy více skupinám, nakonfigurujte jednu zásadu žádosti o připojení pro každou skupinu. Zásada žádosti o připojení obsahuje další informace, jako jsou pravidla manipulace s atributy, která serveru NPS sdělí, které zprávy mají být odeslány do vzdálené skupiny serverů RADIUS zadané v zásadách.
Skupiny vzdálených serverů RADIUS můžete nakonfigurovat pomocí příkazů Netsh pro NPS, konfigurací skupin přímo v modulu snap-in NPS v rámci skupin vzdálených serverů RADIUS nebo spuštěním průvodce novou zásadou žádosti o připojení.
Klíčové kroky
Při plánování vzdálených skupin serverů RADIUS můžete použít následující kroky.
Určete domény, které obsahují servery RADIUS, na které chcete, aby proxy server NPS předával požadavky na připojení. Tyto domény obsahují uživatelské účty pro uživatele, kteří se připojují k síti prostřednictvím klientů RADIUS, které nasadíte.
Určete, jestli potřebujete přidat nové servery RADIUS v doménách, kde ještě není nasazený protokol RADIUS.
Zdokumentujte IP adresy serverů RADIUS, které chcete přidat do vzdálených skupin serverů RADIUS.
Určete, kolik vzdálených skupin serverů RADIUS potřebujete vytvořit. V některých případech je nejlepší vytvořit jednu vzdálenou skupinu serverů RADIUS pro každou doménu a potom přidat servery RADIUS pro doménu do skupiny. Mohou však existovat případy, kdy máte v jedné doméně velké množství prostředků, včetně velkého počtu uživatelů s uživatelskými účty v doméně, velkého počtu řadičů domény a velkého počtu serverů RADIUS. Nebo vaše doména může zahrnovat velkou geografickou oblast, což způsobí, že budete mít servery pro přístup k síti a servery RADIUS v umístěních, která jsou od sebe vzdálená. V těchto a případně jiných případech můžete vytvořit více vzdálených skupin serverů RADIUS pro každou doménu.
Vytvořte sdílené tajné kódy pro konfiguraci na proxy serveru NPS a na vzdálených serverech RADIUS.
Plánování pravidel manipulace s atributy pro přeposílání zpráv
Pravidla manipulace s atributy, která jsou nakonfigurovaná v zásadách žádostí o připojení, umožňují identifikovat Access-Request zprávy, které chcete přeposlat konkrétní vzdálené skupině serverů RADIUS.
Server NPS můžete nakonfigurovat tak, aby předával všechny požadavky na připojení do jedné vzdálené skupiny serverů RADIUS bez použití pravidel manipulace s atributy.
Pokud máte více než jedno umístění, do kterého chcete předávat požadavky na připojení, musíte však vytvořit zásadu žádosti o připojení pro každé umístění, pak zásadu nakonfigurujte se vzdálenou skupinou serverů RADIUS, do které chcete předávat zprávy, a také pomocí pravidel manipulace s atributy, která serveru NPS říkají, které zprávy se mají předávat.
Můžete vytvořit pravidla pro následující atributy.
Called-Station-ID. Telefonní číslo serveru pro přístup k síti (NAS). Hodnota tohoto atributu je řetězec znaků. Pomocí syntaxe porovnávání vzorů můžete zadat směrové kódy oblastí.
Calling-Station-ID. Telefonní číslo používané volajícím. Hodnota tohoto atributu je řetězec znaků. Pomocí syntaxe porovnávání vzorů můžete zadat směrové kódy oblastí.
User-Name. Uživatelské jméno, které je poskytováno přístupovým klientem a které je zahrnuto NAS ve zprávě protokolu RADIUS Access-Request. Hodnota tohoto atributu je řetězec znaků, který obvykle obsahuje název sféry a název uživatelského účtu.
Chcete-li správně nahradit nebo převést názvy sfér v uživatelském jménu žádosti o připojení, je nutné nakonfigurovat pravidla manipulace s atributy pro atribut User-Name pro příslušné zásady žádosti o připojení.
Klíčové kroky
Během plánování pravidel manipulace s atributy můžete použít následující kroky.
Naplánujte směrování zpráv z NAS přes proxy server na vzdálené servery RADIUS a ověřte, že máte logickou cestu, pomocí které se mají zprávy předávat serverům RADIUS.
Určete jeden nebo více atributů, které chcete použít pro každou zásadu žádosti o připojení.
Zdokumentujte pravidla manipulace s atributy, která chcete použít pro každou zásadu žádosti o připojení, a přiřazovat pravidla ke vzdálené skupině serverů RADIUS, do které se zprávy přeposílají.
Plánování zásad žádostí o připojení
Výchozí zásada žádosti o připojení je nakonfigurovaná pro NPS, když se používá jako server RADIUS. Pomocí dalších zásad žádosti o připojení lze definovat konkrétnější podmínky, vytvořit pravidla pro manipulaci s atributy, která serveru NPS říkají, které zprávy se mají předávat do vzdálených skupin serverů RADIUS, a zadat pokročilé atributy. Použijte Průvodce vytvářením nových zásad žádostí o připojení k vytvoření buď běžných, nebo vlastních zásad žádostí o připojení.
Klíčové kroky
Během plánování zásad žádostí o připojení můžete použít následující kroky.
Odstraňte výchozí zásady žádosti o připojení na každém serveru se serverem NPS, který funguje výhradně jako proxy server RADIUS.
Naplánujte další podmínky a nastavení vyžadované pro každou zásadu, zkombinujte tyto informace se vzdálenou skupinou serverů RADIUS a pravidly manipulace s atributy plánovanými pro danou zásadu.
Plán navrhujte tak, aby distribuuje společné zásady žádostí o připojení do všech proxy serverů NPS. Vytvořte zásady společné pro několik proxy serverů NPS na jednom serveru NPS a pak pomocí příkazů Netsh pro NPS naimportujte zásady žádostí o připojení a konfiguraci serveru na všech ostatních proxy serverech.
Plánování účtování NPS
Když nakonfigurujete server NPS jako proxy server RADIUS, můžete ho nakonfigurovat tak, aby prováděl účtování protokolu RADIUS pomocí souborů protokolů formátu NPS, souborů protokolů kompatibilních s databází nebo protokolování serveru NPS SQL Server.
Účetní zprávy můžete také předávat vzdálené skupině serverů RADIUS, která provádí účtování pomocí jednoho z těchto formátů protokolování.
Klíčové kroky
Během plánování účtování nps můžete použít následující kroky.
Určete, jestli má proxy server NPS provádět účetní služby nebo předávat účetní zprávy vzdálené skupině serverů RADIUS pro účely účetnictví.
Pokud plánujete přeposílat účetní zprávy na jiné servery, naplánujte zakázání místního účtování proxy serveru NPS.
Pokud plánujete předávat účetní zprávy na jiné servery, naplánujte kroky konfigurace zásad žádosti o připojení. Pokud zakážete místní účtování pro proxy server NPS, každá zásada žádosti o připojení, kterou na tomto proxy serveru nakonfigurujete, musí mít povoleno a správně nakonfigurováno přesměrování účetních zpráv.
Určete formát protokolování, který chcete použít: soubory protokolů formátu IAS, soubory protokolů kompatibilní s databází nebo protokolování serveru NPS SQL Server.
Informace o konfiguraci vyrovnávání zatížení serveru NPS jako proxy serveru RADIUS najdete v tématu Vyrovnávání zatížení proxy serveru NPS.