您的位置: 首页 > 销售网络

安装和配置网络策略服务器

2019-05-01 14:04:00 本站

  安装和配置网络策略服务器_计算机硬件及网络_IT/计算机_专业资料。安装和配置网络策略服务器

  安装、配置和故障排除网络策略服务器 角色服务 本章概述 本章帮助学员安装、配置网络访问服务器( NPS)服务角色并进行故障排除。 教学目标: ? ? ? ? 安装和配置网络策略服务器 配置远程身份验证拨入用户服务 (RADIUS)客户端和服务器 描述 NPS 身份验证方法 对网络策略服务器进行监视和故障排除 教学重点: 1. 2. 3. 4. 安装和配置网络策略服务器 配置远程身份验证拨入用户服务 (RADIUS)客户端和服务器 描述 NPS 身份验证方法 对网络策略服务器进行监视和故障排除 教学难点: 1. 对网络策略服务器进行监视和故障排除 教学资源: 知识点 课本 实验 1. 安装和配置网络策略服务器 2. 配置 RAIDUS 客户端和服务器 3. NPS 身份验证方法 4. 对网络策略服务器进行监视和故障排除 实验 1:安装和配置网络策略服务器角色服务 实验 2:配置 RADIUS 客户端 实验 3:配置证书自动注册 其他 电子教案、实验报告、实验答案 《Windows 网络操作系统配置与管理》 建议学时数 课堂教学( 2 课时) +实验教学( 2 课时) 7.1 安装和配置网络策略服务器 教学提示 : 本 部分主要达到 以下 目的 : ● 掌握安装网络策略服务器的方法 ? 教学内容和方法 7.1.1 网络策略服务器 描述 NPS 角色服务。 学员应当理解路由和远程访问服务器上创建的策略对于承载该角色的服务器来说是本 地的。在 RADIUS(NPS) 情况下,多个远程访问服务( RAS)服务器可在一个地方存储所有 策略 —NPS RADIUS 服务器 —因此在单个 RAS 服务器上无需重复策略。 使用 RADIUS 身份验证和授权服务时也有详细的日志和记账信息。 参考资料 帮助主题:网络策略服务器 7.1.2 网络策略服务器使用场景 向学员解释网络访问保护( NAP )场景需要 NPS 来评估连接到网络的 NAP 客户端计 算机发送的 SoH(健康声明)。客户端的健康状况与服务器的 NAP 策略相比较,然后决定 是否授予访问权限。后续内容将详细讨论。 保护有线X 身份验证交换机和支持 802.1X 的无线访问点。 RADIUS 为远程访问提供集中的策略管理。它也用于终端服务器的连接授权策略。 参考资料 Microsoft TechNet : Windows Server 2008 Technical Library : 演示:如何安装网络策略服务器 从服务器管理器中的添加角色中安装网络策略和访问服务。在选择角色服务页面中, 选择网络策略服务器,单击下一步,然后单击安装。 从管理工具菜单中打开 NPS 管理工具。 7.1.4 用于管理网络策略服务器的工具 安装完成后,使用 NPS 控制台只能管理本地 NPS 服务器。对于远程 NPS 管理,使用 NPS Microsoft 管理控制台( MMC)管理单元。 netsh 命令行工具也可用于 NPS 管理任务。 参考资料 ● 帮助主题: NPS 控制台 ● 帮助主题:用于网络策略服务器( NPS)的 Netsh 命令。 2 安装、配置和故障排除网络策略服务器角色服务 7.1.5 演示:配置常规 NPS 设置 演示如何配置常规的 NPS 设置: ● 打开 NPS 控制台: ? 单击开始, 指向管理工具,然后单击网络策略服务器。 ? 从控制台树中,右键单击 NPS(本地),根据任务选择导入或导出: ? 如果是导入,在导入 NPS 配置页面中,浏览到想要使用的 .xml 配置 文件。 ? 如果是导出,选择我知道我正在导出所有共享机密选项。而且, Microsoft SQL Server 日志设置没有导出到文件中。必须在导入配置 文件的服务器上手动配置 SQL。 单击确定, 然后指定 XML 文件保存 的文件名和位置。 ● 要启动并停止 NPS 服务,从控制台树中右键单击 NPS(本地 ) ,然后从上下文菜单 选择合适的操作。 ● 因为 NPS 通过网络策略和检查 Active Directory 目录服务中用户帐户的拨入属性 进行授权,所以服务器必须在 Active Directory 中注册。