Поделиться через

Сервер политики сети (NPS)

Этот раздел можно использовать для обзора сервера политики сети в Windows Server 2016 и Windows Server 2019. NPS устанавливается при установке службы политики сети и доступа (NPAS) в Windows Server 2016 и Server 2019.

Примечание.

Помимо этого раздела, доступна следующая документация по NPS.

Сервер политики сети (NPS) позволяет создавать и применять политики сетевого доступа всей организации для проверки подлинности и авторизации запросов на подключение.

Вы также можете настроить NPS в качестве прокси-сервера службы удаленной проверки подлинности (RADIUS) для пересылки запросов на подключение к удаленному NPS или другому серверу RADIUS, чтобы можно было сбалансировать запросы на подключение и перенаправлять их в правильный домен для проверки подлинности и авторизации.

NPS позволяет централизованно настраивать проверку подлинности, авторизацию и учет сети и управлять ими со следующими функциями:

  • СЕРВЕР RADIUS. NPS выполняет централизованную проверку подлинности, авторизацию и учет беспроводных подключений, проверки подлинности коммутатора, удаленного доступа и vpn-подключений. Если сервер политики сети используется в качестве RADIUS-сервера, серверы доступа к сети, например точки беспроводного доступа и VPN-серверы, настраиваются как RADIUS-клиенты на сервере политики сети. Кроме того, можно настроить политики сети, используемые сервером политики сети для авторизации запросов на подключение. Также можно настроить RADIUS-учет, чтобы сервер политики сети сохранял информацию в файлах журнала, хранящихся на локальном жестком диске или в базе данных Microsoft SQL Server. Дополнительные сведения см. в разделе RADIUS-сервер.
  • Прокси-сервер RADIUS. При использовании NPS в качестве прокси-сервера RADIUS настройте политики запросов на подключение, которые сообщают NPS, какие запросы на подключение будут пересылаться на другие серверы RADIUS и на какие серверы RADIUS необходимо перенаправить запросы на подключение. Вы также можете настроить сервер политики сети (NPS) на переадресацию данных учета для их регистрации одним или несколькими компьютерами в группе удаленных RADIUS-серверов. Сведения о настройке NPS в качестве прокси-сервера RADIUS см. в следующих разделах. Дополнительные сведения см. в разделе RADIUS-прокси.
  • RADIUS учет данных. Вы можете настроить NPS для записи событий в локальный файл журнала или в локальный или удаленный экземпляр Microsoft SQL Server. Для получения дополнительной информации см. журналирование NPS.

Внимание

Защита доступа к сети (NAP), Уполномоченный орган регистрации состояния (HRA) и Протокол авторизации учетных данных хоста (HCAP) устарели в Windows Server 2012 R2 и недоступны в Windows Server 2016. Если у вас есть развертывание NAP с помощью операционных систем, предшествующих Windows Server 2016, вы не можете перенести развертывание NAP в Windows Server 2016.

Вы можете настроить NPS с любым сочетанием этих функций. Например, можно настроить один NPS в качестве сервера RADIUS для VPN-подключений, а также в качестве прокси-сервера RADIUS для пересылки некоторых запросов на подключение к членам удаленной группы серверов RADIUS для проверки подлинности и авторизации в другом домене.

Выпуски Windows Server и NPS

NPS предоставляет различные функциональные возможности в зависимости от выпуска Windows Server, который вы устанавливаете.

Windows Server 2016 или Windows Server 2019 Standard/Datacenter Edition

С помощью NPS в Windows Server 2016 Standard или Datacenter можно настроить неограниченное количество клиентов RADIUS и удаленных групп серверов RADIUS. Кроме того, можно настроить клиенты RADIUS, указав диапазон IP-адресов.

Примечание.

Функция "Службы политики и доступа в сеть Windows" недоступна на системах, установленных с параметром установки серверного ядра.

В следующих разделах приведены более подробные сведения о NPS в качестве сервера RADIUS и прокси-сервера.

СЕРВЕР RADIUS и прокси-сервер

NPS можно использовать в качестве сервера RADIUS, прокси-сервера RADIUS или обоих.

сервер RADIUS;

NPS — это реализация стандарта RADIUS, заданного группой задач разработки Интернета (IETF) в RFCs 2865 и 2866. Как сервер RADIUS, NPS выполняет централизованную проверку подлинности подключения, авторизацию и учет многих типов сетевого доступа, включая беспроводной, аутентификацию коммутатора, удаленного доступа к телефонным подключениям и виртуальной частной сети (VPN) и подключений маршрутизатора к маршрутизатору.

