網路原則伺服器最佳做法

• 適用於:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Azure Local, versions 23H2 and 22H2

您可以使用本主題來了解部署和管理 Network Policy Server (NPS) 的最佳實務。

以下部分提供了 NPS 部署不同方面的最佳實務。

會計

以下是 NPS 日誌記錄的最佳實務。

NPS 中有兩種類型的計算或日誌記錄：

• NPS 的事件日誌記錄。 您可以使用事件日誌記錄來記錄系統和安全事件日誌中的 NPS 事件。 這主要用於審核連接嘗試並對其進行故障排除。

• 記錄使用者身份驗證和記算請求。 您可以將使用者驗證和計算要求記錄到文字格式或資料庫格式的記錄檔中，也可以記錄到 SQL Server 2000 資料庫中的預存程序。 請求日誌記錄主要用於連線分析和計費目的，也可作為安全調查工具，為您提供追蹤攻擊者活動的方法。

要最有效地利用 NPS 日誌記錄：

• （初始）開啟身份驗證和計算記錄的日誌記錄。 確定適合您的環境的選項後，修改這些選項。

• 確保事件日誌記錄設置的容量足以維護您的日誌。

• 定期備份所有日誌資料，因為它們在損壞或刪除後無法重新建立。

• 使用 RADIUS 類別屬性可以追蹤使用情況並簡化對哪個部門或使用者收取使用費用的辨別。 儘管自動產生的 Class 屬性對於每個請求都是唯一的，但在對存取伺服器的回覆遺失並重新傳送請求的情況下，可能會存在重複記錄。 您可能需要從日誌中刪除重複的請求才能準確追蹤使用情況。

• 如果網路存取伺服器和 RADIUS 代理伺服器定期向 NPS 發送虛構的連線要求訊息以驗證 NPS 是否聯機，請使用 ping 使用者名稱註冊表設置。 此設置將 NPS 設置為自動拒絕這些錯誤的連線請求而不對其進行處理。 此外，NPS 不會在任何日誌檔案中記錄涉及虛構使用者名稱的事務，這使得事件日誌更易於解釋。

• 禁用 NAS 通知轉送。 您可以禁止將啟動和停止訊息從網路存取伺服器 (NAS) 轉送至 NPS 中設置的遠端 RADIUS 伺服器群組的成員。 更多詳細資訊，請參閱停用 NAS 通知轉發。

有關詳細資訊，請參閱設置網路策略伺服器計算。

• 若要透過 SQL Server 日誌記錄提供故障轉移和冗餘，請將兩台執行 SQL Server 的電腦放置在不同的子網路上。 使用 SQL Server 建立發布精靈在兩個伺服器之間設置資料庫複製。 有關詳細資訊，請參閱SQL Server 技術資料和 SQL Server 複製。

驗證

以下是身份驗證的最佳實踐。

• 使用基於憑證的身份驗證方法（例如受保護的Protected Extensible Authentication Protocol (PEAP) 和 Extensible Authentication Protocol (EAP)）進行強身份驗證。 不要使用僅密碼身份驗證方法，因為它們容易受到各種攻擊且不安全。 對於安全的無線身份驗證，建議使用 PEAP-MS-CHAP v2，因為 NPS 使用伺服器憑證向無線使用者端證明其身份，而使用者則使用使用者名稱和密碼證明其身份。 更多無線部署中使用 NPS 的詳細資訊，請參閱部署基於密碼的 802.1X 身份驗證無線存取。
• 當您使用基於憑證的強式驗證方法（例如 PEAP 和 EAP）時，需要在 NPS 上使用伺服器憑證，請使用 Active Directory® Certificate Services (AD CS) 部署您自己的憑證授權單位 (CA)。 您也可以使用 CA 註冊電腦憑證和使用者憑證。 更多將伺服器憑證部署到 NPS 和遠端存取伺服器的詳細資訊，請參閱為 802.1X 有線和無線部署部署伺服器憑證。

重要

網路原則伺服器 (NPS) 不支援在密碼中使用擴充 ASCII 字元。

客戶端電腦設置

以下是客戶端電腦設置的最佳實務。

• 使用群組原則自動設置所有網域成員 802.1X 使用者端電腦。 更多詳細資訊，請參閱無線造訪部署主題中的設置無線網路 (IEEE 802.11) 策略部分。

安裝建議

以下是安裝 NPS 的最佳實務。

• 在安裝 NPS 之前，請先使用本機驗證方法安裝並測試每個網路存取伺服器，然後再將它們設置為 NPS 中的 RADIUS 使用者端。

• 安裝並設置 NPS 後，使用 Windows PowerShell 指令 Export-NpsConfiguration 儲存設置。 每次重新設置 NPS 時，請使用此命令儲存 NPS 設置。

