При развертывании подключений удаленного доступа или виртуальной частной сети (virtual private network, VPN) с сервером политики сети, выступающим в качестве RADIUS-сервера, необходимо выполнить следующие действия:

  • Установить и настроить серверы доступа к сети в качестве RADIUS-клиентов.

  • Развернуть компоненты для методов проверки подлинности.

  • Настроить сервер политики сети в качестве RADIUS-сервера.

Установка и настройка серверов доступа к сети (RADIUS-клиентов)

Чтобы развернуть удаленный доступ, необходимо установить и настроить службу маршрутизации и удаленного доступа в качестве сервера удаленного доступа. Чтобы развернуть доступ VPN, необходимо установить и настроить службу маршрутизации и удаленного доступа в качестве VPN-сервера.

Важно!

Клиентские компьютеры, такие как портативные компьютеры с беспроводным подключением и другие компьютеры с клиентскими операционными системами, не являются клиентами RADIUS. Клиенты RADIUS представляют собой серверы сетевого доступа (такие как точки беспроводного доступа, коммутаторы с поддержкой 802.1X, серверы виртуальных частных сетей (VPN), а также серверы удаленного доступа к сети), поскольку они используют протокол RADIUS для взаимодействия с RADIUS-серверами, такими как серверы политики сети.

Службу маршрутизации и удаленного доступа можно установить как на локальном сервере политики сети, так и на удаленном компьютере.

Развертывание компонентов для методов проверки подлинности

Для VPN можно использовать следующие методы проверки подлинности:

  • Протокол EAP в сочетании с протоколом TLS, что носит название EAP-TLS.

  • Протокол PEAP в сочетании с протоколом MS-CHAP v2, что носит название PEAP-MS-CHAP v2.

  • Протокол PEAP в сочетании с протоколом TLS, что носит название PEAP-TLS.

При использовании методов EAP-TLS и PEAP-TLS необходимо развернуть инфраструктуру публичного ключа путем установки и настройки служб сертификации Active Directory®, которые будут осуществлять выдачу сертификатов включенным в домен клиентским компьютерам и серверам политики сети. Эти сертификаты используются при выполнении проверки подлинности в качестве доказательства подлинности как клиентских компьютеров, так и серверов политики подлинности. При необходимости вместо использования сертификатов компьютера можно развернуть смарт-карты. В этом случае необходимо выдать сотрудникам организации смарт-карты и устройства считывания смарт-карт.

При использовании метода PEAP-MS-CHAP v2 можно развернуть собственный центр сертификации со службами сертификации Active Directory для выдачи сертификатов серверам политики сети или приобрести сертификаты сервера у публичного доверенного корневого центра сертификации, обладающего доверием клиентов, такого как VeriSign.

Дополнительные сведения см. в разделах Обзор протокола EAP и Общие сведения о протоколе PEAP.

Настройка сервера политики сети в качестве RADIUS-сервера.

При настройке сервера политики сети в качестве RADIUS-сервера необходимо настроить RADIUS-клиентов, политику сети и RADIUS-учет.

Настройка RADIUS-клиентов

Настройка RADIUS-клиентов выполняется в два этапа:

  • Настройка физического RADIUS-клиента, такого как сервер виртуальной частной сети или удаленного доступа, путем указания сведений, которые позволят серверу доступа к сети взаимодействовать с серверами политики сети. К таким сведениям относится настройка IP-адреса сервера политики сети и общего секрета в интерфейсе пользователя сервера виртуальной частной сети или удаленного доступа.

  • Добавление нового RADIUS-клиента на сервере политики сети. На сервере политики сети следует добавить в качестве RADIUS-клиента каждый сервер виртуальной частной сети или удаленного доступа. На сервере политики сети можно указать понятное имя для каждого RADIUS-клиента, а также IP-адрес этого RADIUS-клиента и общий секрет.

Дополнительные сведения см. в разделе Добавление RADIUS-клиента.

Настройка политик сети

Политики сети представляют собой наборы условий, ограничений и параметров, которые позволяют назначить пользователей, имеющих полномочия на подключение к сети, а также обстоятельства, при которых им разрешено или запрещено подключаться.

Дополнительные сведения см. в разделе Сетевые политики.

Настройка RADIUS-учета

RADIUS-учет позволяет регистрировать запросы проверки подлинности пользователей и учета в локальном файле журнала или в базе данных сервера Microsoft® SQL Server® на локальном или удаленном компьютере.