Примечание.

Сведения о развертывании NPS в качестве сервера RADIUS см. в разделе "Развертывание сервера политики сети".

NPS позволяет использовать разнородный набор беспроводных устройств, коммутаторов, оборудования для удаленного доступа или VPN. С помощью NPS можно использовать службу удаленного доступа, которая доступна в Windows Server 2016.

NPS использует домен служб домен Active Directory (AD DS) или локальную базу данных учетных записей пользователей диспетчера учетных записей безопасности (SAM) для проверки подлинности учетных данных пользователя для попыток подключения. Если сервер под управлением NPS является членом домена AD DS, NPS использует службу каталогов в качестве базы данных учетной записи пользователя и является частью решения единого входа. Тот же набор учетных данных используется для управления доступом к сети (аутентификации и авторизации доступа к сети) и входа в домен AD DS.

Примечание.

NPS использует свойства удаленного доступа учетной записи пользователя и сетевые политики для авторизации подключения.

Поставщики услуг Интернета (ПОСТАВЩИКи услуг Интернета) и организации, поддерживающие сетевой доступ, сталкиваются с повышенной проблемой управления всеми типами сетевого доступа из одной точки администрирования независимо от типа используемого сетевого оборудования. Стандарт RADIUS поддерживает эту функцию как в однородных, так и разнородных средах. RADIUS — это протокол клиентского сервера, который позволяет оборудованию доступа к сети (используемому в качестве клиентов RADIUS) отправлять запросы проверки подлинности и учета на сервер RADIUS.

Сервер RADIUS имеет доступ к сведениям учетной записи пользователя и может проверять учетные данные проверки подлинности сетевого доступа. Если учетные данные пользователя проходят проверку подлинности и попытка подключения разрешена, сервер RADIUS разрешает доступ пользователей на основе указанных условий, а затем регистрирует сетевое подключение в журнале учета. Использование RADIUS позволяет централизованно собирать и поддерживать данные аутентификации, авторизации и учета пользователей сетевого доступа, вместо хранения их на каждом сервере доступа.

Использование NPS в качестве сервера RADIUS

NPS можно использовать в качестве сервера RADIUS, если:

  • Вы используете домен AD DS или локальную базу данных учетных записей пользователей SAM в качестве базы данных учетной записи пользователя для клиентов доступа.
  • Вы используете удаленный доступ на нескольких модемных серверах, VPN-серверах или маршрутизаторах с модемным подключением и вы хотите централизовать конфигурацию сетевых политик, а также журналирование подключений и учет.
  • Вы выполняете аутсорсинг телефонного подключения, VPN или беспроводного доступа к поставщику услуг. Серверы доступа используют RADIUS для проверки подлинности и авторизации подключений, сделанных членами вашей организации.
  • Вы хотите централизировать проверку подлинности, авторизацию и учет разнородного набора серверов доступа.

На следующем рисунке показан NPS как сервер RADIUS для различных клиентов доступа.

NPS в качестве сервера RADIUS

RADIUS-прокси

В качестве прокси-сервера RADIUS NPS перенаправит сообщения проверки подлинности и учета на NPS и другие серверы RADIUS. NPS можно использовать в качестве прокси-сервера RADIUS для маршрутизации сообщений RADIUS между клиентами RADIUS (также называемыми серверами доступа к сети) и серверами RADIUS, которые выполняют проверку подлинности пользователей, авторизацию и учет попытки подключения.

При использовании в качестве прокси-сервера RADIUS, NPS является центральной точкой переключения или маршрутизации, через которую проходят сообщения доступа и учета RADIUS. NPS записывает сведения в журнале учета о пересылаемых сообщениях.

