將 NPS 作為 RADIUS 伺服器規劃
當您將網路原則伺服器 (NPS) 部署為遠端驗證撥入使用者服務 (RADIUS) 伺服器時,NPS 會針對本機網域和信任本機網域的網域提出的連線要求執行驗證、授權和計量。 您可以使用這些規劃指導方針來簡化 RADIUS 部署。
這些規劃指導方針不包含您想要將 NPS 部署為 RADIUS Proxy 的情況。 當您將 NPS 部署為 RADIUS Proxy 時,NPS 會將連線要求轉送至執行 NPS 的伺服器,或是遠端網域、不受信任的網域中的其他 RADIUS 伺服器,或兩者都是。
在網路上將 NPS 部署為 RADIUS 伺服器之前,請使用下列指導方針來規劃部署。
規劃 NPS 設定。
規劃 RADIUS 用戶端。
規劃驗證方法的使用。
規劃網路原則。
規劃 NPS 計量。
規劃 NPS 設定
您必須決定 NPS 是成員的網域。 針對多個網域環境,NPS 可以驗證其為所屬會員網域與信任 NPS 本機網域的所有網域中使用者帳戶的認證。 若要允許 NPS 在授權過程期間讀取使用者帳戶的撥入屬性,您必須將 NPS 的電腦帳戶新增至每個網域的 RAS 和 NPS 群組。
在您決定完 NPS 的網域成員資格之後,必須使用 RADIUS 通訊協定將伺服器設定為與 RADIUS 用戶端通訊,也稱為網路存取伺服器。 此外,您可以設定 NPS 記錄在事件記錄檔中的事件類型,並輸入伺服器的描述。
重要步驟
在規劃 NPS 設定期間,您可以使用下列步驟。
決定 NPS 用來從 RADIUS 用戶端接收 RADIUS 訊息的 RADIUS 連接埠。 預設連接埠為 UDP 連接埠 1812 和 1645 (用於 RADIUS 身份驗證訊息),連接埠 1813 和 1646 (用於 RADIUS 計量訊息)。
如果 NPS 已設定多個網路介面卡,請決定您想要允許 RADIUS 流量的介面卡。
決定您希望 NPS 在 [事件記錄檔] 中記錄的事件類型。 您可以記錄拒絕的驗證要求、成功的驗證要求,或這兩種類型的要求。
決定您是否要部署多個 NPS。 若要提供 RADIUS 型驗證和計量的容錯,請至少使用兩個 NPS。 一個 NPS 會做為主要 RADIUS 伺服器使用,另一個則做為備份使用。 然後,每個 RADIUS 用戶端都會在兩個 NPS 上設定。 如果主要 NPS 無法使用,RADIUS 用戶端就會將 Access-Request 訊息傳送至備用的 NPS。
規劃用來將一個 NPS 設定複製到其他 NPSs 的指令碼,以節省系統管理額外負荷,且避免伺服器設定不正確。 NPS 提供 Netsh 命令,可讓您複製所有或部分 NPS 設定,以匯入至另一個 NPS。 您可以在 Netsh 提示字元手動執行命令。 不過,如果您將命令順序儲存為指令碼,則如果您決定變更伺服器設定,可以在稍後執行指令碼。
規劃 RADIUS 用戶端
RADIUS 用戶端是網路存取伺服器,例如無線存取點、虛擬私人網路 (VPN) 伺服器、支援 802.1X 的交換器和撥號伺服器。 將連線要求訊息轉送至 RADIUS 伺服器的 RADIUS Proxy 也是 RADIUS 用戶端。 NPS 支援符合 RADIUS 通訊協定的所有網路存取伺服器和 RADIUS Proxy,如 RFC 2865 中「遠端驗證撥入使用者服務 (RADIUS)」和 RFC 2866 中「RADIUS 計量」所述。
重要
