Сервер сетевых политик

Сервер политики сети позволяет создавать и применять политики доступа к сети на уровне организации для обеспечения работоспособности клиентов, а также выполнения проверки подлинности и авторизации запросов на подключение. Кроме того, сервер политики сети можно использовать в качестве RADIUS-прокси для перенаправления запросов на подключение на сервер политики сети или другие RADIUS-серверы, настроенные в группах удаленных RADIUS-серверов.

Сервер политики сети позволяет централизованно настраивать политики проверки подлинности, авторизации и работоспособности клиента при предоставлении доступа к сети и управлять этими политиками с помощью следующих трех возможностей:

  • RADIUS server. Сервер политики сети централизованно выполняет проверку подлинности, авторизацию и учет для беспроводных подключений, подключений по коммутаторам с проверкой подлинности, подключений удаленного доступа и подключений по виртуальной частной сети (VPN). При использовании сервера политики сети в качестве RADIUS-сервера, серверы доступа к сети, такие как точки беспроводного доступа и VPN-серверы, настраиваются как RADIUS-клиенты на сервере политики сети. Кроме того, настраиваются политики сети, используемые сервером политики сети для авторизации запросов на подключение. В дополнение к этому можно настроить RADIUS-учет, чтобы данные заносились сервером политики сети в файлы журнала, хранящиеся на локальном жестком диске или в базе данных Microsoft SQL Server. Дополнительные сведения см. в разделе RADIUS-сервер.

  • RADIUS proxy. Если сервер политики сети используется в качестве RADIUS-прокси, необходимо настроить политики запросов на подключение, которые определяют, какие запросы на подключение сервер политики сети будет перенаправлять на другие RADIUS-серверы, а также на какие конкретно RADIUS-серверы будут перенаправляться эти запросы. На сервере политики сети можно также настроить перенаправление учетных данных для их хранения на одном или нескольких компьютерах в группе удаленных RADIUS-серверов. Дополнительные сведения см. в разделе RADIUS-прокси.

  • Network Access Protection (NAP) policy server. Если сервер политики сети настроен в качестве сервера политик защиты доступа к сети, сервер политики сети оценивает состояния работоспособности, направляемые клиентскими компьютерами с поддержкой защиты доступа к сети, которые пытаются подключиться к сети. Сервер сетевых политик, на котором настроена защита доступа к сети, выступает в качестве RADIUS-сервера, выполняя проверку подлинности и авторизацию запросов на подключение. На сервере политики сети можно настроить политики и параметры защиты доступа к сети, в том числе устройства проверки работоспособности системы, политику работоспособности и группы серверов обновлений, которые обеспечивают обновление конфигурации клиентских компьютеров в соответствии с сетевой политикой организации. Дополнительные сведения см. в разделе Защита доступа к сети в NPS.

На сервере политики сети можно настроить любое сочетание перечисленных выше возможностей. Например, сервер политики сети может выступать в качестве сервера политик защиты доступа к сети с использованием одного или нескольких методов применения, одновременно выполняя функции RADIUS-сервера для подключений удаленного доступа и функции RADIUS-прокси для перенаправления некоторых запросов на подключение группе удаленных RADIUS-серверов, что позволяет выполнять проверку подлинности и авторизацию в другом домене.

Настройка

Чтобы настроить сервер политики сети в качестве сервера политик защиты доступа к сети или RADIUS-сервера, можно воспользоваться стандартной или дополнительной настройкой в консоли сервера политики сети или в диспетчере сервера. Чтобы настроить NPS как RADIUS-прокси, необходимо выполнить расширенную настройку.

Стандартная настройка

Стандартная настройка предполагает настройку сервера политики сети с помощью мастеров для следующих сценариев работы:

  • Сервер политики защиты доступа к сети

  • RADIUS-сервер для подключений удаленного доступа или VPN

  • RADIUS-сервер для беспроводных или кабельных подключений 802.1X

Чтобы настроить сервер политики сети с использованием мастера, откройте консоль сервера политики сети, выберите один из указанных выше сценариев, а затем щелкните ссылку, чтобы открыть окно соответствующего мастера.

Расширенная настройка

Если выбрана дополнительная настройка, сервер политики сети вручную настраивается на работу в качестве RADIUS-сервера, сервера политик защиты доступа к сети или RADIUS-прокси. Настройка политики и защиты доступа к сети осуществляется с помощью мастеров, которые открываются в дереве папок в консоли сервера политики сети, а не в разделе Приступая к работе области сведений консоли.

Чтобы настроить сервер политики сети с использованием дополнительной настройки, откройте консоль сервера политики сети, а затем нажмите стрелку рядом с полем Дополнительная настройка, чтобы развернуть этот раздел.

Доступны указанные ниже элементы расширенной настройки.

Настройка RADIUS-сервера

При настройке сервера политики сети в качестве RADIUS-сервера необходимо настроить RADIUS-клиенты, политику сети и RADIUS-учет.

В следующих разделах справки представлены сведения, необходимые для развертывания сервера политики сети в качестве RADIUS-сервера.

Настройка сервера политик защиты доступа к сети

Чтобы развернуть защиту доступа к сети, помимо настройки RADIUS-клиентов и политики сети необходимо настроить компоненты защиты доступа к сети.

В следующих разделах справки представлены сведения, необходимые для развертывания сервера политики сети в качестве сервера политик защиты доступа к сети.

Настройка RADIUS-прокси

При настройке сервера политики сети в качестве RADIUS-прокси необходимо настроить RADIUS-клиенты, группы удаленных RADIUS-серверов и политики запросов на подключение.

В следующих разделах справки представлены сведения, необходимые для развертывания сервера политики сети в качестве RADIUS-прокси.

Ведение журнала на сервере политики сети

Ведение журнала на сервере политики сети также называется RADIUS-учет. Следует настраивать параметры учета в соответствии с требованиями, обусловленными режимом использования сервера политики сети в качестве RADIUS-сервера, RADIUS-прокси, сервера политик защиты доступа к сети или в любом сочетании этих трех конфигураций.

Чтобы настроить ведение журнала на сервере политики сети, необходимо указать события для записи в журнал и просмотра с помощью средства просмотра событий, а также определить другие данные, которые должны заноситься в журнал. В дополнение к этому необходимо решить, следует ли записывать данные о проверке подлинности и учете пользователей в текстовые файлы журнала, хранящиеся на локальном компьютере, либо в базу данных SQL Server, расположенную на локальном компьютере либо на удаленном компьютере.

В следующих разделах справки представлены сведения, необходимые для развертывания RADIUS-учета.