Использование NPS в качестве прокси-сервера RADIUS

NPS можно использовать в качестве прокси-сервера RADIUS, если:

  • Вы являетесь поставщиком услуг, который предоставляет услуги аутсорсингового телефонного подключения, VPN или доступ к беспроводным сетям для нескольких клиентов. Ваши NAS отправляют запросы на подключение к прокси-серверу RADIUS NPS. В зависимости от части области имени пользователя в запросе подключения прокси-сервер NPS RADIUS перенаправит запрос подключения на сервер RADIUS, который поддерживается клиентом, и может пройти проверку подлинности и авторизовать попытку подключения.
  • Вы хотите предоставить проверку подлинности и авторизацию учетных записей пользователей, которые не являются членами домена, в котором NPS является членом или другим доменом с двусторонним доверием к домену, в котором NPS является членом. К ним относятся учетные записи в ненадежных доменах, односторонне доверенных доменах и других лесах. Вместо настройки серверов доступа для отправки запросов на подключение к серверу RADIUS NPS можно настроить их для отправки запросов на подключение к прокси-серверу RADIUS NPS. Прокси-сервер NPS RADIUS использует часть имени области (realm) из имени пользователя и пересылает запрос на NPS в соответствующем домене или лесу. Попытки подключения для учетных записей пользователей в одном домене или лесу могут быть аутентифицированы на устройствах NAS в другом домене или лесу.
  • Вы хотите выполнить проверку подлинности и авторизацию с помощью базы данных, которая не является базой данных учетной записи Windows. В этом случае запросы на подключение, соответствующие указанному имени области, перенаправляются на сервер RADIUS, который имеет доступ к другой базе данных учетных записей пользователей и данным авторизации. Примерами других пользовательских баз данных являются Службы каталогов Novell (NDS) и базы данных SQL.
  • Требуется обработать большое количество запросов на подключение. В этом случае вместо настройки клиентов RADIUS для балансировки их подключения и учета на нескольких серверах RADIUS можно настроить их для отправки запросов на подключение и учет в прокси-сервер NPS RADIUS. Прокси-сервер NPS RADIUS динамически балансирует нагрузку запросов подключения и учета на нескольких серверах RADIUS и увеличивает обработку большого количества клиентов RADIUS и проверки подлинности в секунду.
  • Вы хотите предоставить проверку подлинности RADIUS и авторизацию для поставщиков услуг аутсорсинга и свести к минимуму конфигурацию брандмауэра интрасети. Брандмауэр находится между сетью периметра (сетью между вашей интрасетью и Интернетом) и внутренней сетью. Поместив NPS в сеть периметра, брандмауэр между сетью периметра и интрасетью должен разрешить трафик между NPS и несколькими контроллерами домена. Заменив NPS прокси-сервером NPS, брандмауэр должен разрешить поток трафика RADIUS между прокси-сервером NPS и одним или несколькими NPS в интрасети.

Внимание

Если уровень функциональности леса — Windows Server 2003 на более поздней версии, и между лесами существует двустороннее отношение доверия, NPS поддерживает аутентификацию между лесами без прокси-сервера RADIUS. Но если вы используете EAP-TLS или PEAP-TLS с сертификатами в качестве метода проверки подлинности, необходимо использовать прокси-сервер RADIUS для проверки подлинности в лесах.

На следующем рисунке показаны NPS в качестве прокси-сервера RADIUS между клиентами RADIUS и серверами RADIUS.

NPS в качестве прокси-сервера RADIUS

С помощью NPS организации также могут выполнять аутсорсинг инфраструктуры удаленного доступа поставщику услуг, сохраняя контроль над проверкой подлинности пользователей, авторизацией и учетом.

Конфигурации NPS можно создать для следующих сценариев:

  • Беспроводной доступ
  • Удаленный доступ организации по коммутируемой связи или виртуальной частной сети (VPN)
  • Внешний телефонный или беспроводной доступ
  • Доступ к Интернету
  • Прошедший проверку подлинности доступ к ресурсам экстрасети для бизнес-партнеров

Примеры конфигурации сервера RADIUS и прокси-сервера RADIUS

В следующих примерах конфигурации показано, как настроить NPS в качестве сервера RADIUS и прокси-сервера RADIUS.

NPS в качестве сервера RADIUS. В этом примере NPS настраивается как сервер RADIUS, политика запроса подключения по умолчанию является единственной настроенной политикой, и все запросы подключения обрабатываются локальными NPS. NPS может проходить проверку подлинности и авторизовать пользователей, учетные записи которых находятся в домене NPS и в доверенных доменах.

NPS как прокси-сервер RADIUS. В этом примере NPS настраивается в качестве прокси-сервера RADIUS, который пересылает запросы на подключение к удаленным группам серверов RADIUS в двух ненадежных доменах. Политика запроса подключения по умолчанию удаляется, и для пересылки запросов к каждому из двух недоверенных доменов создаются две новые политики запросов на подключение. В этом примере NPS не обрабатывает запросы на подключение на локальном сервере.