存取用戶端不是 RADIUS 用戶端,例如用戶端電腦。 只有支援 RADIUS 通訊協定的網路存取伺服器和 Proxy 伺服器是 RADIUS 用戶端。
此外,無線存取點和交換器都必須能夠進行 802.1X 驗證。 如果您想要部署可延伸的驗證通訊協定 (EAP) 或受保護的可延伸驗證通訊協定 (PEAP),存取點和交換器必須支援使用 EAP。
若要測試無線存取點的 PPP 連線基本互通性,請將存取點和存取客戶端設定為使用密碼驗證通訊協定 (PAP)。 使用其他 PPP 型驗證通訊協定,例如 PEAP,直到您測試過您想要用於網路存取的通訊協定為止。
重要步驟
在規劃 RADIUS 用戶端期間,您可以使用下列步驟。
記錄您必須在 NPS 中設定的廠商特定屬性 (VSA)。 如果您的網路存取伺服器需要 VSA,請在 NPS 中設定網路原則時,記錄 VSA 資訊以供稍後使用。
記錄 RADIUS 用戶端和 NPS 的 IP 位址以簡化所有裝置的設定。 當您部署 RADIUS 用戶端時,必須將它們設定為使用 RADIUS 通訊協定,並將 NPS IP 位址輸入為驗證伺服器。 當您將 NPS 設定為與 RADIUS 用戶端通訊時,您必須在 NPS 嵌入式管理單元中輸入 RADIUS 用戶端 IP 位址。
在 RADIUS 用戶端和 NPS 嵌入式管理單元中建立設定的共用密碼。 您必須使用共用密碼或密碼來設定 RADIUS 用戶端,在 NPS 中設定 RADIUS 用戶端時,您也將把該密碼輸入 NPS 嵌入式管理單元。
規劃驗證方法的使用
NPS 同時支援密碼型和憑證型驗證方法。 不過,並非所有網路存取伺服器都支援相同的驗證方法。 在某些情況下,您可能會想要根據網路存取類型來部署不同的驗證方法。
例如,您可能想要為組織同時部署無線和 VPN 存取權,但針對每種存取類型使用不同的驗證方法:適用於 VPN 連線的 EAP-TLS,因為 EAP 與傳輸層安全性 (TLS) 提供的增強式安全性,以及適用於 802.1X 無線連線的 PEAP-MS-CHAP v2。
PEAP 搭配「Microsoft Challenge Handshake 驗證通訊協定」第 2 版 (PEAP-MS-CHAP v2) 提供名為快速重新連線的功能,專為可攜式電腦和其他無線裝置使用而設計。 快速重新連線可讓無線用戶端在相同網路上的無線存取點之間移動,而無需在每次與新的存取點產生關聯時重新驗證。 這為無線使用者提供更好的體驗,讓他們能在存取點之間移動,而不需要重新輸入其認證。 由於快速重新連線,以及 PEAP-MS-CHAP v2 所提供的安全性,PEAP-MS-CHAP v2 是供無線連線做為驗證方法的合理選擇。
若為 VPN 連線,EAP-TLS 是一種憑證型驗證方法,可提供增強式安全性以保護網際網路上的流量,即使是從家庭或行動電腦提供網路流量至組織 VPN 伺服器也一樣。
憑證型驗證方法
憑證型驗證方法包含提供增強式安全性的優點,而其缺點是比密碼型驗證方法更難部署。
PEAP-MS-CHAP v2 和 EAP-TLS 都是憑證型驗證方法,但兩者之間與其部署方式有許多差異。
EAP-TLS
EAP-TLS 會針對用戶端和伺服器驗證使用憑證,而且要求您在組織中部署公開金鑰基礎結構 (PKI)。 部署 PKI 可能很複雜,而且需要與規劃 NPS 作為 RADIUS 伺服器無關的規劃階段。