在控制台树中右键单击 NPS(本地),然后单击在 Active Directory 中注册服务器。 注意:使用 netsh 命令在默认域中注册 NPS 服务器: ? 通过具有域管理凭据的帐户注册到 NPS 服务器 ? 打开命令提示符。 ? 在命令提示符下输入: netsh ras add registeredserver 参考资料 帮助主题:在 Active Directory 中注册 NPS 服务器 7.2 配置 RAIDUS 客户端和服务器 教学提示 : 本 部分主要达到 以下 目的 : ● 掌握配置 RAIDUS 客户端和服务器的方法 教学内容和方法 7.2.1 RADIUS 客户端 向学员强调客户端计算机,如无线笔记本和其他运行客户端操作系统的计算机,都不 是 RADIUS 客户端。RADIUS 客户端是网络访问设备,可为来自有线局域网( LAN)、无 线环境和远程访问方案的用户提供连接性。 参考资料 帮助主题: RADIUS 客户端 7.2.2 RADIUS 代理 说明将 NPS 配置成 RADIUS 代理时,它从 RADIUS 客户端接收连接请求然后转发到 适当的 RADIUS 服务器或其它 RADIUS 代理以便进一步的路由操作。 3 《Windows 网络操作系统配置与管理》 说明何时需要 RADIUS 代理: ● 你是提供外包拨号、 VPN 或无线网络访问服务的服务提供商。连接请求根据其领 域名称被转发到客户维护的 RADIUS 服务器,进行身份验证和授权。 ● 你想要为非 Active Directory 成员的用户帐户提供身份验证和授权。 ● 你想要使用非 Windows 帐户数据库的数据库进行身份验证和授权。 ● 你想要在多个 RADIUS 服务器之间对连接请求进行负载平衡。 ● 你想要为外包服务提供商提供 RADIUS,并且希望通过防火墙限制通信类型。 询问学员代理有用的一些场合。让学员积极参与讨论,加深他们的理解。 参考资料 帮助主题: RADIUS 代理 7.2.3 演示:配置 RADIUS 客户端 演示如何: ● 使用 NPS 控制台添加 RADIUS 客户端: ? 在 NPS 控制台,在控制台树中单击 RADIUS 客户端和服务器,在详细的窗 格中,单击配置 RADIUS 客户端。 ? 右键单击 RADIUS 客户端,然后单击新建 Radius 客户端。 ? 在新建 Radius 客户端对话框中填写内容,然后单击确定。 ● 使用路由和远程访问控制台将路由和远程访问配置成 RADIUS 客户端: ? 在路由和远程访问控制台,右键单击 servername,然后单击属性。 ? 在安全标签,将 RADIUS 指定为身份验证提供者属性。在安全标签上对审计 提供者做相同操作。 注意:如果 NPS 安装在相同的服务器上,那么配置身份验证和审计的对话框不会出现。相 反,你使用 NPS 来创建身份验证策略。 参考资料 ● 路由和远程访问帮助主题:服务器属性 -安全选项卡 ● 帮助主题:添加新 RADIUS 客户端 7.2.4 配置连接请求处理 强调多个远程访问服务器的情况最好使用 RADIUS, 因为所有的策略一旦在 NPS 创建 后会集中存储。 描述 RADIUS 服务器组在负载平衡操作中实现的好处。 对于端口, 讲解防火墙外部 RADIUS 代理, 以及允许 UDP 1812/1645 和 1813/1646 在 内部打开代理和 RADIUS 服务器间通信的防火墙策略所带来的好处。 参考资料 ● 帮助主题:远程 RADIUS 服务器组 ● 帮助主题:配置 NPS UDP 端口信息 7.2.5 连接请求策略 对每个策略讨论 3 个部分: ● 概述(启用 /禁用) ● 条件 ● 设置(身份验证与记账行为) 4 安装、配置和故障排除网络策略服务器角色服务 从管理工具中启动 NPS 控制台打开 NPS 中的默认策略。 展开控制台树中的策略, 选 连 接请求策略,然后双击默认策略查看设置。 询问学员需要客户连接策略的一些场景。包括多个策略用于不同的领域名称用于 RADIUS 身份验证和授权,或者需要不同记账服务器的情况。 参考资料 ● 帮助主题:连接请求策略 ● NPS 帮助主题:连接请求策略 7.2.6 演示:创建新的连接请求策略 演示如何使用 Windows 界面添加新连接请求以及如何禁用策略。 注意: 需要是 Domain Admins 组、 Enterprise Admins 组或者本地计算机上的 Administrators 组成员身份来完成该步骤。 ● 使用 Windows 界面添加新连接请求策略: ? 打开 NPS 控制台,然后双击策略。 ? 在控制台树中,右键单击连接请求策略,然后单击新建。 ? 使用新连接请求策略向导配置连接请求策略(如果没有事先配置)和远程 RADIUS 服务器组。 注意:这些策略的处理顺序是从上至下,所以要确保根据你需要的处理顺序安排策略。 ● 要禁用一个策略: ? 在细节窗格中右键单击策略,从上下文菜单中单击禁用。你也可以打开策略, 然后在概述标签中放弃选择策略已启用。 ? 在 NPS 中创建定制策略后, 你可以删除默认策略或者将其移动到列表底部以 便最后处理。要删除默认策略,右键单击策略,然后从上下文菜单单击删除。 参考资料 ● 帮助主题:添加连接请求策略 ● 帮助主题:连接请求处理 7.3 NPS 身份验证方法 教学提示 : 本 部分主要达到 以下 目的 : ● 掌握 NPS 身份验证的方法 教学内容和方法 7.3.1 基于密码的身份验证方法 基于密码的身份验证无法提供很强的安全性。因此,我们不推荐使用。允许使用基于 密码的身份验证时, 会从最安全( MS-CHAPv2)的处理方式变为最不安全(未经身份验证) 的处理方式。 确保学员认识到如果使用该服务的客户端都是 MS 客户端,那么 MS-CHAPv2 应当是 5 《Windows 网络操作系统配置与管理》 唯一的基于密码的解决方案。 如果必须支持非 MS 客户端,那么可使用 质询握手身份验证协议( CHAP )。 密码身份验证协议( PAP )是明文,因此任何嗅探工具都可以俘获明文的文本传输。 来宾帐号的访问需要未经身份验证的访问,我们不推荐使用。 参考资料 帮助主题:基于密码的身份验证方法 7.3.2 使用证书进行身份验证 确保学员理解基于证书的身份验证是 NPS 中最强的身份验证, 我们强烈推荐使用这种 方式。 展开关于承载自己证书服务器优缺点的讨论,以及使用公共证书授权( CA)供应商满 足证书需求有哪些优缺点。 参考资料 帮助主题:证书和 NPS 7.3.3 NPS 身份验证方法所需证书 解释可以使用专用或公共 CA 满足证书需求。然而,专用 CA 对于多数公司来说是最 节省成本的方案。使用证书就无需采用基于密码的不安全的身份验证方法,可以避免额外 的管理和配置成本。 增加的成本小于使用 CA 后增加的安全性。 参考资料 ● 帮助主题: PEAP 和 EAP 的证书要求 ● 帮助主题:证书和 NPS 7.3.4 为 PEAP 和 EAP 部署证书 说明通过自动注册功能,企业用户和计算机的证书部署可得到极大简化。借助基础结 构使尽可能多的过程自动化。 讨论部署受保护扩展身份验证协议 (PEAP)和扩展身份验证协议( EAP )的指导原则: ● 对于域计算机和用户帐户,组策略中的自动注册可用于自动获得必要证书,在下一 个组策略刷新间隔内进行身份验证,或者使用 GPupdate 强制组策略刷新。 ● 非域成员注册需要管理员要求使用 CA Web 注册工具请求用户或计算机证书。 ● 管理员必须将计算机或用户证书保存到软盘或其它可移动媒体, 然后在非域组计算 机上手动安装证书。计算机不可用时,管理员信任的域用户可以安装证书。 ● 管理员可以在智能卡上发布用户证书。 参考资料 ● 帮助主题:证书和 NPS ● 帮助主题: EAP 和 NPS ● 帮助主题: PEAP 和 NPS 6 安装、配置和故障排除网络策略服务器角色服务 7.4 对网络策略服务器进行监视和故障排除 教学提示 : 本 部分主要达到 以下 目的 : ● 掌握网络策略服务器的监视方法以及故障排除方法 教学内容和方法 7 《Windows 网络操作系统配置与管理》 7.4.1 用于监视 NPS 的方法 描述日志的最佳做法: ● 为身份验证和记账记录启用日志。根据环境进行修改。 ● 确保配置的事件日志有足够容量可以维护日志。 ● 定期备份日志,因为如果损坏或者删除它们无法重建。 ● 在不同子网上使用冗余 SQL 服务器进行数据库复制。 ● 使用 RADIUS 类属性进行使用跟踪,明确对哪个部门或用户收使用费。 ● 使用 NPS 日志记录最佳做法信息相关的资源。 参考资料 帮助主题: NPS 最佳实践 7.4.2 配置日志文件属性 确保学员理解任何发生的日志记录都应当在系统分区之外,并且应进行配置,保证收 集到的数据对使用 NPS 的企业最有用。 