連線請求處理

  • 發行項

適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016

您可以使用本主題來了解 Windows Server 2016 中 Network Policy Server 的連線請求處理。

注意

除了本主題之外,還提供以下連線請求處理資料。

您可以使用連線請求處理來指定執行連線請求驗證的位置 - 在本機上還是在作為遠端 RADIUS 伺服器群組成員的遠端 RADIUS 伺服器上。

如果您希望執行網路原則伺服器(NPS)的本機伺服器對連線要求進行驗證,可以使用預設的連線請求策略,無需額外設置。 依據預設策略,NPS 會對在本機網域和受信任網域中擁有帳戶的使用者和電腦進行身份驗證。

如果要將連線要求轉送至遠端 NPS 或其他 RADIUS 伺服器,請建立遠端 RADIUS 伺服器群組,然後設置將要求轉送至該遠端 RADIUS 伺服器群組的連線要求原則。 透過此設置,NPS 可以將身份驗證請求轉送到任何 RADIUS 伺服器,並且可以對擁有不受信任網域中的帳戶的使用者進行身份驗證。

下圖顯示了存取請求訊息從網路存取伺服器到 RADIUS 代理,然後到遠端 RADIUS 伺服器群組中的 RADIUS 伺服器的路徑。 在RADIUS代理程式上,網路存取伺服器設置為RADIUS使用者端; 在每個RADIUS伺服器上,RADIUS代理程式被設置為RADIUS客戶端。

NPS Connection Request Processing

注意

與 NPS 一起使用的網路存取伺服器可以是符合 RADIUS 協定的閘道設備,例如 802.1X 無線存取點和驗證交換器、設置為 VPN 或撥接伺服器的執行遠端存取的伺服器,或其他 RADIUS相容設備。

如果希望 NPS 在本機處理某些驗證要求,同時將其他要求轉送至遠端 RADIUS 伺服器群組,請設置多個連線要求原則。

若要設置指定哪個 NPS 或 RADIUS 伺服器群組處理驗證要求的連線要求策略,請參閱連線要求原則。

若要指定將驗證要求轉送至的 NPS 或其他 RADIUS 伺服器,請參閱遠端 RADIUS 伺服器群組。

NPS 作為 RADIUS 伺服器處理連線請求

當您使用 NPS 作為 RADIUS 伺服器時,RADIUS 訊息會透過以下方式為網路存取連線提供身份驗證、授權和計算:

  1. 接取伺服器,例如撥接網路存取伺服器、VPN伺服器和無線存取點,接收來自接取使用者端的連線請求。

  2. 設置為使用 RADIUS 作為身份驗證、授權和計算協定的存取伺服器建立存取請求訊息並將其傳送至 NPS。

  3. NPS 評估存取請求訊息。

  4. 如果需要,NPS 會向存取伺服器發送 Access-Challenge 訊息。 存取伺服器處理質詢並向 NPS 發送更新的存取請求。

  5. 透過使用與網域控制站的安全連線來檢查使用者憑證並取得使用者帳戶的撥入屬性。

  6. 連線嘗試透過使用者帳戶的撥入屬性和網路原則進行授權。

  7. 如果連線嘗試經過驗證和授權,則 NPS 會向存取伺服器發送 Access-Accept 訊息。 如果連線嘗試未經驗證或未授權,NPS 會向存取伺服器發送一條存取拒絕訊息。

  8. 存取伺服器完成與存取使用者端的連線過程,並將 Accounting-Request 訊息傳送到 NPS,並在其中記錄該訊息。

  9. NPS 向存取伺服器發送 Accounting-Response。

注意

存取伺服器也會在建立連線、關閉存取使用者端連線以及啟動和停止存取伺服器時發送計費 Accounting-Request。

NPS 作為 RADIUS 代理程式處理連線請求

當 NPS 作為 RADIUS 使用者端和 RADIUS 伺服器之間的 RADIUS 代理程式時,網路存取連線嘗試的 RADIUS 訊息會以下列方式轉送:

  1. 接取伺服器,例如撥接網路存取伺服器、虛擬私人網路(VPN)伺服器和無線存取點,接收來自接取使用者端的連線請求。

  2. 設置為使用 RADIUS 作為身份驗證、授權和計算協定的存取伺服器建立 Access-Request 訊息並將其傳送至作為 NPS RADIUS 代理程式的 NPS。

  3. NPS RADIUS 代理程式接收 Access-Request 訊息,並依據本機設置的連線請求策略決定將 Access-Request 訊息轉送到何處。

  4. NPS RADIUS 代理程式將 Access-Request 訊息轉送到對應的 RADIUS 伺服器。

  5. RADIUS 伺服器評估 Access-Request 訊息。

  6. 如果需要,RADIUS 伺服器會將 Access-Challenge 訊息傳送至 NPS RADIUS 代理,並在代理程式中將其轉送至存取伺服器。 存取伺服器處理存取使用者端的質詢,並將更新的 Access-Request 傳送至 NPS RADIUS 代理,在代理程式中將其轉送至 RADIUS 伺服器。

  7. RADIUS 伺服器對連線嘗試進行身份驗證和授權。

  8. 如果連線嘗試經過驗證和授權,RADIUS 伺服器將向 NPS RADIUS 代理程式發送 Access-Accept 訊息,該訊息將在代理程式中轉送到存取伺服器。 如果連線嘗試未經驗證或未授權,RADIUS 伺服器將向 NPS RADIUS 代理程式發送 Access-Reject 訊息,並在代理程式中將其轉送至存取伺服器。

  9. 存取伺服器完成與存取使用者端的連線過程,並向 NPS RADIUS 代理程式傳送 Accounting-Request 訊息。 NPS RADIUS 代理程式記錄計算資料並將訊息轉送到 RADIUS 伺服器。

  10. RADIUS 伺服器將 Accounting-Response 傳送至 NPS RADIUS 代理,然後將其轉送到存取伺服器。

更多 NPS 的詳細資訊,請參閱 Network Policy Server (NPS)