安装和配置网络策略服务器.docx

1、安装和配置网络策略服务器安装、配置和故障排除网络策略服务器角色服务本章概述 本章帮助学员安装、配置网络访问服务器（NPS）服务角色并进行故障排除。 教学目标： 安装和配置网络策略服务器 配置远程身份验证拨入用户服务(RADIUS)客户端和服务器 描述NPS身份验证方法 对网络策略服务器进行监视和故障排除 教学重点：1. 安装和配置网络策略服务器2. 配置远程身份验证拨入用户服务(RADIUS)客户端和服务器3. 描述NPS身份验证方法4. 对网络策略服务器进行监视和故障排除 教学难点：1. 对网络策略服务器进行监视和故障排除 教学资源：课本知识点1. 安装和配置网络策略服务器2. 配置 RAI

2、DUS 客户端和服务器3. NPS 身份验证方法4. 对网络策略服务器进行监视和故障排除实验实验 1：安装和配置网络策略服务器角色服务实验 2：配置 RADIUS 客户端实验 3：配置证书自动注册其他电子教案、实验报告、实验答案建议学时数课堂教学（2课时）+实验教学（2课时） 7.1 安装和配置网络策略服务器教学提示 ：本部分主要达到以下目的： 掌握安装网络策略服务器的方法教学内容和方法7.1.1 网络策略服务器描述 NPS角色服务。学员应当理解路由和远程访问服务器上创建的策略对于承载该角色的服务器来说是本地的。在RADIUS(NPS)情况下，多个远程访问服务（RAS）服务器可在一个地方存储所

3、有策略NPS RADIUS服务器因此在单个RAS服务器上无需重复策略。使用RADIUS身份验证和授权服务时也有详细的日志和记账信息。参考资料 帮助主题：网络策略服务器7.1.2 网络策略服务器使用场景向学员解释网络访问保护（NAP）场景需要NPS来评估连接到网络的NAP客户端计算机发送的SoH（健康声明）。客户端的健康状况与服务器的NAP策略相比较，然后决定是否授予访问权限。后续内容将详细讨论。保护有线/无线访问需要802.1X身份验证交换机和支持802.1X 的无线访问点。RADIUS 为远程访问提供集中的策略管理。它也用于终端服务器的连接授权策略。参考资料 Microsoft TechNe

4、t：Windows Server 2008 Technical Library： 7.1.3 演示：如何安装网络策略服务器从服务器管理器中的添加角色中安装网络策略和访问服务。在选择角色服务页面中，选择网络策略服务器，单击下一步，然后单击安装。从管理工具菜单中打开NPS管理工具。7.1.4 用于管理网络策略服务器的工具安装完成后，使用NPS控制台只能管理本地NPS服务器。对于远程 NPS管理，使用 NPS Microsoft 管理控制台（MMC）管理单元。netsh 命令行工具也可用于NPS管理任务。参考资料 帮助主题：NPS 控制台 帮助主题：用于网络策略服务器（NPS）的Netsh命令。7.

5、1.5 演示：配置常规 NPS 设置演示如何配置常规的NPS设置： 打开NPS控制台： 单击开始， 指向管理工具，然后单击网络策略服务器。 从控制台树中，右键单击NPS（本地），根据任务选择导入或导出： 如果是导入，在导入NPS 配置页面中，浏览到想要使用的.xml配置文件。 如果是导出，选择我知道我正在导出所有共享机密选项。而且，Microsoft SQL Server日志设置没有导出到文件中。必须在导入配置文件的服务器上手动配置SQL。单击确定，然后指定XML文件保存的文件名和位置。 要启动并停止 NPS 服务，从控制台树中右键单击 NPS(本地)，然后从上下文菜单选择合适的操作。 因为

6、NPS 通过网络策略和检查Active Directory目录服务中用户帐户的拨入属性进行授权，所以服务器必须在Active Directory中注册。在控制台树中右键单击 NPS（本地），然后单击在Active Directory中注册服务器。注意：使用 netsh 命令在默认域中注册NPS服务器： 通过具有域管理凭据的帐户注册到NPS服务器 打开命令提示符。 在命令提示符下输入：netsh ras add registeredserver 参考资料 帮助主题：在Active Directory中注册NPS服务器7.2 配置 RAIDUS 客户端和服务器教学提示 ：本部分主要达到以下目的：

7、掌握配置RAIDUS客户端和服务器的方法教学内容和方法7.2.1 RADIUS 客户端向学员强调客户端计算机，如无线笔记本和其他运行客户端操作系统的计算机，都不是RADIUS客户端。RADIUS客户端是网络访问设备，可为来自有线局域网（LAN）、无线环境和远程访问方案的用户提供连接性。 参考资料 帮助主题：RADIUS 客户端7.2.2 RADIUS 代理说明将NPS配置成RADIUS代理时，它从RADIUS客户端接收连接请求然后转发到适当的RADIUS服务器或其它RADIUS代理以便进一步的路由操作。 说明何时需要RADIUS代理： 你是提供外包拨号、VPN或无线网络访问服务的服务提供商。连