指出输出可通过管道发送到外部的应用程序,对于网络位置也可以指定 UNC 路径。 NPSparse.exe 可用于查看日志数据。 参考资料 ● 帮助主题:配置日志文件属性 ● 帮助主题: NPS 最佳实践 7.4.3 配置 SQL Server 日志 如果 SQL 可用,最好将日志记录到 SQL 实例。可以配置 SQL 和 NPS 之间最大的并 发会话数量。 解释如何在 NPS 中配置 SQL 服务器日志记录: ● 打开网络策略服务器 MMC,在控制台树中单击记账。 ● 在细节窗格的 SQL Server 日志 中,单击配置 SQL Server 日志记录。打开 SQL Server 日志记录对话框。 ● 指定你想要记录在将以下信息记录到日志区域中的信息。 ● 配置 NPS 和 SQL 之间并发连接的最大数量。 ● 单击配置以配置 SQL Server 数据源。 参考资料 帮助主题:在 NPS 中配置 SQL 日志 7.4.4 配制需要在事件查看器中记录的 NPS 事件 解释连接请求可能因为各种原因被拒绝或者忽略,包括: ● 未按照 RFC 2865 或 2866 设置 RADIUS 消息的格式。 ● RADIUS 客户端是未知的。 ● RADIUS 客户端具有多个 IP 地址,并已向非 NPS 中定义的地址发送了请求。 ● 共享机密无效。 ● 客户端发送的消息身份验证器(也成为数字签名)无效。 ● NPS 无法找到该用户名的域。 ● NPS 无法连接到该用户名的域。 8 安装、配置和故障排除网络策略服务器角色服务 ● NPS 无法访问域中的用户帐户。 ● NPS 拒绝连接请求时,事件文本中的信息包括用户名、访问服务器标识、身份验 证类型、第一个匹配网络策略的名称、拒绝的原因以及其他信息。 ● NPS 接受连接请求时,事件文本中的信息包括用户名、访问服务器标识符、身份 验证类型和第一个匹配网络策略的名称。 记录 Schannel 事件 安全通道 (Schannel) 是一个安全支持提供程序 (SSP),它支持一组 Internet 安全协 议, 如置安全套接字层 (SSL) 和传输层安全 (TLS)。 这些协议通过加密提供身份验证和安 全保密的通信。 对客户端证书验证失败进行记录是一项安全通道事件,但默认情况下在运行 NPS 的 服务器上未被启用。 通过将以下注册表项值从 1 ( REG_DWORD 类型, 数据 0x00000001 ) 更改为 3( REG_DWORD 类型,数据 0x00000003 ),可以启用其他安全通道事件: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCH ANNEL\EventLogging 实验 目标: ● 安装网络策略服务器角色服务并配置网络策略服务器设置 ● 配置 RADIUS 客户端 ● 配置证书自动注册 场景: Windows 基础结构服务技术专员的任务是在现有的基础结构中安装并配置网络策略服务 器,可用于 NAP 、无线和有线访问、 RADIUS 以及 RADIUS 代理。 实验 7-1:安装和配置网络策略服务器角色服务 学员要安装 NPS 角色服务并配置一般的服务器设置,诸如 Active Directory 注册。 实验 7- 2:配置 RADIUS 客户端 给定场景和网络图后,学员可配置 RADIUS 客户端。 实验 7- 3:配置证书自动注册 学员将配置并部署证书自动注册以支持高级身份验证。 条件: ● 提供的场景 ● 虚拟机(一个配置成 CA) 结果: ● 安装和配置好的 NPS 角色服务 ● 配置了客户端设置的 RADIUS 服务器 9 《Windows 网络操作系统配置与管理》 ● 计算机获得自动注册证书进行身份验证 实验回顾问题 问题: RADIUS 代理可提供什么? 回答:把 NPS 用作 RADIUS 代理时,NPS 转发连接请求到 NPS 或其他 RADIUS 服务器进 行处理。正因为如此,NPS 代理的域成员身份是无关的。代理无需在 Active Directory 中注 册,因为它无需访问用户帐户的拨入属性。此外,你无需在 NPS 代理配置网络策略,因为 代理不会对连接请求进行授权。NPS 代理可能是域成员或者也可以是没有域成员身份的单 独服务器。 问题:什么是 RADIUS 客户端?并请举出 RADIUS 客户端的一些示例。 