配置网络策略

  • 项目

适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016

你可以使用本主题在 NPS 中配置网络策略。

添加网络策略

网络策略服务器 (NPS) 使用网络策略和用户帐户的拨入属性来确定是否授权连接请求连接到网络。

可以使用此过程在 NPS 控制台或远程访问控制台中配置新的网络策略。

执行授权

当 NPS 执行连接请求授权时,会将请求与策略的有序列表中的每个网络策略进行比较,从第一个策略开始,然后沿配置的策略列表向下移动。 如果 NPS 找到了条件与连接请求匹配的策略,则 NPS 将使用匹配的策略和用户帐户的拨入属性来执行授权。 如果将用户帐户的拨入属性配置为通过网络策略授予访问权或控制访问权并对连接请求进行授权,则 NPS 会将在网络策略中配置的设置应用于连接。

如果 NPS 找不到与连接请求匹配的网络策略,则将拒绝连接请求,除非将用户帐户上的拨入属性设置为授予访问权。

如果将用户帐户的拨入属性设置为拒绝访问,则 NPS 将拒绝连接请求。

关键设置

使用新建网络策略向导创建网络策略时,在“网络连接方法”中指定的值用于自动配置“策略类型”条件:

  • 如果保留默认值“未指定”,则 NPS 将为使用任何种类的网络访问服务器 (NAS) 的所有网络连接类型评估你所创建的网络策略。
  • 如果指定了网络连接方法,则只有在连接请求源自您所指定的网络访问服务器类型时,NPS 才会评估网络策略。

如果你希望策略允许用户连接到你的网络,则在“访问权限”页上,必须选择“已授予访问权限”。 如果你希望策略阻止用户连接到你的网络,请选择“拒绝访问”。

如果你要通过 Active Directory® 域服务 (AD DS) 中的用户帐户拨入属性来确定访问权限,则可以选中“访问由用户拨入属性确定”复选框。

若要完成该过程,必须至少具有 Domain Admins 的成员资格或同等权限。

添加网络策略

  1. 打开 NPS 控制台,然后双击“策略”。

  2. 在控制台树中,右键单击“网络策略”,然后单击“新建”。 将打开新建网络策略向导。

  3. 使用“新建网络策略”向导来创建策略。

使用向导为拨号或 VPN 创建网络策略

可以使用此过程创建连接请求策略和网络策略,需要使用这些策略将拨号服务器或虚拟专用网络 (VPN) 服务器作为远程身份验证拨入用户服务 (RADIUS) 客户端部署到 NPS RADIUS 服务器。

注意

客户端计算机(例如便携式计算机和其他运行客户端操作系统的计算机)并非 RADIUS 客户端。 RADIUS 客户端是网络访问服务器(例如无线访问点、802.1X 身份验证交换器、虚拟专用网络 (VPN) 服务器和拨号服务器),因为这些设备使用 RADIUS 协议来与 RADIUS 服务器(例如 NPS)通信。

该过程说明如何在 NPS 中打开新建拨号或虚拟专用网络连接向导。

运行向导后,将创建下列策略:

  • 一个连接请求策略
  • 一个网络策略

可以在每次需要为拨号服务器和 VPN 服务器创建新策略时运行新建拨号或虚拟专用网络连接向导。

运行新建拨号或虚拟专用网络连接向导不是将拨号服务器或 VPN 服务器作为 RADIUS 客户端部署到 NPS 所需的唯一步骤。 两种网络访问方法都需要部署其他硬件和软件组件。

若要完成该过程,必须至少具有 Domain Admins 的成员资格或同等权限。

使用向导为拨号或 VPN 创建策略的步骤

  1. 打开 NPS 控制台。 如果尚未选择,请单击“NPS (本地)”。 如果你想要在远程 NPS 上创建策略,请选择服务器。

  2. 在“开始”和“标准配置”中,选择“用于拨号或 VPN 连接的 RADIUS 服务器”。 此文本下的文本和链接将更改,以反映您的选择。

  3. 单击“使用向导配置 VPN 或拨号”。 这将会打开新建拨号或虚拟专用网络连接向导。

  4. 按照向导中的说明完成新策略的创建。

使用向导为 802.1X 有线或无线连接创建网络策略

可以使用此过程创建所需的连接请求策略和网络策略,用于将 802.1X 身份验证交换机或 802.1X 无线接入点作为远程身份验证拨入用户服务 (RADIUS) 客户端部署到 NPS RADIUS 服务器。

此过程解释如何启动 NPS 中的新建 IEEE 802.1X 安全有线和无线连接向导。

运行向导后,将创建下列策略:

  • 一个连接请求策略
  • 一个网络策略

可以在每次需要新建 802.1X 访问策略时,运行新建 IEEE 802.1X 安全有线和无线连接向导。

若要部署作为到 NPS 的 RADIUS 客户端的 802.1X 身份验证切换和无线访问点,运行新建 IEEE 802.1X 安全有线和无线连接向导不是所需的唯一步骤。 两种网络访问方法都需要部署其他硬件和软件组件。

若要完成该过程,必须至少具有 Domain Admins 的成员资格或同等权限。

使用向导为 802.1X 有线或无线创建策略的步骤

  1. 在 NPS 上的“服务器管理器”中,单击“工具”,然后单击“网络策略服务器”。 NPS 控制台随即打开。

  2. 如果尚未选择,请单击“NPS (本地)”。 如果你想要在远程 NPS 上创建策略,请选择服务器。

  3. 在“开始”和“标准配置”中,选择“用于 802.1X 无线或有线连接的 RADIUS 服务器”。 此文本下的文本和链接将更改,以反映您的选择。

  4. 单击“使用向导配置 802.1X”。 打开新建 IEEE 802.1X 安全有线和无线连接向导。

  5. 按照向导中的说明完成新策略的创建。

将 NPS 配置为忽略用户帐户拨入属性

使用此过程将 NPS 网络策略配置为在授权期间忽略 Active Directory 中用户帐户的拨入属性。 Active Directory 用户和计算机中的用户帐户具有拨入属性,在授权过程中,NPS 会评估这些属性,除非用户帐户的“网络访问权限”属性设置为“通过 NPS 网络策略控制访问”。

在两种情况下,可能需要将 NPS 配置为忽略 Active Directory 中用户帐户的拨入属性:

  • 当你想要使用网络策略来简化 NPS 授权,但并非所有用户帐户的“网络访问权限”属性都设置为“通过 NPS 网络策略控制访问”时。 例如,某些用户帐户的“网络访问权限”属性可能设置为“拒绝访问”或“允许访问”。

  • 当用户帐户的其他拨入属性不适用于网络策略中配置的连接类型时。 例如,除“网络访问权限”设置以外的属性仅适用于拨入或 VPN 连接,但你要创建的网络策略适用于无线或身份验证交换机连接。

可以使用此过程将 NPS 配置为忽略用户帐户拨入属性。 如果连接请求与选中了此复选框的网络策略匹配,则 NPS 不会使用用户帐户的拨入属性来确定用户或计算机是否有权访问网络;只会使用网络策略中的设置来确定授权。

若要完成此过程,至少需要有“管理员”成员身份或同等身份。

  1. 在 NPS 上的“服务器管理器”中,单击“工具”,然后单击“网络策略服务器”。 NPS 控制台随即打开。

  2. 双击“策略”,单击“网络策略”,然后在详细信息窗格中双击要配置的策略。

  3. 在策略“属性”对话框的“概述”选项卡上的“访问权限”中,选中“忽略用户帐户拨入属性”复选框,然后单击“确定”。

将 NPS 配置为忽略用户帐户拨入属性

为 VLAN 配置 NPS

使用 Windows Server 2016 中的 VLAN 感知网络访问服务器和 NPS,可以仅向用户组提供对适合其安全权限的网络资源的访问权限。 例如,可以向访客提供对 Internet 的无线访问权限,但不允许他们访问你的组织网络。

此外,VLAN 还允许以逻辑方式对不同物理位置或不同物理子网中的网络资源进行分组。 例如,销售部门的成员及其网络资源(例如客户端计算机、服务器和打印机)可能位于组织的多个不同建筑物中,但你可以将所有这些资源放在一个使用相同 IP 地址范围的 VLAN 上。 从最终用户的角度看,该 VLAN 充当单个子网。

如果你想在不同用户组之间隔离网络,也可以使用 VLAN。 确定如何定义组后,可以在“Active Directory 用户和计算机”管理单元中创建安全组,然后将成员添加到这些组。

为 VLAN 配置网络策略

可以使用此过程来配置将用户分配到 VLAN 的网络策略。 使用 VLAN 感知网络硬件(例如路由器、交换机和访问控制器)时,可以配置网络策略以指示访问服务器将特定 Active Directory 组的成员放在特定的 VLAN 上。 这种使用 VLAN 对网络资源进行逻辑分组的功能在设计和实施网络解决方案时提供了灵活性。

