設定 RADIUS 用戶端

  • 發行項

適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016

您可以使用本主題,將網路存取伺服器設定為 NPS 中的 RADIUS 用戶端。

當您將新的網路存取伺服器(VPN 伺服器、無線存取點、驗證交換器或撥號伺服器)新增至您的網路時,您必須在 NPS 中將伺服器新增為 RADIUS 用戶端,然後將 RADIUS 用戶端設定為與 NPS 通訊。

重要

用戶端電腦和裝置,例如膝上型電腦、平板電腦、手機和其他執行用戶端操作系統的計算機,不是RADIUS用戶端。 RADIUS 用戶端是網路存取伺服器 -- 例如無線存取點、802.1X 支援的交換器、虛擬專用網 (VPN) 伺服器和撥號伺服器 - 因為它們會使用RADIUS 通訊協定來與RADIUS伺服器通訊,例如網路原則伺服器 (NPS) 伺服器。

當您的 NPS 是 NPS 在 NPS Proxy 上設定的遠端 RADIUS 伺服器群組成員時,也需要此步驟。 在此情況下,除了在 NPS Proxy 上執行這項工作中的步驟之外,您還必須執行下列動作:

  • 在 NPS Proxy 上,設定包含 NPS 的遠端 RADIUS 伺服器群組。
  • 在遠端 NPS 上,將 NPS Proxy 設定為 RADIUS 用戶端。

若要執行本主題中的程式,您必須至少有一部網路存取伺服器(VPN 伺服器、無線存取點、驗證交換器或撥號伺服器)或實際安裝在網路上的 NPS Proxy。

設定網路存取伺服器

使用此程式來設定網路存取伺服器以搭配 NPS 使用。 當您將網路存取伺服器 (NAS) 部署為 RADIUS 用戶端時,您必須將用戶端設定為與將 NAS 設定為用戶端的 NPS 通訊。

此程式提供您應該用來設定 NAS 之設定的一般指導方針;如需有關如何設定您要在網路上部署之裝置的特定指示,請參閱 NAS 產品檔。

設定網路存取伺服器

  1. 在 NAS 的 RADIUS 設定中,選取使用者數據報通訊協定 (UDP) 埠 1812 上的 RADIUS 驗證,並在 UDP 連接埠 1813 上選取 RADIUS 帳戶
  2. [驗證伺服器RADIUS 伺服器] 中,根據 NAS 的需求,依 IP 位址或完整域名 (FQDN) 指定 NPS。
  3. 在 [秘密] 或 [共享密碼] 中,輸入強密碼。 當您在 NPS 中將 NAS 設定為 RADIUS 用戶端時,您會使用相同的密碼,因此別忘了。
  4. 如果您使用PEAP或EAP作為驗證方法,請將NAS設定為使用EAP驗證。
  5. 如果您要設定無線存取點,請在 SSID指定服務集識別碼 (SSID),這是作為網路名稱的英數位元字串。 此名稱會由無線用戶端的存取點廣播,而且您的無線逼真度 (Wi-Fi) 熱點的使用者可以看到此名稱。
  6. 如果您要設定無線存取點,請在 802.1X 和 WPA,如果您想要部署 PEAP-MS-CHAP v2、PEAP-TLS 或 EAP-TLS,請啟用 IEEE 802.1X 驗證

