Server Kebijakan Jaringan (NPS)

Berlaku untuk: Windows Server 2022, Windows Server 2016, Windows Server 2019

Anda dapat menggunakan topik ini untuk gambaran umum Server Kebijakan Jaringan di Windows Server 2016 dan Windows Server 2019. NPS diinstal ketika Anda menginstal fitur Kebijakan Jaringan dan Layanan Access (NPAS) di Windows Server 2016 dan Server 2019.

Catatan

Selain topik ini, dokumentasi NPS berikut tersedia.

• Praktik Terbaik Server Kebijakan Jaringan
• Memulai Server Kebijakan Jaringan
• Merencanakan Server Kebijakan Jaringan
• Menyebarkan Server Kebijakan Jaringan
• Mengelola Server Kebijakan Jaringan
• Cmdlet Network Policy Server (NPS) di Windows PowerShell untuk Windows Server 2016 dan Windows 10
• Cmdlet Network Policy Server (NPS) di Windows PowerShell untuk Windows Server 2012 R2 dan Windows 8.1
• Cmdlet NPS di Windows PowerShell untuk Windows Server 2012 dan Windows 8

Network Policy Server (NPS) memungkinkan Anda membuat dan menerapkan kebijakan akses jaringan di seluruh organisasi untuk autentikasi dan otorisasi permintaan koneksi.

Anda juga dapat mengonfigurasi NPS sebagai proksi Layanan Pengguna Dial-In Autentikasi Jarak Jauh (RADIUS) untuk meneruskan permintaan koneksi ke NPS jarak jauh atau server RADIUS lainnya sehingga Anda dapat memuat permintaan koneksi keseimbangan dan meneruskannya ke domain yang benar untuk autentikasi dan otorisasi.

NPS memungkinkan Anda mengonfigurasi dan mengelola autentikasi, otorisasi, dan akuntansi akses jaringan secara terpusat dengan fitur-fitur berikut:

• Server RADIUS. NPS melakukan autentikasi terpusat, otorisasi, dan akuntansi untuk koneksi nirkabel, pengautentikasian sakelar, dial-up akses jarak jauh, dan jaringan privat virtual (VPN). Saat Anda menggunakan NPS sebagai server RADIUS, Anda mengonfigurasi server akses jaringan, seperti titik akses nirkabel dan server VPN, sebagai klien RADIUS di NPS. Anda juga mengonfigurasi kebijakan jaringan yang digunakan NPS untuk mengotorisasi permintaan koneksi, dan Anda dapat mengonfigurasi akuntansi RADIUS sehingga informasi akuntansi log NPS untuk mencatat file di hard disk lokal atau dalam database Microsoft SQL Server. Untuk informasi selengkapnya, lihat Server RADIUS.
• Proksi RADIUS. Saat Anda menggunakan NPS sebagai proksi RADIUS, Anda mengonfigurasi kebijakan permintaan koneksi yang memberi tahu NPS permintaan koneksi mana yang akan diteruskan ke server RADIUS lain dan server RADIUS mana yang ingin Anda teruskan permintaan koneksinya. Anda juga dapat mengonfigurasi NPS untuk meneruskan data akuntansi untuk dicatat oleh satu atau beberapa komputer dalam grup server RADIUS jarak jauh. Untuk mengonfigurasi NPS sebagai server proksi RADIUS, lihat topik berikut. Untuk informasi selengkapnya, lihat proksi RADIUS.
  • Mengonfigurasi Kebijakan Permintaan Koneksi ion
• Akuntansi RADIUS. Anda dapat mengonfigurasi NPS untuk mencatat peristiwa ke file log lokal atau ke instans lokal atau jarak jauh Microsoft SQL Server. Untuk informasi selengkapnya, lihat Pengelogan NPS.

Penting

Network Access Protection (NAP), Health Registration Authority (HRA), dan Host Credential Authorization Protocol (HCAP) tidak digunakan lagi di Windows Server 2012 R2, dan tidak tersedia di Windows Server 2016. Jika Anda memiliki penyebaran NAP menggunakan sistem operasi yang lebih lama dari Windows Server 2016, Anda tidak dapat memigrasikan penyebaran NAP Anda ke Windows Server 2016.

