Merencanakan NPS sebagai proksi RADIUS

• Berlaku untuk:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Azure Stack HCI, versions 23H2 and 22H2

Saat Anda menyebarkan Server Kebijakan Jaringan (NPS) sebagai proksi Layanan Pengguna Dial-In Autentikasi Jarak Jauh (RADIUS), NPS menerima permintaan koneksi dari klien RADIUS, seperti server akses jaringan atau proksi RADIUS lainnya, lalu meneruskan permintaan koneksi ini ke server yang menjalankan NPS atau server RADIUS lainnya. Anda dapat menggunakan panduan perencanaan ini untuk menyederhanakan penyebaran RADIUS Anda.

Panduan perencanaan ini tidak mencakup keadaan di mana Anda ingin menyebarkan NPS sebagai server RADIUS. Saat Anda menyebarkan NPS sebagai server RADIUS, NPS melakukan autentikasi, otorisasi, dan akuntansi untuk permintaan koneksi untuk domain lokal dan untuk domain yang mempercayai domain lokal.

Sebelum Anda menyebarkan NPS sebagai proksi RADIUS di jaringan Anda, gunakan panduan berikut untuk merencanakan penyebaran Anda.

• Merencanakan konfigurasi NPS.

• Merencanakan klien RADIUS.

• Rencanakan grup server RADIUS jarak jauh.

• Rencanakan aturan manipulasi atribut untuk penerusan pesan.

• Merencanakan kebijakan permintaan koneksi.

• Merencanakan akuntansi NPS.

Merencanakan konfigurasi NPS

Saat Anda menggunakan NPS sebagai proksi RADIUS, NPS meneruskan permintaan koneksi ke NPS atau server RADIUS lainnya untuk diproses. Karena itu, keanggotaan domain proksi NPS tidak relevan. Proksi tidak perlu didaftarkan di Active Directory Domain Services (AD DS) karena tidak memerlukan akses ke properti dial-in akun pengguna. Selain itu, Anda tidak perlu mengonfigurasi kebijakan jaringan pada proksi NPS karena proksi tidak melakukan otorisasi untuk permintaan koneksi. Proksi NPS dapat menjadi anggota domain atau dapat menjadi server yang berdiri sendiri tanpa keanggotaan domain.

NPS harus dikonfigurasi untuk berkomunikasi dengan klien RADIUS, juga disebut server akses jaringan, dengan menggunakan protokol RADIUS. Selain itu, Anda dapat mengonfigurasi jenis peristiwa yang dicatat NPS di log peristiwa dan Anda dapat memasukkan deskripsi untuk server.

Langkah-langkah utama

Selama perencanaan untuk konfigurasi proksi NPS, Anda dapat menggunakan langkah-langkah berikut.

• Tentukan port RADIUS yang digunakan proksi NPS untuk menerima pesan RADIUS dari klien RADIUS dan untuk mengirim pesan RADIUS ke anggota grup server RADIUS jarak jauh. Port Protokol Datagram Pengguna (UDP) default adalah 1812 dan 1645 untuk pesan autentikasi RADIUS dan port UDP 1813 dan 1646 untuk pesan akuntansi RADIUS.

• Jika proksi NPS dikonfigurasi dengan beberapa adaptor jaringan, tentukan adaptor tempat Anda ingin lalu lintas RADIUS diizinkan.

• Tentukan jenis peristiwa yang Anda inginkan untuk direkam NPS di Log Peristiwa. Anda dapat mencatat permintaan koneksi yang ditolak, permintaan koneksi yang berhasil, atau keduanya.

• Tentukan apakah Anda menyebarkan lebih dari satu proksi NPS. Untuk memberikan toleransi kesalahan, gunakan setidaknya dua proksi NPS. Satu proksi NPS digunakan sebagai proksi RADIUS utama dan yang lainnya digunakan sebagai cadangan. Setiap klien RADIUS kemudian dikonfigurasi pada kedua proksi NPS. Jika proksi NPS utama menjadi tidak tersedia, klien RADIUS kemudian mengirim pesan Access-Request ke proksi NPS alternatif.