使用 EAP-TLS 時,NPS 會向憑證授權單位 (CA) 註冊伺服器憑證,並將憑證儲存在本機電腦上的憑證存放區。 在驗證過程期間,當 NPS 將其伺服器憑證傳送至存取用戶端,向存取用戶端證明其身分識別時,就會進行伺服器驗證。 存取用戶端會檢查各種憑證屬性,以判斷憑證是否有效且適合在伺服器驗證期間使用。 如果伺服器憑證符合最低伺服器憑證需求,而且是由存取用戶端信任的 CA 所核發,則用戶端會成功驗證 NPS。
同樣地,當用戶端將其用戶端憑證傳送至 NPS 以向 NPS 證明其身分識別時,會在驗證過程期間進行用戶端驗證。 NPS 會檢查憑證,如果用戶端憑證符合最低用戶端憑證需求,而且是由 NPS 信任的 CA 所核發,則 NPS 會成功驗證存取用戶端。
雖然伺服器憑證必須儲存在 NPS 上的憑證存放區中,但用戶端或使用者憑證可以儲存在用戶端上的憑證存放區或智慧卡上。
若要讓此驗證過程成功,所有電腦都必須在 [本機電腦] 和 [目前使用者] 的 [受信任的根憑證授權單位] 憑證存放區中擁有您組織的 CA 憑證。
PEAP-MS-CHAP v2
PEAP-MS-CHAP v2 使用憑證進行伺服器驗證,並使用密碼型認證進行使用者驗證。 因為憑證僅用於伺服器驗證,因此您不需要部署 PKI 就能使用 PEAP-MS-CHAP v2。 當您部署 PEAP-MS-CHAP v2 時,您可以透過下列兩種方式之一取得 NPS 的伺服器憑證:
您可以安裝 Active Directory 憑證服務 (AD CS),然後將憑證自動註冊至 NPS。 如果您使用此方法,您也必須將連線到您網路的用戶端電腦註冊 CA 憑證,好讓它們信任核發給 NPS 的憑證。
您可以從公用 CA (如 VeriSign) 購買伺服器憑證。 如果您使用此方法,請確定您選取用戶端電腦已信任的 CA。 若要判斷用戶端電腦是否信任任何一個 CA,請在用戶端電腦上開啟憑證 Microsoft Management Console (MMC) 嵌入式管理單元,然後檢視 [本機電腦] 和 [目前使用者] 的 [受信任的根憑證授權單位] 存放區。 如果這些憑證存放區中有來自 CA 的憑證,既然用戶端電腦信任該 CA,因此會信任該 CA 所簽發的任何憑證。
使用 PEAP-MS-CHAP v2 進行驗證過程期間,當 NPS 將其伺服器憑證傳送至用戶端電腦時,就會進行伺服器驗證。 存取用戶端會檢查各種憑證屬性,以判斷憑證是否有效且適合在伺服器驗證期間使用。 如果伺服器憑證符合最低伺服器憑證需求,而且是由存取用戶端信任的 CA 所核發,則用戶端會成功驗證 NPS。
當使用者嘗試連線到網路類型密碼型認證,並嘗試登入時,就會進行使用者驗證。 NPS 會接收認證,並執行驗證和授權。 如果使用者已成功驗證並獲得授權,而且用戶端電腦已成功驗證 NPS,則會授與連線要求。
重要步驟
在規劃使用驗證方法期間,您可以使用下列步驟。
識別您計劃提供的網路存取類型,例如無線、VPN、支援 802.1X 的交換器,以及撥號存取。
決定驗證方法或您想要用於每種存取類型的驗證方法。 建議您使用提供增強式安全性的憑證型驗證方法;不過,部署 PKI 對您來說可能並不實用,因此其他驗證方法可能會對您的網路需求提供更平衡的功能。
如果您要部署 EAP-TLS,請規劃 PKI 部署。 這包括規劃您要用於伺服器憑證和用戶端電腦憑證的憑證範本。 它也包括決定如何將憑證註冊到網域成員和非網域成員的電腦,以及可決定是否要使用智慧卡。
