Сервер политики сети

Область применения: Windows Server 2022, Windows Server 2016, Windows Server 2019

Этот раздел можно использовать для обзора сервера политики сети в Windows Server 2016 и Windows Server 2019. NPS устанавливается при установке политики сети и компонента службы Access (NPAS) в Windows Server 2016 и Server 2019.

Сервер сетевых политик (NPS) позволяет создавать и применять политики доступа к сети на уровне организации для проверки подлинности и авторизации сетевых подключений.

Вы также можете настроить NPS в качестве прокси-сервера службы удаленной проверки подлинности (RADIUS) для перенаправления запросов на подключение к удаленному NPS или другому серверу RADIUS, чтобы можно было сбалансировать запросы на подключение и перенаправить их в правильный домен для проверки подлинности и авторизации.

NPS позволяет централизованно настраивать проверку подлинности, авторизацию и учет сетевого доступа и управлять ими со следующими функциями:

  • СЕРВЕР RADIUS. NPS выполняет централизованную проверку подлинности, авторизацию и учет беспроводных подключений, проверки подлинности коммутатора, удаленного доступа и vpn-подключений. Если сервер политики сети используется в качестве RADIUS-сервера, серверы доступа к сети, например точки беспроводного доступа и VPN-серверы, настраиваются как RADIUS-клиенты на сервере политики сети. Кроме того, можно настроить политики сети, используемые сервером политики сети для авторизации запросов на подключение. Также можно настроить RADIUS-учет, чтобы сервер политики сети сохранял информацию в файлах журнала, хранящихся на локальном жестком диске или в базе данных Microsoft SQL Server. Дополнительные сведения см. на сервере RADIUS.
  • Прокси-сервер RADIUS. При использовании NPS в качестве прокси-сервера RADIUS вы настраиваете политики запросов на подключение, которые сообщают NPS, какие запросы на подключение будут пересылаться на другие серверы RADIUS и на какие серверы RADIUS требуется переадресовать запросы на подключение. На сервере политики сети можно также настроить переадресацию данных учета для их хранения на одном или нескольких компьютерах в группе удаленных RADIUS-серверов. Сведения о настройке NPS в качестве прокси-сервера RADIUS см. в следующих разделах. Дополнительные сведения см. в разделе RADIUS-прокси.
  • Учет RADIUS. Вы можете настроить NPS для записи событий в локальный файл журнала или в локальный или удаленный экземпляр Microsoft SQL Server. Дополнительные сведения см. в разделе журналов NPS.

Важно!

Защита доступа к сети (NAP), центр регистрации работоспособности (HRA) и протокол авторизации учетных данных узла (HCAP) устарели в Windows Server 2012 R2 и недоступны в Windows Server 2016. Если у вас есть развертывание NAP с использованием операционных систем, предшествующих Windows Server 2016, развертывание NAP невозможно перенести в Windows Server 2016.

NPS можно настроить с помощью любого сочетания этих функций. Например, можно настроить один NPS в качестве сервера RADIUS для VPN-подключений, а также в качестве прокси-сервера RADIUS для пересылки некоторых запросов на подключение к членам удаленной группы серверов RADIUS для проверки подлинности и авторизации в другом домене.

выпуски Windows Server и NPS

NPS предоставляет различные функциональные возможности в зависимости от выпуска Windows Server, который вы устанавливаете.

Windows Server 2016 или Windows Server 2019 Standard/Datacenter Edition

С помощью NPS в Windows Server 2016 Standard или Datacenter можно настроить неограниченное количество клиентов RADIUS и удаленных групп серверов RADIUS. Кроме того, можно настроить клиенты RADIUS, указав диапазон IP-адресов.

Примечание

Функция политики сети WIndows и службы Access недоступна в системах, установленных с параметром установки основных серверных компонентов.

В следующих разделах содержатся более подробные сведения о NPS в качестве сервера RADIUS и прокси-сервера.

СЕРВЕР RADIUS и прокси-сервер

NPS можно использовать в качестве сервера RADIUS, прокси-сервера RADIUS или обоих.

сервер RADIUS;

NPS — это реализация стандарта RADIUS корпорации Майкрософт, заданного целевой группой интернет-инженеров (IETF) в RFCs 2865 и 2866. Как сервер RADIUS, NPS выполняет централизованную проверку подлинности подключения, авторизацию и учет многих типов сетевого доступа, включая беспроводной, аутентификирующий коммутатор, удаленный доступ к телефонным подключениям и виртуальной частной сети (VPN) и подключения маршрутизатора к маршрутизатору.

