Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
U kunt dit onderwerp gebruiken voor meer informatie over aanbevolen procedures voor het implementeren en beheren van NPS (Network Policy Server).
De volgende secties bevatten aanbevolen procedures voor verschillende aspecten van uw NPS-implementatie.
Boekhouding
Hieronder volgen de aanbevolen procedures voor NPS-logboekregistratie.
Er zijn twee soorten boekhouding of logboekregistratie in NPS:
Logboekregistratie van gebeurtenissen voor NPS. U kunt logboekregistratie van gebeurtenissen gebruiken om NPS-gebeurtenissen vast te leggen in de systeem- en beveiligingslogboeken. Dit wordt voornamelijk gebruikt voor het controleren en oplossen van verbindingspogingen.
Het loggen van gebruikersauthenticatie en accounting-aanvragen. U kunt gebruikersverificatie- en accountingaanvragen registreren voor logboekbestanden in tekstindeling of database-indeling, of u kunt zich aanmelden bij een opgeslagen procedure in een SQL Server 2000-database. Registratie van aanvragen wordt voornamelijk gebruikt voor verbindingsanalyse en factureringsdoeleinden en is ook nuttig als hulpprogramma voor beveiligingsonderzoek, zodat u de activiteit van een aanvaller kunt bijhouden.
Om het meest effectieve gebruik te maken van NPS-logboekregistratie:
Schakel logboekregistratie (in eerste instantie) in voor zowel verificatie- als boekhoudrecords. Wijzig deze selecties nadat u hebt bepaald wat geschikt is voor uw omgeving.
Zorg ervoor dat gebeurtenislogboekregistratie is geconfigureerd met een capaciteit die voldoende is om uw logboeken te onderhouden.
Maak regelmatig een back-up van alle logboekbestanden omdat ze niet opnieuw kunnen worden gemaakt wanneer ze beschadigd of verwijderd zijn.
Gebruik het kenmerk RADIUS-klasse om gebruik bij te houden en de identificatie te vereenvoudigen van welke afdeling of gebruiker aan wie de kosten voor het gebruik in rekening worden gebracht. Hoewel het automatisch gegenereerde klassekenmerk uniek is voor elke aanvraag, kunnen er dubbele records bestaan in gevallen waarin het antwoord op de toegangsserver verloren gaat en de aanvraag opnieuw wordt verzonden. Mogelijk moet u dubbele aanvragen uit uw logboeken verwijderen om het gebruik nauwkeurig bij te houden.
Als uw netwerktoegangsservers en RADIUS-proxyservers periodiek fictieve verbindingsaanvraagberichten verzenden naar NPS om te controleren of de NPS online is, gebruikt u de ping gebruikersnaam registerinstelling. Met deze instelling configureert u NPS om deze valse verbindingsaanvragen automatisch te weigeren zonder ze te verwerken. Daarnaast registreert NPS geen transacties met betrekking tot de fictieve gebruikersnaam in logboekbestanden, waardoor het gebeurtenislogboek gemakkelijker te interpreteren is.
Schakel doorsturen van NAS-meldingen uit. U kunt het doorsturen van start- en stopberichten uitschakelen van netwerktoegangsservers (NAS's) naar leden van een externe RADIUS-servergroep die is geconfigureerd in NPS. Zie NAS Notification Forwarding uitschakelenvoor meer informatie.
Zie Network Policy Server Accounting configurerenvoor meer informatie.
- Als u failover en redundantie wilt bieden met SQL Server-logboekregistratie, plaatst u twee computers met SQL Server op verschillende subnetten. Gebruik de wizard SQL Server Publicatie maken om databasereplicatie tussen de twee servers in te stellen. Zie technische documentatie voor SQL Server en SQL Server Replicationvoor meer informatie.
Authenticatie
Hieronder volgen de aanbevolen procedures voor verificatie.
