配置 RADIUS 客户端

  • 项目

适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016

可使用本主题在 NPS 中将网络访问服务器配置为 RADIUS 客户端。

将新的网络访问服务器(VPN 服务器、无线接入点、身份验证交换机或拨号服务器)添加到网络时,必须在 NPS 中将该服务器添加为 RADIUS 客户端,然后将 RADIUS 客户端配置为与 NPS 通信。

重要

客户端计算机和设备(如笔记本电脑、平板电脑、手机和其他运行客户端操作系统的计算机)不是 RADIUS 客户端。 RADIUS 客户端是网络访问服务器,例如无线接入点、支持 802.1X 的交换机、虚拟专用网 (VPN) 服务器和拨号服务器等,因为此类客户端使用 RADIUS 协议来与 RADIUS 服务器(例如网络策略服务器 (NPS))通信。

如果 NPS 是 NPS 代理上配置的远程 RADIUS 服务器组的成员,则此步骤也是必需的。 在这种情况下,除了在 NPS 代理上执行此任务中的步骤外,还必须执行以下操作:

  • 在 NPS 代理上,配置包含 NPS 的远程 RADIUS 服务器组。
  • 在远程 NPS 上,将 NPS 代理配置为 RADIUS 客户端。

若要执行本主题中的过程,必须至少有一个网络访问服务器(VPN 服务器、无线接入点、身份验证交换机或拨号服务器)或 NPS 代理物理安装在网络上。

配置网络访问服务器

使用此过程将网络访问服务器配置为与 NPS 一起使用。 将网络访问服务器 (NAS) 部署为 RADIUS 客户端时,必须将客户端配置为与 NAS 配置为客户端的 NPS 通信。

此过程提供有关应该用于配置 NAS 的设置的一般准则;有关如何配置将在网络上部署的设备的具体说明,请参阅 NAS 产品文档。

配置网络访问服务器

  1. 在 NAS 上的“RADIUS 设置”中,对用户数据报协议 (UDP) 端口 1812 选择“RADIUS 身份验证”并对 UDP 端口 1813 选择“RADIUS 计帐”。
  2. 在“身份验证服务器”或“RADIUS 服务器”中,根据 NAS 的要求,通过 IP 地址或完全限定的域名 (FQDN) 指定 NPS。
  3. 在“机密”或“共享机密”中,键入强密码。 在 NPS 中将 NAS 配置为 RADIUS 客户端时,你将使用相同的密码,因此不要忘记这个密码。
  4. 如果使用 PEAP 或 EAP 作为身份验证方法,请将 NAS 配置为使用 EAP 身份验证。
  5. 如果要配置无线接入点,请在“SSID”中指定服务集标识符 (SSID),它是用作网络名称的字母数字字符串。 此名称由接入点广播到无线客户端,并且用户以无线保真度 (Wi-Fi) 热点可见。
  6. 如果要配置无线接入点,请在“802.1X 和 WPA”中,启用“IEEE 802.1X 身份验证”(如果想要部署 PEAP-MS-CHAP v2、PEAP-TLS 或 EAP-TLS)。

