Server dei criteri di rete
È possibile usare questo argomento per una panoramica di Server dei criteri di rete in Windows Server 2016 e Windows Server 2019. NPS viene installato quando si installa la funzionalità Servizi di accesso e criteri di rete in Windows Server 2016 e Server 2019.
Nota
Oltre a questo argomento, la seguente documentazione NPS è disponibile.
- Procedure consigliate per il Server dei criteri di rete
- Introduzione al server dei criteri di rete
- Pianificare il Server dei criteri di rete
- Distribuire il Server dei criteri di rete
- Gestire il Server dei criteri di rete
- Cmdlet di Server dei criteri di rete in Windows PowerShell per Windows Server 2016 e Windows 10
- Cmdlet di Server dei criteri di rete (NPS) in Windows PowerShell per Windows Server 2012 R2 e Windows 8.1
- Cmdlet NPS in Windows PowerShell per Windows Server 2012 and Windows 8
Network Policy Server (NPS) consente all'utente di creare e imporre criteri di accesso alla rete a livello aziendale per l'autenticazione e l'autorizzazione delle richieste di connessione.
È anche possibile configurare NPS come proxy RADIUS (Remote Authentication Dial-In User Service) per inoltrare le richieste di connessione a un NPS remoto o a un altro server RADIUS in modo da poter bilanciare il carico delle richieste di connessione e inoltrarle al dominio corretto per l'autenticazione e l'autorizzazione.
NPS consente di configurare e gestire centralmente l'autenticazione, l'autorizzazione e la contabilità dell'accesso alla rete con le funzionalità seguenti:
- Server RADIUS. NPS esegue l'autenticazione, l'autorizzazione e la contabilità centralizzati per le connessioni wireless, switch di autenticazione, connessione remota e connessioni di rete privata virtuale (VPN). Quando si utilizza Server dei criteri di rete come un server RADIUS, si configurano i server di accesso alla rete, ad esempio punti di accesso wireless e server VPN, come client RADIUS in Server dei criteri di rete. È inoltre possibile configurare criteri di rete utilizzati da Server dei criteri di rete per autorizzare richieste di connessione, nonché configurare l'accounting RADIUS in modo che Server dei criteri di rete registri le informazioni di accounting in file di registro sul disco rigido locale oppure in un database di Microsoft SQL Server. Per maggiori informazioni, consultare la sezione Server RADIUS.
- Proxy RADIUS. Quando si usa il server NPS come proxy RADIUS, si devono configurare i criteri delle richieste di connessione, che consentono di indicare quali richieste di connessione devono essere inoltrate dal server NPS ad altri server RADIUS e a quali server RADIUS si vuole inoltrare le richieste di connessione. È inoltre possibile configurare Server dei criteri di rete per inoltrare i dati di accounting da registrare da parte di uno o più computer in un gruppo remoto di server RADIUS. Per configurare NPS come server proxy RADIUS, vedere gli argomenti seguenti. Per maggiori informazioni, consultare la sezione Proxy RADIUS.
- Contabilità RADIUS. È possibile configurare NPS per registrare gli eventi in un file di log locale o in un'istanza locale o remota di Microsoft SQL Server. Per maggiori informazioni, consultare la sezione Registrazione NPS.
Importante
Protezione accesso alla rete (NAP), Autorità di registrazione dell'integrità (Autorità registrazione integrità) e HCAP (Host Credential Authorization Protocol) sono stati deprecati in Windows Server 2012 R2 e non sono disponibili in Windows Server 2016. Se si dispone di una distribuzione NAP usando sistemi operativi precedenti a Windows Server 2016, non è possibile eseguire la migrazione della distribuzione nap a Windows Server 2016.
È possibile configurare NPS con qualsiasi combinazione di queste funzionalità. Ad esempio, è possibile configurare un server NPS come server RADIUS per le connessioni VPN e anche come proxy RADIUS per inoltrare alcune richieste di connessione ai membri di un gruppo di server RADIUS remoto per l'autenticazione e l'autorizzazione in un altro dominio.
Edizioni di Windows Server e NPS
NPS offre funzionalità diverse a seconda dell'edizione di Windows Server installata.
Edizione Windows Server 2016 o Windows Server 2019 Standard/Datacenter
Con NPS in Windows Server 2016 Standard o Datacenter, è possibile configurare un numero illimitato di client RADIUS e gruppi di server RADIUS remoti. È inoltre possibile configurare client RADIUS specificando un intervallo di indirizzi IP.
Nota
La funzionalità Servizi di accesso e criteri di rete WIndows non è disponibile nei sistemi installati con un'opzione di installazione Server Core.
