Сервер политики сети (NPS)

  • Статья

Область применения: Windows Server 2022, Windows Server 2016, Windows Server 2019

Этот раздел можно использовать для обзора сервера политики сети в Windows Server 2016 и Windows Server 2019. NPS устанавливается при установке политики сети и компонента службы Access (NPAS) в Windows Server 2016 и Server 2019.

Примечание.

Помимо этого раздела, доступна следующая документация по NPS.

Сервер политики сети (NPS) позволяет создавать и применять политики сетевого доступа всей организации для проверки подлинности и авторизации запросов на подключение.

Вы также можете настроить NPS в качестве прокси-сервера службы удаленной проверки подлинности (RADIUS) для пересылки запросов на подключение к удаленному NPS или другому серверу RADIUS, чтобы можно было сбалансировать запросы на подключение и перенаправлять их в правильный домен для проверки подлинности и авторизации.

NPS позволяет централизованно настраивать проверку подлинности, авторизацию и учет сети и управлять ими со следующими функциями:

  • СЕРВЕР RADIUS. NPS выполняет централизованную проверку подлинности, авторизацию и учет беспроводных подключений, проверки подлинности коммутатора, удаленного доступа и vpn-подключений. Если сервер политики сети используется в качестве RADIUS-сервера, серверы доступа к сети, например точки беспроводного доступа и VPN-серверы, настраиваются как RADIUS-клиенты на сервере политики сети. Кроме того, можно настроить политики сети, используемые сервером политики сети для авторизации запросов на подключение. Также можно настроить RADIUS-учет, чтобы сервер политики сети сохранял информацию в файлах журнала, хранящихся на локальном жестком диске или в базе данных Microsoft SQL Server. Дополнительные сведения см. в разделе RADIUS-сервер.
  • Прокси-сервер RADIUS. При использовании NPS в качестве прокси-сервера RADIUS настройте политики запросов на подключение, которые сообщают NPS, какие запросы на подключение будут пересылаться на другие серверы RADIUS и на какие серверы RADIUS необходимо перенаправить запросы на подключение. На сервере политики сети можно также настроить переадресацию данных учета для их хранения на одном или нескольких компьютерах в группе удаленных RADIUS-серверов. Сведения о настройке NPS в качестве прокси-сервера RADIUS см. в следующих разделах. Дополнительные сведения см. в разделе RADIUS-прокси.
  • Учет RADIUS. Вы можете настроить NPS для записи событий в локальный файл журнала или в локальный или удаленный экземпляр Microsoft SQL Server. Дополнительные сведения см. в разделе ведения журнала NPS.

Внимание

Защита доступа к сети (NAP), центр регистрации работоспособности (HRA) и протокол авторизации учетных данных узла (HCAP) устарели в Windows Server 2012 R2 и недоступны в Windows Server 2016. Если у вас есть развертывание NAP с помощью операционных систем, предшествующих Windows Server 2016, вы не можете перенести развертывание NAP в Windows Server 2016.

Вы можете настроить NPS с любым сочетанием этих функций. Например, можно настроить один NPS в качестве сервера RADIUS для VPN-подключений, а также в качестве прокси-сервера RADIUS для пересылки некоторых запросов на подключение к членам удаленной группы серверов RADIUS для проверки подлинности и авторизации в другом домене.

Выпуски Windows Server и NPS

NPS предоставляет различные функциональные возможности в зависимости от выпуска Windows Server, который вы устанавливаете.

Windows Server 2016 или Windows Server 2019 Standard/Datacenter Edition

С помощью NPS в Windows Server 2016 Standard или Datacenter можно настроить неограниченное количество клиентов RADIUS и удаленных групп серверов RADIUS. Кроме того, можно настроить клиенты RADIUS, указав диапазон IP-адресов.

Примечание.

Политика сети WIndows и компонент службы Access недоступны в системах, установленных с параметром установки основных серверных компонентов.

В следующих разделах приведены более подробные сведения о NPS в качестве сервера RADIUS и прокси-сервера.

СЕРВЕР RADIUS и прокси-сервер

NPS можно использовать в качестве сервера RADIUS, прокси-сервера RADIUS или обоих.

сервер RADIUS;

NPS — это реализация стандарта RADIUS, заданного группой задач разработки Интернета (IETF) в RFCs 2865 и 2866. Как сервер RADIUS, NPS выполняет централизованную проверку подлинности подключения, авторизацию и учет многих типов сетевого доступа, включая беспроводной, аутентификацию коммутатора, удаленного доступа к телефонным подключениям и виртуальной частной сети (VPN) и подключений маршрутизатора к маршрутизатору.