Anda dapat mengonfigurasi NPS dengan kombinasi fitur-fitur ini. Misalnya, Anda dapat mengonfigurasi satu NPS sebagai server RADIUS untuk koneksi VPN dan juga sebagai proksi RADIUS untuk meneruskan beberapa permintaan koneksi ke anggota grup server RADIUS jarak jauh untuk autentikasi dan otorisasi di domain lain.

Windows Server Editions dan NPS

NPS menyediakan fungsionalitas yang berbeda tergantung pada edisi Windows Server yang Anda instal.

Windows Server 2016 atau Windows Server 2019 Standard/Datacenter Edition

Dengan NPS di Windows Server 2016 Standard atau Datacenter, Anda dapat mengonfigurasi jumlah klien RADIUS yang tidak terbatas dan grup server RADIUS jarak jauh. Selain itu, Anda dapat mengonfigurasi klien RADIUS dengan menentukan rentang alamat IP.

Catatan

Fitur Kebijakan Jaringan dan Layanan Access WIndows tidak tersedia pada sistem yang diinstal dengan opsi penginstalan Server Core.

Bagian berikut memberikan informasi lebih rinci tentang NPS sebagai server dan proksi RADIUS.

Server dan proksi RADIUS

Anda dapat menggunakan NPS sebagai server RADIUS, proksi RADIUS, atau keduanya.

Server RADIUS

NPS adalah implementasi Microsoft dari standar RADIUS yang ditentukan oleh Internet Engineering Task Force (IETF) di RFC 2865 dan 2866. Sebagai server RADIUS, NPS melakukan autentikasi koneksi terpusat, otorisasi, dan akuntansi untuk berbagai jenis akses jaringan, termasuk koneksi jarak jauh nirkabel, pengautentikasian, dial-up, dan jaringan privat virtual (VPN), dan koneksi router-ke-router.

Catatan

Untuk informasi tentang menyebarkan NPS sebagai server RADIUS, lihat Menyebarkan Server Kebijakan Jaringan.

NPS memungkinkan penggunaan perangkat nirkabel, sakelar, akses jarak jauh, atau VPN yang heterogen. Anda dapat menggunakan NPS dengan layanan Akses Jarak Jauh, yang tersedia di Windows Server 2016.

NPS menggunakan domain Active Directory Domain Services (AD DS) atau database akun pengguna Security Accounts Manager (SAM) lokal untuk mengautentikasi kredensial pengguna untuk upaya koneksi. Saat server yang menjalankan NPS adalah anggota domain AD DS, NPS menggunakan layanan direktori sebagai database akun penggunanya dan merupakan bagian dari solusi akses menyeluruh. Set kredensial yang sama digunakan untuk kontrol akses jaringan (mengautentikasi dan mengotorisasi akses ke jaringan) dan untuk masuk ke domain AD DS.

Catatan

NPS menggunakan properti dial-in dari akun pengguna dan kebijakan jaringan untuk mengotorisasi koneksi.

Penyedia layanan internet (ISP) dan organisasi yang mempertahankan akses jaringan memiliki tantangan yang meningkat dalam mengelola semua jenis akses jaringan dari satu titik administrasi, terlepas dari jenis peralatan akses jaringan yang digunakan. Standar RADIUS mendukung fungsionalitas ini di lingkungan homogen dan heterogen. RADIUS adalah protokol server klien yang memungkinkan peralatan akses jaringan (digunakan sebagai klien RADIUS) untuk mengirimkan permintaan autentikasi dan akuntansi ke server RADIUS.

Server RADIUS memiliki akses ke informasi akun pengguna dan dapat memeriksa kredensial autentikasi akses jaringan. Jika kredensial pengguna diautentikasi dan upaya koneksi diotorisasi, server RADIUS mengotorisasi akses pengguna berdasarkan kondisi yang ditentukan, lalu mencatat koneksi akses jaringan dalam log akuntansi. Penggunaan RADIUS memungkinkan autentikasi, otorisasi, dan data akuntansi pengguna akses jaringan dikumpulkan dan dikelola di lokasi pusat, bukan di setiap server akses.

