Настройка политик сети

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016

Этот раздел можно использовать для настройки политик сети в NPS.

Добавление политики сети

Сервер политики сети (NPS) использует политики сети и свойства учетных записей пользователей, чтобы определить, разрешен ли запрос на подключение к сети.

Эту процедуру можно использовать для настройки новой политики сети в консоли NPS или консоли удаленного доступа.

Выполнение авторизации

Когда NPS выполняет авторизацию запроса на подключение, он сравнивает запрос с каждой политикой сети в упорядоченном списке политик, начиная с первой политики, а затем перемещается вниз по списку настроенных политик. Если NPS находит политику, условия которой соответствуют запросу подключения, NPS использует соответствующую политику и свойства учетной записи пользователя для выполнения авторизации. Если свойства учетной записи пользователя настроены для предоставления доступа или управления доступом через политику сети, а запрос на подключение разрешен, NPS применяет параметры, настроенные в политике сети, к подключению.

Если NPS не находит сетевую политику, соответствующую запросу на подключение, запрос подключения отклоняется, если только свойства телефонного подключения в учетной записи пользователя не будут предоставлены для предоставления доступа.

Если для свойства учетной записи пользователя настроено запретить доступ, запрос на подключение отклоняется NPS.

Параметры ключа

При использовании мастера создания политики сети для создания политики сети значение, указанное в методе сетевого подключения, используется для автоматической настройки условия типа политики:

• Если значение по умолчанию не указано, то созданная политика сети оценивается NPS для всех типов сетевых подключений, использующих любой тип сервера сетевого доступа (NAS).
• При указании метода сетевого подключения NPS оценивает политику сети только в том случае, если запрос подключения возникает из указанного типа сервера доступа к сети.

На странице разрешений доступа необходимо выбрать Access, если вы хотите, чтобы политика разрешала пользователям подключаться к сети. Если вы хотите, чтобы политика не позволяла пользователям подключаться к сети, выберите "Отказано в доступе".

Если требуется разрешение на доступ, определяемое свойствами абонентской записи пользователя в доменных службах Active Directory® (AD DS), вы можете выбрать доступ, определяемый свойствами телефонного подключения пользователя проверка поле.

Членство в доменных Администратор или эквивалентных значениях является минимальным обязательным для выполнения этой процедуры.

Добавление политики сети

1. Откройте консоль NPS и дважды щелкните политики.

2. В дереве консоли щелкните правой кнопкой мыши политики сети и нажмите кнопку "Создать". Откроется мастер создания политики сети.

3. Используйте мастер создания политики сети.

Создание политик сети для телефонного подключения или VPN с помощью мастера

Эту процедуру можно использовать для создания политик запросов к подключению и политик сети, необходимых для развертывания серверов с телефонным подключением или виртуальных частных сетей (VPN) в качестве клиентов службы удаленной проверки подлинности (RADIUS) на сервере NPS RADIUS.

Примечание.

Клиентские компьютеры, такие как ноутбуки и другие компьютеры под управлением клиентских операционных систем, не являются клиентами RADIUS. Клиенты RADIUS — это серверы доступа к сети , такие как беспроводные точки доступа, коммутаторы проверки подлинности 802.1X, серверы виртуальной частной сети (VPN) и серверы с телефонным подключением, так как эти устройства используют протокол RADIUS для взаимодействия с серверами RADIUS, такими как NPS.

В этой процедуре объясняется, как открыть мастер Подключение подключений новой виртуальной частной сети в NPS.

После запуска мастера создаются следующие политики:

• Одна политика запроса на подключение
• Одна сетевая политика

Вы можете запускать мастер Подключение подключений или виртуальной частной сети при каждом создании политик для серверов и VPN-серверов.

Запуск мастера Подключение подключений к виртуальной сети или виртуальной частной сети — это не единственный шаг, необходимый для развертывания серверов телефонного подключения или VPN в качестве клиентов RADIUS в NPS. Оба метода доступа к сети требуют развертывания дополнительных аппаратных и программных компонентов.