- Gebruik verificatiemethoden op basis van certificaten, zoals PEAP (Protected Extensible Authentication Protocol) en Extensible Authentication Protocol (EAP) voor sterke verificatie. Gebruik geen verificatiemethoden voor alleen wachtwoorden omdat ze kwetsbaar zijn voor verschillende aanvallen en niet beveiligd zijn. Voor veilige draadloze verificatie wordt peap-MS-CHAP v2 aanbevolen, omdat de NPS zijn identiteit aan draadloze clients bewijst met behulp van een servercertificaat, terwijl gebruikers hun identiteit met hun gebruikersnaam en wachtwoord bewijzen. Zie Deploy Password-Based 802.1X Authenticated Wireless Accessvoor meer informatie over het gebruik van NPS in uw draadloze implementatie.
- Implementeer uw eigen certificeringsinstantie (CA) met Active Directory® Certificate Services (AD CS) wanneer u krachtige verificatiemethoden op basis van certificaten gebruikt, zoals PEAP en EAP, waarvoor het gebruik van een servercertificaat op NPS's is vereist. U kunt uw CA ook gebruiken om computercertificaten en gebruikerscertificaten in te schrijven. Zie Servercertificaten implementeren voor 802.1X Bekabelde en draadloze implementatiesvoor meer informatie over het implementeren van servercertificaten op NPS- en RAS-servers.
Belangrijk
Network Policy Server (NPS) biedt geen ondersteuning voor het gebruik van de uitgebreide ASCII-tekens binnen wachtwoorden.
Clientcomputer configuratie
Hieronder volgen de aanbevolen procedures voor de configuratie van clientcomputers.
- Configureer automatisch al uw domeinlid 802.1X-clientcomputers met behulp van groepsbeleid. Zie de sectie "Draadloos netwerk (IEEE 802.11) beleid configureren" in het onderwerp Wireless Access Deployment.
Installatiesuggesties
Hieronder volgen de aanbevolen procedures voor het installeren van NPS.
Voordat u NPS installeert, installeert en test u elk van uw netwerktoegangsservers met behulp van lokale verificatiemethoden voordat u deze configureert als RADIUS-clients in NPS.
Nadat u NPS hebt geïnstalleerd en geconfigureerd, slaat u de configuratie op met behulp van de Windows PowerShell-opdracht Export-NpsConfiguration. Sla de NPS-configuratie op met deze opdracht telkens wanneer u de NPS opnieuw configureert.
Waarschuwing
- Het geëxporteerde NPS-configuratiebestand bevat niet-versleutelde gedeelde geheimen voor RADIUS-clients en leden van externe RADIUS-servergroepen. Zorg er daarom voor dat u het bestand op een veilige locatie opslaat.
- Het exportproces bevat geen logboekinstellingen voor Microsoft SQL Server in het geëxporteerde bestand. Als u het geëxporteerde bestand importeert naar een andere NPS, moet u SQL Server-logboekregistratie handmatig configureren op de nieuwe server.
Afstemmen van NPS-prestaties
Hieronder volgen de aanbevolen procedures voor het afstemmen van prestaties van NPS.
Installeer NPS op een domeincontroller om de reactietijden voor NPS-verificatie en autorisatie te optimaliseren en netwerkverkeer te minimaliseren.
Wanneer universal principal names (UPN's) of Windows Server 2008- en Windows Server 2003-domeinen worden gebruikt, gebruikt NPS de globale catalogus om gebruikers te verifiëren. Installeer NPS op een globale catalogusserver of een server die zich op hetzelfde subnet bevindt als de globale catalogusserver om de tijd te minimaliseren die nodig is om dit te doen.