Примечание

Сведения о развертывании NPS в качестве сервера RADIUS см. в разделе "Развертывание сервера политики сети".

NPS позволяет использовать разнородный набор беспроводных устройств, коммутаторов, оборудования для удаленного доступа или VPN. NPS можно использовать со службой удаленного доступа, доступной в Windows Server 2016.

NPS использует домен доменные службы Active Directory (AD DS) или локальную базу данных учетных записей пользователей диспетчера учетных записей безопасности (SAM) для проверки подлинности учетных данных пользователя для попыток подключения. Если сервер под управлением NPS является членом домена AD DS, NPS использует службу каталогов в качестве базы данных учетной записи пользователя и является частью решения единого входа. Тот же набор учетных данных используется для управления доступом к сети (аутентификации и авторизации доступа к сети) и входа в домен AD DS.

Примечание

NPS использует свойства учетной записи пользователя и политик сети для авторизации подключения.

Поставщики услуг Интернета и организации, поддерживающие сетевой доступ, сталкиваются с повышенной проблемой управления всеми типами сетевого доступа из одной точки администрирования независимо от типа используемого оборудования доступа к сети. Стандарт RADIUS поддерживает эту функциональность как в однородных, так и в разнородных средах. RADIUS — это протокол клиентского сервера, который позволяет оборудованию сетевого доступа (используемому в качестве клиентов RADIUS) отправлять запросы проверки подлинности и учета на сервер RADIUS.

Сервер RADIUS имеет доступ к сведениям учетной записи пользователя и может проверять учетные данные проверки подлинности сетевого доступа. Если учетные данные пользователя проходят проверку подлинности и попытка подключения авторизована, сервер RADIUS разрешает доступ пользователей на основе указанных условий, а затем регистрирует подключение к сетевому доступу в журнал учета. Использование RADIUS позволяет собирать и обслуживать данные проверки подлинности пользователей сетевого доступа, авторизации и учета в центральном расположении, а не на каждом сервере доступа.

Использование NPS в качестве сервера RADIUS

NPS можно использовать в качестве сервера RADIUS, если:

  • Вы используете домен AD DS или локальную базу данных учетных записей пользователей SAM в качестве базы данных учетной записи пользователя для клиентов доступа.
  • Удаленный доступ используется на нескольких серверах с телефонным подключением, VPN-серверах или маршрутизаторах с телефонным подключением и требуется централизировать как конфигурацию политик сети, так и ведение журнала подключений и учет.
  • Вы выполняете аутсорсинг подключения, VPN или беспроводного доступа к поставщику услуг. Серверы доступа используют RADIUS для проверки подлинности и авторизации подключений, выполняемых членами вашей организации.
  • Вы хотите централизировать проверку подлинности, авторизацию и учет разнородного набора серверов доступа.

На следующем рисунке показан NPS в качестве сервера RADIUS для различных клиентов доступа.

NPS as a RADIUS Server

RADIUS-прокси

В качестве прокси-сервера RADIUS NPS пересылает сообщения проверки подлинности и учета на NPS и другие серверы RADIUS. NPS можно использовать в качестве прокси-сервера RADIUS, чтобы обеспечить маршрутизацию сообщений RADIUS между клиентами RADIUS (также называемыми серверами сетевого доступа) и серверами RADIUS, которые выполняют проверку подлинности пользователей, авторизацию и учет попытки подключения.

При использовании в качестве прокси-сервера RADIUS NPS — это центральная точка переключения или маршрутизации, через которую осуществляется доступ RADIUS и поток сообщений бухгалтерского учета. NPS записывает сведения в журнал бухгалтерского учета о пересылаемых сообщениях.