8、接请求根据其领域名称被转发到客户维护的RADIUS服务器，进行身份验证和授权。 你想要为非 Active Directory 成员的用户帐户提供身份验证和授权。 你想要使用非Windows帐户数据库的数据库进行身份验证和授权。 你想要在多个RADIUS服务器之间对连接请求进行负载平衡。 你想要为外包服务提供商提供RADIUS，并且希望通过防火墙限制通信类型。询问学员代理有用的一些场合。让学员积极参与讨论，加深他们的理解。参考资料 帮助主题：RADIUS 代理7.2.3 演示：配置 RADIUS 客户端演示如何： 使用NPS控制台添加RADIUS客户端： 在 NPS控制台，在控制台树中单击 RA

9、DIUS 客户端和服务器，在详细的窗格中，单击配置RADIUS客户端。 右键单击RADIUS客户端，然后单击新建Radius客户端。 在新建Radius客户端对话框中填写内容，然后单击确定。 使用路由和远程访问控制台将路由和远程访问配置成RADIUS客户端： 在路由和远程访问控制台，右键单击servername，然后单击属性。 在安全标签，将RADIUS指定为身份验证提供者属性。在安全标签上对审计提供者做相同操作。注意：如果NPS安装在相同的服务器上，那么配置身份验证和审计的对话框不会出现。相反，你使用NPS来创建身份验证策略。参考资料 路由和远程访问帮助主题：服务器属性-安全选项卡 帮助主题

10、：添加新RADIUS客户端7.2.4 配置连接请求处理强调多个远程访问服务器的情况最好使用RADIUS，因为所有的策略一旦在NPS创建后会集中存储。描述RADIUS服务器组在负载平衡操作中实现的好处。对于端口，讲解防火墙外部RADIUS代理，以及允许 UDP 1812/1645 和 1813/1646 在内部打开代理和RADIUS服务器间通信的防火墙策略所带来的好处。参考资料 帮助主题：远程 RADIUS 服务器组 帮助主题：配置NPS UDP 端口信息7.2.5 连接请求策略对每个策略讨论 3 个部分： 概述（启用/禁用） 条件 设置（身份验证与记账行为）从管理工具中启动NPS控制台打开NP

11、S中的默认策略。展开控制台树中的策略，选 连接请求策略，然后双击默认策略查看设置。询问学员需要客户连接策略的一些场景。包括多个策略用于不同的领域名称用于RADIUS身份验证和授权，或者需要不同记账服务器的情况。参考资料 帮助主题：连接请求策略 NPS帮助主题：连接请求策略7.2.6 演示：创建新的连接请求策略演示如何使用Windows界面添加新连接请求以及如何禁用策略。注意：需要是Domain Admins 组、Enterprise Admins 组或者本地计算机上的Administrators组成员身份来完成该步骤。 使用Windows界面添加新连接请求策略： 打开NPS控制台，然后双击策略

12、。 在控制台树中，右键单击连接请求策略，然后单击新建。 使用新连接请求策略向导配置连接请求策略（如果没有事先配置）和远程 RADIUS服务器组。注意：这些策略的处理顺序是从上至下，所以要确保根据你需要的处理顺序安排策略。 要禁用一个策略： 在细节窗格中右键单击策略，从上下文菜单中单击禁用。你也可以打开策略，然后在概述标签中放弃选择策略已启用。 在NPS中创建定制策略后，你可以删除默认策略或者将其移动到列表底部以便最后处理。要删除默认策略，右键单击策略，然后从上下文菜单单击删除。参考资料 帮助主题：添加连接请求策略 帮助主题：连接请求处理7.3 NPS 身份验证方法教学提示 ：本部分主要达到以下

13、目的： 掌握NPS身份验证的方法教学内容和方法7.3.1 基于密码的身份验证方法基于密码的身份验证无法提供很强的安全性。因此，我们不推荐使用。允许使用基于密码的身份验证时，会从最安全（MS-CHAPv2）的处理方式变为最不安全（未经身份验证）的处理方式。确保学员认识到如果使用该服务的客户端都是MS客户端，那么MS-CHAPv2应当是唯一的基于密码的解决方案。如果必须支持非 MS客户端，那么可使用 质询握手身份验证协议（CHAP）。密码身份验证协议（PAP）是明文，因此任何嗅探工具都可以俘获明文的文本传输。来宾帐号的访问需要未经身份验证的访问，我们不推荐使用。参考资料 帮助主题：基于密码的身份验