Le sezioni seguenti forniscono informazioni più dettagliate su NPS come server RADIUS e proxy.
Server RADIUS e proxy
È possibile usare NPS come server RADIUS, proxy RADIUS o entrambi.
Server RADIUS
NPS è l'implementazione Microsoft dello standard RADIUS specificato dalla Internet Engineering Task Force (IETF) nelle RFC 2865 e 2866. Come server RADIUS, NPS esegue l'autenticazione centralizzata della connessione, l'autorizzazione e la contabilità per molti tipi di accesso alla rete, tra cui connessioni wireless, autenticazione, accesso remoto e rete privata virtuale (VPN) e connessioni da router a router.
Nota
Per informazioni sulla distribuzione di NPS come server RADIUS, consultare la sezione Distribuire server dei criteri di rete.
Consente di usare un set eterogeneo di apparecchiature wireless, di commutazione, di accesso remoto o VPN. È possibile usare NPS con il servizio Accesso remoto, disponibile in Windows Server 2016.
NPS usa un dominio Active Directory Domain Services (AD DS) o il database degli account utente SAM (Security Accounts Manager) locale per autenticare le credenziali utente per i tentativi di connessione. Quando un server che esegue NPS è membro di un dominio di AD DS, NPS usa il servizio directory come database dell'account utente e fa parte di una soluzione Single Sign-On. Lo stesso set di credenziali viene usato per il controllo di accesso alla rete (autenticazione e autorizzazione dell'accesso a una rete) e per accedere a un dominio AD DS.
Nota
NPS usa le proprietà di accesso esterno dell'account utente e dei criteri di rete per autorizzare una connessione.
I provider di servizi internet (ISP) e le organizzazioni che mantengono l'accesso di rete hanno il ruolo di gestire tutti i tipi di accesso in rete da un unico punto di amministrazione, indipendentemente dal tipo di apparecchiature di accesso in rete che usano. Lo standard RADIUS supporta questa funzionalità in ambienti omogenei ed eterogenei. RADIUS è un protocollo client-server che consente alle apparecchiature di accesso in rete (usate come client RADIUS) di inviare richieste di autenticazione e accounting a un server RADIUS.
Un server RADIUS ha accesso alle informazioni degli account utente e può verificare le credenziali di autenticazione per l'accesso in rete. Se le credenziali di un utente sono autenticate e RADIUS autorizza il tentativo di connessione, il server RADIUS autorizzerà l'accesso dell'utente in base alle condizioni specifiche e registrerà la connessione di accesso in rete in un log di accounting. L'uso di RADIUS consente l'autenticazione dell'accesso di rete degli utenti, l'autorizzazione e la contabilità dei dati da acquisire e mantenere in una posizione centrale, anziché in ogni server di accesso.
Uso di NPS come server RADIUS
È possibile usare NPS come server RADIUS quando:
- Si usa un dominio di AD DS o il database degli account utente SAM locali come database dell'account utente per accedere ai client.
- Si usa Accesso remoto su più server di connessione remota, server VPN o router di connessione su richiesta e si vuole centralizzare sia la configurazione dei criteri di rete che la registrazione e la contabilità delle connessioni.
- Si esternalizza l'accesso esterno, VPN o wireless a un provider di servizi. I server di accesso usano RADIUS per autenticare e autorizzare le connessioni effettuate dai membri dell'organizzazione.
- Si desidera centralizzare l'autenticazione, l'autorizzazione e contabilità di un set eterogeneo di server di accesso.
La figura seguente mostra NPS come server RADIUS per un'ampia gamma di client di accesso.
Proxy RADIUS
Come proxy RADIUS, NPS inoltra i messaggi di autenticazione e contabilità a NPS e ad altri server RADIUS. È possibile usare NPS come proxy RADIUS per fornire il routing dei messaggi RADIUS tra i client RADIUS (detti anche server di accesso alla rete) e i server RADIUS che eseguono l'autenticazione utente, l'autorizzazione e la contabilità del tentativo di connessione.
Se usato come proxy RADIUS, NPS è un punto di commutazione centrale o di routing tramite il quale il flusso dei messaggi di accesso RADIUS e accounting. NPS registra informazioni in un log contabile sui messaggi inoltrati.
Uso di NPS come proxy RADIUS
È possibile usare NPS come proxy RADIUS quando:
- Si è un provider di servizi che offre servizi di accesso esterno, VPN o rete wireless a più clienti. I servizi NAS inviano richieste di connessione al proxy RADIUS NPS. In base alla parte dell'area di autenticazione del nome utente nella richiesta di connessione, il proxy RADIUS NPS inoltra la richiesta di connessione a un server RADIUS gestito dal cliente e può autenticare e autorizzare il tentativo di connessione.
