網路原則伺服器 (NPS)

適用于:Windows Server 2022、Windows Server 2016、Windows Server 2019

您可以在 Windows Server 2016 和 Windows Server 2019 中使用本主題,以取得網路原則伺服器的概觀。 當您在 Windows Server 2016 和 Server 2019 中安裝網路原則和Access Services (NPAS) 功能時,就會安裝 NPS。

網路原則伺服器 (NPS) 可讓您建立並執行全組織網路存取原則,以用於連線要求驗證與授權。

您也可以將 NPS 設定為遠端驗證撥入使用者服務 (RADIUS) Proxy,以將連線要求轉送到遠端 NPS 或其他 RADIUS 伺服器,以便負載平衡連線要求,並將其轉送至正確的網域以進行驗證和授權。

NPS 可讓您使用下列功能集中設定和管理網路存取驗證、授權和會計:

  • RADIUS 伺服器。 NPS 會執行集中式驗證、授權,以及負責無線、驗證交換器、遠端存取撥號和虛擬私人網路, (VPN) 連線。 當您使用 NPS 做為 RADIUS 伺服器時,可以設定網路存取伺服器 (例如無線存取點與 VPN 伺服器) 做為 NPS 中的 RADIUS 用戶端。 您也可以設定 NPS 用來授權連線要求的網路原則,並且可以設定 RADIUS 帳戶處理,讓 NPS 將計量資訊記錄到本機硬碟上或 Microsoft SQL Server 資料庫中的記錄檔。 如需詳細資訊,請參閱 RADIUS 伺服器
  • RADIUS Proxy。 當您使用 NPS 做為 RADIUS Proxy 時,您可以設定連線要求原則,告知 NPS 要將哪些連線要求轉送到其他 RADIUS 伺服器,以及您要轉送連線要求的 RADIUS 伺服器。 您也可以設定 NPS 轉送要由遠端 RADIUS 伺服器群組中一或多部電腦記錄的計量資料。 若要將 NPS 設定為 RADIUS Proxy 伺服器,請參閱下列主題。 如需詳細資訊,請參閱 RADIUS Proxy
  • RADIUS 會計。 您可以將 NPS 設定為將事件記錄到本機記錄檔或本機或遠端實例Microsoft SQL Server。 如需詳細資訊,請參閱 NPS 記錄

重要

網路存取保護 (NAP) 、健康情況註冊授權單位 (HRA) 和主機認證授權通訊協定 (HCAP) 在 Windows Server 2012 R2 中已被取代,Windows Server 2016中無法使用。 如果您使用早于 Windows Server 2016 的作業系統進行 NAP 部署,則無法將 NAP 部署移轉至Windows Server 2016。

您可以使用這些功能的任何組合來設定 NPS。 例如,您可以將一個 NPS 設定為 VPN 連線的 RADIUS 伺服器,也可以設定為 RADIUS Proxy,將一些連線要求轉送到遠端 RADIUS 伺服器群組的成員,以在另一個網域中驗證和授權。

Windows Server 版本和 NPS

NPS 會根據您安裝的 Windows Server 版本,提供不同的功能。

Windows Server 2016或 Windows Server 2019 Standard/Datacenter Edition

在 Windows Server 2016 Standard 或 Datacenter 中使用 NPS,您可以設定無限數量的 RADIUS 用戶端和遠端 RADIUS 伺服器群組。 還可以藉由指定 IP 位址範圍設定 RADIUS 用戶端。

注意

WIndows 網路原則和Access Services功能不適用於使用 Server Core 安裝選項安裝的系統上。

下列各節提供有關 NPS 做為 RADIUS 伺服器和 Proxy 的詳細資訊。

RADIUS 伺服器及 Proxy

您可以使用 NPS 作為 RADIUS 伺服器、RADIUS Proxy 或兩者。

RADIUS 伺服器

NPS 是 MICROSOFT 實作 RFC 2865 和 2866 中由 Internet Engineering Task Force (IETF) 所指定的 RADIUS 標準。 做為 RADIUS 伺服器,NPS 會執行許多網路存取類型的集中連線驗證、授權以及帳戶處理,包括無線、驗證交換器、撥號及虛擬私人網路 (VPN) 遠端存取,以及路由對路由連線。

注意

如需將 NPS 部署為 RADIUS 伺服器的資訊,請參閱 部署網路原則伺服器

NPS 啟用無線、交換器、遠端存取或 VPN 設備的異質集使用。 您可以使用 NPS 搭配遠端存取服務,此服務可在 Windows Server 2016中使用。

NPS 會使用 Active Directory 網域服務 (AD DS) 網域或本機安全性帳戶管理員, (SAM) 使用者帳戶資料庫來驗證連線嘗試的使用者認證。 當執行 NPS 的伺服器是 AD DS 網域的成員時,NPS 會使用目錄服務作為其使用者帳戶資料庫,而且是單一登入解決方案的一部分。 相同的認證集用於網路存取控制, (驗證和授權對網路) 的存取,以及登入 AD DS 網域。