NPS в качестве сервера RADIUS и прокси-сервера RADIUS. Помимо политики запроса подключения по умолчанию, которая указывает, что запросы на подключение обрабатываются локально, создается новая политика запроса на подключение, которая перенаправляет запросы на подключение к NPS или другому серверу RADIUS в недоверенном домене. Эта вторая политика называется политикой прокси-сервера. В этом примере политика прокси-сервера отображается сначала в упорядоченном списке политик. Если запрос подключения соответствует политике прокси-сервера, запрос подключения перенаправлен на сервер RADIUS в удаленной группе серверов RADIUS. Если запрос на подключение не соответствует политике прокси-сервера, но соответствует политике запроса подключения по умолчанию, NPS обрабатывает запрос подключения на локальном сервере. Если запрос на подключение не соответствует любой политике, он удаляется.

NPS в качестве сервера RADIUS с удаленными учетными серверами. В этом примере локальный NPS не настроен для выполнения бухгалтерского учета, и политика запроса подключения по умолчанию пересмотрена таким образом, чтобы сообщения учета RADIUS перенаправлялись на NPS или другой сервер RADIUS в удаленной группе серверов RADIUS. Хотя сообщения учета пересылаются, сообщения проверки подлинности и авторизации не пересылаются, а локальный NPS выполняет эти функции для локального домена и всех доверенных доменов.

NPS с удаленным сопоставлением пользователей RADIUS на Windows. В этом примере NPS выступает как в качестве сервера RADIUS, так и в качестве прокси-сервера RADIUS для каждого отдельного запроса подключения путем пересылки запроса проверки подлинности на удаленный сервер RADIUS при использовании локальной учетной записи пользователя Windows для авторизации. Эта конфигурация реализуется путем настройки атрибута сопоставления пользователя Windows c удаленным RADIUS в качестве условия политики запросов подключения. (Кроме того, учетная запись пользователя должна быть создана локально на сервере RADIUS с тем же именем, что и учетная запись удаленного пользователя, для которой выполняется проверка подлинности на удаленном сервере RADIUS.)

Настройка

Чтобы настроить NPS в качестве сервера RADIUS, можно использовать стандартную конфигурацию или расширенную конфигурацию в консоли NPS или в диспетчер сервера. Чтобы настроить NPS в качестве прокси-сервера RADIUS, необходимо использовать расширенную конфигурацию.

Стандартная конфигурация

С стандартной конфигурацией мастера предоставляются для настройки NPS для следующих сценариев:

  • Сервер RADIUS для подключений через телефонную линию или VPN
  • RADIUS-сервер для беспроводных или проводных подключений 802.1 X

Чтобы настроить NPS с помощью мастера, откройте консоль NPS, выберите один из предыдущих сценариев и щелкните ссылку, которая открывает мастер.

Расширенная конфигурация

При использовании расширенной конфигурации вы вручную настраиваете NPS в качестве сервера RADIUS или прокси-сервера RADIUS.

Чтобы настроить NPS с помощью расширенной конфигурации, откройте консоль NPS и щелкните стрелку рядом с расширенной конфигурацией , чтобы развернуть этот раздел.

Предоставляются следующие расширенные элементы конфигурации.

Настройка сервера RADIUS

Чтобы настроить NPS в качестве сервера RADIUS, необходимо настроить клиенты RADIUS, сетевую политику и учет RADIUS.

Инструкции по созданию этих конфигураций см. в следующих разделах.

Настройка прокси-сервера RADIUS

Чтобы настроить NPS в качестве прокси-сервера RADIUS, необходимо настроить клиенты RADIUS, удаленные группы серверов RADIUS и политики запросов на подключение.

Инструкции по созданию этих конфигураций см. в следующих разделах.

Ведение журнала NPS

Ведение журнала NPS также называется учетом RADIUS. Настройте ведение журнала NPS в соответствии с вашими требованиями, используется ли NPS в качестве сервера RADIUS, прокси-сервера или любой комбинации этих конфигураций.

Чтобы настроить ведение журнала NPS, необходимо настроить события, которые вы хотите регистрировать и просматривать с помощью оснастки 'Просмотр событий', а затем определить, какие другие сведения требуется регистрировать. Кроме того, необходимо решить, следует ли записывать данные проверки подлинности пользователей и учета в текстовые файлы журнала, хранящиеся на локальном компьютере, или в базу данных SQL Server на локальном компьютере или удаленном компьютере.

Дополнительные сведения см. в разделе "Настройка учета сервера политики сети".