Menggunakan NPS sebagai server RADIUS

Anda dapat menggunakan NPS sebagai server RADIUS saat:

• Anda menggunakan domain AD DS atau database akun pengguna SAM lokal sebagai database akun pengguna Anda untuk mengakses klien.
• Anda menggunakan Akses Jarak Jauh pada beberapa server dial-up, server VPN, atau perute putar-nomor permintaan dan Anda ingin mempusatkan konfigurasi kebijakan jaringan dan pengelogan koneksi dan akuntansi.
• Anda melakukan outsourcing akses dial-up, VPN, atau nirkabel ke penyedia layanan. Server akses menggunakan RADIUS untuk mengautentikasi dan mengotorisasi koneksi yang dibuat oleh anggota organisasi Anda.
• Anda ingin mempusatkan autentikasi, otorisasi, dan akuntansi untuk sekumpulan server akses heterogen.

Ilustrasi berikut menunjukkan NPS sebagai server RADIUS untuk berbagai klien akses.

Proksi RADIUS

Sebagai proksi RADIUS, NPS meneruskan pesan autentikasi dan akuntansi ke NPS dan server RADIUS lainnya. Anda dapat menggunakan NPS sebagai proksi RADIUS untuk menyediakan perutean pesan RADIUS antara klien RADIUS (juga disebut server akses jaringan) dan server RADIUS yang melakukan autentikasi, otorisasi, dan akuntansi pengguna untuk upaya koneksi.

Saat digunakan sebagai proksi RADIUS, NPS adalah titik pengalihan atau perutean pusat di mana akses RADIUS dan pesan akuntansi mengalir. NPS merekam informasi dalam log akuntansi tentang pesan yang diteruskan.

Menggunakan NPS sebagai proksi RADIUS

Anda dapat menggunakan NPS sebagai proksi RADIUS saat:

• Anda adalah penyedia layanan yang menawarkan layanan dial-up outsourcing, VPN, atau akses jaringan nirkabel ke beberapa pelanggan. NAS Anda mengirim permintaan koneksi ke proksi NPS RADIUS. Berdasarkan bagian realm nama pengguna dalam permintaan koneksi, proksi NPS RADIUS meneruskan permintaan koneksi ke server RADIUS yang dikelola oleh pelanggan dan dapat mengautentikasi dan mengotorisasi upaya koneksi.
• Anda ingin memberikan autentikasi dan otorisasi untuk akun pengguna yang bukan anggota domain tempat NPS adalah anggota atau domain lain yang memiliki kepercayaan dua arah dengan domain tempat NPS adalah anggota. Ini termasuk akun di domain yang tidak tepercaya, domain tepercaya satu arah, dan forest lainnya. Alih-alih mengonfigurasi server akses Anda untuk mengirim permintaan koneksi mereka ke server NPS RADIUS, Anda dapat mengonfigurasinya untuk mengirim permintaan koneksi mereka ke proksi RADIUS NPS. Proksi RADIUS NPS menggunakan bagian nama realm dari nama pengguna dan meneruskan permintaan ke NPS di domain atau forest yang benar. upaya Koneksi ion untuk akun pengguna dalam satu domain atau forest dapat diautentikasi untuk NAS di domain atau forest lain.
• Anda ingin melakukan autentikasi dan otorisasi dengan menggunakan database yang bukan database akun Windows. Dalam hal ini, permintaan koneksi yang cocok dengan nama realm tertentu diteruskan ke server RADIUS, yang memiliki akses ke database akun pengguna dan data otorisasi yang berbeda. Contoh database pengguna lain termasuk database Novell Directory Services (NDS) dan Bahasa Permintaan Terstruktur (SQL).
• Anda ingin memproses sejumlah besar permintaan koneksi. Dalam hal ini, alih-alih mengonfigurasi klien RADIUS Anda untuk mencoba menyeimbangkan permintaan koneksi dan akuntansi mereka di beberapa server RADIUS, Anda dapat mengonfigurasinya untuk mengirim permintaan koneksi dan akuntansi mereka ke proksi RADIUS NPS. Proksi NPS RADIUS secara dinamis menyeimbangkan beban permintaan koneksi dan akuntansi di beberapa server RADIUS dan meningkatkan pemrosesan sejumlah besar klien dan autentikasi RADIUS per detik.
• Anda ingin menyediakan autentikasi dan otorisasi RADIUS untuk penyedia layanan outsourcing dan meminimalkan konfigurasi firewall intranet. Firewall intranet berada di antara jaringan perimeter Anda (jaringan antara intranet anda dan Internet) dan intranet. Dengan menempatkan NPS di jaringan perimeter Anda, firewall antara jaringan perimeter dan intranet Anda harus memungkinkan lalu lintas mengalir antara NPS dan beberapa pengontrol domain. Dengan mengganti NPS dengan proksi NPS, firewall hanya boleh mengizinkan lalu lintas RADIUS mengalir antara proksi NPS dan satu atau beberapa NPS dalam intranet Anda.

