обработка запросов Подключение ion

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016

Этот раздел можно использовать для получения сведений об обработке запросов на подключение в Сервере политики сети в Windows Server 2016.

Примечание.

Помимо этого раздела доступна следующая документация по обработке запросов на подключение.

• Политики запросов Подключение ion
• Имена областей
• Удаленные группы серверов RADIUS

Вы можете использовать обработку запросов на подключение, чтобы указать, где выполняется проверка подлинности запросов на подключение на локальном компьютере или на удаленном сервере RADIUS, являющемся членом удаленной группы серверов RADIUS.

Если вы хотите, чтобы локальный сервер с сервером политики сети (NPS) выполнял проверку подлинности для запросов на подключение, можно использовать политику запроса подключения по умолчанию без дополнительной настройки. На основе политики по умолчанию NPS проверяет подлинность пользователей и компьютеров, имеющих учетную запись в локальном домене и доверенных доменах.

Если вы хотите перенаправить запросы на подключение к удаленному NPS или другому серверу RADIUS, создайте удаленную группу серверов RADIUS, а затем настройте политику запроса подключения, которая перенаправит запросы к этой удаленной группе серверов RADIUS. С помощью этой конфигурации NPS может пересылать запросы проверки подлинности на любой сервер RADIUS, а пользователи с учетными записями в ненадежных доменах могут проходить проверку подлинности.

На следующем рисунке показан путь сообщения Access-Request с сервера доступа к прокси-серверу RADIUS, а затем на сервер RADIUS в удаленной группе серверов RADIUS. На прокси-сервере RADIUS сервер сетевого доступа настраивается как клиент RADIUS; и на каждом сервере RADIUS прокси-сервер RADIUS настраивается как клиент RADIUS.

Примечание.

Серверы доступа к сети, используемые с NPS, могут быть устройствами шлюза, совместимыми с протоколом RADIUS, такими как 802.1X беспроводных точек доступа и проверки подлинности коммутаторов, серверы с удаленным доступом, настроенные как VPN или серверы с телефонным подключением, или другие совместимые с RADIUS устройства.

Если вы хотите, чтобы NPS обрабатывал некоторые запросы проверки подлинности локально при переадресации других запросов в удаленную группу серверов RADIUS, настройте несколько политик запросов на подключение.

Сведения о настройке политики запроса на подключение, указывающей, какие группы серверов NPS или RADIUS обрабатывают запросы проверки подлинности, см. в разделе Подключение политики запросов.

Чтобы указать NPS или другие серверы RADIUS, на которые пересылаются запросы на проверку подлинности, см. раздел "Группы удаленных серверов RADIUS".

NPS в качестве запроса на подключение к серверу RADIUS

При использовании NPS в качестве сервера RADIUS сообщения RADIUS предоставляют проверку подлинности, авторизацию и учет подключений к сети следующим образом:

1. Доступ к серверам, таким как серверы доступа к сети с телефонным подключением, VPN-серверы и точки беспроводного доступа, получают запросы на подключение от клиентов доступа.

2. Сервер доступа, настроенный для использования RADIUS в качестве проверки подлинности, авторизации и протокола учета, создает сообщение Access-Request и отправляет его в NPS.

3. NPS оценивает сообщение Access-Request.

4. При необходимости NPS отправляет сообщение Access-Challenge серверу доступа. Сервер доступа обрабатывает проблему и отправляет обновленный запрос доступа на NPS.

5. Учетные данные пользователя проверка, а свойства учетной записи пользователя получаются с помощью безопасного подключения к контроллеру домена.

6. Попытка подключения авторизована как с свойствами учетной записи пользователя, так и с сетевыми политиками.

7. Если попытка подключения проходит проверку подлинности и авторизована, NPS отправляет на сервер доступа сообщение Access-Accept. Если попытка подключения не проходит проверку подлинности или не авторизована, NPS отправляет сообщение "Отклонить доступ" на сервер доступа.

8. Сервер доступа завершает процесс подключения с клиентом доступа и отправляет сообщение "Учет-запрос" в NPS, в котором регистрируется сообщение.

9. NPS отправляет ответ на сервер доступа.

Примечание.

Сервер доступа также отправляет сообщения об учете и запросе во время установки подключения, когда подключение клиента доступа закрыто, а также при запуске и остановке сервера доступа.

NPS в качестве запроса на подключение прокси-сервера RADIUS

Если NPS используется в качестве прокси-сервера RADIUS между клиентом RADIUS и сервером RADIUS, сообщения RADIUS для попыток подключения к сети перенаправляются следующим образом:

1. Серверы доступа, такие как серверы доступа к сети с телефонным подключением, серверы виртуальной частной сети (VPN) и точки беспроводного доступа, получают запросы на подключение от клиентов доступа.

2. Сервер доступа, настроенный для использования RADIUS в качестве протокола проверки подлинности, авторизации и учета, создает сообщение Access-Request и отправляет его в NPS, который используется в качестве прокси-сервера RADIUS NPS.

3. Прокси-сервер NPS RADIUS получает сообщение Access-Request, а на основе локально настроенных политик запроса подключения определяет место пересылки сообщения Access-Request.

4. Прокси-сервер NPS RADIUS перенаправит сообщение Access-Request на соответствующий сервер RADIUS.

5. Сервер RADIUS оценивает сообщение Access-Request.

6. При необходимости сервер RADIUS отправляет сообщение Access-Challenge в прокси-сервер NPS RADIUS, где он пересылается на сервер доступа. Сервер доступа обрабатывает проблему с клиентом доступа и отправляет обновленный запрос доступа на прокси-сервер RADIUS NPS, где он пересылается на сервер RADIUS.

7. Сервер RADIUS проходит проверку подлинности и авторизует попытку подключения.

8. Если попытка подключения проходит проверку подлинности и авторизована, сервер RADIUS отправляет сообщение Access-Accept в прокси-сервер NPS RADIUS, где он пересылается на сервер доступа. Если попытка подключения не проходит проверку подлинности или не авторизована, сервер RADIUS отправляет сообщение "Отклонить доступ" на прокси-сервер NPS RADIUS, где он пересылается на сервер доступа.

9. Сервер доступа завершает процесс подключения с клиентом доступа и отправляет сообщение "Учет-запрос" прокси-серверу RADIUS NPS. Прокси-сервер NPS RADIUS регистрирует данные учета и пересылает сообщение серверу RADIUS.

10. Сервер RADIUS отправляет учетную реакцию на прокси-сервер RADIUS NPS, где он перенаправлен на сервер доступа.

Дополнительные сведения о NPS см. в разделе "Сервер политики сети" (NPS).