14、证方法7.3.2 使用证书进行身份验证确保学员理解基于证书的身份验证是NPS中最强的身份验证，我们强烈推荐使用这种方式。展开关于承载自己证书服务器优缺点的讨论，以及使用公共证书授权（CA）供应商满足证书需求有哪些优缺点。参考资料 帮助主题：证书和NPS 7.3.3 NPS 身份验证方法所需证书解释可以使用专用或公共CA满足证书需求。然而，专用CA对于多数公司来说是最节省成本的方案。使用证书就无需采用基于密码的不安全的身份验证方法，可以避免额外的管理和配置成本。增加的成本小于使用CA后增加的安全性。参考资料 帮助主题：PEAP和EAP的证书要求 帮助主题：证书和NPS7.3.4 为 PEAP 和

15、 EAP 部署证书说明通过自动注册功能，企业用户和计算机的证书部署可得到极大简化。借助基础结构使尽可能多的过程自动化。讨论部署受保护扩展身份验证协议(PEAP)和扩展身份验证协议（EAP）的指导原则： 对于域计算机和用户帐户，组策略中的自动注册可用于自动获得必要证书，在下一个组策略刷新间隔内进行身份验证，或者使用GPupdate强制组策略刷新。 非域成员注册需要管理员要求使用CA Web注册工具请求用户或计算机证书。 管理员必须将计算机或用户证书保存到软盘或其它可移动媒体，然后在非域组计算机上手动安装证书。计算机不可用时，管理员信任的域用户可以安装证书。 管理员可以在智能卡上发布用户证书。参考

16、资料 帮助主题：证书和NPS 帮助主题：EAP 和NPS 帮助主题：PEAP 和 NPS 7.4 对网络策略服务器进行监视和故障排除教学提示 ：本部分主要达到以下目的： 掌握网络策略服务器的监视方法以及故障排除方法教学内容和方法7.4.1 用于监视 NPS 的方法描述日志的最佳做法： 为身份验证和记账记录启用日志。根据环境进行修改。 确保配置的事件日志有足够容量可以维护日志。 定期备份日志，因为如果损坏或者删除它们无法重建。 在不同子网上使用冗余SQL服务器进行数据库复制。 使用RADIUS类属性进行使用跟踪，明确对哪个部门或用户收使用费。 使用NPS日志记录最佳做法信息相关的资源。参考资料

17、帮助主题：NPS最佳实践7.4.2 配置日志文件属性确保学员理解任何发生的日志记录都应当在系统分区之外，并且应进行配置，保证收集到的数据对使用NPS的企业最有用。指出输出可通过管道发送到外部的应用程序，对于网络位置也可以指定UNC路径。NPSparse.exe 可用于查看日志数据。 参考资料 帮助主题：配置日志文件属性 帮助主题：NPS 最佳实践7.4.3 配置 SQL Server 日志如果SQL可用，最好将日志记录到SQL实例。可以配置SQL和NPS之间最大的并发会话数量。解释如何在NPS中配置SQL服务器日志记录： 打开网络策略服务器MMC，在控制台树中单击记账。 在细节窗格的 SQL

18、Server日志 中，单击配置SQL Server日志记录。打开SQL Server日志记录对话框。 指定你想要记录在将以下信息记录到日志区域中的信息。 配置NPS和SQL之间并发连接的最大数量。 单击配置以配置SQL Server 数据源。参考资料 帮助主题：在NPS中配置SQL日志7.4.4 配制需要在事件查看器中记录的NPS 事件解释连接请求可能因为各种原因被拒绝或者忽略，包括： 未按照 RFC 2865 或 2866 设置 RADIUS 消息的格式。 RADIUS 客户端是未知的。 RADIUS 客户端具有多个 IP 地址，并已向非 NPS 中定义的地址发送了请求。 共享机密无效。 客

19、户端发送的消息身份验证器（也成为数字签名）无效。 NPS 无法找到该用户名的域。 NPS 无法连接到该用户名的域。 NPS 无法访问域中的用户帐户。 NPS 拒绝连接请求时，事件文本中的信息包括用户名、访问服务器标识、身份验证类型、第一个匹配网络策略的名称、拒绝的原因以及其他信息。 NPS 接受连接请求时，事件文本中的信息包括用户名、访问服务器标识符、身份验证类型和第一个匹配网络策略的名称。记录Schannel 事件 安全通道 (Schannel) 是一个安全支持提供程序 (SSP)，它支持一组 Internet 安全协议，如置安全套接字层 (SSL) 和传输层安全 (TLS)。这些协议通过加

20、密提供身份验证和安全保密的通信。对客户端证书验证失败进行记录是一项安全通道事件，但默认情况下在运行 NPS 的服务器上未被启用。通过将以下注册表项值从 1（REG_DWORD 类型，数据 0x00000001）更改为 3（REG_DWORD 类型，数据0x00000003），可以启用其他安全通道事件：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELEventLogging 实验目标： 安装网络策略服务器角色服务并配置网络策略服务器设置 配置 RADIUS 客户端 配置证书自动注册场景： Windo