如果您要部署 PEAP-MS-CHAP v2,請決定是否要安裝 AD CS 以向 NPS 核發伺服器憑證,或是否要從公用 CA (例如 VeriSign) 購買伺服器憑證。
規劃網路原則
NPS 會使用網路原則來判斷從 RADIUS 用戶端收到的連線要求是否授權。 NPS 也會將使用者帳戶的撥入屬性用來進行授權判斷。
由於網路原則會依照其出現在 NPS 嵌入式管理單元中的順序進行處理,因此請規劃將限制性最嚴格的原則放在原則清單最上面。 針對每個連線要求,NPS 會嘗試比對原則條件與連線要求屬性看是否相符。 NPS 會檢查每個網路原則,直到找到相符項目為止。 如果找不到相符項目,則會拒絕連線要求。
重要步驟
在規劃網路原則期間,您可以使用下列步驟。
決定網路原則的偏好 NPS 處理順序,從最嚴格到最不嚴格。
判斷原則狀態。 原則狀態可以有啟用或停用值。 如果啟用原則,NPS 會在執行授權時評估原則。 如果未啟用原則,則不會評估該原則。
判斷原則類型。 您必須決定當原則的條件與連線要求相符時,是否要將原則設計為授與存取,或當原則的條件與連線要求相符時,是否要將原則設計為拒絕存取。 例如,如果您想要明確拒絕 Windows 群組成員的無線存取,您可以建立網路原則來指定群組、無線連線方法,以及具有拒絕存取的原則類型設定。
判斷是否要讓 NPS 針對原則所屬群組,忽略該群組成員使用者帳戶的撥入屬性。 如果未啟用此設定,使用者帳戶的撥入屬性會覆寫網路原則中設定的設定。 例如,如果網路原則設定為授與使用者存取權,但該使用者的使用者帳戶撥入屬性設定為拒絕存取,則會拒絕該使用者存取。 但是,如果您啟用原則類型設定 [忽略] 使用者帳戶撥入屬性,則會對相同的使用者授與網路存取權。
判斷原則是否使用原則來源設定。 此設定可讓您輕鬆地指定所有存取要求的來源。 可能的來源是終端機服務閘道 (TS 閘道)、遠端存取伺服器 (VPN 或撥號)、DHCP 伺服器、無線存取點和健康情況登錄授權單位伺服器。 或者,您可以指定廠商特定的來源。
決定要套用網路原則時必須相符的條件。
決定若連線要求符合網路原則條件時所套用的設定。
決定您是否要使用、修改或刪除預設網路原則。
規劃 NPS 計量
NPS 能夠以三種格式記錄 RADIUS 計量資料 (例如使用者驗證和計量要求):IAS 格式、資料庫相容格式和 Microsoft SQL Server 記錄。
IAS 格式和資料庫相容格式會以文字檔案格式在本機 NPS 上建立記錄檔。
SQL Server 記錄可讓您登入 SQL Server 2000 或 SQL Server 2005 XML 相容資料庫,並延伸 RADIUS 計量以善用將記錄用於關聯式資料庫的優點。
重要步驟
在規劃 NPS 計量期間,您可以使用下列步驟。
- 決定您是否要將 NPS 計量資料儲存在記錄檔或 SQL Server 資料庫中。
使用本機記錄檔的 NPS 計量
記錄檔中記錄的使用者驗證和計量要求主要用於連線分析和計費用途,也可作為安全性調查工具,為您提供在遭受攻擊後追蹤惡意使用者活動的一種方法。
重要步驟
使用本機記錄檔規劃 NPS 計量期間,您可以使用下列步驟。
決定您想要用於 NPS 記錄檔的文字檔案格式。
選擇您想要記錄的資訊類型。 您可以記錄計量要求、驗證要求和定期狀態。
決定您要儲存記錄檔的硬碟位置。
設計記錄檔備份解決方案。 您儲存記錄檔的硬碟位置應該是可讓您輕鬆備份資料的位置。 此外,應為儲存記錄檔的資料夾設定存取控制清單 (ACL) 來保護硬碟位置。
