當您將網路原則伺服器 (NPS) 部署為遠端驗證撥入使用者服務 (RADIUS) 伺服器時,NPS 會針對本機網域和信任本機網域的網域提出的連線要求執行驗證、授權和計量。 您可以使用這些規劃指導方針來簡化 RADIUS 部署。
這些規劃指導方針不包含您想要將 NPS 部署為 RADIUS Proxy 的情況。 當您將 NPS 部署為 RADIUS Proxy 時,NPS 會將連線要求轉送至執行 NPS 的伺服器,或是遠端網域、不受信任的網域中的其他 RADIUS 伺服器,或兩者都是。
在網路上將 NPS 部署為 RADIUS 伺服器之前,請使用下列指導方針來規劃部署。
規劃 NPS 設定。
規劃 RADIUS 用戶端。
規劃驗證方法的使用。
規劃網路原則。
規劃 NPS 帳務。
規劃 NPS 設定
您必須決定 NPS 是在哪個網域中成員。 針對多個網域環境,NPS 可以驗證其所屬網域中用戶帳戶的認證,以及信任 NPS 本機網域的所有網域。 若要允許 NPS 在授權過程期間讀取使用者帳戶的撥入屬性,您必須將 NPS 的電腦帳戶新增至每個網域的 RAS 和 NPS 群組。
在您決定完 NPS 的網域成員資格之後,必須使用 RADIUS 通訊協定將伺服器設定為與 RADIUS 用戶端通訊,也稱為網路存取伺服器。 此外,您可以設定 NPS 記錄在事件記錄檔中的事件類型,並輸入伺服器的描述。
重要步驟
在規劃 NPS 設定期間,您可以使用下列步驟。
決定 NPS 用來從 RADIUS 用戶端接收 RADIUS 訊息的 RADIUS 連接埠。 預設連接埠為 UDP 連接埠 1812 和 1645 (用於 RADIUS 身份驗證訊息),連接埠 1813 和 1646 (用於 RADIUS 計量訊息)。
如果 NPS 已設定多個網路介面卡,請決定您想要允許 RADIUS 流量的介面卡。
決定您希望 NPS 在 [事件記錄檔] 中記錄的事件類型。 您可以記錄拒絕的驗證要求、成功的驗證要求,或這兩種類型的要求。
判斷您是否要部署多個 NPS。 若要提供 RADIUS 型驗證和記帳的容錯,請至少使用兩個 NPS。 一個 NPS 會做為主要 RADIUS 伺服器使用,另一個則做為備份使用。 然後,每個 RADIUS 用戶端都會在兩個 NPS 上設定。 如果主要 NPS 無法使用,RADIUS 用戶端就會將 Access-Request 訊息傳送至備用的 NPS。
規劃腳本,以將一個 NPS 組態複製到其他 NPS,以節省系統管理額外負荷,並防止伺服器設定不正確。 NPS 提供
Netsh命令,可讓您複製所有或部分 NPS 組態以匯入至另一個 NPS。 您可以在Netsh提示符手動執行命令。 不過,如果您將命令順序儲存為指令碼,則如果您決定變更伺服器設定,可以在稍後執行指令碼。
規劃 RADIUS 用戶端
RADIUS 用戶端是網路存取伺服器,例如無線存取點、虛擬私人網路 (VPN) 伺服器、支援 802.1X 的交換器和撥號伺服器。 將連線要求訊息轉送至 RADIUS 伺服器的 RADIUS Proxy 也是 RADIUS 用戶端。 NPS 支援符合 RADIUS 通訊協定的所有網路存取伺服器和 RADIUS Proxy,如 RFC 2865 中「遠端驗證撥入使用者服務 (RADIUS)」和 RFC 2866 中「RADIUS 計量」所述。
重要
存取用戶端,例如用戶端計算機,不是RADIUS用戶端。 只有支援 RADIUS 通訊協定的網路存取伺服器和 Proxy 伺服器是 RADIUS 用戶端。
此外,無線存取點和交換器都必須能夠進行 802.1X 驗證。 如果您想要部署可延伸的驗證通訊協定 (EAP) 或受保護的可延伸驗證通訊協定 (PEAP),存取點和交換器必須支援使用 EAP。
若要測試無線存取點的 PPP 連線基本互通性,請將存取點和存取客戶端設定為使用密碼驗證通訊協定 (PAP)。 使用其他 PPP 型驗證通訊協定,例如 PEAP,直到您測試過您想要用於網路存取的通訊協定為止。
重要步驟
在規劃 RADIUS 用戶端期間,您可以使用下列步驟。
記錄您必須在 NPS 中設定的廠商特定屬性 (VSA)。 如果您的網路存取伺服器需要 VSA,請在 NPS 中設定網路原則時,記錄 VSA 資訊以供稍後使用。
