本文提供 Windows Server 中網路原則伺服器 (NPS) 的概觀。 您可以使用 NPS 來建立並強制執行全組織網路存取原則,以進行連線要求驗證和授權。 您也可以將 NPS 設定為遠端驗證撥入使用者服務 (RADIUS)代理。 當您使用 NPS 作為 RADIUS Proxy 時,NPS 會將連線要求轉送至遠端 NPS RADIUS 伺服器或其他 RADIUS 伺服器。 您可以使用 Proxy 組態來負載平衡連線要求,並將其轉送至正確的網域以進行驗證和授權。 當您在 Windows Server 中安裝網路原則和存取服務 (NPAS) 角色時,就會安裝 NPS。
NPS 功能
您可以使用 NPS 集中設定和管理網路存取驗證、授權和會計。 NPS 針對該用途提供下列功能:
RADIUS 伺服器: NPS 會執行集中式驗證、授權,以及無線、驗證交換器、遠端訪問撥號和虛擬專用網 (VPN) 連線的會計。 當您使用 NPS 作為 RADIUS 伺服器時,您可以設定下列元件:
- 網路存取伺服器,例如無線存取點和 VPN 伺服器。 您可以將它們設定為 NPS 中的 RADIUS 用戶端。
- NPS 用來授權連線要求的網路原則。
- RADIUS 會計。 此元件是選擇性的。 如果您進行設定,NPS 會將會計信息記錄到本機硬碟或Microsoft SQL Server 資料庫中的記錄檔。
如需詳細資訊,請參閱 RADIUS 伺服器。
RADIUS Proxy: 當您使用 NPS 作為 RADIUS Proxy 時,您可以設定告訴 NPS 的連線要求原則:
- 指定應將哪些連線要求轉送至其他RADIUS伺服器。
- 定義這些連線要求轉送的目標RADIUS伺服器。
此外,您可以將 NPS 設定為將會計資料轉送至遠端 RADIUS 伺服器群組內的一或多部電腦進行記錄。 若要將 NPS 設定為 RADIUS Proxy 伺服器,請參閱下列資源:
- 指定應將哪些連線要求轉送至其他RADIUS伺服器。
RADIUS 計量: 您可以將 NPS 設定為將事件記錄到本機記錄檔或 SQL Server 的本機或遠端實例。 如需詳細資訊,請參閱 NPS 記錄。
您可以使用這些功能的任意組合設定 NPS。 例如,您可以將一個 NPS 部署設定為 VPN 連線的 RADIUS 伺服器。 您也可以設定與RADIUS Proxy相同的部署,以轉送特定連線要求。 具體來說,它可以將某些要求轉送給遠端 RADIUS 伺服器群組的成員,以在另一個網域中驗證和授權。
重要
在舊版的 Windows Server 中,NPAS 包括網路存取保護 (NAP)、健康情況註冊授權單位 (HRA) 和主機認證授權通訊協定 (HCAP)。 NAP、HRA 和 HCAP 在 Windows Server 2012 R2 中已被取代,且無法在 Windows Server 2016 或更新版本中使用。 如果您有使用 Windows Server 2016 之前的作系統的 NAP 部署,則無法將 NAP 部署移轉至 Windows Server 2016 或更新版本。
Windows Server 安裝選項和 NPS
NPS 功能的可用性取決於您安裝 Windows Server 時選取的選項:
- 當您選擇使用具有桌面體驗的伺服器安裝選項時,Windows Server 上可用 NPAS 角色。 此角色適用於 Standard 和 Datacenter 版本。
- 當您使用 Server Core 安裝選項時,NPAS 角色無法使用。
RADIUS 伺服器和代理伺服器
您可以使用 NPS 做為 RADIUS 伺服器、RADIUS Proxy 或兩者。 下列各節提供這些用法的詳細資訊。
RADIUS 伺服器
