Настройка RADIUS-клиентов

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016

С помощью этого раздела можно настроить серверы доступа к сети в качестве RADIUS-клиентов в NPS.

При добавлении нового сервера доступа к сети (VPN-сервера, точки беспроводного доступа, коммутатора с проверкой подлинности или сервера удаленного доступа) в сеть необходимо добавить сервер в качестве RADIUS-клиента в NPS, а затем настроить клиент RADIUS для взаимодействия с сервером политики сети.

Важно!

Клиентские компьютеры и устройства, такие как переносные компьютеры, планшеты, телефоны и другие компьютеры с клиентскими операционными системами, не являются клиентами RADIUS. Клиенты RADIUS — это серверы сетевого доступа, такие как точки беспроводного доступа, коммутаторы с поддержкой 802.1 X, серверы виртуальной частной сети (VPN) и серверы удаленного доступа, так как они используют протокол RADIUS для взаимодействия с серверами RADIUS, такими как серверы политики сети (NPS).

Этот шаг также необходим, если сервер политики сети входит в группу удаленных серверов RADIUS, настроенную на прокси-сервере NPS. В этом случае в дополнение к выполнению действий, описанных в этой задаче на прокси-сервере NPS, необходимо выполнить следующие действия.

• На прокси-сервере NPS настройте группу удаленных серверов RADIUS, содержащую NPS.
• На удаленном сервере политики сети настройте прокси-сервер NPS в качестве RADIUS-клиента.

Для выполнения процедур, описанных в этом разделе, необходимо иметь по крайней мере один сервер сетевого доступа (VPN-сервер, точка беспроводного доступа, коммутатор проверки подлинности или сервер удаленного доступа) или прокси-сервер NPS, физически установленный в сети.

Настройка сервера сетевого доступа

Используйте эту процедуру, чтобы настроить серверы сетевого доступа для работы с NPS. При развертывании серверов сетевого доступа (NAS) в качестве RADIUS-клиентов необходимо настроить взаимодействие клиентов с НПСС, где серверы NAS настроены в качестве клиентов.

Эта процедура содержит общие рекомендации о параметрах, которые следует использовать для настройки серверов NAS. конкретные инструкции по настройке устройства, которое вы развертываете в сети, см. в документации по продукту NAS.

Настройка сервера сетевого доступа

1. На сервере NAS в параметрах RADIUSвыберите Проверка подлинности RADIUS на udp-порте 1812 и учет RADIUS на UDP-порте 1813.
2. В поле сервер проверки подлинности или сервер RADIUSукажите сервер политики сети по IP-адресу или полному доменному имени (FQDN) в зависимости от требований NAS.
3. В качестве секрета или общего секретавведите надежный пароль. При настройке NAS в качестве RADIUS-клиента в NPS вы будете использовать тот же пароль, поэтому не забывайте его.
4. Если в качестве метода проверки подлинности используется протокол PEAP или EAP, настройте NAS для использования проверки подлинности EAP.
5. При настройке точки доступа к беспроводной сети в SSIDукажите идентификатор набора служб (SSID), который является буквенно-цифровой строкой, которая служит в качестве сетевого имени. Это имя рассылается по точкам доступа беспроводным клиентам и отображается для пользователей в хот-спотах беспроводной сети.
6. Если вы настраиваете беспроводную точку доступа, в 802.1 x и WPAвключите проверку подлинности IEEE 802.1 x , если хотите развернуть PEAP-MS-CHAP v2, PEAP-TLS или EAP-TLS.

Добавление сервера доступа к сети в качестве RADIUS-клиента в NPS

Эта процедура используется для добавления сервера доступа к сети в качестве RADIUS-клиента в NPS. Эту процедуру можно использовать для настройки NAS в качестве клиента RADIUS с помощью консоли NPS.

Для выполнения этой процедуры необходимо быть членом группы Администраторы.