Использование NPS в качестве прокси-сервера RADIUS

NPS можно использовать в качестве прокси-сервера RADIUS, если:

  • Вы являетесь поставщиком услуг, который предлагает услуги по подключению к телефонной сети, VPN или беспроводной сети нескольким клиентам. Ваши naSs отправляют запросы на подключение к прокси-серверу RADIUS NPS. В зависимости от части области имени пользователя в запросе на подключение прокси-сервер NPS RADIUS перенаправит запрос подключения на сервер RADIUS, обслуживаемый клиентом, и может пройти проверку подлинности и авторизовать попытку подключения.
  • Вы хотите предоставить проверку подлинности и авторизацию для учетных записей пользователей, которые не являются членами домена, в котором NPS является членом или другим доменом с двусторонним доверием к домену, в котором NPS является участником. Сюда входят учетные записи в недоверенных доменах, односторонних доверенных доменах и других лесах. Вместо настройки серверов доступа для отправки запросов на подключение к серверу RADIUS NPS их можно настроить для отправки запросов на подключение к прокси-серверу RADIUS NPS. Прокси-сервер RADIUS NPS использует часть имени области имени пользователя и перенаправляет запрос на NPS в правильном домене или лесу. Попытки подключения для учетных записей пользователей в одном домене или лесу можно пройти проверку подлинности для NAS в другом домене или лесу.
  • Вы хотите выполнить проверку подлинности и авторизацию с помощью базы данных, которая не является Windows учетной записью. В этом случае запросы на подключение, соответствующие указанному имени области, перенаправляются на сервер RADIUS, который имеет доступ к другой базе данных учетных записей пользователей и данным авторизации. Примерами других пользовательских баз данных являются службы каталогов Novell (NDS) и базы данных язык SQL (SQL).
  • Требуется обработать большое количество запросов на подключение. В этом случае вместо настройки клиентов RADIUS для балансировки баланса между своими запросами подключения и учета на нескольких серверах RADIUS можно настроить их для отправки запросов на подключение и учет на прокси-сервер NPS RADIUS. Прокси-сервер RADIUS NPS динамически балансирует нагрузку запросов на подключение и учет на нескольких серверах RADIUS и увеличивает обработку большого количества клиентов RADIUS и проверки подлинности в секунду.
  • Вы хотите предоставить проверку подлинности и авторизацию RADIUS для поставщиков услуг аутсорсинга и свести к минимуму конфигурацию брандмауэра интрасети. Брандмауэр интрасети находится между сетью периметра (сеть между интрасетью и Интернетом) и интрасетью. Разместив NPS в сети периметра, брандмауэр между сетью периметра и интрасетью должен разрешить трафик между NPS и несколькими контроллерами домена. Заменив NPS прокси-сервером NPS, брандмауэр должен разрешить передачу трафика RADIUS между прокси-сервером NPS и одним или несколькими NPS в интрасети.

На следующем рисунке показан NPS в качестве прокси-сервера RADIUS между клиентами RADIUS и серверами RADIUS.

NPS as a RADIUS Proxy

С помощью NPS организации также могут передавать инфраструктуру удаленного доступа поставщику услуг, сохраняя при этом контроль над проверкой подлинности, авторизацией и учетом пользователей.

Конфигурации NPS можно создать для следующих сценариев:

  • Беспроводной доступ
  • Удаленный доступ к удаленному подключению или виртуальной частной сети (VPN) организации
  • Внешний телефонный или беспроводной доступ
  • Доступ к Интернету
  • Прошедший проверку подлинности доступ к ресурсам экстрасети для бизнес-партнеров

Примеры конфигурации сервера RADIUS и RADIUS-прокси

В следующих примерах конфигурации показано, как настроить NPS в качестве сервера RADIUS и прокси-сервера RADIUS.

NPS в качестве сервера RADIUS. В этом примере NPS настраивается как RADIUS-сервер, политика запроса на подключение по умолчанию является единственной настроенной политикой, и все запросы на подключение обрабатываются локальным NPS. NPS может выполнять проверку подлинности и авторизацию пользователей, учетные записи которых находятся в домене NPS и доверенных доменах.

NPS в качестве прокси-сервера RADIUS. В этом примере NPS настраивается как прокси-сервер RADIUS, который перенаправит запросы на подключение к удаленным группам серверов RADIUS в двух недоверенных доменах. Политика запроса на подключение по умолчанию удаляется, и для переадресации запросов на каждый из двух недоверенных доменов создаются две новые политики запросов на подключение. В этом примере NPS не обрабатывает запросы на подключение на локальном сервере.