記錄 RADIUS 用戶端和 NPS 的 IP 位址以簡化所有裝置的設定。 當您部署 RADIUS 用戶端時,必須將它們設定為使用 RADIUS 通訊協定,並將 NPS IP 位址輸入為驗證伺服器。 當您將 NPS 設定為與 RADIUS 用戶端通訊時,您必須在 NPS 嵌入式管理單元中輸入 RADIUS 用戶端 IP 位址。
在 RADIUS 用戶端和 NPS 插件中建立設定的共用密鑰。 您必須使用共用密碼(或稱為密碼)來設定 RADIUS 用戶端,並在 NPS 中設定 RADIUS 用戶端時輸入這個密碼到 NPS 嵌入式管理器。
規劃驗證方法的使用
NPS 同時支援密碼型和憑證型驗證方法。 不過,並非所有網路存取伺服器都支援相同的驗證方法。 在某些情況下,您可能會想要根據網路存取類型來部署不同的驗證方法。
例如,您可能想要為組織同時部署無線和 VPN 存取權,但針對每種存取類型使用不同的驗證方法:適用於 VPN 連線的 EAP-TLS,因為 EAP 與傳輸層安全性 (TLS) 提供的增強式安全性,以及適用於 802.1X 無線連線的 PEAP-MS-CHAP v2。
PEAP 與 Microsoft 挑戰交握驗證通訊協定第 2 版 (PEAP-MS-CHAP v2) 提供名為快速重新連線的功能,其設計目的是搭配可攜式電腦和其他無線裝置使用。 快速重新連線可讓無線用戶端在相同網路上的無線存取點之間移動,而無需在每次與新的存取點產生關聯時重新驗證。 這為無線使用者提供更好的體驗,讓他們能在存取點之間移動,而不需要重新輸入其認證。 由於快速重新連線,以及 PEAP-MS-CHAP v2 所提供的安全性,PEAP-MS-CHAP v2 是供無線連線做為驗證方法的合理選擇。
針對 VPN 連線,EAP-TLS 是一種憑證式驗證方法,可提供強大的安全性,以保護網路流量,即使網路流量從家庭或行動電腦傳輸至您的組織 VPN 伺服器也一樣。
憑證型驗證方法
憑證型驗證方法包含提供增強式安全性的優點,而其缺點是比密碼型驗證方法更難部署。
PEAP-MS-CHAP v2 和 EAP-TLS 都是憑證式驗證方法,但兩者之間有許多差異,以及部署方式。
EAP-TLS
EAP-TLS 會針對用戶端和伺服器驗證使用憑證,而且要求您在組織中部署公開金鑰基礎結構 (PKI)。 部署 PKI 可能很複雜,而且需要與規劃 NPS 作為 RADIUS 伺服器無關的規劃階段。
使用 EAP-TLS 時,NPS 會向憑證授權單位 (CA) 註冊伺服器憑證,並將憑證儲存在本機電腦上的憑證存放區。 在驗證過程期間,當 NPS 將其伺服器憑證傳送至存取用戶端,向存取用戶端證明其身分識別時,就會進行伺服器驗證。 存取用戶端會檢查各種憑證屬性,以判斷憑證是否有效且適合在伺服器驗證期間使用。 如果伺服器憑證符合最低伺服器憑證需求,而且是由存取用戶端信任的 CA 所核發,則用戶端會成功驗證 NPS。
同樣地,當用戶端將其用戶端憑證傳送至 NPS 以向 NPS 證明其身分識別時,會在驗證過程期間進行用戶端驗證。 NPS 會檢查憑證,如果用戶端憑證符合最低用戶端憑證需求,而且是由 NPS 信任的 CA 所核發,則 NPS 會成功驗證存取用戶端。
雖然伺服器證書必須儲存在 NPS 上的證書存儲中,但客戶端或使用者證書可以儲存在用戶端上的證書存儲或智慧卡上。
若要使此驗證過程成功,所有電腦都必須在本機電腦和目前使用者的信任的根憑證授權單位憑證存儲庫中擁有 CA 憑證。
PEAP -MS-CHAP v2
PEAP-MS-CHAP v2 使用憑證進行伺服器驗證,並使用密碼型認證進行使用者驗證。 因為憑證僅用於伺服器驗證,因此您不需要部署 PKI 才能使用 PEAP-MS-CHAP v2。 當您部署 PEAP-MS-CHAP v2 時,您可以透過下列兩種方式之一取得 NPS 的伺服器憑證:
您可以安裝 Active Directory 憑證服務 (AD CS),然後將憑證自動註冊至 NPS。 如果您使用此方法,您也必須將連線到您網路的用戶端電腦註冊 CA 憑證,好讓它們信任核發給 NPS 的憑證。