- Si desidera fornire l'autenticazione e l'autorizzazione per gli account utente che non sono membri del dominio in cui NPS è un membro o un altro dominio che dispone di un trust bidirezionale con il dominio in cui NPS è membro. Sono inclusi gli account in domini non attendibili, domini attendibili unidirezionale e altre foreste. Anziché configurare i server di accesso per inviare le richieste di connessione a un server RADIUS NPS, è possibile configurarle per inviare le richieste di connessione a un proxy RADIUS NPS. Il proxy RADIUS NPS usa la parte del nome dell'area di autenticazione del nome utente e inoltra la richiesta a un server dei criteri di rete nel dominio o nella foresta corretta. Connessione tentativi di accesso per gli account utente in un dominio o una foresta possono essere autenticati per i servizi NAS in un altro dominio o foresta.
- Si desidera eseguire l'autenticazione e l'autorizzazione usando un database che non è un database di account di Windows. In questo caso, le richieste di connessione che corrispondono a un nome di area di autenticazione specificato vengono inoltrate a un server RADIUS, che ha accesso a un database diverso di account utente e dati di autorizzazione. Esempi di altri database utente includono i database Novell Directory Services (NDS) e Structured Query Language (SQL).
- Si desidera elaborare un numero elevato di richieste di connessione. In questo caso, invece di configurare i client RADIUS per tentare di bilanciare le richieste di connessione e contabilità tra più server RADIUS, è possibile configurarle per inviare le richieste di connessione e accounting a un proxy RADIUS NPS. Il proxy RADIUS NPS bilancia in modo dinamico il carico delle richieste di connessione e accounting tra più server RADIUS e aumenta l'elaborazione di un numero elevato di client RADIUS e autenticazioni al secondo.
- Si desidera fornire l'autenticazione RADIUS e l'autorizzazione per i provider di servizi esternalizzati e ridurre al minimo la configurazione del firewall Intranet. Un firewall Intranet è tra la rete perimetrale (la rete tra intranet e Internet) e intranet. Inserendo un NPS nella rete perimetrale, il firewall tra la rete perimetrale e la Intranet deve consentire il flusso del traffico tra NPS e più controller di dominio. Sostituendo NPS con un proxy NPS, il firewall deve consentire solo il flusso del traffico RADIUS tra il proxy NPS e uno o più NPS all'interno della intranet.
Importante
NPS supporta l'autenticazione tra foreste senza un proxy RADIUS quando il livello di funzionalità della foresta è Windows Server 2003 o superiore e esiste una relazione di trust bidirezionale tra foreste. Tuttavia, se si usa EAP-TLS o PEAP-TLS con certificati come metodo di autenticazione, è necessario usare un proxy RADIUS per l'autenticazione tra foreste.
La figura seguente mostra NPS come proxy RADIUS tra i client RADIUS e i server RADIUS.
Con NPS, le organizzazioni possono anche esternalizzare l'infrastruttura di accesso remoto a un provider di servizi, mantenendo al tempo stesso il controllo sulle procedure di autenticazione, autorizzazione e accounting degli utenti.
È possibile creare configurazioni NPS per i seguenti scenari:
- Accesso wireless
- Accesso remoto della rete privata virtuale o della rete privata virtuale (VPN) dell'organizzazione
- Accesso wireless o remoto in outsourcing
- Accesso a Internet
- Accesso autenticato a risorse extranet per partner commerciali
Esempi di configurazione proxy RADIUS e server RADIUS
Gli esempi di configurazione seguenti illustrano come configurare NPS come server RADIUS e un proxy RADIUS.
NPS come server RADIUS. In questo esempio, NPS è configurato come server RADIUS, il criterio di richiesta di connessione predefinito è l'unico criterio configurato e tutte le richieste di connessione vengono elaborate da NPS locale. NPS può autenticare e autorizzare gli utenti i cui account si trovano nel dominio di NPS e nei domini attendibili.
NPS come proxy RADIUS. In questo esempio, NPS è configurato come proxy RADIUS che inoltra le richieste di connessione a gruppi di server RADIUS remoti in due domini non attendibili. I criteri di richiesta di connessione predefiniti vengono eliminati e vengono creati due nuovi criteri di richiesta di connessione per inoltrare le richieste a ognuno dei due domini non attendibili. In questo esempio, NPS non elabora alcuna richiesta di connessione nel server locale.