Добавление сервера доступа к сети в качестве RADIUS-клиента в NPS

1. На сервере политики сети в диспетчер сервера щелкните средства, а затем — сервер политики сети. Откроется консоль NPS.
2. В консоли NPS дважды щелкните RADIUS-клиенты и серверы. Щелкните правой кнопкой мыши клиенты RADIUSи выберите пункт Новый RADIUS-клиент.
3. Убедитесь, что в поле новый клиент RADIUSустановлен флажок включить клиент RADIUS .
4. В поле " новый клиент RADIUS" в поле понятное имявведите отображаемое имя NAS. В поле адрес (IP или DNS)введите IP-адрес NAS или полное доменное имя (FQDN). При вводе полного доменного имени нажмите кнопку проверить , чтобы убедиться, что имя указано правильно и сопоставляется с ДОПУСТИМЫМ IP-адресом.
5. В поле поставщикнового RADIUS-клиентаукажите имя производителя NAS. Если вы не знаете имя изготовителя NAS, выберите Стандарт RADIUS.
6. В новом RADIUS-клиентев поле общий секретвыполните одно из следующих действий.
   • Убедитесь, что выбран параметр вручную , а затем в поле общий секретвведите надежный пароль, который также вводится на NAS. Повторно введите общий секрет в поле подтверждение общего секрета.
   • Выберите создать, а затем — создать , чтобы автоматически создать общий секрет. Сохраните созданный общий секрет для конфигурации на NAS, чтобы он мог взаимодействовать с сервером политики сети.
7. в новом RADIUS-клиентев дополнительных параметрахпри использовании любых методов проверки подлинности, отличных от EAP и PEAP, и если NAS поддерживает использование атрибута проверки подлинности сообщения, выберите сообщения запроса доступа должны содержать атрибут message Authenticator.
8. Нажмите кнопку ОК. NAS появится в списке клиентов RADIUS, настроенных на сервере политики сети.

настройка RADIUS-клиентов по диапазону IP-адресов в Windows Server 2016 центре обработки данных

если вы используете Windows Server 2016 datacenter, можно настроить клиенты RADIUS в NPS по диапазону IP-адресов. Это позволяет добавлять большое количество RADIUS-клиентов (например, точек доступа к беспроводной сети) в консоль NPS за один раз, а не добавлять каждый клиент RADIUS по отдельности.

вы не можете настроить клиенты RADIUS по диапазону IP-адресов, если вы используете NPS на Windows Server 2016 Standard.

Эта процедура используется для добавления группы серверов доступа к сети (NAS) в качестве клиентов RADIUS, настроенных с использованием IP-адресов из одного и того же диапазона IP-адресов.

Все клиенты RADIUS в диапазоне должны использовать одну и ту же конфигурацию и общий секрет.

Для выполнения этой процедуры необходимо быть членом группы Администраторы.

Настройка клиентов RADIUS по диапазону IP-адресов

1. На сервере политики сети в диспетчер сервера щелкните средства, а затем — сервер политики сети. Откроется консоль NPS.
2. В консоли NPS дважды щелкните RADIUS-клиенты и серверы. Щелкните правой кнопкой мыши клиенты RADIUSи выберите пункт Новый RADIUS-клиент.
3. В поле " новый клиент RADIUS" в поле понятное имявведите отображаемое имя для коллекции серверов NAS.
4. В поле адрес (IP или DNS)введите диапазон IP-адресов для клиентов RADIUS с помощью нотации Inter-Domain МАРШРУТИЗАЦИИ (CIDR). Например, если диапазон IP-адресов для серверов NAS — 10.10.0.0, введите 10.10.0.0/16.
5. В поле поставщикнового RADIUS-клиентаукажите имя производителя NAS. Если вы не знаете имя изготовителя NAS, выберите Стандарт RADIUS.
6. В новом RADIUS-клиентев поле общий секретвыполните одно из следующих действий.
   • Убедитесь, что выбран параметр вручную , а затем в поле общий секретвведите надежный пароль, который также вводится на NAS. Повторно введите общий секрет в поле подтверждение общего секрета.
   • Выберите создать, а затем — создать , чтобы автоматически создать общий секрет. Сохраните созданный общий секрет для конфигурации на NAS, чтобы он мог взаимодействовать с сервером политики сети.
7. в новом RADIUS-клиентев дополнительных параметрахпри использовании любых методов проверки подлинности, отличных от EAP и PEAP, а также если все серверы nas поддерживают использование атрибута проверки подлинности сообщений, выберите пункт сообщения запроса доступа должен содержать атрибут message Authenticator.
8. Нажмите кнопку ОК. Серверы NAS отображаются в списке клиентов RADIUS, настроенных на сервере политики сети.

Дополнительные сведения см. в разделе RADIUS-клиенты.

Дополнительные сведения о NPS см. в разделе сервер политики сети (NPS).