Примечание.

Сведения о развертывании NPS в качестве сервера RADIUS см. в разделе "Развертывание сервера политики сети".

NPS позволяет использовать разнородный набор беспроводных устройств, коммутаторов, оборудования для удаленного доступа или VPN. С помощью NPS можно использовать службу удаленного доступа, которая доступна в Windows Server 2016.

NPS использует домен служб домен Active Directory (AD DS) или локальную базу данных учетных записей пользователей диспетчера учетных записей безопасности (SAM) для проверки подлинности учетных данных пользователя для попыток подключения. Если сервер под управлением NPS является членом домена AD DS, NPS использует службу каталогов в качестве базы данных учетной записи пользователя и является частью решения единого входа. Тот же набор учетных данных используется для управления доступом к сети (аутентификации и авторизации доступа к сети) и входа в домен AD DS.

Примечание.

NPS использует свойства учетной записи пользователя и политик сети для авторизации подключения.

Поставщики услуг Интернета (ПОСТАВЩИКи услуг Интернета) и организации, поддерживающие сетевой доступ, сталкиваются с повышенной проблемой управления всеми типами сетевого доступа из одной точки администрирования независимо от типа используемого сетевого оборудования. Стандарт RADIUS поддерживает эту функцию как в однородных, так и разнородных средах. RADIUS — это протокол клиентского сервера, который позволяет оборудованию доступа к сети (используемому в качестве клиентов RADIUS) отправлять запросы проверки подлинности и учета на сервер RADIUS.

Сервер RADIUS имеет доступ к сведениям учетной записи пользователя и может проверка учетные данные проверки подлинности сетевого доступа. Если учетные данные пользователя проходят проверку подлинности и попытка подключения разрешена, сервер RADIUS разрешает доступ пользователей на основе указанных условий, а затем регистрирует сетевое подключение в журнале учета. Использование RADIUS позволяет собирать и поддерживать данные учетной записи в центральном расположении, а не на каждом сервере доступа.

Использование NPS в качестве сервера RADIUS

NPS можно использовать в качестве сервера RADIUS, если:

  • Вы используете домен AD DS или локальную базу данных учетных записей пользователей SAM в качестве базы данных учетной записи пользователя для клиентов доступа.
  • Вы используете удаленный доступ на нескольких серверах с телефонным подключением, VPN-серверах или маршрутизаторах с телефонным подключением и требуется централизованно настроить политики сети и ведение журнала подключений и учет.
  • Вы выполняете аутсорсинг телефонного подключения, VPN или беспроводного доступа к поставщику услуг. Серверы доступа используют RADIUS для проверки подлинности и авторизации подключений, сделанных членами вашей организации.
  • Вы хотите централизировать проверку подлинности, авторизацию и учет разнородного набора серверов доступа.

На следующем рисунке показан NPS как сервер RADIUS для различных клиентов доступа.

NPS as a RADIUS Server

RADIUS-прокси

В качестве прокси-сервера RADIUS NPS перенаправит сообщения проверки подлинности и учета на NPS и другие серверы RADIUS. NPS можно использовать в качестве прокси-сервера RADIUS для маршрутизации сообщений RADIUS между клиентами RADIUS (также называемыми серверами доступа к сети) и серверами RADIUS, которые выполняют проверку подлинности пользователей, авторизацию и учет попытки подключения.

При использовании в качестве прокси-сервера RADIUS NPS — это центральная точка переключения или маршрутизации, через которую поток сообщений RADIUS и доступа radius. NPS записывает сведения в журнале учета о пересылаемых сообщениях.

