Share via

将 NPS 规划为 RADIUS 代理

  • 项目

适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016

当你将网络策略服务器 (NPS) 部署为远程身份验证拨入用户服务 (RADIUS) 代理时,NPS 会从 RADIUS 客户端(如网络访问服务器或其他 RADIUS 代理)接收连接请求,然后将这些连接请求转发到运行 NPS 的服务器或其他 RADIUS 服务器。 你可以使用这些规划准则来简化 RADIUS 部署。

这些规划准则不包括要将 NPS 部署为 RADIUS 服务器的情况。 将 NPS 部署为 RADIUS 服务器时,NPS 将对本地域和信任本地域的域的连接请求执行身份验证、授权和记帐。

在网络上将 NPS 部署为 RADIUS 代理之前,请使用以下准则来规划部署。

  • 规划 NPS 配置。

  • 规划 RADIUS 客户端。

  • 规划远程 RADIUS 服务器组。

  • 规划消息转发的属性操作规则。

  • 规划连接请求策略。

  • 规划 NPS 计帐。

规划 NPS 配置

将 NPS 用作 RADIUS 代理时,NPS 会将连接请求转发到 NPS 或其他 RADIUS 服务器进行处理。 因此,NPS 代理的域成员资格是不相关的。 不需要在 Active Directory 域服务 (AD DS) 中注册代理,因为它不需要访问用户帐户的拨入属性。 此外,不需要在 NPS 代理上配置网络策略,因为该代理不会对连接请求执行授权。 NPS 代理可以是域成员,也可以是没有域成员身份的独立服务器。

必须将 NPS 配置为使用 RADIUS 协议与 RADIUS 客户端(也称为网络访问服务器)进行通信。 此外,还可以配置 NPS 在事件日志中记录的事件类型,并可以输入服务器的描述。

关键步骤

在规划 NPS 代理配置期间,可以使用以下步骤。

  • 确定 NPS 代理用于从 RADIUS 客户端接收 RADIUS 消息以及将 RADIUS 消息发送到远程 RADIUS 服务器组成员的 RADIUS 端口。 默认用户数据报协议 (UDP) 端口是用于 RADIUS 身份验证消息的 1812 和 1645,以及用于 RADIUS 记帐消息的 UDP 端口 1813 和 1646。

  • 如果使用多个网络适配器配置 NPS 代理,请确定允许 RADIUS 通信通过的适配器。

  • 确定希望 NPS 记录在事件日志中的事件类型。 你可以记录被拒绝的连接请求和/或成功的连接请求。

  • 确定是否要部署多个 NPS 代理。 要提供容错,请至少使用两个 NPS 代理。 一个 NPS 代理用作主 RADIUS 代理,另一个用作备用。 然后在两个 NPS 代理上配置每个 RADIUS 客户端。 如果主 NPS 代理不可用,RADIUS 客户端随后将 Access-Request 消息发送到备用 NPS 代理。

  • 规划用于将一个 NPS 代理配置复制到其他 NPS 代理的脚本,以节省管理开销并防止服务器配置错误。 NPS 提供的 netsh 命令允许你复制全部或部分 NPS 代理配置以导入到其他 NPS 代理。 可以在 Netsh 提示符下手动运行这些命令。 但是,如果将命令序列保存为脚本,则可以在以后决定更改代理配置时运行该脚本。

规划 RADIUS 客户端

RADIUS 客户端是网络访问服务器,如无线访问点、虚拟专用网 (VPN) 服务器、具有 802.1x 功能的交换机和拨号服务器。 将连接请求消息转发到 RADIUS 服务器的 RADIUS 代理也是 RADIUS 客户端。 NPS 支持符合 RFC 2865“远程身份验证拨入用户服务 (RADIUS)”和 RFC 2866“RADIUS 计帐”中所述的 RADIUS 协议的所有网络访问服务器和 RADIUS 代理。

此外,无线接入点和交换机都必须能够进行 802.1X 身份验证。 如果要部署可扩展身份验证协议 (EAP) 或受保护的可扩展身份验证协议 (PEAP),接入点和交换机必须支持使用 EAP。

要测试无线接入点 PPP 连接的基本互操作性,请配置接入点和访问客户端以使用密码身份验证协议 (PAP)。 使用其他基于 PPP 的身份验证协议(如 PEAP),直到你测试了打算用于网络访问的协议。

关键步骤

在规划 RADIUS 客户端期间,你可以使用以下步骤。

  • 记录必须在 NPS 中配置的供应商特定属性 (VSA)。 如果 NAS 需要 VSA,请记录 VSA 信息,以便以后在 NPS 中配置网络策略时使用。

  • 记录 RADIUS 客户端和 NPS 代理的 IP 地址,以简化所有设备的配置。 部署 RADIUS 客户端时,必须将其配置为使用 RADIUS 协议,并输入 NPS 代理 IP 地址作为身份验证服务器。 当你将 NPS 配置为与 RADIUS 客户端通信时,必须将 RADIUS 客户端 IP 地址输入到 NPS 管理单元中。

  • 为 RADIUS 客户端和 NPS 管理单元中的配置创建共享机密。 你必须使用共享机密或密码配置 RADIUS 客户端,在 NPS 中配置 RADIUS 客户端时,你还将在 NPS 管理单元中输入该机密或密码。

规划远程 RADIUS 服务器组

在 NPS 代理上配置远程 RADIUS 服务器组时,将告知 NPS 代理将其从网络访问服务器和 NPS 代理或其他 RADIUS 代理接收的部分或全部连接请求消息发送到何处。