警告

• 匯出的 NPS 設置檔包含 RADIUS 使用者端和遠端 RADIUS 伺服器群組成員的未加密共用機密。 因此，請確保將資料儲存到安全位置。
• 匯出過程不包括匯出檔案中 Microsoft SQL Server 的日誌記錄設置。 如果將匯出的檔案匯入到另一個 NPS，則必須在新伺服器上手動設置 SQL Server 日誌記錄。

效能調整 NPS

以下是效能調整 NPS 的最佳實務。

• 若要最佳化 NPS 驗證和授權回應時間並最大限度地減少網路流量，請在網域控制站上安裝 NPS。

• 使用通用主體名稱 (UPN) 或 Windows Server 2008 和 Windows Server 2003 網域時，NPS 使用全網域編錄對使用者進行驗證。 為了盡量減少執行此操作所需的時間，請在全網域編錄伺服器或與全網域編錄伺服器位於相同子網路的伺服器上安裝 NPS。

• 設置遠端 RADIUS 伺服器群組並在 NPS 連線要求原則中 清除「在下列遠端 RADIUS 伺服器群組中的伺服器上記錄計算資訊」勾選框時，仍會向這些群組傳送網路存取伺服器 (NAS) 啟動並停止通知消息。 這會產生不必要的網路流量。 若要消除此流量，請透過清除將網路啟動和停止通知轉送至此伺服器勾選框來停用每個遠端 RADIUS 伺服器群組中各個伺服器的 NAS 通知轉送。

在大型機構中使用 NPS

以下是在大型機構中使用 NPS 的最佳實踐。

• 如果您使用網路策略來限制除某些群組之外的所有使用者的造訪，請為您想要允許造訪的所有使用者建立一個通用群組，然後建立一個授予該通用群組存取權限的網路原則。 不要將所有使用者直接放入通用群組中，尤其是當您的網路上有大量使用者時。 相反，建立作為通用群組成員的獨立群組，並將使用者新增至這些群組。

• 盡可能使用使用者主體名稱來引用使用者。 無論網域成員身分為何，使用者都可以具有相同的使用者主體名稱。 此實踐提供了具有大量領網域的機構可能需要的可擴展性。

• 如果在網域控制站以外的電腦上安裝了網路原則伺服器 (NPS)，且 NPS 每秒接收大量驗證請求，則可以透過增加 NPS 和網域之間允許的並發驗證數量來提高 NPS 效能控制器。 有關詳細資訊，請參閱增加 NPS 處理的並發身份驗證。

安全性問題

以下是減少安全問題的最佳實踐。

遠端管理 NPS 時，請勿透過網路以明文形式傳送敏感或機密資料（例如，共用機密或密碼）。 有兩種建議的 NPS 遠端管理方法：

• 使用遠端桌面服務存取 NPS。 當您使用遠端桌面服務時，客戶端和伺服器之間不會傳送資料。 僅伺服器的使用者介面（例如，作業系統桌面和 NPS 控制台映像）會傳送到遠端桌面服務使用者端，這在 Windows® 10 中稱為遠端桌面連線。 客戶端發送鍵盤和滑鼠輸入，這些輸入由啟用了遠端桌面服務的伺服器在本地處理。 當遠端桌面服務使用者登入時，他們只能查閱各自的客戶端會話，這些會話由伺服器管理並且彼此獨立。 此外，遠端桌面連線在使用者端和伺服器之間提供 128 位元加密。

• 使用 Internet 協定安全性 (IPsec) 來加密機密資料。 您可以使用 IPsec 對 NPS 和用於管理 NPS 的遠端客戶端電腦之間的通訊進行加密。 若要遠端管理伺服器，您可以在使用者端電腦上安裝適用於 Windows 10 的遠端伺服器管理工具。 安裝後，使用 Microsoft 管理控制台 (MMC) 將 NPS 管理單元新增至控制台。

重要

您只能在 Windows 10 Professional 或 Windows 10 Enterprise 的完整版本上安裝適用於 Windows 10 的遠端伺服器管理員工具。

更多 NPS 的詳細資訊，請參閱 Network Policy Server (NPS)。