• Rencanakan skrip yang digunakan untuk menyalin satu konfigurasi proksi NPS ke proksi NPS lain untuk menghemat overhead administratif dan untuk mencegah konfigurasi server yang salah. NPS menyediakan perintah Netsh yang memungkinkan Anda menyalin semua atau sebagian konfigurasi proksi NPS untuk diimpor ke proksi NPS lain. Anda dapat menjalankan perintah secara manual di prompt Netsh. Namun, jika Anda menyimpan urutan perintah sebagai skrip, Anda dapat menjalankan skrip di kemudian hari jika Anda memutuskan untuk mengubah konfigurasi proksi Anda.

Merencanakan klien RADIUS

Klien RADIUS adalah server akses jaringan, seperti titik akses nirkabel, server jaringan privat virtual (VPN), sakelar berkemampuan 802.1X, dan server dial-up. Proksi RADIUS, yang meneruskan pesan permintaan koneksi ke server RADIUS, juga merupakan klien RADIUS. NPS mendukung semua server akses jaringan dan proksi RADIUS yang mematuhi protokol RADIUS, seperti yang dijelaskan dalam RFC 2865, "Layanan Pengguna Dial-in Autentikasi Jarak Jauh (RADIUS)," dan RFC 2866, "Akuntansi RADIUS."

Selain itu, titik akses nirkabel dan sakelar harus mampu melakukan autentikasi 802.1X. Jika Anda ingin menyebarkan Extensible Authentication Protocol (EAP) atau Protected Extensible Authentication Protocol (PEAP), titik akses dan sakelar harus mendukung penggunaan EAP.

Untuk menguji interoperabilitas dasar untuk koneksi PPP untuk titik akses nirkabel, konfigurasikan titik akses dan klien akses untuk menggunakan Protokol Autentikasi Kata Sandi (PAP). Gunakan protokol autentikasi berbasis PPP tambahan, seperti PEAP, hingga Anda menguji protokol yang ingin Anda gunakan untuk akses jaringan.

Langkah-langkah utama

Selama perencanaan untuk klien RADIUS, Anda dapat menggunakan langkah-langkah berikut.

• Dokumentasikan atribut khusus vendor (VSAs) yang harus Anda konfigurasi di NPS. Jika NAS Anda memerlukan VSAs, catat informasi VSA untuk digunakan nanti saat Anda mengonfigurasi kebijakan jaringan di NPS.

• Dokumentasikan alamat IP klien RADIUS dan proksi NPS Anda untuk menyederhanakan konfigurasi semua perangkat. Saat menyebarkan klien RADIUS, Anda harus mengonfigurasinya untuk menggunakan protokol RADIUS, dengan alamat IP proksi NPS dimasukkan sebagai server autentikasi. Dan ketika Mengonfigurasi NPS untuk berkomunikasi dengan klien RADIUS, Anda harus memasukkan alamat IP klien RADIUS ke dalam snap-in NPS.

• Buat rahasia bersama untuk konfigurasi pada klien RADIUS dan di snap-in NPS. Anda harus mengonfigurasi klien RADIUS dengan rahasia bersama, atau kata sandi, yang juga akan Anda masukkan ke dalam snap-in NPS saat mengonfigurasi klien RADIUS di NPS.

Merencanakan grup server RADIUS jarak jauh

Saat Anda mengonfigurasi grup server RADIUS jarak jauh pada proksi NPS, Anda memberi tahu proksi NPS tempat mengirim beberapa atau semua pesan permintaan koneksi yang diterimanya dari server akses jaringan dan proksi NPS atau proksi RADIUS lainnya.

Anda dapat menggunakan NPS sebagai proksi RADIUS untuk meneruskan permintaan koneksi ke satu atau beberapa grup server RADIUS jarak jauh, dan setiap grup dapat berisi satu atau beberapa server RADIUS. Saat Anda ingin proksi NPS meneruskan pesan ke beberapa grup, konfigurasikan satu kebijakan permintaan koneksi per grup. Kebijakan permintaan koneksi berisi informasi tambahan, seperti aturan manipulasi atribut, yang memberi tahu proksi NPS pesan mana yang akan dikirim ke grup server RADIUS jarak jauh yang ditentukan dalam kebijakan.

