NPS plannen en implementeren
NPS voert gecentraliseerde verbinding autenticatie, autorisatie en registratie uit voor draadloze netwerken, RD Gateway-servers, authenticerende switches, VPN's en inbelverbindingen. Contoso moet echter eerst het netwerkbeleid configureren dat NPS gebruikt om verbindingsaanvragen te autoriseren en ze kunnen er ook voor kiezen om RADIUS-accounting te configureren, zodat NPS accountinggegevens registreert om bestanden op de lokale harde schijf of in een Microsoft SQL Server-database te registreren.
Een NPS-verificatiemethode kiezen
NPS verifieert en autoriseert een verbindingsaanvraag voordat toegang wordt toegestaan of geweigerd wanneer gebruikers via NAS's verbinding met uw netwerk proberen te maken. Wanneer u NPS implementeert, kunt u het vereiste type verificatiemethode opgeven voor toegang tot uw netwerk.
De volgende verificatiemethoden worden ondersteund door NPS:
- PAP
- Shiva Wachtwoordauthenticatieprotocol (SPAP)
- KEREL
- MS-CHAP
- MS-CHAP v2
- EAP
Aanbeveling
Wanneer u EAP als verificatiemethode kiest, vindt de onderhandeling van het EAP-type plaats tussen de toegangsclient en de NPS-server.
Waarschuwing
Gebruik PAP, SPAP, CHAP of MS-CHAP niet in een productieomgeving omdat ze als zeer onveilig worden beschouwd.
NPS-boekhouding
U moet ook overwegen hoe u logboekregistratie voor NPS moet configureren. U kunt aanvragen voor gebruikersverificatie en accountingaanvragen registreren voor logboekbestanden in tekstindeling of database-indeling, of u kunt zich aanmelden bij een opgeslagen procedure in een Microsoft SQL Server-database. Gebruik aanvraaglogboekregistratie voornamelijk voor verbindingsanalyse- en factureringsdoeleinden en als hulpprogramma voor beveiligingsonderzoek, omdat u hiermee de activiteit van een hacker kunt identificeren.
Beleid voor NPS configureren
NPS ondersteunt beleid voor verbindingsaanvragen en netwerkbeleid. Deze worden beschreven in de volgende tabel.
| Typologie | Beschrijving |
|---|---|
| Beleid voor verbindingsaanvragen | Met beleid voor verbindingsaanvragen kunt u kiezen of de lokale NPS-server verbindingsaanvragen verwerkt of doorstuurt naar een andere RADIUS-server voor verwerking |
| Netwerkbeleid | Met netwerkbeleid kunt u aangeven welke gebruikers u machtigt om verbinding te maken met uw netwerk en de omstandigheden waaronder ze wel of niet verbinding kunnen maken. |
Netwerkbeleid instellen
Een netwerkbeleid is een set voorwaarden, beperkingen en instellingen waarmee u kunt opgeven wie u machtigt om verbinding te maken met het netwerk en de omstandigheden waaronder ze wel of niet verbinding kunnen maken. Elk netwerkbeleid heeft vier categorieën eigenschappen.
| Vastgoed | Beschrijving |
|---|---|
| Overzicht | Met overzichtseigenschappen kunt u opgeven of het beleid is ingeschakeld, of het beleid toegang verleent of weigert en of verbindingsaanvragen een specifieke netwerkverbindingsmethode of het type netwerktoegangsserver vereisen. Met overzichtseigenschappen kunt u ook opgeven of u de inbeleigenschappen van gebruikersaccounts in AD DS wilt negeren. Als u deze optie selecteert, gebruikt NPS alleen de instellingen van het netwerkbeleid om te bepalen of de verbinding moet worden geautoriseerd. |
| Voorwaarden | Met deze eigenschappen kunt u de voorwaarden opgeven die de verbindingsaanvraag moet hebben om overeen te komen met het netwerkbeleid. Als de voorwaarden die in het beleid zijn geconfigureerd, overeenkomen met de verbindingsaanvraag, past NPS de netwerkbeleidsinstellingen toe op de verbinding. Als u bijvoorbeeld het IPv4-adres (NAS IPv4-adres) opgeeft als voorwaarde van het netwerkbeleid en NPS een verbindingsaanvraag ontvangt van een NAS met het opgegeven IP-adres, komt de voorwaarde in het beleid overeen met de verbindingsaanvraag. |
| Beperkingen | Beperkingen zijn aanvullende parameters van het netwerkbeleid dat vereist is om overeen te komen met de verbindingsaanvraag. Als de verbindingsaanvraag niet overeenkomt met een beperking, weigert NPS de aanvraag automatisch. In tegenstelling tot het NPS-antwoord op niet-overeenkomende voorwaarden in het netwerk, als een beperking niet overeenkomt, evalueert NPS geen aanvullend netwerkbeleid en weigert de verbindingsaanvraag. |
| Instellingen | Met de eigenschappen van de instellingen kunt u de instellingen opgeven die NPS toepast op de verbindingsaanvraag, mits alle voorwaarden van het netwerkbeleid overeenkomen en de aanvraag wordt geaccepteerd. |
Belangrijk
Wanneer u de NPS-rol voor het eerst implementeert, weigeren de twee standaardnetwerkbeleidsregels externe toegang tot alle verbindingspogingen. Vervolgens kunt u aanvullende netwerkbeleidsregels configureren om verbindingspogingen te beheren.
Wanneer NPS een verbindingsaanvraag autoriseert, wordt de aanvraag vergeleken met elk netwerkbeleid in de geordende lijst met beleidsregels, te beginnen met het eerste beleid en naar het volgende item in de lijst te gaan. Als NPS een beleid vindt waarin de voorwaarden overeenkomen met de verbindingsaanvraag, gebruikt NPS het overeenkomende beleid en de inbeleigenschappen van het gebruikersaccount om de aanvraag te autoriseren. Als u de inbeleigenschappen van het gebruikersaccount configureert om toegang te verlenen of te beheren via netwerkbeleid en de verbindingsaanvraag is geautoriseerd, past NPS de instellingen die u in het netwerkbeleid configureert toe op de verbinding:
- Als NPS geen netwerkbeleid vindt dat overeenkomt met de verbindingsaanvraag, weigert NPS de verbinding.
- Als de inbelfuncties van het gebruikersaccount zijn ingesteld om toegang te weigeren, weigert NPS de verbindingsaanvraag desondanks.
Dit wordt samengevat in het volgende diagram.