決定您想要建立新記錄檔的頻率。 如果您想要根據檔案大小建立記錄檔,請決定 NPS 建立新記錄檔之前允許的檔案大小上限。
如果硬碟用盡儲存空間,請決定是否要讓 NPS 刪除較舊的記錄檔。
決定您想要用來檢視計量資料並產生報表的一或多個或應用程式。
NPS SQL Server 記錄
當您需要用於報表建立和資料分析用途的工作階段狀態資訊,以及集中和簡化計量資料的管理時,會使用 NPS SQL Server 記錄。
NPS 可讓您使用 SQL Server 記錄,將從一或多部網路存取伺服器收到的使用者驗證和計量要求記錄在電腦 (執行 Microsoft SQL Server Desktop Engine (MSDE 2000) 或比 SQL Server 2000 更晚的任何 SQL Server 版本) 的資料來源上。
計量資料會以 XML 格式從 NPS 傳遞至資料庫中的預存程序,其同時支援結構化查詢語言 (SQL) 和 XML (SQLXML)。 在符合 XML 規範的 SQL Server 資料庫中記錄使用者驗證和計量要求,可讓多個 NPS 擁有單一資料來源。
重要步驟
使用 NPS SQL Server 記錄規劃 NPS 計量期間,您可以使用下列步驟。
判斷您或貴組織的另一個成員是否有 SQL Server 2000 或 SQL Server 2005 關聯式資料庫開發體驗,並了解如何使用這些產品來建立、修改、控管及管理 SQL Server 資料庫。
決定 SQL Server 是否安裝在 NPS 上還是安裝在遠端電腦上。
設計將在 SQL Server 資料庫中使用的預存程序,以處理包含 NPS 記量資料的傳入 XML 檔案。
設計 SQL Server 資料庫複寫結構和流程。
決定您想要用來檢視計量資料並產生報表的一或多個或應用程式。
規劃在所有計量要求中傳送 [類別] 屬性所使用的網路存取伺服器。 [類別] 屬性會在 [Access-Accept] 訊息中傳送至 RADIUS 用戶端,而且有助於將 [Accounting-Request] 訊息與驗證工作階段建立互相關聯。 如果 [類別] 屬性是由計量要求訊息中的網路存取伺服器傳送,它可以用來比對計量和驗證記錄。 [Unique-Serial-Number]、[Service-Reboot-Time] 和 [Server-Address] 屬性的組合,必須是伺服器接受每個驗證的唯一識別。
規劃支援暫時計量所使用的網路存取伺服器。
規劃傳送 [Accounting-on] 和 [Accounting-off] 訊息所使用的網路存取伺服器。
規劃支援儲存和轉送計量資料所使用的網路存取伺服器。 當網路存取伺服器無法與 NPS 通訊時,支援此功能的網路存取伺服器可以儲存計量資料。 當 NPS 可供使用時,網路存取伺服器會將儲存的記錄轉送至 NPS,在未提供這項功能的網路存取伺服器上提供更高的可靠性。
規劃在網路原則中一律設定 [Acct-Interim-Interval] 屬性。 [Acct-Interim-Interval] 屬性會為網路存取伺服器所傳送的每次暫時更新設定間隔 (以秒為單位)。 根據 RFC 2869,[Acct-Interim-Interval] 屬性的值不得少於 60 秒 (1 分鐘),且不應少於 600 秒 (10 分鐘),這表示超過 600 秒的值會降低 RADIUS 伺服器收到的更新頻率。 如需詳細資訊,請參閱 RFC 2869。
請確定您的 NPS 上已啟用定期狀態的記錄。