Anda dapat mengonfigurasi grup server RADIUS jarak jauh dengan menggunakan perintah Netsh untuk NPS, dengan mengonfigurasi grup langsung di snap-in NPS di bawah Grup Server RADIUS Jarak Jauh, atau dengan menjalankan wizard Kebijakan Permintaan Koneksi Baru.

Langkah-langkah utama

Selama perencanaan untuk grup server RADIUS jarak jauh, Anda dapat menggunakan langkah-langkah berikut.

• Tentukan domain yang berisi server RADIUS tempat Anda ingin proksi NPS meneruskan permintaan koneksi. Domain ini berisi akun pengguna untuk pengguna yang terhubung ke jaringan melalui klien RADIUS yang Anda sebarkan.

• Tentukan apakah Anda perlu menambahkan server RADIUS baru di domain tempat RADIUS belum disebarkan.

• Dokumentasikan alamat IP server RADIUS yang ingin Anda tambahkan ke grup server RADIUS jarak jauh.

• Tentukan berapa banyak grup server RADIUS jarak jauh yang perlu Anda buat. Dalam beberapa kasus, yang terbaik adalah membuat satu grup server RADIUS jarak jauh per domain, lalu menambahkan server RADIUS untuk domain ke grup. Namun, mungkin ada kasus di mana Anda memiliki sejumlah besar sumber daya dalam satu domain, termasuk sejumlah besar pengguna dengan akun pengguna di domain, sejumlah besar pengontrol domain, dan sejumlah besar server RADIUS. Atau domain Anda mungkin mencakup area geografis yang besar, menyebabkan Anda memiliki server akses jaringan dan server RADIUS di lokasi yang jauh satu sama lain. Dalam kasus ini dan mungkin kasus lain, Anda dapat membuat beberapa grup server RADIUS jarak jauh per domain.

• Buat rahasia bersama untuk konfigurasi pada proksi NPS dan di server RADIUS jarak jauh.

Merencanakan aturan manipulasi atribut untuk penerusan pesan

Aturan manipulasi atribut, yang dikonfigurasi dalam kebijakan permintaan koneksi, memungkinkan Anda mengidentifikasi pesan Permintaan Akses yang ingin Anda teruskan ke grup server RADIUS jarak jauh tertentu.

Anda dapat mengonfigurasi NPS untuk meneruskan semua permintaan koneksi ke satu grup server RADIUS jarak jauh tanpa menggunakan aturan manipulasi atribut.

Namun, jika Anda memiliki lebih dari satu lokasi yang ingin Anda teruskan permintaan koneksinya, Anda harus membuat kebijakan permintaan koneksi untuk setiap lokasi, lalu mengonfigurasi kebijakan dengan grup server RADIUS jarak jauh yang ingin Anda teruskan pesannya serta dengan aturan manipulasi atribut yang memberi tahu NPS pesan mana yang akan diteruskan.

Anda dapat membuat aturan untuk atribut berikut.

• Disebut-Station-ID. Nomor telepon server akses jaringan (NAS). Nilai atribut ini adalah string karakter. Anda dapat menggunakan sintaks pencocokan pola untuk menentukan kode area.

• Memanggil-Station-ID. Nomor telepon yang digunakan oleh penelepon. Nilai atribut ini adalah string karakter. Anda dapat menggunakan sintaks pencocokan pola untuk menentukan kode area.

• Nama Pengguna. Nama pengguna yang disediakan oleh klien akses dan disertakan oleh NAS dalam pesan RADIUS Access-Request. Nilai atribut ini adalah string karakter yang biasanya berisi nama realm dan nama akun pengguna.

Untuk mengganti atau mengonversi nama realm dengan benar dalam nama pengguna permintaan koneksi, Anda harus mengonfigurasi aturan manipulasi atribut untuk atribut Nama Pengguna pada kebijakan permintaan koneksi yang sesuai.