NPS в качестве сервера RADIUS и прокси-сервера RADIUS. Помимо политики запросов на подключение по умолчанию, которая указывает, что запросы на подключение обрабатываются локально, создается новая политика запроса на подключение, которая перенаправляет запросы на подключение к NPS или другому серверу RADIUS в недоверенном домене. Эта вторая политика называется политикой прокси-сервера. В этом примере политика прокси-сервера сначала отображается в упорядоченном списке политик. Если запрос на подключение соответствует политике прокси-сервера, запрос на подключение перенаправится на сервер RADIUS в удаленной группе серверов RADIUS. Если запрос на подключение не соответствует политике прокси-сервера, но соответствует политике запроса на подключение по умолчанию, NPS обрабатывает запрос на подключение на локальном сервере. Если запрос на подключение не соответствует ни той или иной политике, он удаляется.

NPS в качестве сервера RADIUS с удаленными серверами бухгалтерского учета. В этом примере локальная NPS не настроена для учета, а политика запроса на подключение по умолчанию изменена, чтобы сообщения учета RADIUS перенаправлялись на NPS или другой сервер RADIUS в удаленной группе серверов RADIUS. Хотя учетные сообщения пересылаются, сообщения проверки подлинности и авторизации не пересылаются, а локальный NPS выполняет эти функции для локального домена и всех доверенных доменов.

NPS с удаленным RADIUS для Windows сопоставления пользователей. В этом примере NPS выступает как в качестве сервера RADIUS, так и в качестве прокси-сервера RADIUS для каждого отдельного запроса подключения путем перенаправления запроса проверки подлинности на удаленный сервер RADIUS при использовании локальной учетной записи пользователя Windows для авторизации. Эта конфигурация реализуется путем настройки удаленного RADIUS для Windows атрибут сопоставления пользователей в качестве условия политики запроса подключения. (Кроме того, учетная запись пользователя должна быть создана локально на сервере RADIUS с тем же именем, что и учетная запись удаленного пользователя, для которой выполняется проверка подлинности удаленным сервером RADIUS.)

Конфигурация

Чтобы настроить NPS в качестве сервера RADIUS, можно использовать стандартную конфигурацию или расширенную конфигурацию в консоли NPS или в диспетчер сервера. Чтобы настроить NPS в качестве прокси-сервера RADIUS, необходимо использовать расширенную конфигурацию.

Стандартная конфигурация

В стандартной конфигурации мастера предоставляются для настройки NPS для следующих сценариев:

  • RADIUS-сервер для подключения к телефонным подключениям или VPN
  • RADIUS-сервер для беспроводных или проводных подключений 802.1 X

Чтобы настроить NPS с помощью мастера, откройте консоль NPS, выберите один из предыдущих сценариев и щелкните ссылку, которая откроет мастер.

Расширенная конфигурация

При использовании расширенной конфигурации вы вручную настраиваете NPS в качестве сервера RADIUS или прокси-сервера RADIUS.

Чтобы настроить NPS с помощью расширенной конфигурации, откройте консоль NPS и щелкните стрелку рядом с расширенной конфигурацией , чтобы развернуть этот раздел.

Предоставляются следующие дополнительные элементы конфигурации.

Настройка сервера RADIUS

Чтобы настроить NPS в качестве сервера RADIUS, необходимо настроить клиенты RADIUS, политику сети и учет RADIUS.

Инструкции по созданию этих конфигураций см. в следующих разделах.

Настройка прокси-сервера RADIUS

Чтобы настроить NPS в качестве прокси-сервера RADIUS, необходимо настроить клиенты RADIUS, группы удаленных серверов RADIUS и политики запросов на подключение.

Инструкции по созданию этих конфигураций см. в следующих разделах.

Ведение журнала NPS

Ведение журнала NPS также называется учетом RADIUS. Настройте ведение журнала NPS в соответствии с вашими требованиями, независимо от того, используется ли NPS в качестве сервера RADIUS, прокси-сервера или любого сочетания этих конфигураций.

Чтобы настроить ведение журнала NPS, необходимо настроить события, которые вы хотите регистрировать и просматривать с помощью Просмотр событий, а затем определить, какие другие сведения необходимо регистрировать. Кроме того, необходимо решить, следует ли регистрировать данные проверки подлинности и учета пользователей в текстовые файлы журнала, хранящиеся на локальном компьютере, или в базу данных SQL Server на локальном компьютере или удаленном компьютере.

Дополнительные сведения см. в разделе "Настройка учета сервера политики сети".