安装和配置网络策略服务器.docx
《安装和配置网络策略服务器.docx》由会员分享,可在线阅读,更多相关《安装和配置网络策略服务器.docx(14页珍藏版)》请在冰豆网上搜索。
安装和配置网络策略服务器
安装、配置和故障排除网络策略服务器角色服务
本章概述
本章帮助学员安装、配置网络访问服务器(NPS)服务角色并进行故障排除。
教学目标:
∙安装和配置网络策略服务器
∙配置远程身份验证拨入用户服务(RADIUS)客户端和服务器
∙描述NPS身份验证方法
∙对网络策略服务器进行监视和故障排除
教学重点:
1.安装和配置网络策略服务器
2.配置远程身份验证拨入用户服务(RADIUS)客户端和服务器
3.描述NPS身份验证方法
4.对网络策略服务器进行监视和故障排除
教学难点:
1.对网络策略服务器进行监视和故障排除
教学资源:
课本
知识点
1.安装和配置网络策略服务器
2.配置RAIDUS客户端和服务器
3.NPS身份验证方法
4.对网络策略服务器进行监视和故障排除
实验
实验1:
安装和配置网络策略服务器角色服务
实验2:
配置RADIUS客户端
实验3:
配置证书自动注册
其他
电子教案、实验报告、实验答案
建议学时数
课堂教学(2课时)+实验教学(2课时)
7.1安装和配置网络策略服务器
教学提示:
本部分主要达到以下目的:
●掌握安装网络策略服务器的方法
教学内容和方法
7.1.1网络策略服务器
描述NPS角色服务。
学员应当理解路由和远程访问服务器上创建的策略对于承载该角色的服务器来说是本地的。
在RADIUS(NPS)情况下,多个远程访问服务(RAS)服务器可在一个地方存储所有策略—NPSRADIUS服务器—因此在单个RAS服务器上无需重复策略。
使用RADIUS身份验证和授权服务时也有详细的日志和记账信息。
参考资料
帮助主题:
网络策略服务器
7.1.2网络策略服务器使用场景
向学员解释网络访问保护(NAP)场景需要NPS来评估连接到网络的NAP客户端计算机发送的SoH(健康声明)。
客户端的健康状况与服务器的NAP策略相比较,然后决定是否授予访问权限。
后续内容将详细讨论。
保护有线/无线访问需要802.1X身份验证交换机和支持802.1X的无线访问点。
RADIUS为远程访问提供集中的策略管理。
它也用于终端服务器的连接授权策略。
参考资料
MicrosoftTechNet:
WindowsServer2008TechnicalLibrary:
7.1.3演示:
如何安装网络策略服务器
从服务器管理器中的添加角色中安装网络策略和访问服务。
在选择角色服务页面中,选择网络策略服务器,单击下一步,然后单击安装。
从管理工具菜单中打开NPS管理工具。
7.1.4用于管理网络策略服务器的工具
安装完成后,使用NPS控制台只能管理本地NPS服务器。
对于远程NPS管理,使用NPSMicrosoft管理控制台(MMC)管理单元。
netsh命令行工具也可用于NPS管理任务。
参考资料
●帮助主题:
NPS控制台
●帮助主题:
用于网络策略服务器(NPS)的Netsh命令。
7.1.5演示:
配置常规NPS设置
演示如何配置常规的NPS设置:
●打开NPS控制台:
⏹单击开始,指向管理工具,然后单击网络策略服务器。
⏹从控制台树中,右键单击NPS(本地),根据任务选择导入或导出:
●如果是导入,在导入NPS配置页面中,浏览到想要使用的.xml配置文件。
●如果是导出,选择我知道我正在导出所有共享机密选项。
而且,MicrosoftSQLServer日志设置没有导出到文件中。
必须在导入配置文件的服务器上手动配置SQL。
单击确定,然后指定XML文件保存的文件名和位置。