在配置与 VLAN 配合使用的 NPS 网络策略设置时,必须配置属性 Tunnel-Medium-Type、Tunnel-Pvt-Group-ID、Tunnel-Type 和 Tunnel-Tag。

此过程是作为指导提供的;你的网络配置所需的设置可能与下文所述不同。

若要完成此过程,至少需要有“管理员”成员身份或同等身份。

为 VLAN 配置网络策略

  1. 在 NPS 上的“服务器管理器”中,单击“工具”,然后单击“网络策略服务器”。 NPS 控制台随即打开。

  2. 双击“策略”,单击“网络策略”,然后在详细信息窗格中双击要配置的策略。

  3. 在策略“属性”对话框中,单击“设置”选项卡。

  4. 在策略“属性”的“设置”中的“RADIUS 属性”中,确保已选择“标准”。

  5. 在“详细信息”窗格中的“属性”中,为“Service-Type”属性配置了默认值“Framed”。 默认情况下,对于使用 VPN 和拨号作为访问方法的策略,为“Framed-Protocol”属性配置了值“PPP”。 若要指定 VLAN 所需的其他连接属性,请单击“添加”。 “添加标准 RADIUS 属性”对话框随即打开。

  6. 在“添加标准 RADIUS 属性”中的“属性”中,向下滚动并添加以下属性:

    • Tunnel-Medium-Type。 选择一个适合前面为策略所做的选择的值。 例如,如果要配置的网络策略是一个无线策略,请选择“值: 802 (包括所有 802 媒体和以太网规范格式)”。

    • Tunnel-Pvt-Group-ID。 输入表示将向其分配组成员的 VLAN 号码的整数。

    • Tunnel-Type。 选择“虚拟 LAN (VLAN)”。

  7. 在“添加标准 RADIUS 属性”中,单击“关闭”。

  8. 如果网络访问服务器 (NAS) 需要使用 Tunnel-Tag 属性,请使用以下步骤将 Tunnel-Tag 属性添加到网络策略。 如果 NAS 文档未提到此属性,请不要将其添加到策略。 如果需要,请按如下所述添加属性:

    • 在策略“属性”的“设置”中的“RADIUS 属性”中,单击“供应商特定”。

    • 在详细信息窗格中,单击“添加”。 “添加供应商特定的属性”对话框随即打开。

    • 在“属性”中,向下滚动到“Tunnel-Tag”并将其选中,然后单击“添加”。 “属性信息”对话框随即打开。

    • 在“属性值”中,键入从硬件文档获取的值。

配置 EAP 有效负载大小

在某些情况下,路由器或防火墙会丢弃数据包,因为它们已配置为丢弃需要分段的数据包。

如果用于部署 NPS 的网络策略使用具有传输层安全性 (TLS) 的可扩展身份验证协议 (EAP)(即 EAP-TLS)作为身份验证方法,则 NPS 为 EAP 有效负载使用的默认最大传输单元 (MTU) 为 1500 字节。

这种最大大小的 EAP 有效负载可能会创建需要由 NPS 和 RADIUS 客户端之间的路由器或防火墙分段的 RADIUS 消息。 如果是这样,位于 RADIUS 客户端和 NPS 之间的路由器或防火墙可能会以静默方式丢弃一些片段,从而导致身份验证失败并且访问客户端无法连接到网络。

使用以下过程通过将网络策略中的 Framed-MTU 属性调整为不超过 1344 的值,来降低 NPS 为 EAP 有效负载使用的最大大小。

若要完成此过程,至少需要有“管理员”成员身份或同等身份。

配置 Framed-MTU 属性

  1. 在 NPS 上的“服务器管理器”中,单击“工具”,然后单击“网络策略服务器”。 NPS 控制台随即打开。

  2. 双击“策略”,单击“网络策略”,然后在详细信息窗格中双击要配置的策略。

  3. 在策略“属性”对话框中,单击“设置”选项卡。

  4. 在“设置”中的“RADIUS 属性”中,单击“标准”。 在详细信息窗格中,单击“添加”。 “添加标准 RADIUS 属性”对话框随即打开。

  5. 在“属性”中,向下滚动到“Framed-MTU”并单击它,然后单击“添加”。 “属性信息”对话框随即打开。

  6. 在“属性值”中,键入等于或小于 1344 的值。 依次单击“确定”、“关闭”、“确定”。

有关网络策略的详细信息,请参阅网络策略

有关用于指定网络策略属性的模式匹配语法的示例,请参阅在 NPS 中使用正则表达式

有关 NPS 的详细信息,请参阅网络策略服务器 (NPS)