NPS 是因特網工程工作隊(IETF)在徵求意見(RFC) 2865 和 2866 中指定之 RADIUS 標準的Microsoft實作。 作為RADIUS伺服器,NPS 會執行集中式連線驗證、授權,以及計算許多類型的網路存取。 網路存取類型的範例包括無線、驗證交換器、撥號和 VPN 遠端訪問,以及路由器對路由器連線。
備註
如需將 NPS 部署為 RADIUS 伺服器的資訊,請參閱部署網路原則伺服器。
NPS 支援使用一組異質的無線、交換器、遠端訪問或 VPN 設備。 您可以將 NPS 與 Windows Server 中提供的遠端存取服務搭配使用。
NPS 會使用 Active Directory 網域服務 (AD DS) 網域或本機安全性帳戶管理員 (SAM) 使用者帳戶資料庫來驗證使用者認證以進行連線嘗試。 當執行 NPS 的伺服器是 AD DS 網域的成員時,NPS 會使用目錄服務作為其使用者帳戶資料庫。 在此情況下,NPS 是單一登錄解決方案的一部分。 相同的認證集用於網路訪問控制(驗證和授權網路存取權),以及登入 AD DS 網域。
備註
NPS 會將使用者帳戶的撥入屬性和網路原則用來授權連線。
維護網路存取的因特網服務提供者(ISP)和組織面臨更大的挑戰。 無論使用的網路存取設備類型為何,都需要從單一管理點管理所有類型的網路存取。 RADIUS 標準支援在同質和異質環境中的這項功能。 RADIUS 是一種用戶端-伺服器通訊協定,可啟用網路存取設備 (做為 RADIUS 用戶端) 將驗證和計量要求提交至 RADIUS 伺服器。
RADIUS 伺服器有權限存取使用者帳戶資訊,並可檢查網路存取驗證認證。 如果使用者認證通過驗證,且連線嘗試已獲得授權,RADIUS 伺服器會根據指定的條件授權使用者存取權。 然後 RADIUS 伺服器會在會計記錄檔中記錄網路存取連線。 使用RADIUS可讓網路存取使用者驗證、授權和會計的數據收集和維護在中央位置,而不是在每個存取伺服器上。
使用 NPS 作為 RADIUS 伺服器
在下列情況下,您可以使用 NPS 作為 RADIUS 伺服器:
- 您使用 AD DS 網域或本機 SAM 使用者帳戶資料庫作為存取客戶端的使用者帳戶資料庫。
- 您正在多個撥號伺服器、VPN 伺服器或需求撥號路由器上使用遠端存取,希望集中管理網路原則、連線記錄及帳務管理。
- 您正在將撥號、VPN 或無線存取外包給服務提供者。 存取伺服器會使用 RADIUS 來驗證和授權貴組織成員所建立的連線。
- 您想要針對一組異質存取伺服器進行集中驗證、授權和計量。
下圖顯示 NPS 作為各種存取用戶端的 RADIUS 伺服器。
RADIUS Proxy
作為RADIUS Proxy,NPS 會將驗證和會計訊息轉送至NPS RADIUS 伺服器和其他RADIUS伺服器。 當您使用 NPS 作為 RADIUS Proxy 時,它會在 RADIUS 用戶端與 RADIUS 伺服器之間路由傳送 RADIUS 訊息。 RADIUS 用戶端也稱為網路存取伺服器。 RADIUS 伺服器會針對連線嘗試執行使用者驗證、授權和帳戶。
您可以在 NPS 中設定無限數量的 RADIUS 用戶端和遠端 RADIUS 伺服器群組。 您也可以指定 IP 位址範圍來設定 RADIUS 用戶端。
當您使用 NPS 作為 RADIUS Proxy 時,它會作為中央切換或路由點,讓 RADIUS 存取和會計訊息流動。 NPS 會記錄有關轉送訊息的計量記錄檔中的資訊。
使用 NPS 作為 RADIUS Proxy
在下列情況下,您可以使用 NPS 作為 RADIUS Proxy:
您是服務提供者,其為多個客戶提供外包撥號、VPN 或無線網路存取服務。 您的網路連接記憶體 (NAS) 系統會將連線要求傳送至 NPS RADIUS Proxy。 根據連線要求中使用者名稱的領域部分,NPS RADIUS Proxy 會將連線要求轉送至RADIUS伺服器。 客戶會維護該伺服器,這可以驗證並授權連線嘗試。