可以将 NPS 用作 RADIUS 代理来将连接请求转发到一个或多个远程 RADIUS 服务器组,并且每个组可以包含一个或多个 RADIUS 服务器。 如果希望 NPS 代理将消息转发到多个组,请为每个组配置一个连接请求策略。 连接请求策略包含其他信息(如属性操作规则),这些信息告知 NPS 代理将哪些消息发送到策略中指定的远程 RADIUS 服务器组。

可以通过以下方式配置远程 RADIUS 服务器组:对 NPS 使用 netsh 命令,直接在 NPS 管理单元中的“远程 RADIUS 服务器组”下配置组,运行“新建连接请求策略”向导。

关键步骤

在规划远程 RADIUS 服务器组期间,可以使用以下步骤。

  • 确定包含希望 NPS 代理将连接请求转发到的 RADIUS 服务器的域。 这些域包含通过你部署的 RADIUS 客户端连接到网络的用户的用户帐户。

  • 确定是否需要在尚未部署 RADIUS 的域中添加新的 RADIUS 服务器。

  • 记录要添加到远程 RADIUS 服务器组的 RADIUS 服务器的 IP 地址。

  • 确定需要创建多少个远程 RADIUS 服务器组。 在某些情况下,最好为每个域创建一个远程 RADIUS 服务器组,然后将域的 RADIUS 服务器添加到组中。 但是,在某些情况下,你可能在一个域中拥有大量资源,包括域中具有用户帐户的大量用户、大量域控制器和大量 RADIUS 服务器。 或者你的域可能覆盖很大的地理区域,导致网络访问服务器和 RADIUS 服务器的位置相距很远。 在这些和其他可能的情况下,你可以为每个域创建多个远程 RADIUS 服务器组。

  • 为 NPS 代理和远程 RADIUS 服务器上的配置创建共享机密。

规划消息转发的属性操作规则

在连接请求策略中配置的属性操作规则允许你标识要转发到特定远程 RADIUS 服务器组的访问请求消息。

可以将 NPS 配置为将所有连接请求转发到一个远程 RADIUS 服务器组,而不使用属性操作规则。

但是,如果要将连接请求转发到多个位置,则必须为每个位置创建一个连接请求策略,然后使用要将消息转发到的远程 RADIUS 服务器组以及用于通知 NPS 要转发哪些消息的属性操作规则来配置策略。

你可以为以下属性创建规则。

  • Called-Station-ID。 网络访问服务器 (NAS) 的电话号码。 此属性的值为字符串。 可以使用模式匹配的语法指定区号。

  • Calling-Station-ID。 呼叫方使用的电话号码。 此属性的值为字符串。 可以使用模式匹配的语法指定区号。

  • User-Name。 由访问客户端提供并由 NAS 包含在 RADIUS 访问请求消息中的用户名。 此属性的值是由字符组成的字符串,该字符串通常包含领域名称和用户帐户名称。

要正确替换或转换连接请求的用户名中的领域名,必须在相应的连接请求策略中配置用户名属性的属性操作规则。

关键步骤

在规划属性操作规则期间,可以使用以下步骤。

  • 规划从 NAS 通过代理到远程 RADIUS 服务器的消息路由,以验证你是否具有用于将消息转发到 RADIUS 服务器的逻辑路径。

  • 确定要用于每个连接请求策略的一个或多个属性。

  • 记录你计划用于每个连接请求策略的属性操作规则,并将这些规则与消息转发到的远程 RADIUS 服务器组进行匹配。

规划连接请求策略

当 NPS 用作 RADIUS 服务器时,将为其配置默认连接请求策略。 其他连接请求策略可用于定义更具体的条件,创建属性操作规则以告知 NPS 将哪些消息转发到远程 RADIUS 服务器组,以及指定高级属性。 使用“新建连接请求策略”向导可以创建通用或自定义连接请求策略。

关键步骤

在规划连接请求策略期间,可以使用以下步骤。

  • 在运行 NPS 且仅用作 RADIUS 代理的每台服务器上删除默认连接请求策略。

  • 规划每个策略所需的其他条件和设置,将此信息与远程 RADIUS 服务器组和为策略计划的属性操作规则相结合。

  • 设计将通用连接请求策略分发到所有 NPS 代理的计划。 在一个 NPS 上创建多个 NPS 代理公用的策略,然后对 NPS 使用 netsh 命令来导入所有其他代理上的连接请求策略和服务器配置。

规划 NPS 计帐

将 NPS 配置为 RADIUS 代理时,可以使用 NPS 格式日志文件、数据库兼容格式日志文件或 NPS SQL Server 日志记录将其配置为执行 RADIUS 记帐。

还可以使用这些日志记录格式之一将记帐消息转发到执行记帐的远程 RADIUS 服务器组。

关键步骤

在规划 NPS 计帐期间,可以使用以下步骤。

  • 确定你希望 NPS 代理执行记帐服务还是将记帐消息转发到远程 RADIUS 服务器组以进行记帐。

  • 如果计划将记帐邮件转发到其他服务器,请计划禁用本地 NPS 代理记帐。

  • 如果计划将记帐消息转发到其他服务器,请计划连接请求策略配置步骤。 如果禁用 NPS 代理的本地计帐,则在该代理上配置的每个连接请求策略必须启用并正确配置计帐消息转发。

  • 确定要使用的日志记录格式:IAS 格式日志文件、数据库兼容格式日志文件或 NPS SQL Server 日志记录。

若要将 NPS 的负载平衡配置为 RADIUS 代理,请参阅 NPS 代理服务器负载均衡