●要启动并停止NPS服务,从控制台树中右键单击NPS(本地),然后从上下文菜单选择合适的操作。
●因为NPS通过网络策略和检查ActiveDirectory目录服务中用户帐户的拨入属性进行授权,所以服务器必须在ActiveDirectory中注册。
在控制台树中右键单击NPS(本地),然后单击在ActiveDirectory中注册服务器。
注意:
使用netsh命令在默认域中注册NPS服务器:
●通过具有域管理凭据的帐户注册到NPS服务器
●打开命令提示符。
●在命令提示符下输入:
netshrasaddregisteredserver
参考资料
帮助主题:
在ActiveDirectory中注册NPS服务器
7.2配置RAIDUS客户端和服务器
教学提示:
本部分主要达到以下目的:
●掌握配置RAIDUS客户端和服务器的方法
教学内容和方法
7.2.1RADIUS客户端
向学员强调客户端计算机,如无线笔记本和其他运行客户端操作系统的计算机,都不是RADIUS客户端。
RADIUS客户端是网络访问设备,可为来自有线局域网(LAN)、无线环境和远程访问方案的用户提供连接性。
参考资料
帮助主题:
RADIUS客户端
7.2.2RADIUS代理
说明将NPS配置成RADIUS代理时,它从RADIUS客户端接收连接请求然后转发到适当的RADIUS服务器或其它RADIUS代理以便进一步的路由操作。
说明何时需要RADIUS代理:
●你是提供外包拨号、VPN或无线网络访问服务的服务提供商。
连接请求根据其领域名称被转发到客户维护的RADIUS服务器,进行身份验证和授权。
●你想要为非ActiveDirectory成员的用户帐户提供身份验证和授权。
●你想要使用非Windows帐户数据库的数据库进行身份验证和授权。
●你想要在多个RADIUS服务器之间对连接请求进行负载平衡。
●你想要为外包服务提供商提供RADIUS,并且希望通过防火墙限制通信类型。
询问学员代理有用的一些场合。
让学员积极参与讨论,加深他们的理解。
参考资料
帮助主题:
RADIUS代理
7.2.3演示:
配置RADIUS客户端
演示如何:
●使用NPS控制台添加RADIUS客户端:
⏹在NPS控制台,在控制台树中单击RADIUS客户端和服务器,在详细的窗格中,单击配置RADIUS客户端。
⏹右键单击RADIUS客户端,然后单击新建Radius客户端。
⏹在新建Radius客户端对话框中填写内容,然后单击确定。
●使用路由和远程访问控制台将路由和远程访问配置成RADIUS客户端:
⏹在路由和远程访问控制台,右键单击servername,然后单击属性。
⏹在安全标签,将RADIUS指定为身份验证提供者属性。
在安全标签上对审计提供者做相同操作。
注意:
如果NPS安装在相同的服务器上,那么配置身份验证和审计的对话框不会出现。
相反,你使用NPS来创建身份验证策略。
参考资料
●路由和远程访问帮助主题:
服务器属性-安全选项卡
●帮助主题:
添加新RADIUS客户端
7.2.4配置连接请求处理
强调多个远程访问服务器的情况最好使用RADIUS,因为所有的策略一旦在NPS创建后会集中存储。
描述RADIUS服务器组在负载平衡操作中实现的好处。
对于端口,讲解防火墙外部RADIUS代理,以及允许UDP1812/1645和1813/1646在内部打开代理和RADIUS服务器间通信的防火墙策略所带来的好处。
参考资料
●帮助主题:
远程RADIUS服务器组
●帮助主题:
配置NPSUDP端口信息
7.2.5连接请求策略
对每个策略讨论3个部分:
●概述(启用/禁用)
●条件
●设置(身份验证与记账行为)
从管理工具中启动NPS控制台打开NPS中的默认策略。
