วางแผนและใช้ NPS

7 นาที

NPS ดําเนินการรับรองความถูกต้องของการเชื่อมต่อแบบรวมศูนย์ การอนุญาต และการทําบัญชีสําหรับเซิร์ฟเวอร์ไร้สาย เกตเวย์ RD การรับรองความถูกต้อง สวิตช์ VPN และการเชื่อมต่อผ่านสายโทรศัพท์ แต่ Contoso ต้องกําหนดค่านโยบายเครือข่ายที่ NPS ใช้เพื่ออนุญาตคําขอการเชื่อมต่อ และพวกเขายังสามารถเลือกกําหนดค่าการบัญชี RADIUS เพื่อให้ NPS บันทึกข้อมูลบัญชีเพื่อเข้าสู่ระบบไฟล์บนฮาร์ดดิสก์ภายในเครื่องหรือในฐานข้อมูล Microsoft SQL Server

เลือกวิธีการรับรองความถูกต้อง NPS

NPS จะรับรองความถูกต้องและอนุญาตคําขอเชื่อมต่อก่อนที่จะอนุญาตหรือปฏิเสธการเข้าถึงเมื่อผู้ใช้พยายามเชื่อมต่อกับเครือข่ายของคุณผ่านทาง NASS เมื่อคุณปรับใช้ NPS คุณสามารถระบุประเภทของวิธีการรับรองความถูกต้องที่จําเป็นสําหรับการเข้าถึงเครือข่ายของคุณ

วิธีการรับรองความถูกต้องต่อไปนี้ได้รับการสนับสนุนโดย NPS:

PAP
โพรโทคอลการรับรองความถูกต้องรหัสผ่าน Shiva (SPAP)
CHAP
MS-CHAP
MS-CHAP v2
EAP

เคล็ดลับ

เมื่อคุณเลือก EAP เป็นวิธีการรับรองความถูกต้อง การเจรจาประเภท EAP จะเกิดขึ้นระหว่างไคลเอ็นต์การเข้าถึงและเซิร์ฟเวอร์ NPS

ความระมัดระวัง

คุณไม่ควรใช้ PAP, SPAP, CHAP หรือ MS-CHAP ในสภาพแวดล้อมการผลิตเนื่องจากถือว่าไม่ปลอดภัยเป็นอย่างมาก

บัญชี NPS

นอกจากนี้คุณยังต้องพิจารณาว่าคุณควรกําหนดค่าการบันทึกสําหรับ NPS อย่างไร คุณสามารถบันทึกการร้องขอการรับรองความถูกต้องผู้ใช้และคําขอทางบัญชีเพื่อบันทึกไฟล์ในรูปแบบข้อความหรือรูปแบบฐานข้อมูล หรือคุณสามารถเข้าสู่ระบบกระบวนงานที่เก็บไว้ในฐานข้อมูล Microsoft SQL Server ใช้การบันทึกคําขอสําหรับการวิเคราะห์การเชื่อมต่อและการเรียกเก็บเงินเป็นหลัก และเป็นเครื่องมือตรวจสอบความปลอดภัยเนื่องจากจะช่วยให้คุณสามารถระบุกิจกรรมของแฮ็กเกอร์ได้

กําหนดค่านโยบายบน NPS

NPS สนับสนุนนโยบายคําขอเชื่อมต่อและนโยบายเครือข่าย ตามที่อธิบายไว้ในตารางต่อไปนี้

ประเภท	คำอธิบาย
นโยบายการร้องขอการเชื่อมต่อ	นโยบายคําขอการเชื่อมต่ออนุญาตให้คุณเลือกว่าเซิร์ฟเวอร์ NPS ภายในเครื่องจะประมวลผลคําขอเชื่อมต่อหรือส่งต่อไปยังเซิร์ฟเวอร์ RADIUS อื่นเพื่อประมวลผล
นโยบายเครือข่าย	นโยบายเครือข่ายช่วยให้คุณสามารถกําหนดผู้ใช้ที่คุณอนุญาตเพื่อเชื่อมต่อกับเครือข่ายของคุณและสถานการณ์ที่พวกเขาสามารถทําได้หรือไม่สามารถเชื่อมต่อได้

ประเภท

คำอธิบาย

นโยบายการร้องขอการเชื่อมต่อ

นโยบายคําขอการเชื่อมต่ออนุญาตให้คุณเลือกว่าเซิร์ฟเวอร์ NPS ภายในเครื่องจะประมวลผลคําขอเชื่อมต่อหรือส่งต่อไปยังเซิร์ฟเวอร์ RADIUS อื่นเพื่อประมวลผล

นโยบายเครือข่าย

นโยบายเครือข่ายช่วยให้คุณสามารถกําหนดผู้ใช้ที่คุณอนุญาตเพื่อเชื่อมต่อกับเครือข่ายของคุณและสถานการณ์ที่พวกเขาสามารถทําได้หรือไม่สามารถเชื่อมต่อได้

สร้างนโยบายเครือข่าย

นโยบายเครือข่ายคือชุดของเงื่อนไข ข้อจํากัด และการตั้งค่าที่ช่วยให้คุณสามารถกําหนดได้ว่าใครจะเป็นผู้ที่คุณอนุญาตให้เชื่อมต่อกับเครือข่าย และสถานการณ์ที่บุคคลดังกล่าวสามารถหรือไม่สามารถเชื่อมต่อได้ นโยบายเครือข่ายแต่ละแบบประกอบด้วยคุณสมบัติสี่ประเภท