Членство в доменных Администратор или эквивалентных значениях является минимальным обязательным для выполнения этой процедуры.

Создание политик для телефонного подключения или VPN с помощью мастера

1. Откройте консоль NPS. Если он еще не выбран, щелкните NPS (Local). Если вы хотите создать политики на удаленном NPS, выберите сервер.

2. В разделе "Приступая к работе и стандартная конфигурация" выберите сервер RADIUS для Подключение подключения или VPN. Текст и ссылки под текстом изменяются, чтобы отразить выбранный фрагмент.

3. Нажмите кнопку "Настроить VPN" или "Телефонный подключение" с помощью мастера. Откроется мастер Подключение подключений или виртуальной частной сети.

4. Следуйте инструкциям мастера, чтобы завершить создание новых политик.

Создание политик сети для проводной или беспроводной сети 802.1X с помощью мастера

Эту процедуру можно использовать для создания политики запроса подключения и политики сети, необходимых для развертывания 802.1X параметров проверки подлинности или 802.1X беспроводных точек доступа в качестве клиентов службы удаленной проверки подлинности (RADIUS) на сервере NPS RADIUS.

В этой процедуре описывается, как запустить мастер безопасных проводных и беспроводных Подключение ions в NPS с помощью нового IEEE 802.1X Secure Wired и Беспроводной Подключение ions.

После запуска мастера создаются следующие политики:

• Одна политика запроса на подключение
• Одна сетевая политика

Мастер безопасных проводных и беспроводных Подключение ions IEEE 802.1X можно запускать каждый раз, когда необходимо создавать новые политики для доступа 802.1X.

Запуск мастера secure Wired и беспроводной Подключение ions IEEE 802.1X не является единственным шагом, необходимым для развертывания 802.1X аутентификации коммутаторов и беспроводных точек доступа в качестве клиентов RADIUS в NPS. Оба метода доступа к сети требуют развертывания дополнительных аппаратных и программных компонентов.

Членство в доменных Администратор или эквивалентных значениях является минимальным обязательным для выполнения этой процедуры.

Создание политик для проводной или беспроводной сети 802.1X с помощью мастера

1. На NPS в диспетчер сервера щелкните "Сервис" и выберите сервер политики сети. Откроется консоль NPS.

2. Если он еще не выбран, щелкните NPS (Local). Если вы хотите создать политики на удаленном NPS, выберите сервер.

3. В разделе "Начало работы и стандартная конфигурация" выберите radius-сервер для беспроводной или проводной Подключение 802.1X. Текст и ссылки под текстом изменяются, чтобы отразить выбранный фрагмент.

4. Нажмите кнопку "Настройка 802.1X" с помощью мастера. Откроется мастер безопасных проводных и беспроводных Подключение ions IEEE 802.1X.

5. Следуйте инструкциям мастера, чтобы завершить создание новых политик.

Настройка NPS для пропуска свойств абонентской записи пользователя

Используйте эту процедуру, чтобы настроить политику сети NPS, чтобы игнорировать свойства учетных записей пользователей в Active Directory во время процесса авторизации. Учетные записи пользователей в Пользователи и компьютеры Active Directory имеют свойства телефонного подключения, которые NPS вычисляет во время процесса авторизации, если только свойство разрешения доступа к сети учетной записи пользователя не задано для управления доступом с помощью политики сети NPS.

Существует два обстоятельства, в которых может потребоваться настроить NPS, чтобы игнорировать свойства учетных записей пользователей в Active Directory:

• Если вы хотите упростить авторизацию NPS с помощью политики сети, но не все учетные записи пользователей имеют свойство "Разрешение доступа к сети" для управления доступом через политику сети NPS. Например, некоторые учетные записи пользователей могут иметь свойство "Разрешение доступа к сети" для учетной записи пользователя, заданной как "Запрет доступа" или "Разрешить доступ".

• Если другие свойства учетных записей пользователей не применимы к типу подключения, настроенного в политике сети. Например, свойства, отличные от параметра разрешения доступа к сети, применимы только к подключениям к телефону или VPN, но создается политика сети для беспроводных или проверки подлинности подключений коммутаторов.