您要為不屬於下列任一網域成員的使用者帳戶提供驗證和授權:
- NPS 部署為成員的網域。
- 具有雙向信任的網域,其中 NPS 部署是成員的網域。
用戶帳戶的範例包括不受信任的網域、單向信任網域和其他樹系中的帳戶。 無需設定存取伺服器來將其連線要求傳送至 NPS RADIUS 伺服器,您可以設定它們將其連線要求傳送至 NPS RADIUS Proxy。 NPS RADIUS Proxy 會使用使用者名稱的領域名稱部分,並將要求轉送至正確網域或樹系中的 NPS RADIUS 伺服器。 某個網域或樹系中用戶帳戶的連線嘗試可以針對另一個網域或樹系中的NAS系統進行驗證。
您想要使用不是 Windows 帳戶資料庫的資料庫來執行驗證和授權。 在此情況下,符合指定領域名稱的連接要求會轉送至可存取不同用戶帳戶資料庫和授權數據的RADIUS伺服器。 其他使用者資料庫的範例包括 NetIQ eDirectory 和結構化查詢語言 (SQL) 資料庫。
您想要處理大量的連線要求。 在此情況下,您無需設定 RADIUS 用戶端嘗試在多個 RADIUS 伺服器之間平衡其連線和計量要求,而是設定它們將連線和計量要求傳送至 NPS RADIUS Proxy。 NPS RADIUS Proxy 會動態平衡多個 RADIUS 伺服器之間的連線和計費請求負載,並提高每秒大量 RADIUS 用戶端和驗證數的處理能力。
您想要為外包服務提供者提供 RADIUS 驗證和授權,並將內部網路防火牆設定降到最低。 內部網路防火牆位於內部網路與周邊網路之間(內部網路與因特網之間的網路)。 如果您在周邊網路上放置 NPS,周邊網路與內部網路之間的防火牆必須允許 NPS 與多個域控制器之間的流量流動。 如果您將 NPS 部署取代為 NPS Proxy,防火牆必須只允許 RADIUS 流量在 NPS Proxy 與內部網路內的一或多個 NPS 部署之間流動。
重要
當樹系功能等級為 Windows Server 2003 或更高版本,且樹系之間有雙向信任關係時,NPS 支援跨樹系進行驗證,而沒有 RADIUS Proxy。 但是,如果您使用下列任一架構搭配憑證作為驗證方法,則必須使用RADIUS Proxy跨樹系進行驗證:
- 可延伸驗證 Protocol-Transport 層安全性 (EAP-TLS)
- 受保護的可延伸驗證 Protocol-Transport 層安全性 (PEAP-TLS)
下圖顯示 NPS 作為 RADIUS 用戶端與 RADIUS 伺服器之間的 RADIUS Proxy。
組織也可使用 NPS 將遠端存取基礎結構外包給服務提供者,同時保留對於使用者驗證、授權以及計量的控制。
您可以針對下列案例建立 NPS 組態:
- 無線存取
- 組織撥號或 VPN 遠端訪問
- 外包撥號或無線網路存取。
- 網際網路存取
- 企業夥伴驗證存取外部網路資源
RADIUS 伺服器和 RADIUS Proxy 設定範例
下列設定範例示範如何將 NPS 設定為 RADIUS 伺服器和 RADIUS Proxy。
做為 RADIUS 伺服器的 NPS
此範例使用下列組態:
- NPS 設定為 RADIUS 伺服器。
- 預設連線請求策略是唯一設置的策略。
- 本機 NPS RADIUS 伺服器會處理所有連線要求。
NPS RADIUS 伺服器可以驗證和授權位於 NPS RADIUS 伺服器網域和受信任網域中的用戶帳戶。
做為 RADIUS Proxy 的 NPS
在此範例中,NPS 會設定為轉送連線要求的RADIUS Proxy。 要求會轉送至兩個不受信任的網域中的遠端 RADIUS 伺服器群組。