ทรัพย์สิน	คำอธิบาย
ภาพรวม	คุณสมบัติภาพรวมช่วยให้คุณสามารถระบุว่านโยบายเปิดใช้งานหรือไม่ นโยบายอนุญาตหรือปฏิเสธการเข้าถึง และระบุว่าการร้องขอการเชื่อมต่อจําเป็นต้องมีวิธีการเชื่อมต่อเครือข่ายเฉพาะหรือชนิดของเซิร์ฟเวอร์การเข้าถึงเครือข่าย คุณสมบัติภาพรวมยังทําให้คุณสามารถระบุว่าจะละเว้นคุณสมบัติ dial-in ของบัญชีผู้ใช้ใน AD DS หรือไม่ หากคุณเลือกตัวเลือกนี้ NPS จะใช้เฉพาะการตั้งค่าของนโยบายเครือข่ายเพื่อพิจารณาว่าจะอนุญาตการเชื่อมต่อหรือไม่
เงื่อนไข	คุณสมบัติเหล่านี้อนุญาตให้คุณระบุเงื่อนไขที่การร้องขอการเชื่อมต่อจะต้องตรงกับนโยบายเครือข่าย หากเงื่อนไขที่กําหนดค่าในนโยบายตรงกับคําขอการเชื่อมต่อ NPS จะใช้การตั้งค่านโยบายเครือข่ายกับการเชื่อมต่อ ตัวอย่างเช่น ถ้าคุณระบุที่อยู่ IPv4 ของเซิร์ฟเวอร์การเข้าถึงเครือข่าย (ที่อยู่ NAS IPv4) เป็นเงื่อนไขของนโยบายเครือข่าย และ NPS ได้รับการร้องขอการเชื่อมต่อจาก NAS ที่มีที่อยู่ IP ที่ระบุ เงื่อนไขในนโยบายจะตรงกับการร้องขอการเชื่อมต่อ
ข้อจำกัด	ข้อจํากัดคือพารามิเตอร์เพิ่มเติมของนโยบายเครือข่ายที่จําเป็นต้องตรงกับการร้องขอการเชื่อมต่อ ถ้าคําขอการเชื่อมต่อไม่ตรงกับข้อจํากัด NPS จะปฏิเสธคําขอโดยอัตโนมัติ ไม่เหมือนกับการตอบสนอง NPS สําหรับเงื่อนไขที่ไม่ตรงกันในเครือข่าย หากข้อจํากัดไม่ตรงกัน NPS จะไม่ประเมินนโยบายเครือข่ายเพิ่มเติมและปฏิเสธคําขอการเชื่อมต่อ
การตั้งค่า	คุณสมบัติ การตั้งค่า ช่วยให้คุณสามารถระบุการตั้งค่าที่ NPS ใช้กับคําขอการเชื่อมต่อ โดยมีเงื่อนไขนโยบายเครือข่ายทั้งหมดที่ตรงกันและยอมรับคําขอ

สําคัญ

เมื่อคุณปรับใช้บทบาท NPS ครั้งแรก นโยบายเครือข่ายเริ่มต้นสองนโยบายจะปฏิเสธการเข้าถึงระยะไกลเพื่อพยายามเชื่อมต่อทั้งหมด คุณสามารถกําหนดค่านโยบายเครือข่ายเพิ่มเติมเพื่อจัดการความพยายามในการเชื่อมต่อ

สกรีนช็อตของกล่องโต้ตอบเซิร์ฟเวอร์นโยบายเครือข่าย ผู้ดูแลระบบได้สร้างนโยบายที่เรียกว่า นโยบาย Contoso นโยบายเริ่มต้นจะยังมองเห็นได้

เมื่อ NPS อนุญาตคําขอเชื่อมต่อ จะเปรียบเทียบคําขอกับนโยบายเครือข่ายแต่ละรายการในรายการนโยบายที่เรียงลําดับ โดยเริ่มต้นด้วยนโยบายแรกและย้ายไปยังรายการถัดไปในรายการ ถ้า NPS พบนโยบายที่ตรงกับเงื่อนไขของคําขอการเชื่อมต่อ NPS จะใช้นโยบายการจับคู่และคุณสมบัติ dial-in ของบัญชีผู้ใช้เพื่ออนุญาตคําขอ ถ้าคุณกําหนดค่าคุณสมบัติ dial-in ของบัญชีผู้ใช้เพื่อให้สิทธิ์หรือควบคุมการเข้าถึงผ่านนโยบายเครือข่าย และการร้องขอการเชื่อมต่อได้รับอนุญาต NPS จะใช้การตั้งค่าที่คุณกําหนดค่าในนโยบายเครือข่ายกับการเชื่อมต่อ:

หาก NPS ไม่พบนโยบายเครือข่ายที่ตรงกับคําขอเชื่อมต่อ NPS จะปฏิเสธการเชื่อมต่อ
ถ้าคุณสมบัติ dial-in ของบัญชีผู้ใช้ถูกตั้งค่าให้ปฏิเสธการเข้าถึง NPS จะปฏิเสธคําขอการเชื่อมต่อ

ซึ่งจะสรุปในไดอะแกรมต่อไปนี้

ไดอะแกรมแสดงกระบวนการโฟลว์ที่ NPS ใช้เพื่อกําหนดการเข้าถึงของผู้ใช้ตามนโยบาย

คำติชม

หน้านี้มีประโยชน์หรือไม่