Share via

连接请求处理

  • 项目

适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016

可通过本主题了解 Windows Server 2016 中网络策略服务器中的连接请求处理。

注意

除了本主题,还可查看下面的连接请求处理文档。

可以使用连接请求处理来指定执行连接请求身份验证的位置 - 是在本地计算机上,还是在作为远程 RADIUS 服务器组成员的远程 RADIUS 服务器上。

如果要让运行网络策略服务器 (NPS) 的本地服务器对连接请求执行身份验证,可以使用默认连接请求策略,无需进行其他配置。 根据默认策略,NPS 将对在本地域和受信任域中具有帐户的用户和计算机进行身份验证。

如果要将连接请求转发给远程 NPS 或其他 RADIUS 服务器,请创建远程 RADIUS 服务器组,然后配置用于将请求转发给该远程 RADIUS 服务器组的连接请求策略。 借助此配置,NPS 可以将身份验证请求转发给任何 RADIUS 服务器,而且可以对在不受信任的域中具有帐户的用户进行身份验证。

下图显示了访问请求消息从网络访问服务器到 RADIUS 代理,然后到远程 RADIUS 服务器组中的 RADIUS 服务器的路径。 在 RADIUS 代理上,将网络访问服务器配置为 RADIUS 客户端,在每个 RADIUS 服务器上,将 RADIUS 代理配置为 RADIUS 客户端。

NPS Connection Request Processing

注意

与 NPS 结合使用的网络访问服务器可以是与 RADIUS 协议兼容的网关设备(如 802.1X 无线访问点和身份验证交换机),运行远程访问的服务器(配置为 VPN 或拨号服务器),也可以是其他 RADIUS 兼容设备。

如果在将其他请求转发给远程 RADIUS 服务器组的同时要让 NPS 在本地处理某些身份验证请求,请配置多个连接请求策略。

若要配置一个连接请求策略,用于指定处理身份验证请求的 NPS 或 RADIUS 服务器组,请参阅“连接请求策略”。

若要指定将身份验证请求转发到的 NPS 或其他 RADIUS 服务器,请参阅“远程 RADIUS 服务器组”。

NPS 作为 RADIUS 服务器连接请求处理

将 NPS 用作 RADIUS 服务器时,RADIUS 消息将采用以下方式为网络访问连接提供身份验证、授权和记帐功能:

  1. 访问服务器(如拨号网络访问服务器、VPN 服务器和无线访问点)从访问客户端接收连接请求。

  2. 配置为使用 RADIUS 作为身份验证、授权、记帐协议的访问服务器将创建访问请求消息并将其发送给 NPS。

  3. NPS 将评估访问请求消息。

  4. 如果需要,NPS 会向访问服务器发送访问质询消息。 访问服务器将处理质询,并向 NPS 发送更新的访问请求。

  5. 系统将检查用户凭据,并使用指向域控制器的安全连接来获取用户帐户的拨入属性。

  6. 系统将使用用户帐户的拨入属性和网络策略对连接尝试进行授权。

  7. 如果对连接尝试进行身份验证和授权,则 NPS 会向访问服务器发送访问接受消息。 如果不对连接尝试进行身份验证或授权,则 NPS 会向访问服务器发送访问拒绝消息。

  8. 访问服务器将完成与访问客户端的连接过程,并向 NPS 发送记帐请求消息,在那里记录消息。

  9. NPS 会向访问服务器发送记帐响应消息。

注意

此外,在建立连接期间、关闭访问客户端连接时,以及启动和停止访问服务器时,访问服务器还会发送记帐请求消息。

NPS 作为 RADIUS 代理连接请求处理

当 NPS 用作 RADIUS 客户端和 RADIUS 服务器之间的 RADIUS 代理时,网络访问连接尝试的 RADIUS 消息通过下列方式转发:

  1. 拨号网络访问服务器、虚拟专用网 (VPN) 服务器和无线访问点等访问服务器从访问客户端接收连接请求。

  2. 配置为将 RADIUS 用作身份验证、授权和记帐协议的访问服务器将创建访问请求消息,并将其发送到用作 NPS RADIUS 代理的 NPS。

  3. NPS RADIUS 代理接收访问请求-消息,并根据本地配置的连接请求策略,确定将访问-请求消息转发的位置。

  4. NPS RADIUS 代理将访问-请求消息转发到合适的 RADIUS 服务器。

  5. RADIUS 服务器评估访问-请求消息。

  6. 如果需要,RADIUS 服务器将向 NPS RADIUS 代理发送访问-质询消息,在此将访问-质询消息转发到访问服务器。 访问服务器通过访问客户端处理质询,并将已更新的访问-请求发送到 NPS RADIUS 代理,在此将访问-请求转发到 RADIUS 服务器。

  7. RADIUS 服务器对连接尝试进行身份验证和授权。

  8. 如果对连接尝试进行了身份验证和授权,RADIUS 服务器将向 NPS RADIUS 代理发送访问-接受消息,在此将访问-接受消息转发到访问服务器。 如果未对连接尝试进行身份验证或授权,RADIUS 服务器将向 NPS RADIUS 代理发送访问-拒绝消息,在此将访问-拒绝消息转发到访问服务器。

  9. 访问服务器使用访问客户端完成连接过程,并将记帐-请求消息发送到 NPS RADIUS 代理。 NPS RADIUS 代理记录记帐数据,并将消息转发到 RADIUS 服务器。

  10. RADIUS 服务器将记帐-响应消息发送到 NPS RADIUS 代理,在此将记帐-响应消息转发到访问服务器。

有关 NPS 的详细信息,请参阅网络策略服务器 (NPS)