Penting

NPS mendukung autentikasi di seluruh forest tanpa proksi RADIUS ketika tingkat fungsional forest adalah Windows Server 2003 atau lebih tinggi dan ada hubungan kepercayaan dua arah antara forest. Tetapi, jika Anda menggunakan EAP-TLS atau PEAP-TLS dengan sertifikat sebagai metode autentikasi Anda, Anda HARUS menggunakan proksi RADIUS untuk autentikasi di seluruh forest.

Ilustrasi berikut menunjukkan NPS sebagai proksi RADIUS antara klien RADIUS dan server RADIUS.

Dengan NPS, organisasi juga dapat mengalihdayakan infrastruktur akses jarak jauh ke penyedia layanan sambil mempertahankan kontrol atas autentikasi, otorisasi, dan akuntansi pengguna.

Konfigurasi NPS dapat dibuat untuk skenario berikut:

• Akses nirkabel
• Akses jarak jauh dial-up organisasi atau jaringan privat virtual (VPN)
• Akses dial-up atau nirkabel outsourcing
• Akses internet
• Akses terautentikasi ke sumber daya ekstranet untuk mitra bisnis

Contoh konfigurasi proksi server RADIUS dan RADIUS

Contoh konfigurasi berikut menunjukkan bagaimana Anda dapat mengonfigurasi NPS sebagai server RADIUS dan proksi RADIUS.

NPS sebagai server RADIUS. Dalam contoh ini, NPS dikonfigurasi sebagai server RADIUS, kebijakan permintaan koneksi default adalah satu-satunya kebijakan yang dikonfigurasi, dan semua permintaan koneksi diproses oleh NPS lokal. NPS dapat mengautentikasi dan mengotorisasi pengguna yang akunnya berada di domain NPS dan di domain tepercaya.

NPS sebagai proksi RADIUS. Dalam contoh ini, NPS dikonfigurasi sebagai proksi RADIUS yang meneruskan permintaan koneksi ke grup server RADIUS jarak jauh di dua domain yang tidak tepercaya. Kebijakan permintaan koneksi default dihapus, dan dua kebijakan permintaan koneksi baru dibuat untuk meneruskan permintaan ke masing-masing dari dua domain yang tidak tepercaya. Dalam contoh ini, NPS tidak memproses permintaan koneksi apa pun di server lokal.

NPS sebagai server RADIUS dan proksi RADIUS. Selain kebijakan permintaan koneksi default, yang menunjuk bahwa permintaan koneksi diproses secara lokal, kebijakan permintaan koneksi baru dibuat yang meneruskan permintaan koneksi ke NPS atau server RADIUS lainnya di domain yang tidak tepercaya. Kebijakan kedua ini diberi nama kebijakan Proksi. Dalam contoh ini, kebijakan Proksi muncul terlebih dahulu dalam daftar kebijakan yang diurutkan. Jika permintaan koneksi cocok dengan kebijakan Proksi, permintaan koneksi diteruskan ke server RADIUS di grup server RADIUS jarak jauh. Jika permintaan koneksi tidak cocok dengan kebijakan Proksi tetapi cocok dengan kebijakan permintaan koneksi default, NPS memproses permintaan koneksi di server lokal. Jika permintaan koneksi tidak cocok dengan salah satu kebijakan, permintaan tersebut akan dibuang.

NPS sebagai server RADIUS dengan server akuntansi jarak jauh. Dalam contoh ini, NPS lokal tidak dikonfigurasi untuk melakukan akuntansi dan kebijakan permintaan koneksi default direvisi sehingga pesan akuntansi RADIUS diteruskan ke NPS atau server RADIUS lainnya dalam grup server RADIUS jarak jauh. Meskipun pesan akuntansi diteruskan, pesan autentikasi dan otorisasi tidak diteruskan, dan NPS lokal melakukan fungsi ini untuk domain lokal dan semua domain tepercaya.

