設定網路原則
您可以使用本主題在 NPS 中設定網路原則。
增加網路原則
網路原則伺服器 (NPS) 會使用網路原則和使用者帳戶的撥入屬性,來判斷連線要求是否可獲得連線到網路的授權。
您可以使用此程序,在 NPS 主控台或遠端存取主控台中設定新的網路原則。
執行授權
當 NPS 執行授權連線要求時,會將要求與已排序原則清單中的每個網路原則進行比較,從第一個原則開始執行,然後照著已設定原則清單上往下執行。 若 NPS 找到條件符合連線要求的原則,則會使用該使用者帳戶的比對原則和撥入屬性來執行授權。 若使用者帳戶的撥入屬性設定為透過網路原則來授與存取權或控制存取權,而連線要求已獲得授權,NPS 就會將網路原則中配置的設定套用至連線。
如果 NPS 找不到符合連線要求的網路原則,除非使用者帳戶上的撥入屬性設定為授與存取權,否則會拒絕連線要求。
若使用者帳戶的撥入屬性設定為拒絕存取,NPS 會拒絕連線要求。
金鑰設定
當您使用 [新增網路原則精靈] 建立網路原則時,您在 [網路連線方式] 中指定的值會自動用來設定 [原則類型] 條件:
- 如果您保留 [未指定] 的預設值,您建立的網路原則會由 NPS 針對使用任何類型的網路存取伺服器 (NAS) 的網路連線類型進行評估。
- 如果您指定網路連線方法,只有在連線要求源自您指定的網路存取伺服器類型時,NPS 才會評估網路原則。
在 [存取權限] 頁面上,如果您希望原則允許使用者連線到您的網路,則必須選取 [授與存取]。 如果您希望原則不讓使用者連線到您的網路,請選取 [拒絕存取]。
如果您想要由 Active Directory® Domain Services (AD DS) 中的使用者帳戶撥入屬性來決定存取權限,您可以選取 [由使用者撥入屬性來決定是否存取] 核取方塊。
至少要有 Domain Admins 的成員資格或是對等成員資格,才能完成此程序。
若要增加網路原則
開啟 NPS 主控台,然後按兩下 [原則]。
在主控台樹狀目錄中,右鍵按兩下 [網路原則],然後按一下 [新增]。 此時會開啟新增網路原則精靈。
使用 [新增網路原則] 精靈來建立原則。
使用精靈建立撥號或 VPN 的網路原則
您可以使用此程序建立所需的連線要求原則和網路原則,以將撥號伺服器或虛擬私人網路 (VPN) 伺服器做為遠端驗證撥入使用者服務 (RADIUS) 用戶端部署到 NPS RADIUS 伺服器。
注意
用戶端電腦 (例如筆記型電腦及其他執行用戶端作業系統的電腦) 並非 RADIUS 用戶端。 RADIUS 用戶端是網路存取伺服器 (如無線存取點、802.1X 驗證交換器、虛擬私人網路 (VPN) 伺服器和撥號伺服器),因為這些裝置使用 RADIUS 協定與 RADIUS 伺服器 (如 NPS) 進行通訊。
此程序說明如何在 NPS 中開啟 [新增撥號] 或 [虛擬私人網路連線] 精靈。
在執行精靈之後,會建立下列原則:
- 一個連線要求原則
- 一個網路原則
每次需要為撥號伺服器和 VPN 伺服器建立新原則時,您可以執行 [新增撥號] 或 [虛擬私人網路連線] 精靈。
執行 [新增撥號] 或 [虛擬私人網路連線] 精靈並不是將撥號或 VPN 伺服器做為 RADIUS 部署至 NPS 用戶端所需的唯一步驟。 這兩種網路存取方法都需要您部署額外的硬體和軟體元件。
至少要有 Domain Admins 的成員資格或是對等成員資格,才能完成此程序。
若要使用精靈建立撥號或 VPN 的原則
開啟 NPS 主控台。 如果尚未選取,請按一下 [NPS (本機)]。 若要在遠端 NPS 上建立原則,請選擇伺服器。
在 [開始] 和 [標準設定] 中選取 [撥號或 VPN 連線的 RADIUS 伺服器]。 文字和文字下的連結會變更以反映您的選擇。
按兩下 [使用精靈來設定 VPN 或撥號]。 [新增撥號] 或 [虛擬私人網路連線] 精靈隨即開啟。
請依照精靈中的指示完成建立新原則。
使用精靈建立 802.1X 有線或無線的網路原則
您可以使用此程序建立所需的連線要求原則和網路原則,以將 802.1X 驗證交換器或 802.1X 無線存取點做為遠端驗證撥入使用者服務 (RADIUS) 用戶端部署到 NPS RADIUS 伺服器。
此程序說明如何在 NPS 中啟動新的 IEEE 802.1X 安全有線和無線連線精靈。
在執行精靈之後,會建立下列原則:
- 一個連線要求原則
- 一個網路原則