Использование NPS в качестве прокси-сервера RADIUS

NPS можно использовать в качестве прокси-сервера RADIUS, если:

  • Вы являетесь поставщиком услуг, который предлагает сторонние службы телефонного подключения, VPN или беспроводной сети доступа к нескольким клиентам. NaSs отправляет запросы на подключение к прокси-серверу RADIUS NPS. В зависимости от части области имени пользователя в запросе подключения прокси-сервер NPS RADIUS перенаправит запрос подключения на сервер RADIUS, который поддерживается клиентом, и может пройти проверку подлинности и авторизовать попытку подключения.
  • Вы хотите предоставить проверку подлинности и авторизацию учетных записей пользователей, которые не являются членами домена, в котором NPS является членом или другим доменом с двусторонним доверием к домену, в котором NPS является членом. К ним относятся учетные записи в ненадежных доменах, односторонняя доверенные домены и другие леса. Вместо настройки серверов доступа для отправки запросов на подключение к серверу RADIUS NPS можно настроить их для отправки запросов на подключение к прокси-серверу RADIUS NPS. Прокси-сервер NPS RADIUS использует часть имени области пользователя и перенаправляет запрос на NPS в правильном домене или лесу. Подключение попытки для учетных записей пользователей в одном домене или лесу можно пройти проверку подлинности для NAS в другом домене или лесу.
  • Вы хотите выполнить проверку подлинности и авторизацию с помощью базы данных, которая не является базой данных учетной записи Windows. В этом случае запросы на подключение, соответствующие указанному имени области, перенаправляются на сервер RADIUS, который имеет доступ к другой базе данных учетных записей пользователей и данным авторизации. Примерами других пользовательских баз данных являются службы каталогов Novell (NDS) и базы данных язык SQL (SQL).
  • Требуется обработать большое количество запросов на подключение. В этом случае вместо настройки клиентов RADIUS для балансировки их подключения и учета на нескольких серверах RADIUS можно настроить их для отправки запросов на подключение и учет в прокси-сервер NPS RADIUS. Прокси-сервер NPS RADIUS динамически балансирует нагрузку запросов подключения и учета на нескольких серверах RADIUS и увеличивает обработку большого количества клиентов RADIUS и проверки подлинности в секунду.
  • Вы хотите предоставить проверку подлинности RADIUS и авторизацию для поставщиков услуг аутсорсинга и свести к минимуму конфигурацию брандмауэра интрасети. Брандмауэр интрасети находится между сетью периметра (сетью между интрасетью и Интернетом) и интрасетью. Поместив NPS в сеть периметра, брандмауэр между сетью периметра и интрасетью должен разрешить трафик между NPS и несколькими контроллерами домена. Заменив NPS прокси-сервером NPS, брандмауэр должен разрешить поток трафика RADIUS между прокси-сервером NPS и одним или несколькими NPS в интрасети.

Внимание

NPS поддерживает проверку подлинности между лесами без прокси-сервера RADIUS, если уровень функциональности леса — Windows Server 2003 или более поздней версии, и между лесами существует двустороннее отношение доверия. Но если вы используете EAP-TLS или PEAP-TLS с сертификатами в качестве метода проверки подлинности, необходимо использовать прокси-сервер RADIUS для проверки подлинности в лесах.

На следующем рисунке показаны NPS в качестве прокси-сервера RADIUS между клиентами RADIUS и серверами RADIUS.

NPS as a RADIUS Proxy

С помощью NPS организации также могут выполнять аутсорсинг инфраструктуры удаленного доступа поставщику услуг, сохраняя контроль над проверкой подлинности пользователей, авторизацией и учетом.

Конфигурации NPS можно создать для следующих сценариев:

  • Беспроводной доступ
  • Удаленный доступ к телефонной или виртуальной частной сети (VPN) организации
  • Внешний телефонный или беспроводной доступ
  • Доступ к Интернету
  • Прошедший проверку подлинности доступ к ресурсам экстрасети для бизнес-партнеров

Примеры конфигурации прокси-сервера RADIUS и RADIUS

В следующих примерах конфигурации показано, как настроить NPS в качестве сервера RADIUS и прокси-сервера RADIUS.

NPS в качестве сервера RADIUS. В этом примере NPS настраивается как сервер RADIUS, политика запроса подключения по умолчанию является единственной настроенной политикой, и все запросы подключения обрабатываются локальными NPS. NPS может проходить проверку подлинности и авторизовать пользователей, учетные записи которых находятся в домене NPS и в доверенных доменах.

NPS в качестве прокси-сервера RADIUS. В этом примере NPS настраивается в качестве прокси-сервера RADIUS, который пересылает запросы на подключение к удаленным группам серверов RADIUS в двух ненадежных доменах. Политика запроса подключения по умолчанию удаляется, и для пересылки запросов к каждому из двух недоверенных доменов создаются две новые политики запросов на подключение. В этом примере NPS не обрабатывает запросы на подключение на локальном сервере.