Эту процедуру можно использовать для настройки NPS, чтобы игнорировать свойства абонентской записи пользователя. Если запрос подключения соответствует политике сети, в которой выбран этот флажок проверка, NPS не использует свойства учетной записи пользователя, чтобы определить, авторизован ли пользователь или компьютер для доступа к сети; для определения авторизации используются только параметры в политике сети.

Членство в Администратор istrator или эквивалентном является минимальным обязательным для выполнения этой процедуры.

1. На NPS в диспетчер сервера щелкните "Сервис" и выберите сервер политики сети. Откроется консоль NPS.

2. Дважды щелкните политики, выберите политики сети, а затем в области сведений дважды щелкните политику, которую требуется настроить.

3. В диалоговом окне "Свойства политики" на вкладке "Обзор" в поле "Разрешение на доступ" выберите свойства "Игнорировать доступ" проверка", а затем нажмите кнопку "ОК".

Настройка NPS для пропуска свойств абонентской записи пользователя

Настройка NPS для виртуальных ЛС

С помощью серверов доступа к сети с поддержкой виртуальной локальной сети и NPS в Windows Server 2016 можно предоставить группам пользователей доступ только к сетевым ресурсам, соответствующим их разрешениям безопасности. Например, вы можете предоставить посетителям беспроводной доступ к Интернету, не разрешая им доступ к сети организации.

Кроме того, виртуальные локальные сети позволяют логически группировать сетевые ресурсы, существующие в разных физических расположениях или в разных физических подсетях. Например, члены отдела продаж и сетевых ресурсов, такие как клиентские компьютеры, серверы и принтеры, могут находиться в нескольких разных зданиях вашей организации, но вы можете разместить все эти ресурсы в одной виртуальной локальной сети, которая использует один и тот же диапазон IP-адресов. Затем виртуальная локальная сеть функционирует с точки зрения конечного пользователя в качестве одной подсети.

Вы также можете использовать виртуальные ЛС, если вы хотите разделить сеть между различными группами пользователей. После определения способа определения групп можно создать группы безопасности в оснастке Пользователи и компьютеры Active Directory, а затем добавить участников в группы.

Настройка политики сети для виртуальных ЛС

Эту процедуру можно использовать для настройки политики сети, которая назначает пользователей виртуальной локальной сети. При использовании сетевого оборудования с поддержкой виртуальной локальной сети, таких как маршрутизаторы, коммутаторы и контроллеры доступа, можно настроить политику сети для указания серверам доступа размещать члены определенных групп Active Directory в определенных виртуальных сетях. Эта возможность группировать сетевые ресурсы логически с помощью виртуальных ЛС обеспечивает гибкость при проектировании и реализации сетевых решений.

При настройке параметров политики сети NPS для использования с виртуальными сетями необходимо настроить атрибуты Tunnel-Medium-Type, Tunnel-Pvt-Group-ID, Tunnel-Type и Tunnel-Tag.

Эта процедура предоставляется в качестве руководства; Для конфигурации сети могут потребоваться разные параметры, отличные от описанных ниже.

Членство в Администратор istrator или эквивалентном является минимальным обязательным для выполнения этой процедуры.

Настройка политики сети для виртуальных ЛС

1. На NPS в диспетчер сервера щелкните "Сервис" и выберите сервер политики сети. Откроется консоль NPS.

2. Дважды щелкните политики, выберите политики сети, а затем в области сведений дважды щелкните политику, которую требуется настроить.

3. В диалоговом окне "Свойства политики" щелкните вкладку Параметры.

4. В свойствах политики в Параметры в атрибутах RADIUS убедитесь, что выбран стандарт.

5. В области сведений атрибут "Атрибуты" атрибут "Тип службы" настраивается со значением по умолчанию Framed. По умолчанию для политик с методами доступа VPN и телефонного подключения атрибут Framed-Protocol настраивается со значением PPP. Чтобы указать дополнительные атрибуты подключения, необходимые для виртуальных ЛС, нажмите кнопку "Добавить". Откроется диалоговое окно "Добавить стандартный атрибут RADIUS".