每次需要為 802.1X 存取建立新原則時,您都可以執行 [新增 IEEE 802.1X 安全有線和無線連線] 精靈。
執行 [新增 IEEE 802.1X 安全有線和無線連線] 精靈並不是將 802.1X 驗證交換器和無線存取點部署做為 RADIUS 用戶端部署至 NPS 所需的唯一步驟。 這兩種網路存取方法都需要您部署額外的硬體和軟體元件。
至少要有 Domain Admins 的成員資格或是對等成員資格,才能完成此程序。
若要使用精靈建立 802.1X 有線或無線的原則
在 NPS 的 [伺服器管理員] 中,按一下 [工具],然後按一下 [網路原則伺服器]。 隨即開啟 NPS 主控台。
如果尚未選取,請按一下 [NPS (本機)]。 若要在遠端 NPS 上建立原則,請選擇伺服器。
在 [開始] 和 [標準設定] 中選取 [802.1X 無線或有線連線的 RADIUS 伺服器]。 文字和文字下的連結會變更以反映您的選擇。
按一下 [使用精靈設定 802.1X]。 隨即開啟 [新增 IEEE 802.1X 安全有線和無線連線] 精靈。
請依照精靈中的指示完成建立新原則。
將 NPS 設定為忽略使用者帳戶撥入屬性
使用此程序可設定 NPS 網路原則,以在授權程式期間忽略 Active Directory 中使用者帳戶的撥入屬性。 [Active Directory 使用者和電腦] 中的使用者帳戶具有在授權程序期間由 NPS 評估的撥入屬性,除非使用者帳戶的 [網路存取權限] 屬性設定為 [透過 NPS 網路原則控制存取權]。
在兩種情況下,您可能會想要設定 NPS 以忽略 Active Directory 中使用者帳戶的撥入屬性:
當您想要使用網路原則來簡化 NPS 授權時,但並非所有使用者帳戶都已將 [網路存取權限] 屬性設定為 [透過 NPS 網路原則控制存取權]。 例如,某些使用者帳戶可能會將使用者帳戶的 [網路存取權限] 屬性設定為 [拒絕存取] 或 [允許存取]。
當使用者帳戶的其他撥入屬性不適用於網路原則中設定的連線類型時。 例如,除了 [網路存取權限] 設定以外的屬性僅適用於撥入或 VPN 連線,但您建立的網路原則是適用於無線或驗證切換連線。
您可以使用此程序來設定 NPS 忽略使用者帳戶撥入屬性。 如果連線要求符合選取此核取方塊的網路原則,NPS 不會將使用者帳戶的撥入屬性用來判斷使用者或電腦是否有權限存取網路;只會使用網路原則中的設定來判斷授權。
若要完成此程序,至少需要 Administrators 的成員資格或同等權限。
在 NPS 的 [伺服器管理員] 中,按一下 [工具],然後按一下 [網路原則伺服器]。 隨即開啟 NPS 主控台。
按兩下 [原則],按兩下 [網路原則],然後在詳細資料窗格中按兩下您想要設定的原則。
在原則 [屬性] 對話方塊中的 [概觀] 索引標籤,在 [存取權限] 中,選取 [忽略使用者帳戶撥入屬性] 核取方塊,然後按一下 [確定]。
若要將 NPS 設定為忽略使用者帳戶撥入屬性
設定 VLAN 的 NPS
藉由在 Windows Server 2016 中使用 VLAN 感知網路存取伺服器和 NPS,您可以只提供使用者群組存取適合其安全性權限的網路資源。 例如,您可以為訪客提供網際網路的無線存取權,而不允許他們存取您的組織網路。
此外,VLAN 可讓您以邏輯方式將存在於不同實體位置或不同實體子網路的網路資源分組。 例如,您的銷售部門成員及其網路資源,例如用戶端電腦、伺服器和印表機,可能位於貴組織的數個不同建築物中,但您可以將所有這些資源放在一個使用相同 IP 位址範圍的 VLAN 上。 然後 VLAN 會以單一子網路的形式從終端使用者的觀點運作。
當您想要區隔不同使用者群組之間的網路時,您也可以使用 VLAN。 在您決定要如何定義群組之後,您可以在 Active Directory 使用者和電腦嵌入式管理單元中建立安全性群組,然後將成員新增至群組。
設定 VLAN 的網路原則
您可以使用此程序來設定將使用者指派給 VLAN 的網路原則。 當您使用 VLAN 感知網路硬體,例如路由器、交換器和存取控制器時,您可以設定網路原則,來指示存取伺服器將特定 Active Directory 群組的成員放在特定 VLAN 上。 這種以邏輯方式使用 VLAN 將網路資源分組的能力,可在設計和實作網路解決方案時提供彈性。