Wanneer u externe RADIUS-servergroepen hebt geconfigureerd en in NPS-verbindingsaanvraagbeleidsregels schakelt u de accountinggegevens op de servers in de volgende externe RADIUS-servergroep selectievakje uit, worden deze groepen nog steeds verzonden netwerktoegangsserver (NAS) start- en stopmeldingsberichten. Hierdoor ontstaat onnodig netwerkverkeer. Als u dit verkeer wilt elimineren, schakelt u het doorsturen van NAS-meldingen uit voor afzonderlijke servers in elke externe RADIUS-servergroep door het selectievakje "Start- en stopmeldingen naar deze server doorsturen" uit te schakelen.
NPS gebruiken in grote organisaties
Hieronder volgen de aanbevolen procedures voor het gebruik van NPS in grote organisaties.
Als u netwerkbeleid gebruikt om de toegang voor alle groepen behalve bepaalde groepen te beperken, maakt u een universele groep voor alle gebruikers voor wie u toegang wilt toestaan en maakt u vervolgens een netwerkbeleid dat toegang verleent voor deze universele groep. Zet niet al uw gebruikers rechtstreeks in de universele groep, vooral als u een groot aantal gebruikers in uw netwerk hebt. Maak in plaats daarvan afzonderlijke groepen die lid zijn van de universele groep en voeg gebruikers toe aan deze groepen.
Gebruik een user principal name om waar mogelijk naar gebruikers te verwijzen. Een gebruiker kan dezelfde gebruikershoofdeigenaarnaam hebben, ongeacht het lidmaatschap van het domein. Deze procedure biedt schaalbaarheid die mogelijk vereist is in organisaties met een groot aantal domeinen.
Als u NPS (Network Policy Server) hebt geïnstalleerd op een andere computer dan een domeincontroller en de NPS een groot aantal verificatieaanvragen per seconde ontvangt, kunt u de prestaties van NPS verbeteren door het aantal gelijktijdige verificaties tussen de NPS en de domeincontroller te verhogen. Voor meer informatie, zie Verhoog het aantal gelijktijdige verificaties dat wordt verwerkt door NPS.
Beveiligingsproblemen
Hieronder volgen de aanbevolen procedures voor het verminderen van beveiligingsproblemen.
Wanneer u een NPS extern beheert, verzendt u geen gevoelige of vertrouwelijke gegevens (bijvoorbeeld gedeelde geheimen of wachtwoorden) via het netwerk in tekst zonder opmaak. Er zijn twee aanbevolen methoden voor extern beheer van NPS's:
Gebruik de Remote Desktop Services om toegang te krijgen tot de NPS. Wanneer u Remote Desktop-diensten gebruikt, worden er geen gegevens verzonden tussen de client en de server. Alleen de gebruikersinterface van de server (bijvoorbeeld het bureaublad van het besturingssysteem en de NPS-consoleafbeelding) wordt verzonden naar de client voor Extern Bureaublad Services, die in Windows® 10 'Verbinding met extern bureaublad' heet. De client verzendt toetsenbord- en muisinvoer, die lokaal wordt verwerkt door de server waarop Extern bureaublad-services is ingeschakeld. Wanneer gebruikers van Extern bureaublad-services zich aanmelden, kunnen ze alleen hun afzonderlijke clientsessies bekijken, die worden beheerd door de server en onafhankelijk van elkaar zijn. Bovendien biedt Verbinding met extern bureaublad 128-bits versleuteling tussen client en server.
Gebruik IPsec (Internet Protocol Security) om vertrouwelijke gegevens te versleutelen. U kunt IPsec gebruiken om communicatie te versleutelen tussen de NPS en de externe clientcomputer die u gebruikt om NPS te beheren. Als u de server extern wilt beheren, kunt u de Remote Server Administration Tools voor Windows 10 installeren op de clientcomputer. Gebruik na de installatie de MMC (Microsoft Management Console) om de NPS-module toe te voegen aan de console.
Belangrijk
U kunt Remote Server Administration Tools voor Windows 10 alleen installeren in de volledige versie van Windows 10 Professional of Windows 10 Enterprise.
Zie NETWORK Policy Server (NPS)voor meer informatie over NPS.