將網路存取伺服器新增為 NPS 中的 RADIUS 用戶端

使用此程式,將網路存取伺服器新增為 NPS 中的 RADIUS 用戶端。 您可以使用此程式,透過 NPS 控制台將 NAS 設定為 RADIUS 用戶端。

若要完成此程序,您必須是 Administrators 群組的成員。

將網路存取伺服器新增為 NPS 中的 RADIUS 用戶端

  1. 在 NPS 的 [伺服器管理員] 中,按兩下 [工具],然後按兩下 [網络原則伺服器]。 NPS 控制台隨即開啟。
  2. 在 NPS 主控台中,按兩下 [RADIUS 用戶端和伺服器]。 以滑鼠右鍵按兩下 [ RADIUS 用戶端],然後按兩下[ 新增RADIUS用戶端]。
  3. 在 [新增 RADIUS 用戶端] 中,確認您已選取 [啟用此 RADIUS 用戶端] 核取方塊。
  4. [新增 RADIUS 用戶端] 的 [易記名稱] 中,輸入 NAS 的顯示名稱。 在 [位址](IP 或 DNS)中,輸入 NAS IP 位址或完整域名 (FQDN)。 如果您輸入 FQDN,請按兩下 [驗證 ] 確認名稱是否正確,並對應至有效的IP位址。
  5. [新增 RADIUS 用戶端] 的 [廠商] 中,指定 NAS 製造商名稱。 如果您不確定 NAS 製造商名稱,請選取 [RADIUS 標準]
  6. [新增 RADIUS 用戶端] 的 [共享密碼] 中,執行下列其中一項動作:
    • 確定已選取 [手動],然後在 [共享密碼] 中輸入也輸入 NAS 上的強密碼。 在 [確認共用密碼] 中重新輸入共用密碼。
    • 選取 [ 產生],然後按兩下 [產生 ] 以自動產生共享密碼。 儲存產生的共享密碼以在 NAS 上進行設定,以便與 NPS 通訊。
  7. [新增 RADIUS 用戶端] 的 [其他選項] 中,如果您使用 EAP 和 PEAP 以外的任何驗證方法,而且您的 NAS 支援使用訊息驗證器屬性,請選取 [存取要求訊息必須包含訊息驗證器] 屬性
  8. 按一下 [確定]。 NAS 便會出現在 NPS 上所設定的 RADIUS 用戶端清單中。

在 Windows Server 2016 Datacenter 中依 IP 位址範圍設定 RADIUS 用戶端

如果您執行的是 Windows Server 2016 Datacenter,您可以依 IP 位址範圍在 NPS 中設定 RADIUS 用戶端。 這可讓您一次將大量RADIUS用戶端(例如無線存取點)新增至NPS控制台,而不是個別新增每個RADIUS用戶端。

如果您在 Windows Server 2016 Standard 上執行 NPS,則無法依 IP 位址範圍設定 RADIUS 用戶端。

使用此程式,將一組網路存取伺服器 (NAS) 新增為RADIUS用戶端,這些用戶端全都設定為來自相同IP位址範圍的IP位址。

範圍中的所有RADIUS用戶端都必須使用相同的組態和共享密碼。

若要完成此程序,您必須是 Administrators 群組的成員。

依IP位址範圍設定RADIUS用戶端

  1. 在 NPS 的 [伺服器管理員] 中,按兩下 [工具],然後按兩下 [網络原則伺服器]。 NPS 控制台隨即開啟。
  2. 在 NPS 主控台中,按兩下 [RADIUS 用戶端和伺服器]。 以滑鼠右鍵按兩下 [ RADIUS 用戶端],然後按兩下[ 新增RADIUS用戶端]。
  3. [新增 RADIUS 用戶端] 的 [易記名稱] 中,輸入 NAS 集合的顯示名稱。
  4. [位址](IP 或 DNS)中,使用無類別網域間路由 (CIDR) 表示法輸入 RADIUS 用戶端的 IP 位址範圍。 例如,如果 NAS 的 IP 位址範圍是 10.10.0.0,請輸入 10.10.0.0/16
  5. [新增 RADIUS 用戶端] 的 [廠商] 中,指定 NAS 製造商名稱。 如果您不確定 NAS 製造商名稱,請選取 [RADIUS 標準]
  6. [新增 RADIUS 用戶端] 的 [共享密碼] 中,執行下列其中一項動作:
    • 確定已選取 [手動],然後在 [共享密碼] 中輸入也輸入 NAS 上的強密碼。 在 [確認共用密碼] 中重新輸入共用密碼。
    • 選取 [ 產生],然後按兩下 [產生 ] 以自動產生共享密碼。 儲存產生的共享密碼以在 NAS 上進行設定,以便與 NPS 通訊。
  7. [新增 RADIUS 用戶端] 的 [其他選項] 中,如果您使用 EAP 和 PEAP 以外的任何驗證方法,而且如果您的所有 NAS 都支援使用訊息驗證器屬性,請選取 [存取要求訊息必須包含訊息驗證器] 屬性
  8. 按一下 [確定]。 您的 NAS 會出現在 NPS 上設定的 RADIUS 用戶端清單中。

如需詳細資訊,請參閱 RADIUS用戶端

如需 NPS 的詳細資訊,請參閱 網路原則伺服器 (NPS)