當您設定 NPS 網路原則的設定以搭配 VLAN 使用時,您必須設定 [Tunnel-Medium-Type]、[Tunnel-Pvt-Group-ID]、[Tunnel-Type] 和 [Tunnel-Tag] 屬性。
此程序是提供為指導方針,您的網路設定可能需要不同於以下所述的設定。
若要完成此程序,至少需要 Administrators 的成員資格或同等權限。
若要設定 VLAN 的網路原則
在 NPS 的 [伺服器管理員] 中,按一下 [工具],然後按一下 [網路原則伺服器]。 隨即開啟 NPS 主控台。
按兩下 [原則],按兩下 [網路原則],然後在詳細資料窗格中按兩下您想要設定的原則。
在原則 [屬性] 核取方塊中,按一下 [設定] 索引標籤。
在原則 [屬性] 的 [設定] 中,確保 [RADIUS 屬性]中選取了 [標準]。
在詳細資料窗格中的 [屬性],[Service-Type] 屬性會設定為 [已有框架] 的預設值。 根據預設,針對具有 VPN 和撥號存取方法的原則,[Framed-Protocol] 屬性會設定為 [PPP] 值。 若要指定 VLAN 所需的其他連線屬性,請按一下 [新增]。 隨即開啟 [新增標準 RADIUS 屬性] 對話方塊。
在 [新增標準 RADIUS 屬性] 中,在 [屬性] 中向下捲動並新增下列屬性:
[Tunnel-Medium-Type]。 選取適合您針對原則先前所選取的值。 例如,如果您要設定的網路原則是無線原則,請選取 [值:802] (包含所有 802 媒體加上乙太網路標準格式)。
[Tunnel-Pvt-Group-ID]。 輸入整數,表示將指派給群組成員的 VLAN 號碼。
[Tunnel-Type]。 選取 [虛擬 LAN (VLAN)] 。
在 [新增標準 RADIUS 屬性] 中,按一下 [關閉]。
如果您的網路存取伺服器 (NAS) 需要使用 [Tunnel-Tag] 屬性,請使用下列步驟將 [Tunnel-Tag] 屬性新增至網路原則。 如果您的 NAS 文件未提及此屬性,請勿將其新增至原則。 如有需要,請新增屬性,如下所示:
在原則 [屬性] 中的 [設定] ,在 [RADIUS 屬性] 中按一下 [廠商特定]。
在詳細資料窗格中,按一下 [新增]。 隨即開啟 [新增廠商特定屬性] 對話方塊。
在 [屬性] 中往下滑動並選取 [Tunnel-Tag],然後按一下 [新增]。 隨即開啟 [屬性資訊] 對話方塊。
在 [屬性值] 中,輸入您從硬體文件取得的值。
設定 EAP 承載大小
在某些情況下,路由器或防火牆會卸除封包,因為它們已設定為捨棄需要片段的封包。
當您使用使用可延伸驗證通訊協定 (EAP) 搭配傳輸層安全性 (TLS) 或 EAP-TLS 的網路原則部署 NPS 作為驗證方法時,NPS 用於 EAP 承載的預設最大傳輸單位 (MTU) 為 1500 個位元。
EAP 承載的大小上限可以建立 RADIUS 訊息,這些訊息需要 NPS 與 RADIUS 用戶端之間的路由器或防火牆建立片段。 如果是這種情況,位於 RADIUS 用戶端與 NPS之間的路由器或防火牆可能會以無訊息方式捨棄某些片段,導致驗證失敗,且存取客戶端無法連線到網路。
使用下列程序,將網路原則中的 [Framed-MTU] 屬性調整為不超過 1344 的值,以降低 NPS 用於 EAP 承載的大小上限。
若要完成此程序,至少需要 Administrators 的成員資格或同等權限。
若要設定 [Framed-MTU] 屬性
在 NPS 的 [伺服器管理員] 中,按一下 [工具],然後按一下 [網路原則伺服器]。 隨即開啟 NPS 主控台。
按兩下 [原則],按兩下 [網路原則],然後在詳細資料窗格中按兩下您想要設定的原則。
在原則 [屬性] 核取方塊中,按一下 [設定] 索引標籤。
在 [設定] 中的 [RADIUS 屬性],按一下 [標準]。 在詳細資料窗格中,按一下 [新增]。 隨即開啟 [新增標準 RADIUS 屬性] 對話方塊。
在 [屬性] 中,向下捲動並按一下 [Framed-MTU],然後按一下 [新增]。 隨即開啟 [屬性資訊] 對話方塊。
在 [屬性值] 中,輸入等於或小於 [1344] 的值。 按一下 [確定],按一下 [關閉],然後再按一下 [確定]。
有關網路原則的詳細資訊,請參閱網路原則。
如需指定網路原則屬性的模式比對語法範例,請參閱在 NPS 中使用規則運算式。
有關 NPS 的詳細資訊,請參閱網路原則伺服器 (NPS)。