NPS dengan pemetaan pengguna RADIUS jarak jauh ke Windows. Dalam contoh ini, NPS bertindak sebagai server RADIUS dan sebagai proksi RADIUS untuk setiap permintaan koneksi individu dengan meneruskan permintaan autentikasi ke server RADIUS jarak jauh saat menggunakan akun pengguna Windows lokal untuk otorisasi. Konfigurasi ini diimplementasikan dengan mengonfigurasi atribut Remote RADIUS ke Windows User Mapping sebagai kondisi kebijakan permintaan koneksi. (Selain itu, akun pengguna harus dibuat secara lokal di server RADIUS yang memiliki nama yang sama dengan akun pengguna jarak jauh yang melakukan autentikasi oleh server RADIUS jarak jauh.)

Konfigurasi

Untuk mengonfigurasi NPS sebagai server RADIUS, Anda dapat menggunakan konfigurasi standar atau konfigurasi lanjutan di konsol NPS atau di Manajer Server. Untuk mengonfigurasi NPS sebagai proksi RADIUS, Anda harus menggunakan konfigurasi tingkat lanjut.

Konfigurasi standar

Dengan konfigurasi standar, wizard disediakan untuk membantu Anda mengonfigurasi NPS untuk skenario berikut:

• Server RADIUS untuk sambungan dial-up atau VPN
• Server RADIUS untuk koneksi nirkabel atau kabel 802.1X

Untuk mengonfigurasi NPS menggunakan wizard, buka konsol NPS, pilih salah satu skenario sebelumnya, lalu klik tautan yang membuka wizard.

Konfigurasi tingkat lanjut

Saat Anda menggunakan konfigurasi tingkat lanjut, Anda mengonfigurasi NPS secara manual sebagai server RADIUS atau proksi RADIUS.

Untuk mengonfigurasi NPS dengan menggunakan konfigurasi tingkat lanjut, buka konsol NPS, lalu klik panah di samping Konfigurasi Tingkat Lanjut untuk memperluas bagian ini.

Item konfigurasi tingkat lanjut berikut disediakan.

Mengonfigurasi server RADIUS

Untuk mengonfigurasi NPS sebagai server RADIUS, Anda harus mengonfigurasi klien RADIUS, kebijakan jaringan, dan akuntansi RADIUS.

Untuk petunjuk tentang membuat konfigurasi ini, lihat topik berikut.

• Mengonfigurasi Klien RADIUS
• Mengonfigurasi Kebijakan Jaringan
• Mengonfigurasi Akuntansi Server Kebijakan Jaringan

Mengonfigurasi proksi RADIUS

Untuk mengonfigurasi NPS sebagai proksi RADIUS, Anda harus mengonfigurasi klien RADIUS, grup server RADIUS jarak jauh, dan kebijakan permintaan koneksi.

Untuk petunjuk tentang membuat konfigurasi ini, lihat topik berikut.

• Mengonfigurasi Klien RADIUS
• Mengonfigurasi Grup Server RADIUS Jarak Jauh
• Mengonfigurasi Kebijakan Permintaan Koneksi ion

Pengelogan NPS

Pengelogan NPS juga disebut akuntansi RADIUS. Konfigurasikan pengelogan NPS ke persyaratan Anda apakah NPS digunakan sebagai server RADIUS, proksi, atau kombinasi konfigurasi ini.

Untuk mengonfigurasi pengelogan NPS, Anda harus mengonfigurasi peristiwa mana yang ingin Anda catat dan lihat dengan Pemantau Peristiwa, lalu menentukan informasi lain mana yang ingin Anda catat. Selain itu, Anda harus memutuskan apakah Anda ingin mencatat autentikasi pengguna dan informasi akuntansi ke file log teks yang disimpan di komputer lokal atau ke database SQL Server di komputer lokal atau komputer jarak jauh.

Untuk informasi selengkapnya, lihat Mengonfigurasi Akuntansi Server Kebijakan Jaringan.