注意

NPS 使用使用者帳戶的撥入內容以及網路原則來授權連線。

網際網路服務提供者 (ISP) 和維護網路存取權的組織,不論使用何種網路存取設備,從單一管理點管理所有網路存取類型都已面臨更大的挑戰。 RADIUS 標準在同質和異質環境中都支援此功能。 RADIUS 是一種從屬通訊協定,可讓網路存取設備 (當作 RADIUS 用戶端使用) 將驗證和帳戶處理要求提交到 RADIUS 伺服器。

RADIUS 伺服器有權存取使用者帳戶資訊,且可檢查網路存取驗證認證。 如果已驗證使用者認證並授權連線嘗試,RADIUS 伺服器會根據指定的條件授權使用者存取權,然後在會計記錄中記錄網路存取連線。 使用 RADIUS 可讓您在集中位置收集和管理網路存取使用者驗證、授權以及帳戶處理資料,不需在每個存取伺服器上執行這些工作。

使用 NPS 作為 RADIUS 伺服器

您可以在下列情況使用 NPS 做為 RADIUS 伺服器:

  • 您正在使用 AD DS 網域或本機 SAM 使用者帳戶資料庫作為存取用戶端的使用者帳戶資料庫。
  • 您在多個撥號伺服器、VPN 伺服器或需求撥號路由器上使用遠端存取,而且您想要集中設定網路原則和連線記錄和會計。
  • 您將撥號、VPN 或無線存取外包給服務提供者。 存取伺服器使用 RADIUS 來驗證和授權您組織成員所建立的連線。
  • 您想要集中管理一組異質存取伺服器的驗證、授權以及帳戶處理。

下圖顯示 NPS 作為各種存取用戶端的 RADIUS 伺服器。

NPS as a RADIUS Server

RADIUS Proxy

作為 RADIUS Proxy,NPS 會將驗證和會計訊息轉送至 NPS 和其他 RADIUS 伺服器。 您可以使用 NPS 作為 RADIUS Proxy,在 RADIUS 用戶端之間提供 RADIUS 訊息的路由, (也稱為網路存取伺服器) ,以及執行使用者驗證、授權和考慮連線嘗試的 RADIUS 伺服器。

做為 RADIUS Proxy 時,NPS 是 RADIUS 存取和處理帳戶訊息流的中央交換點或路由點。 NPS 將轉寄訊息的相關資訊記錄在帳戶處理記錄中。

使用 NPS 作為 RADIUS Proxy

當下列條件成立時,您可以使用 NPS 做為 RADIUS Proxy:

  • 您是服務提供者,可為多個客戶提供外包撥號、VPN 或無線網路存取服務。 您的 NAS 會將連線要求傳送至 NPS RADIUS Proxy。 NPS RADIUS Proxy 會根據連線要求中的使用者名稱領域部分,將連線要求轉寄到由客戶維護的 RADIUS 伺服器,而且可驗證和授權連線嘗試。
  • 您想要為不是 NPS 成員之網域成員的使用者帳戶,或與 NPS 所屬網域具有雙向信任的另一個網域提供驗證和授權。 這些帳戶包括不受信任的網域、單向受信任的網域和其他樹系中的帳戶。 您可以不要設定存取伺服器將它們的連線要求傳送到 NPS RADIUS 伺服器,而是傳送到 NPS RADIUS Proxy。 NPS RADIUS Proxy 會使用使用者名稱的功能變數名稱部分,並將要求轉送至正確網域或樹系中的 NPS。 一個網域或樹系中使用者帳戶的連線嘗試可以針對另一個網域或樹系中的 NAS 進行驗證。
  • 您要使用不是 Windows 帳戶資料庫的資料庫執行驗證與授權。 在這種情況下,會將符合指定領域名稱的連線要求轉寄到 RADIUS 伺服器,此伺服器可以存取不同使用者帳戶的資料庫與授權資料。 其他使用者資料庫的範例包括 Novell 目錄服務 (NDS) 與結構化查詢語言 (SQL) 資料庫。
  • 您要處理大量的連線要求。 在這種情況下,您可以不要設定 RADIUS 用戶端嘗試在多個 RADIUS 伺服器之間平衡它們的連線與帳戶處理要求,而是將連線與帳戶處理要求傳送到 NPS RADIUS Proxy。 NPS RADIUS Proxy 會動態平衡多個 RADIUS 伺服器之間的連線負載和會計要求負載,並增加每秒大量 RADIUS 用戶端和驗證的處理。
  • 您要提供 RADIUS 驗證與授權給委外服務提供者,並將內部網路防火牆設定減至最低。 內部網路防火牆介於周邊網路 (內部網路與網際網路之間的網路) 與內部網路之間。 藉由將 NPS 放在周邊網路上,周邊網路與內部網路之間的防火牆必須允許 NPS 與多個網域控制站之間的流量流動。 藉由將 NPS 取代為 NPS Proxy,防火牆必須只允許 RADIUS 流量在 NPS Proxy 與內部網路的一或多個 NPS 之間流動。

下圖顯示 NPS 作為 RADIUS 用戶端與 RADIUS 伺服器之間的 RADIUS Proxy。

NPS as a RADIUS Proxy

利用 NPS,組織也可以將遠端存取基礎結構外包給服務提供者,同時保留使用者驗證、授權以及帳戶處理的控制。

您可以針對下列案例建立 NPS 組態:

  • 無線存取
  • 組織撥號或虛擬私人網路 (VPN) 遠端存取
  • 委外撥號或無線存取
  • 網際網路存取
  • 企業夥伴驗證存取外部網路資源

RADIUS 伺服器與 RADIUS Proxy 設定範例

下列設定範例示範如何將 NPS 設定為 RADIUS 伺服器與 RADIUS Proxy。

NPS 做為 RADIUS 伺服器。 在此範例中,NPS 會設定為 RADIUS 伺服器,預設連線要求原則是唯一設定的原則,而且所有連線要求都會由本機 NPS 處理。 NPS 可以驗證和授權其帳戶位於 NPS 網域和受信任網域中的使用者。

NPS 做為 RADIUS Proxy。 在此範例中,NPS 會設定為 RADIUS Proxy,以將連線要求轉送到兩個不受信任的網域中的遠端 RADIUS 伺服器群組。 系統會刪除預設連線要求原則,並建立兩個新的連線要求原則,以將要求轉送至兩個不受信任的網域。 在此範例中,NPS 不會處理本機伺服器上的任何連線要求。

NPS 做為 RADIUS 伺服器和 RADIUS Proxy。 除了指定在本機處理連線要求的預設連線要求原則之外,還會建立新的連線要求原則,將連線要求轉送到不受信任網域中的 NPS 或其他 RADIUS 伺服器。 第二個原則稱為 Proxy 原則。 在此範例中,Proxy 原則會顯示在原則排序清單中的第一個。 如果連線要求符合 Proxy 原則,會將連線要求轉送到遠端 RADIUS 伺服器群組中的 RADIUS 伺服器。 如果連線要求不符合 Proxy 原則,但符合預設的連線要求原則,NPS 會在本機伺服器上處理連線要求。 如果連線要求不符合任一原則,就會被捨棄。

NPS 作為具有遠端會計伺服器的 RADIUS 伺服器。 在此範例中,本機 NPS 未設定為執行會計,而且會修改預設連線要求原則,讓 RADIUS 會計訊息轉送到遠端 RADIUS 伺服器群組中的 NPS 或其他 RADIUS 伺服器。 雖然會轉送會計訊息,但不會轉送驗證和授權訊息,而且本機 NPS 會針對本機網域和所有受信任的網域執行這些功能。

具有遠端 RADIUS 的 NPS,可Windows使用者對應。 在此範例中,NPS 扮演每個連線要求的 RADIUS 伺服器與 RADIUS Proxy,將驗證要求轉送到遠端 RADIUS 伺服器,而使用本機 Windows 使用者帳戶進行授權。 藉由設定 [Windows 使用者對應的遠端 RADIUS] 屬性做為連線要求原則的條件,可以實作此設定。 (此外,必須在 RADIUS 伺服器上本機建立使用者帳戶,該使用者帳戶的名稱與遠端 RADIUS 伺服器執行驗證的遠端使用者帳戶相同。)

組態

若要將 NPS 設定為 RADIUS 伺服器,您可以在 NPS 主控台或伺服器管理員中使用標準組態或進階設定。 若要設定 NPS 做為 RADIUS Proxy,則必須使用進階設定。

標準設定

使用標準設定時,會提供精靈協助您針對下列情況設定 NPS:

  • 撥號或 VPN 連線的 RADIUS 伺服器
  • 802.1X 無線或有線連線的 RADIUS 伺服器

若要使用精靈設定 NPS,請開啟 NPS 主控台,選取前述其中一種情況,然後按一下連結來開啟精靈。

進階組態

當您使用進階設定時,您會手動將 NPS 設定為 RADIUS 伺服器或 RADIUS Proxy。

若要使用進階設定來設定 NPS,請開啟 NPS 主控台,然後按一下 [ 進階 設定] 旁的箭號展開本節。

會提供下列進階設定項目。

設定 RADIUS 伺服器

若要設定 NPS 做為 RADIUS 伺服器,您必須設定 RADIUS 用戶端、網路原則以及 RADIUS 帳戶處理。

如需進行這些設定的指示,請參閱下列主題。

設定 RADIUS Proxy

若要設定 NPS 做為 RADIUS Proxy,您必須設定 RADIUS 用戶端、遠端 RADIUS 伺服器群組以及連線要求原則。

如需進行這些設定的指示,請參閱下列主題。

NPS 記錄

NPS 記錄也稱為 RADIUS 會計。 設定 NPS 記錄以符合您的需求,不論 NPS 是做為 RADIUS 伺服器、Proxy 或這些組態的任何組合。

若要設定 NPS 記錄,您必須設定您想要記錄並檢視哪些事件與事件檢視器,然後判斷您想要記錄的其他資訊。 此外,您還必須決定要將使用者驗證與帳戶處理資訊記錄到儲存在本機電腦的記錄檔中,或是記錄到本機電腦或遠端電腦的 SQL Server 資料庫中。

如需詳細資訊,請參閱 設定網路原則伺服器會計