6. В разделе "Добавление стандартного атрибута RADIUS" в атрибутах прокрутите вниз и добавьте следующие атрибуты:

   • Туннель-средний тип. Выберите значение, соответствующее предыдущим выбранным параметрам, которые вы сделали для политики. Например, если настроенная сетевая политика является беспроводной политикой, выберите значение: 802 (включает все 802 мультимедиа и канонический формат Ethernet).

   • Tunnel-Pvt-Group-ID. Введите целое число, представляющее номер виртуальной локальной сети, которому будут назначены члены группы.

   • Тип туннеля. Выберите виртуальные локальные сети (VLAN).

7. В разделе "Добавить стандартный атрибут RADIUS" нажмите кнопку "Закрыть".

8. Если для сервера доступа к сети (NAS) требуется использовать атрибут Tunnel-Tag, выполните следующие действия, чтобы добавить атрибут Tunnel-Tag в политику сети. Если документация ПО NAS не упоминание этом атрибуте, не добавляйте его в политику. При необходимости добавьте атрибуты следующим образом:

   • В свойствах политики в Параметры в атрибутах RADIUS щелкните "Конкретный поставщик".

   • В области сведений нажмите кнопку "Добавить". Откроется диалоговое окно "Добавить конкретный атрибут поставщика".

   • В атрибутах прокрутите вниз и выберите "Тег туннеля", а затем нажмите кнопку "Добавить". Откроется диалоговое окно "Сведения о атрибутах".

   • В поле "Значение атрибута" введите значение, полученное из документации по оборудованию.

Настройка размера полезных данных EAP

В некоторых случаях маршрутизаторы или брандмауэры удаляют пакеты, так как они настроены для отключения карта пакетов, требующих фрагментации.

При развертывании NPS с политиками сети, использующими протокол расширенной проверки подлинности (EAP) с протоколом TLS или EAP-TLS, в качестве метода проверки подлинности используется максимальная единица передачи (MTU), используемая по умолчанию для полезных данных EAP, составляет 1500 байт.

Этот максимальный размер полезных данных EAP может создавать сообщения RADIUS, требующие фрагментации маршрутизатором или брандмауэром между NPS и клиентом RADIUS. В этом случае маршрутизатор или брандмауэр, расположенный между клиентом RADIUS и NPS, может автоматически отключать карта некоторые фрагменты, что приводит к сбою проверки подлинности и невозможности клиента доступа подключаться к сети.

Используйте следующую процедуру, чтобы уменьшить максимальный размер, используемый NPS для полезных данных EAP, изменив атрибут Framed-MTU в политике сети на значение не более 1344.

Членство в Администратор istrator или эквивалентном является минимальным обязательным для выполнения этой процедуры.

Настройка атрибута Framed-MTU

1. На NPS в диспетчер сервера щелкните "Сервис" и выберите сервер политики сети. Откроется консоль NPS.

2. Дважды щелкните политики, выберите политики сети, а затем в области сведений дважды щелкните политику, которую требуется настроить.

3. В диалоговом окне "Свойства политики" щелкните вкладку Параметры.

4. В Параметры в атрибутах RADIUS щелкните "Стандартный". В области сведений нажмите кнопку "Добавить". Откроется диалоговое окно "Добавить стандартный атрибут RADIUS".

5. В атрибутах прокрутите вниз и щелкните "Фреймд-MTU" и нажмите кнопку "Добавить". Откроется диалоговое окно "Сведения о атрибутах".

6. В поле "Значение атрибута" введите значение, равное или меньше 1344. Нажмите кнопку "ОК", нажмите кнопку "Закрыть" и нажмите кнопку "ОК".

Дополнительные сведения о политиках сети см. в разделе "Политики сети".

Примеры синтаксиса сопоставления шаблонов для указания атрибутов политики сети см. в разделе "Использование регулярных выражений в NPS".

Дополнительные сведения о NPS см. в разделе "Сервер политики сети" (NPS).