NPS sia come server RADIUS che come proxy RADIUS. Oltre ai criteri di richiesta di connessione predefiniti, che indica che le richieste di connessione vengono elaborate in locale, viene creato un nuovo criterio di richiesta di connessione che inoltra le richieste di connessione a un NPS o a un altro server RADIUS in un dominio non attendibile. Questo secondo criterio è denominato criterio proxy. In questo esempio, i criteri proxy vengono visualizzati per primi nell'elenco ordinato di criteri. Se la richiesta di connessione corrisponde ai criteri proxy, la richiesta di connessione viene inoltrata al server RADIUS nel gruppo di server RADIUS remoto. Se la richiesta di connessione non corrisponde ai criteri proxy ma corrisponde ai criteri di richiesta di connessione predefiniti, NPS elabora la richiesta di connessione nel server locale. Se la richiesta di connessione non corrisponde a nessuno dei criteri, viene rimossa.
NPS come server RADIUS con server di contabilità remota. In questo esempio, NPS locale non è configurato per eseguire l'accounting e i criteri di richiesta di connessione predefiniti vengono modificati in modo che i messaggi di accounting RADIUS vengano inoltrati a un server NPS o a un altro server RADIUS in un gruppo di server RADIUS remoto. Anche se i messaggi contabili vengono inoltrati, i messaggi di autenticazione e autorizzazione non vengono inoltrati e NPS locale esegue queste funzioni per il dominio locale e tutti i domini attendibili.
NPS con mapping degli utenti RADIUS da remoto a Windows. In questo esempio, NPS funge sia da server RADIUS che come proxy RADIUS per ogni singola richiesta di connessione inoltrando la richiesta di autenticazione a un server RADIUS remoto mentre si usa un account utente di Windows locale per l'autorizzazione. Questa configurazione viene implementata configurando l'attributo Remote RADIUS to Windows User Mapping come condizione dei criteri di richiesta di connessione. Inoltre, è necessario creare un account utente in locale nel server RADIUS con lo stesso nome dell'account utente remoto in cui viene eseguita l'autenticazione dal server RADIUS remoto.
Impostazione
Per configurare NPS come server RADIUS, è possibile usare la configurazione standard o la configurazione avanzata nella console NPS o in Server Manager. Per configurare NPS come proxy RADIUS, è necessario usare la configurazione avanzata.
Configurazione standard
Con la configurazione standard, vengono fornite procedure guidate per configurare NPS per gli scenari seguenti:
- Server RADIUS per connessioni remote o VPN
- Server RADIUS per connessioni 802.1X wireless o cablate
Per configurare NPS usando una procedura guidata, aprire la console NPS, selezionare uno degli scenari precedenti e quindi fare clic sul collegamento che apre la procedura guidata.
Configurazione avanzata
Quando si usa la configurazione avanzata, configurare manualmente NPS come server RADIUS o proxy RADIUS.
Per configurare NPS usando la configurazione avanzata, aprire la console NPS, quindi fare clic sulla freccia accanto a Configurazione avanzata per espandere questa sezione.
Vengono forniti gli elementi di configurazione avanzati seguenti.
Configurare il server RADIUS
Per configurare NPS come server RADIUS, è necessario configurare client RADIUS, criteri di rete e accounting RADIUS.
Per istruzioni su come effettuare queste configurazioni, vedere gli argomenti seguenti.
- Configurare i client RADIUS
- Configurare i criteri di rete
- Configurare l'accounting del server dei criteri di rete
Configurare il proxy RADIUS
Per configurare NPS come proxy RADIUS, è necessario configurare client RADIUS, gruppi di server RADIUS remoti e criteri di richiesta di connessione.
Per istruzioni su come effettuare queste configurazioni, vedere gli argomenti seguenti.
- Configurare i client RADIUS
- Configurare i gruppi di server RADIUS remoti
- Configurare i criteri di richiesta di connessione
Registrazione NPS
La registrazione NPS è detta anche contabilità RADIUS. Configurare la registrazione NPS in base ai requisiti, indipendentemente dal fatto che NPS venga usato come server RADIUS, proxy o qualsiasi combinazione di queste configurazioni.
Per configurare la registrazione NPS, è necessario configurare gli eventi da registrare e visualizzare con Visualizzatore eventi, quindi determinare quali altre informazioni si desidera registrare. Inoltre, è necessario decidere se si desidera registrare le informazioni di autenticazione utente e contabilità nei file di log di testo archiviati nel computer locale o in un database di SQL Server nel computer locale o in un computer remoto.
Per maggiori informazioni, consultare la sezione Configurare la contabilità di server dei criteri di rete.