回答:网络访问服务器( NAS)是为大型网络提供某些访问权限的设备。使用 RADIUS 基 础结构的 NAS 也是 RADIUS 客户端,它发送连接请求和记账消息到 RADIUS 服务器进行 身份验证、授权和记账。 网络访问服务器的例子包括: ● 提供对组织网络或 Internet 的远程访问连接的网络访问服务器。例如,运行 Windows Server 2008 操作系统和路由和远程访问服务,并且提供到组织的 Intranet 传统拨号或虚拟专用网络 (VPN) 远程访问服务的计算机。 ● 使用基于无线的传输和接收技术,提供对组织网络的物理层访问权限的无线访问 点。 ● 使用传统的 LAN 技术(如 Ethernet),提供对组织网络的物理层访问权限的交换 机。 ● 将连接请求转发到 RADIUS 服务器的 RADIUS 代理,该 RADIUS 服务器是在 RADIUS 代理上配置的远程 RADIUS 服务器组的成员。 习题答案 简答题 问题:为什么必须在 Active Directory 中注册 NPS 服务器? 回答:当 NPS 是 Active Directory 域的成员时,NPS 比较从网络访问服务器中收到的凭据 和 Active Directory 针对该用户帐户保存的凭据,从而进行身份验证。NPS 通过网络策略和 检查 Active Directory 中用户帐户拨入属性来对连接请求进行授权。 NPS 服务器必须注册 在 Active Directory 之中才能访问用户帐户凭据和拨入属性。 问题:如何可以最有效地使用 NPS 日志功能? 回答:通过如下任务最有效地利用 NPS 日志功能: ● 打开身份验证和记账记录日志 ( 初始 ) 。决定哪些修改对环境比较适合后作出修改。 ● 确保事件日志记录配置了足够空间来维护记录。 ● 定期备份日志,因为如果损坏或者删除它们无法再次创建。 10 安装、配置和故障排除网络策略服务器角色服务 ● 使用 RADIUS 类属性来进行使用跟踪, 简化部门或用户使用费用的确认。 虽然自动 生成的类属性对每个请求都是唯一的,但如果对访问服务器的回复丢失并且重发 请求时,就会出现重复的记录。你可能需要从日志中删除重复请求才能保证使用 跟踪准确无误。 ● 通过 SQL Server 日志记录提供故障恢复和冗余,在不同子网上放置两个运行 SQL Server 的计算机。使用 SQL Server 创建发布向导设置两个服务器之间的数据库复 制。 问题: RADIUS 的默认身份验证和记账端口是什么?使用 Windows 界面配置 NPS UDP 端口信息的过程是什么? 回答:可使用如下步骤配置 NPS 用于 RADIUS 身份验证和记账通信的端口。默认情况下, NPS 为所有已安装网络适配器的 Internet 协议第 6 版 (IPv6) 和 IPv4 的端口 1812、 1813、 1645 和 1646 侦听 RADIUS 流量。 注意:如果卸载网络适配器上的 IPv4 或 IPv6,则 NPS 不会监视已卸载协议的 RADIUS 流量。 用于身份验证的值 1812 和用于记账的值 1813 是 RFC 2865 和 2866 中定义的 RADIUS 标准端口。但是,默认情况下,许多访问服务器将端口 1645 用于身份验证请求及将端口 1646 用于记账请求。无论决定使用哪个端口号,都要确保将 NPS 和访问服务器配置为相 同的端口号。 使用 Windows 界面配置 NPS UDP 端口信息的步骤: 1. 2. 3. 打开 NPS 控制台。 右键单击“网络策略服务器”,然后单击“属性”。 单击“端口”选项卡,然后检查端口设置。如果 RADIUS 身份验证和 RADIUS 记账 UDP 端口与提供的默认值( 1812 和 1645 用于身份验证, 1813 和 1646 用于记账) 不同,请在“身份验证”和“记账”中键入端口设置。 注意:要完成这个过程,你必须是“ Domain Admins ”组、“ Enterprise Admins ”组或本地 计算机上“ Administrators ”组 的成员。 问题:如果选择对 RADIUS 通信使用非标准端口分配,那么还需要考虑什么? 回答:如果不是有 RADIUS 默认端口号,你必须为本地计算机配置防火墙例外,以便允许 新端口上的 RADIUS 通信。 11

注意事项