NPS в качестве сервера RADIUS и прокси-сервера RADIUS. Помимо политики запроса подключения по умолчанию, которая указывает, что запросы на подключение обрабатываются локально, создается новая политика запроса на подключение, которая перенаправляет запросы на подключение к NPS или другому серверу RADIUS в недоверенном домене. Эта вторая политика называется политикой прокси-сервера. В этом примере политика прокси-сервера отображается сначала в упорядоченном списке политик. Если запрос подключения соответствует политике прокси-сервера, запрос подключения перенаправлен на сервер RADIUS в удаленной группе серверов RADIUS. Если запрос на подключение не соответствует политике прокси-сервера, но соответствует политике запроса подключения по умолчанию, NPS обрабатывает запрос подключения на локальном сервере. Если запрос на подключение не соответствует любой политике, он отключен карта.

NPS в качестве сервера RADIUS с удаленными серверами учета. В этом примере локальный NPS не настроен для выполнения учета и политика запроса подключения по умолчанию перенаправляются таким образом, чтобы сообщения учета RADIUS перенаправлялись на NPS или другой сервер RADIUS в удаленной группе серверов RADIUS. Хотя сообщения учета пересылаются, сообщения проверки подлинности и авторизации не пересылаются, а локальный NPS выполняет эти функции для локального домена и всех доверенных доменов.

NPS с удаленным сопоставлением RADIUS с Windows. В этом примере NPS выступает как в качестве сервера RADIUS, так и в качестве прокси-сервера RADIUS для каждого отдельного запроса подключения путем пересылки запроса проверки подлинности на удаленный сервер RADIUS при использовании локальной учетной записи пользователя Windows для авторизации. Эта конфигурация реализована путем настройки атрибута удаленного RADIUS для сопоставления пользователей Windows в качестве условия политики запроса подключения. (Кроме того, учетная запись пользователя должна быть создана локально на сервере RADIUS с тем же именем, что и учетная запись удаленного пользователя, для которой выполняется проверка подлинности на удаленном сервере RADIUS.)

Настройка

Чтобы настроить NPS в качестве сервера RADIUS, можно использовать стандартную конфигурацию или расширенную конфигурацию в консоли NPS или в диспетчер сервера. Чтобы настроить NPS в качестве прокси-сервера RADIUS, необходимо использовать расширенную конфигурацию.

Стандартная конфигурация

С стандартной конфигурацией мастера предоставляются для настройки NPS для следующих сценариев:

  • СЕРВЕР RADIUS для подключений к телефону или VPN
  • RADIUS-сервер для беспроводных или проводных подключений 802.1 X

Чтобы настроить NPS с помощью мастера, откройте консоль NPS, выберите один из предыдущих сценариев и щелкните ссылку, которая открывает мастер.

Расширенная конфигурация

При использовании расширенной конфигурации вы вручную настраиваете NPS в качестве сервера RADIUS или прокси-сервера RADIUS.

Чтобы настроить NPS с помощью расширенной конфигурации, откройте консоль NPS и щелкните стрелку рядом с расширенной конфигурацией , чтобы развернуть этот раздел.

Предоставляются следующие расширенные элементы конфигурации.

Настройка сервера RADIUS

Чтобы настроить NPS в качестве сервера RADIUS, необходимо настроить клиенты RADIUS, сетевую политику и учет RADIUS.

Инструкции по созданию этих конфигураций см. в следующих разделах.

Настройка прокси-сервера RADIUS

Чтобы настроить NPS в качестве прокси-сервера RADIUS, необходимо настроить клиенты RADIUS, удаленные группы серверов RADIUS и политики запросов на подключение.

Инструкции по созданию этих конфигураций см. в следующих разделах.

Ведение журнала NPS

Ведение журнала NPS также называется учетом RADIUS. Настройте ведение журнала NPS в соответствии с вашими требованиями, используется ли NPS в качестве сервера RADIUS, прокси-сервера или любой комбинации этих конфигураций.

Чтобы настроить ведение журнала NPS, необходимо настроить события, которые вы хотите зарегистрироваться и просмотреть с помощью Просмотр событий, а затем определить, какие другие сведения требуется записать. Кроме того, необходимо решить, следует ли записывать данные проверки подлинности пользователей и учета в текстовые файлы журнала, хранящиеся на локальном компьютере, или в базу данных SQL Server на локальном компьютере или удаленном компьютере.

Дополнительные сведения см. в разделе "Настройка учета сервера политики сети".