在 NPS 中将网络访问服务器添加为 RADIUS 客户端

使用此过程在 NPS 中将网络访问服务器添加为 RADIUS 客户端。 可使用此过程,通过 NPS 控制台将 NAS 配置为 RADIUS 客户端。

若要完成此过程,你必须是Administrators组的成员。

在 NPS 中将网络访问服务器添加为 RADIUS 客户端

  1. 在 NPS 上的“服务器管理器”中,单击“工具”,然后单击“网络策略服务器”。 NPS 控制台随即打开。
  2. 在 NPS 控制台中,双击“RADIUS 客户端和服务器”。 右键单击“RADIUS 客户端”,然后单击“新建 RADIUS 客户端”。
  3. 在“新建 RADIUS 客户端”中,验证已选中“启用此 RADIUS 客户端”复选框。
  4. 在“新建 RADIUS 客户端”的“易记名称”中,键入 NAS 的显示名称。 在“地址(IP 或 DNS)”中,键入 NAS IP 地址或完全限定的域名 (FQDN)。 如果你输入 FQDN,并希望验证该名称是否正确以及是否映射到有效的 IP 地址,请单击“验证”。
  5. 在“新建 RADIUS 客户端”的“供应商”中,指定 NAS 制造商名称。 如果不确定 NAS 制造商名称,请选择“RADIUS 标准”。
  6. 在“新建 RADIUS 客户端”的“共享机密”中,执行下列操作之一:
    • 确保已选择“手动”,然后在“共享机密”中键入同样在 NAS 上输入的强密码。 在“确认共享机密”中重新键入该共享机密。
    • 选择“生成”,然后单击“生成”以自动生成共享机密。 保存生成的共享机密以在 NAS 上进行配置,使它可以与 NPS 通信。
  7. 在“新建 RADIUS 客户端”的“其他选项”中,如果使用除 EAP 和 PEAP 以外的任何身份验证方法,并且 NAS 支持使用消息验证器属性,请选择“访问请求消息必须包含消息验证器属性”。
  8. 单击“确定”。 NAS 显示在 NPS 上配置的 RADIUS 客户端列表中。

在 Windows Server 2016 Datacenter 中按 IP 地址范围配置 RADIUS 客户端

如果运行 Windows Server 2016 Datacenter,则可以按 IP 地址范围在 NPS 中配置 RADIUS 客户端。 这使你可以一次将大量 RADIUS 客户端(如无线接入点)添加到 NPS 控制台,而不是单独添加每个 RADIUS 客户端。

如果在 Windows Server 2016 Standard 上运行 NPS,则无法按 IP 地址范围配置 RADIUS 客户端。

使用此过程可将一组网络访问服务器 (NAS) 添加为 RADIUS 客户端,这些客户端都配置了来自同一 IP 地址范围的 IP 地址。

该范围中的所有 RADIUS 客户端都必须使用相同的配置和共享机密。

若要完成此过程,你必须是Administrators组的成员。

按 IP 地址范围设置 RADIUS 客户端

  1. 在 NPS 上的“服务器管理器”中,单击“工具”,然后单击“网络策略服务器”。 NPS 控制台随即打开。
  2. 在 NPS 控制台中,双击“RADIUS 客户端和服务器”。 右键单击“RADIUS 客户端”,然后单击“新建 RADIUS 客户端”。
  3. 在“新建 RADIUS 客户端”的“易记名称”中,键入 NAS 集合的显示名称。
  4. 在“地址(IP 或 DNS)”中,使用无类别域际路由选择 (CIDR) 表示法键入 RADIUS 客户端的 IP 地址范围。 例如,如果 NAS 的 IP 地址范围是 10.10.0.0,请键入“10.10.0.0/16”。
  5. 在“新建 RADIUS 客户端”的“供应商”中,指定 NAS 制造商名称。 如果不确定 NAS 制造商名称,请选择“RADIUS 标准”。
  6. 在“新建 RADIUS 客户端”的“共享机密”中,执行下列操作之一:
    • 确保已选择“手动”,然后在“共享机密”中键入同样在 NAS 上输入的强密码。 在“确认共享机密”中重新键入该共享机密。
    • 选择“生成”,然后单击“生成”以自动生成共享机密。 保存生成的共享机密以在 NAS 上进行配置,使它可以与 NPS 通信。
  7. 在“新建 RADIUS 客户端”的“其他选项”中,如果使用除 EAP 和 PEAP 以外的任何身份验证方法,并且所有 NAS 都支持使用消息验证器属性,请选择“访问请求消息必须包含消息验证器属性”。
  8. 单击“确定”。 NAS 显示在 NPS 上配置的 RADIUS 客户端列表中。

有关详细信息,请参阅 RADIUS 客户端

有关 NPS 的详细信息,请参阅网络策略服务器 (NPS)