您可以從公用 CA (如 VeriSign) 購買伺服器憑證。 如果您使用此方法,請確定您選取用戶端電腦已信任的 CA。 若要判斷用戶端電腦是否信任任何一個 CA,請在用戶端電腦上開啟憑證 Microsoft Management Console (MMC) 嵌入式管理單元,然後檢視 [本機電腦] 和 [目前使用者] 的 [受信任的根憑證授權單位] 存放區。 如果這些證書存儲中有 CA 的憑證,用戶端計算機會信任 CA,因此會信任 CA 所簽發的任何憑證。
使用 PEAP-MS-CHAP v2 進行驗證過程期間,當 NPS 將其伺服器憑證傳送至用戶端電腦時,就會進行伺服器驗證。 存取用戶端會檢查各種憑證屬性,以判斷憑證是否有效且適合在伺服器驗證期間使用。 如果伺服器憑證符合最低伺服器憑證需求,而且是由存取用戶端信任的 CA 所核發,則用戶端會成功驗證 NPS。
當使用者嘗試連線到網路類型密碼型認證,並嘗試登入時,就會進行使用者驗證。 NPS 會接收認證,並執行驗證和授權。 如果使用者已成功驗證並獲得授權,而且用戶端電腦已成功驗證 NPS,則會授與連線要求。
重要步驟
在規劃使用驗證方法期間,您可以使用下列步驟。
識別您計劃提供的網路存取類型,例如無線、VPN、支援 802.1X 的交換器,以及撥號存取。
決定您想要用於每種存取類型的驗證方法。 建議您使用提供強式安全性的憑證式驗證方法;不過,部署 PKI 可能並不實用,因此其他驗證方法可能會提供更好的網路需求平衡。
如果您要部署 EAP-TLS,請規劃 PKI 部署。 這包括規劃您要用於伺服器證書和用戶端計算機憑證的證書範本。 它也包括決定如何將憑證註冊到網域成員和非網域成員的電腦,以及可決定是否要使用智慧卡。
如果您要部署PEAP-MS-CHAP v2,請判斷您是否要安裝AD CS向 NPS 發行伺服器證書,或是否要從公用 CA 購買伺服器憑證,例如 VeriSign。
規劃網路原則
NPS 會使用網路原則來判斷從 RADIUS 用戶端收到的連線要求是否授權。 NPS 也會將使用者帳戶的撥入屬性用來進行授權判斷。
由於網路原則會依照其出現在 NPS 嵌入式管理單元中的順序進行處理,因此請規劃將限制性最嚴格的原則放在原則清單最上面。 針對每個連線要求,NPS 會嘗試比對原則條件與連線要求屬性看是否相符。 NPS 會依序檢查每個網路原則,直到找到符合的項目為止。 如果找不到匹配項目,則會拒絕連線要求。
重要步驟
在規劃網路原則期間,您可以使用下列步驟。
決定網路原則的偏好 NPS 處理順序,從最嚴格到最不嚴格。
判斷政策狀態。 原則狀態可以有啟用或停用值。 如果啟用原則,NPS 會在執行授權時評估原則。 如果未啟用原則,則不會進行評估。
判斷原則類型。 您必須決定當原則的條件與連線要求相符時,是否要將原則設計為授與存取,或當原則的條件與連線要求相符時,是否要將原則設計為拒絕存取。 例如,如果您想要明確拒絕 Windows 群組成員的無線存取,您可以建立網路原則來指定群組、無線連線方法,以及具有拒絕存取的原則類型設定。
判斷是否要讓 NPS 針對原則所屬群組,忽略該群組成員使用者帳戶的撥入屬性。 如果未啟用此設定,用戶帳戶的撥入屬性將會取代在網路原則中已設定的值。 例如,如果網路原則設定為授與使用者存取權,但該使用者的使用者帳戶撥入屬性設定為拒絕存取,則會拒絕該使用者存取。 但是,如果您啟用原則類型設定 [忽略] 使用者帳戶撥入屬性,則會對相同的使用者授與網路存取權。
判斷政策是否使用政策來源設定。 此設定可讓您輕鬆地指定所有存取要求的來源。 可能的來源是終端機服務閘道 (TS 閘道)、遠端存取伺服器 (VPN 或撥號)、DHCP 伺服器、無線存取點和健康情況登錄授權單位伺服器。 或者,您可以指定廠商特定的來源。
決定套用網路原則時,必須符合哪些條件。
決定若連線要求符合網路原則條件時所套用的設定。
決定您是否要使用、修改或刪除預設網路原則。
規劃 NPS 計量
NPS 能夠以三種格式記錄 RADIUS 計量資料 (例如使用者驗證和計量要求):IAS 格式、資料庫相容格式和 Microsoft SQL Server 記錄。
IAS 格式和資料庫相容格式會以文字檔案格式在本機 NPS 上建立記錄檔。
SQL Server 記錄提供了在 SQL Server 2000 或 SQL Server 2005 XML 相容資料庫中進行記錄的能力,並擴展 RADIUS 記帳功能以利用記錄到關聯式資料庫的優勢。
重要步驟