展开控制台树中的策略,选连接请求策略,然后双击默认策略查看设置。
询问学员需要客户连接策略的一些场景。
包括多个策略用于不同的领域名称用于RADIUS身份验证和授权,或者需要不同记账服务器的情况。
参考资料
●帮助主题:
连接请求策略
●NPS帮助主题:
连接请求策略
7.2.6演示:
创建新的连接请求策略
演示如何使用Windows界面添加新连接请求以及如何禁用策略。
注意:
需要是DomainAdmins组、EnterpriseAdmins组或者本地计算机上的Administrators组成员身份来完成该步骤。
●使用Windows界面添加新连接请求策略:
⏹打开NPS控制台,然后双击策略。
⏹在控制台树中,右键单击连接请求策略,然后单击新建。
⏹使用新连接请求策略向导配置连接请求策略(如果没有事先配置)和远程RADIUS服务器组。
注意:
这些策略的处理顺序是从上至下,所以要确保根据你需要的处理顺序安排策略。
●要禁用一个策略:
⏹在细节窗格中右键单击策略,从上下文菜单中单击禁用。
你也可以打开策略,然后在概述标签中放弃选择策略已启用。
⏹在NPS中创建定制策略后,你可以删除默认策略或者将其移动到列表底部以便最后处理。
要删除默认策略,右键单击策略,然后从上下文菜单单击删除。
参考资料
●帮助主题:
添加连接请求策略
●帮助主题:
连接请求处理
7.3NPS身份验证方法
教学提示:
本部分主要达到以下目的:
●掌握NPS身份验证的方法
教学内容和方法
7.3.1基于密码的身份验证方法
基于密码的身份验证无法提供很强的安全性。
因此,我们不推荐使用。
允许使用基于密码的身份验证时,会从最安全(MS-CHAPv2)的处理方式变为最不安全(未经身份验证)的处理方式。
确保学员认识到如果使用该服务的客户端都是MS客户端,那么MS-CHAPv2应当是唯一的基于密码的解决方案。
如果必须支持非MS客户端,那么可使用质询握手身份验证协议(CHAP)。
密码身份验证协议(PAP)是明文,因此任何嗅探工具都可以俘获明文的文本传输。
来宾帐号的访问需要未经身份验证的访问,我们不推荐使用。
参考资料
帮助主题:
基于密码的身份验证方法
7.3.2使用证书进行身份验证
确保学员理解基于证书的身份验证是NPS中最强的身份验证,我们强烈推荐使用这种方式。
展开关于承载自己证书服务器优缺点的讨论,以及使用公共证书授权(CA)供应商满足证书需求有哪些优缺点。
参考资料
帮助主题:
证书和NPS
7.3.3NPS身份验证方法所需证书
解释可以使用专用或公共CA满足证书需求。
然而,专用CA对于多数公司来说是最节省成本的方案。
使用证书就无需采用基于密码的不安全的身份验证方法,可以避免额外的管理和配置成本。
增加的成本小于使用CA后增加的安全性。
参考资料
●帮助主题:
PEAP和EAP的证书要求
●帮助主题:
证书和NPS
7.3.4为PEAP和EAP部署证书
说明通过自动注册功能,企业用户和计算机的证书部署可得到极大简化。
借助基础结构使尽可能多的过程自动化。
讨论部署受保护扩展身份验证协议(PEAP)和扩展身份验证协议(EAP)的指导原则:
●对于域计算机和用户帐户,组策略中的自动注册可用于自动获得必要证书,在下一个组策略刷新间隔内进行身份验证,或者使用GPupdate强制组策略刷新。
●非域成员注册需要管理员要求使用CAWeb注册工具请求用户或计算机证书。
●管理员必须将计算机或用户证书保存到软盘或其它可移动媒体,然后在非域组计算机上手动安装证书。
计算机不可用时,管理员信任的域用户可以安装证书。
●管理员可以在智能卡上发布用户证书。
参考资料
●帮助主题:
证书和NPS
升级会员 