Сервер сетевых политик
Сервер политики сети позволяет создавать и применять политики доступа к сети на уровне организации для обеспечения работоспособности клиентов, а также выполнения проверки подлинности и авторизации запросов на подключение. Кроме того, сервер политики сети можно использовать в качестве RADIUS-прокси для перенаправления запросов на подключение на сервер политики сети или другие RADIUS-серверы, настроенные в группах удаленных RADIUS-серверов.
Сервер политики сети позволяет централизованно настраивать политики проверки подлинности, авторизации и работоспособности клиента при предоставлении доступа к сети и управлять этими политиками с помощью следующих трех возможностей:
- RADIUS server. Сервер политики сети
централизованно выполняет проверку подлинности, авторизацию и учет
для беспроводных подключений, подключений по коммутаторам с
проверкой подлинности, подключений удаленного доступа и подключений
по виртуальной частной сети (VPN). При использовании сервера
политики сети в качестве RADIUS-сервера, серверы доступа к сети,
такие как точки беспроводного доступа и VPN-серверы, настраиваются
как RADIUS-клиенты на сервере политики сети. Кроме того,
настраиваются политики сети, используемые сервером политики сети
для авторизации запросов на подключение. В дополнение к этому можно
настроить RADIUS-учет, чтобы данные заносились сервером политики
сети в файлы журнала, хранящиеся на локальном жестком диске или в
базе данных Microsoft SQL Server. Дополнительные сведения см. в
разделе RADIUS-сервер.
- RADIUS proxy. Если сервер политики
сети используется в качестве RADIUS-прокси, необходимо настроить
политики запросов на подключение, которые определяют, какие запросы
на подключение сервер политики сети будет перенаправлять на другие
RADIUS-серверы, а также на какие конкретно RADIUS-серверы будут
перенаправляться эти запросы. На сервере политики сети можно также
настроить перенаправление учетных данных для их хранения на одном
или нескольких компьютерах в группе удаленных RADIUS-серверов.
Дополнительные сведения см. в разделе RADIUS-прокси.
- Network Access Protection (NAP) policy
server. Если сервер политики сети настроен в качестве сервера
политик защиты доступа к сети, сервер политики сети оценивает
состояния работоспособности, направляемые клиентскими компьютерами
с поддержкой защиты доступа к сети, которые пытаются подключиться к
сети. Сервер сетевых политик, на котором настроена защита доступа к
сети, выступает в качестве RADIUS-сервера, выполняя проверку
подлинности и авторизацию запросов на подключение. На сервере
политики сети можно настроить политики и параметры защиты доступа к
сети, в том числе устройства проверки работоспособности системы,
политику работоспособности и группы серверов обновлений, которые
обеспечивают обновление конфигурации клиентских компьютеров в
соответствии с сетевой политикой организации. Дополнительные
сведения см. в разделе Защита доступа к сети в
NPS.
На сервере политики сети можно настроить любое сочетание перечисленных выше возможностей. Например, сервер политики сети может выступать в качестве сервера политик защиты доступа к сети с использованием одного или нескольких методов применения, одновременно выполняя функции RADIUS-сервера для подключений удаленного доступа и функции RADIUS-прокси для перенаправления некоторых запросов на подключение группе удаленных RADIUS-серверов, что позволяет выполнять проверку подлинности и авторизацию в другом домене.
Настройка
Чтобы настроить сервер политики сети в качестве сервера политик защиты доступа к сети или RADIUS-сервера, можно воспользоваться стандартной или дополнительной настройкой в консоли сервера политики сети или в диспетчере сервера. Чтобы настроить NPS как RADIUS-прокси, необходимо выполнить расширенную настройку.
Стандартная настройка
Стандартная настройка предполагает настройку сервера политики сети с помощью мастеров для следующих сценариев работы:
- Сервер политики защиты доступа к сети
- RADIUS-сервер для подключений удаленного
доступа или VPN
- RADIUS-сервер для беспроводных или кабельных
подключений 802.1X
Чтобы настроить сервер политики сети с использованием мастера, откройте консоль сервера политики сети, выберите один из указанных выше сценариев, а затем щелкните ссылку, чтобы открыть окно соответствующего мастера.
Расширенная настройка
Если выбрана дополнительная настройка, сервер политики сети вручную настраивается на работу в качестве RADIUS-сервера, сервера политик защиты доступа к сети или RADIUS-прокси. Настройка политики и защиты доступа к сети осуществляется с помощью мастеров, которые открываются в дереве папок в консоли сервера политики сети, а не в разделе Приступая к работе области сведений консоли.
Чтобы настроить сервер политики сети с использованием дополнительной настройки, откройте консоль сервера политики сети, а затем нажмите стрелку рядом с полем Дополнительная настройка, чтобы развернуть этот раздел.
Доступны указанные ниже элементы расширенной настройки.
Настройка RADIUS-сервера
При настройке сервера политики сети в качестве RADIUS-сервера необходимо настроить RADIUS-клиенты, политику сети и RADIUS-учет.
В следующих разделах справки представлены сведения, необходимые для развертывания сервера политики сети в качестве RADIUS-сервера.
Настройка сервера политик защиты доступа к сети
Чтобы развернуть защиту доступа к сети, помимо настройки RADIUS-клиентов и политики сети необходимо настроить компоненты защиты доступа к сети.
В следующих разделах справки представлены сведения, необходимые для развертывания сервера политики сети в качестве сервера политик защиты доступа к сети.
Настройка RADIUS-прокси
При настройке сервера политики сети в качестве RADIUS-прокси необходимо настроить RADIUS-клиенты, группы удаленных RADIUS-серверов и политики запросов на подключение.
В следующих разделах справки представлены сведения, необходимые для развертывания сервера политики сети в качестве RADIUS-прокси.
Ведение журнала на сервере политики сети
Ведение журнала на сервере политики сети также называется RADIUS-учет. Следует настраивать параметры учета в соответствии с требованиями, обусловленными режимом использования сервера политики сети в качестве RADIUS-сервера, RADIUS-прокси, сервера политик защиты доступа к сети или в любом сочетании этих трех конфигураций.
Чтобы настроить ведение журнала на сервере политики сети, необходимо указать события для записи в журнал и просмотра с помощью средства просмотра событий, а также определить другие данные, которые должны заноситься в журнал. В дополнение к этому необходимо решить, следует ли записывать данные о проверке подлинности и учете пользователей в текстовые файлы журнала, хранящиеся на локальном компьютере, либо в базу данных SQL Server, расположенную на локальном компьютере либо на удаленном компьютере.
В следующих разделах справки представлены сведения, необходимые для развертывания RADIUS-учета.