在規劃 NPS 計量期間,您可以使用下列步驟。
- 決定您是否要將 NPS 計量資料儲存在記錄檔或 SQL Server 資料庫中。
使用本機記錄檔的 NPS 計量
記錄檔中記錄的使用者驗證和計量要求主要用於連線分析和計費用途,也可作為安全性調查工具,為您提供在遭受攻擊後追蹤惡意使用者活動的一種方法。
重要步驟
擬定使用本機記錄檔進行 NPS 帳戶計算的規劃時,您可以遵循以下步驟。
決定您想要用於 NPS 記錄檔的文字檔案格式。
選擇您想要記錄的資訊類型。 您可以記錄計量要求、驗證要求和定期狀態。
決定您要儲存記錄檔的硬碟位置。
設計記錄檔備份解決方案。 您儲存記錄檔的硬碟位置應該是可讓您輕鬆備份資料的位置。 此外,應為儲存記錄檔的資料夾設定存取控制清單 (ACL) 來保護硬碟位置。
決定您想要建立新記錄檔的頻率。 如果您想要根據檔案大小建立記錄檔,請決定 NPS 建立新記錄檔之前允許的檔案大小上限。
如果硬碟用盡儲存空間,請決定是否要讓 NPS 刪除較舊的記錄檔。
決定您想要用來檢視會計資料並產生報表的一個或多個應用程式。
NPS SQL Server 記錄
當您需要用於報表建立和資料分析的工作階段狀態資訊,並希望集中和簡化會計資料管理時,會使用 NPS SQL Server 記錄。
NPS 可讓您使用 SQL Server 記錄,將從一或多部網路存取伺服器收到的使用者驗證和計量要求記錄在電腦 (執行 Microsoft SQL Server Desktop Engine (MSDE 2000) 或比 SQL Server 2000 更晚的任何 SQL Server 版本) 的資料來源上。
計量資料會以 XML 格式從 NPS 傳遞至資料庫中的預存程序,其同時支援結構化查詢語言 (SQL) 和 XML (SQLXML)。 在符合 XML 規範的 SQL Server 資料庫中記錄使用者驗證和計量要求,可讓多個 NPS 擁有單一資料來源。
重要步驟
在使用 NPS SQL Server 記錄進行 NPS 帳務規劃時,您可以使用下列步驟。
判斷您或貴組織的另一個成員是否有 SQL Server 2000 或 SQL Server 2005 關聯式資料庫開發體驗,並了解如何使用這些產品來建立、修改、控管及管理 SQL Server 資料庫。
決定 SQL Server 是否安裝在 NPS 上還是安裝在遠端電腦上。
設計您將在 SQL Server 資料庫中使用的預存程式,以處理包含 NPS 會計數據的傳入 XML 檔案。
設計 SQL Server 資料庫複寫結構和流程。
決定您想要用來檢視會計資料並產生報表的一個或多個應用程式。
請計劃使用在所有記帳要求中傳送類別屬性的網路存取伺服器。 [類別] 屬性會在 [Access-Accept] 訊息中傳送至 RADIUS 用戶端,而且有助於將 [Accounting-Request] 訊息與驗證工作階段建立互相關聯。 如果 [類別] 屬性是由計量要求訊息中的網路存取伺服器傳送,它可以用來比對計量和驗證記錄。 [Unique-Serial-Number]、[Service-Reboot-Time] 和 [Server-Address] 屬性的組合,必須是伺服器接受每個驗證的唯一識別。
規劃使用支援中間帳務功能的網路存取伺服器。
計劃使用會傳送 Accounting-on 和 Accounting-off 訊息的網路存取伺服器。
計畫使用支援儲存和轉送帳務資料的網路存取伺服器。 當網路存取伺服器無法與 NPS 通訊時,支援此功能的網路存取伺服器可以儲存會計數據。 當 NPS 可用時,網路存取伺服器會將儲存的記錄轉送至 NPS,相較於未提供此功能的網路存取伺服器,這提供了更高的帳務可靠性。
應該在網路原則中一律設定 Acct-Interim-Interval 屬性。 [Acct-Interim-Interval] 屬性會為網路存取伺服器所傳送的每次暫時更新設定間隔 (以秒為單位)。 根據 RFC 2869,Acct-Interim-Interval 屬性的值不得小於 60 秒(1 分鐘),且不應小於 600 秒(10 分鐘),這表示超過 600 秒的值會降低 RADIUS 伺服器所接收更新的頻率。 如需詳細資訊,請參閱 RFC 2869。
請確定您的 NPS 上已啟用定期狀態的記錄。