Langkah-langkah utama

Selama perencanaan untuk aturan manipulasi atribut, Anda dapat menggunakan langkah-langkah berikut.

• Rencanakan perutean pesan dari NAS melalui proksi ke server RADIUS jarak jauh untuk memverifikasi bahwa Anda memiliki jalur logis untuk meneruskan pesan ke server RADIUS.

• Tentukan satu atau beberapa atribut yang ingin Anda gunakan untuk setiap kebijakan permintaan koneksi.

• Dokumentasikan aturan manipulasi atribut yang Anda rencanakan untuk digunakan untuk setiap kebijakan permintaan koneksi, dan cocokkan aturan dengan grup server RADIUS jarak jauh tempat pesan diteruskan.

Merencanakan kebijakan permintaan koneksi

Kebijakan permintaan koneksi default dikonfigurasi untuk NPS saat digunakan sebagai server RADIUS. Kebijakan permintaan koneksi tambahan dapat digunakan untuk menentukan kondisi yang lebih spesifik, membuat aturan manipulasi atribut yang memberi tahu NPS pesan mana yang akan diteruskan ke grup server RADIUS jarak jauh, dan untuk menentukan atribut tingkat lanjut. Gunakan Wizard Kebijakan Permintaan Koneksi Baru untuk membuat kebijakan permintaan koneksi umum atau kustom.

Langkah-langkah utama

Selama perencanaan kebijakan permintaan koneksi, Anda dapat menggunakan langkah-langkah berikut.

• Hapus kebijakan permintaan koneksi default di setiap server yang menjalankan NPS yang hanya berfungsi sebagai proksi RADIUS.

• Rencanakan kondisi dan pengaturan tambahan yang diperlukan untuk setiap kebijakan, menggabungkan informasi ini dengan grup server RADIUS jarak jauh dan aturan manipulasi atribut yang direncanakan untuk kebijakan tersebut.

• Rancang rencana untuk mendistribusikan kebijakan permintaan koneksi umum ke semua proksi NPS. Buat kebijakan umum untuk beberapa proksi NPS pada satu NPS, lalu gunakan perintah Netsh untuk NPS untuk mengimpor kebijakan permintaan koneksi dan konfigurasi server pada semua proksi lainnya.

Merencanakan akuntansi NPS

Saat mengonfigurasi NPS sebagai proksi RADIUS, Anda dapat mengonfigurasinya untuk melakukan akuntansi RADIUS dengan menggunakan file log format NPS, file log format yang kompatibel dengan database, atau pengelogan NPS SQL Server.

Anda juga dapat meneruskan pesan akuntansi ke grup server RADIUS jarak jauh yang melakukan akuntansi dengan menggunakan salah satu format pengelogan ini.

Langkah-langkah utama

Selama perencanaan akuntansi NPS, Anda dapat menggunakan langkah-langkah berikut.

• Tentukan apakah Anda ingin proksi NPS melakukan layanan akuntansi atau meneruskan pesan akuntansi ke grup server RADIUS jarak jauh untuk akuntansi.

• Rencanakan untuk menonaktifkan akuntansi proksi NPS lokal jika Anda berencana untuk meneruskan pesan akuntansi ke server lain.

• Rencanakan langkah-langkah konfigurasi kebijakan permintaan koneksi jika Anda berencana untuk meneruskan pesan akuntansi ke server lain. Jika Anda menonaktifkan akuntansi lokal untuk proksi NPS, setiap kebijakan permintaan koneksi yang Anda konfigurasikan pada proksi tersebut harus mengaktifkan penerusan pesan akuntansi dan dikonfigurasi dengan benar.

• Tentukan format pengelogan yang ingin Anda gunakan: File log format IAS, file log format yang kompatibel dengan database, atau pengelogan NPS SQL Server.

Untuk mengonfigurasi penyeimbangan beban untuk NPS sebagai proksi RADIUS, lihat Penyeimbangan Beban Server Proksi NPS.