默認連線要求原則會遭到刪除。 系統會建立兩個新的連線要求原則,以將要求轉送至兩個不受信任的網域。
在此範例中,NPS 不會處理本機伺服器上的任何連線要求。
NPS 作為 RADIUS 伺服器和 RADIUS 代理伺服器
此範例使用兩個連線要求原則:
- 默認連接要求原則,指定在本機處理連線要求。
- 新的連線要求原則。 它會將連線要求轉送至未受信任網域中的NPS RADIUS 伺服器或其他RADIUS伺服器。
第二個原則名為 Proxy 原則。 它會先出現在已排序的原則清單中。
- 如果連線要求符合 Proxy 原則,連線要求會轉送至遠端 RADIUS 伺服器群組中的 RADIUS 伺服器。
- 如果連線要求不符合 Proxy 原則,但與默認連線要求原則相符,NPS 會在本機伺服器上處理連線要求。
- 如果連線要求不符合任一原則,則會捨棄它。
NPS 作為具有遠端會計伺服器的 RADIUS 伺服器
在此範例中,本機 NPS RADIUS 伺服器未設定為執行計費管理。 系統會修訂預設連線要求原則,讓RADIUS會計訊息轉送至遠端RADIUS伺服器群組中的NPS RADIUS伺服器或其他RADIUS伺服器。
雖然此範例會轉送會計訊息,但不會轉送驗證和授權訊息。 本機 NPS RADIUS 伺服器會針對本機網域和所有受信任的網域執行驗證和授權功能。
NPS 提供遠端 RADIUS 使用者與本機 Windows 使用者之間的對應
在此範例中,NPS 會同時作為RADIUS伺服器和RADIUS Proxy。 NPS 會以下列方式處理每個個別連接要求:
- 驗證要求會轉送至遠端 RADIUS 伺服器。
- 本機 Windows 使用者帳戶用於授權。
若要實作此設定,您可以將 Remote RADIUS to Windows User Mapping 屬性設定為連線要求原則的條件。 您也可以在 RADIUS 伺服器上本機建立使用者帳戶。 該帳戶的名稱必須與遠端RADIUS伺服器執行驗證的遠端用戶帳戶相同。
組態
若要將 NPS 設定為 RADIUS 伺服器,您可以在 NPS 控制台或伺服器管理員中使用標準組態或進階組態。 若要將 NPS 設定為 RADIUS Proxy,您必須使用進階設定。
標準設定
透過標準組態,會提供精靈來協助您設定下列案例的NPS:
- 用於撥號或 VPN 連線的 RADIUS 伺服器
- 802.1X 無線或有線連線的 RADIUS 伺服器
若要使用精靈設定 NPS,請開啟 NPS 控制台,選取上述其中一個案例,然後選取精靈的連結。
進階設定
當您使用進階設定時,請手動將 NPS 設定為 RADIUS 伺服器或 RADIUS Proxy。
若要使用進階設定來設定 NPS,請開啟 NPS 控制台,然後展開 [ 進階設定]。
下列各節說明所提供的進階配置項目。
設定RADIUS伺服器
若要將 NPS 設定為 RADIUS 伺服器,您必須設定 RADIUS 用戶端、網路原則和 RADIUS 帳戶。
如需進行這些設定的指示,請參閱下列文章:
設定 RADIUS Proxy
若要將 NPS 設定為 RADIUS Proxy,您必須設定 RADIUS 用戶端、遠端 RADIUS 伺服器群組和連線要求原則。
如需進行這些設定的指示,請參閱下列文章:
NPS 記錄
NPS 記錄也稱為 RADIUS 記帳。 您可以設定 NPS 記錄,以符合您的需求,不論 NPS 是否作為 RADIUS 伺服器、Proxy 或這些組態的任何組合。
若要設定 NPS 記錄,您必須使用事件查看器設定要記錄和檢視的事件,然後判斷您要記錄的其他資訊。 此外,您必須決定儲存使用者驗證和帳戶信息記錄的位置。 有下列選項可供使用:
- 儲存在本機電腦上的文字記錄檔
- 本機電腦或遠端電腦上的 SQL Server 資料庫
如需詳細資訊,請參閱 設定網路原則伺服器帳戶。