21、ws基础结构服务技术专员的任务是在现有的基础结构中安装并配置网络策略服务器，可用于NAP、无线和有线访问、RADIUS以及RADIUS代理。实验7-1：安装和配置网络策略服务器角色服务 学员要安装NPS角色服务并配置一般的服务器设置，诸如Active Directory注册。实验7- 2：配置 RADIUS 客户端 给定场景和网络图后，学员可配置RADIUS客户端。实验7- 3：配置证书自动注册 学员将配置并部署证书自动注册以支持高级身份验证。条件： 提供的场景 虚拟机（一个配置成CA）结果： 安装和配置好的NPS角色服务 配置了客户端设置的RADIUS服务器 计算机获得自动注册证书进行身份验

22、证实验回顾问题问题：RADIUS 代理可提供什么？ 回答：把NPS用作RADIUS代理时，NPS转发连接请求到NPS或其他RADIUS服务器进行处理。正因为如此，NPS代理的域成员身份是无关的。代理无需在Active Directory中注册，因为它无需访问用户帐户的拨入属性。此外，你无需在NPS代理配置网络策略，因为代理不会对连接请求进行授权。NPS代理可能是域成员或者也可以是没有域成员身份的单独服务器。问题：什么是 RADIUS 客户端？并请举出 RADIUS 客户端的一些示例。 回答：网络访问服务器（NAS）是为大型网络提供某些访问权限的设备。使用RADIUS基础结构的NAS也是RADI

23、US客户端，它发送连接请求和记账消息到RADIUS服务器进行身份验证、授权和记账。网络访问服务器的例子包括： 提供对组织网络或Internet 的远程访问连接的网络访问服务器。例如，运行 Windows Server 2008 操作系统和路由和远程访问服务，并且提供到组织的 Intranet 传统拨号或虚拟专用网络(VPN) 远程访问服务的计算机。 使用基于无线的传输和接收技术，提供对组织网络的物理层访问权限的无线访问点。 使用传统的 LAN 技术（如 Ethernet），提供对组织网络的物理层访问权限的交换机。 将连接请求转发到 RADIUS 服务器的RADIUS代理，该RADIUS服务器是

24、在 RADIUS 代理上配置的远程RADIUS服务器组的成员。习题答案简答题问题：为什么必须在 Active Directory 中注册 NPS 服务器？回答：当NPS 是Active Directory 域的成员时，NPS 比较从网络访问服务器中收到的凭据和Active Directory针对该用户帐户保存的凭据，从而进行身份验证。NPS通过网络策略和检查 Active Directory中用户帐户拨入属性来对连接请求进行授权。NPS 服务器必须注册在Active Directory 之中才能访问用户帐户凭据和拨入属性。问题：如何可以最有效地使用 NPS 日志功能？ 回答：通过如下任务最有效

25、地利用NPS日志功能： 打开身份验证和记账记录日志(初始)。决定哪些修改对环境比较适合后作出修改。 确保事件日志记录配置了足够空间来维护记录。 定期备份日志，因为如果损坏或者删除它们无法再次创建。 使用RADIUS类属性来进行使用跟踪，简化部门或用户使用费用的确认。虽然自动生成的类属性对每个请求都是唯一的，但如果对访问服务器的回复丢失并且重发请求时，就会出现重复的记录。你可能需要从日志中删除重复请求才能保证使用跟踪准确无误。 通过SQL Server日志记录提供故障恢复和冗余，在不同子网上放置两个运行SQL Server的计算机。使用SQL Server创建发布向导设置两个服务器之间的数据库复

26、制。问题：RADIUS 的默认身份验证和记账端口是什么？使用 Windows 界面配置 NPS UDP 端口信息的过程是什么？回答：可使用如下步骤配置NPS用于RADIUS身份验证和记账通信的端口。默认情况下，NPS 为所有已安装网络适配器的 Internet 协议第 6 版 (IPv6) 和 IPv4 的端口 1812、1813、1645 和 1646 侦听 RADIUS 流量。注意：如果卸载网络适配器上的 IPv4 或 IPv6，则 NPS 不会监视已卸载协议的 RADIUS 流量。用于身份验证的值1812 和用于记账的值 1813 是 RFC 2865 和 2866 中定义的 RADIU

27、S 标准端口。但是，默认情况下，许多访问服务器将端口1645 用于身份验证请求及将端口 1646 用于记账请求。无论决定使用哪个端口号，都要确保将 NPS 和访问服务器配置为相同的端口号。使用 Windows 界面配置 NPS UDP 端口信息的步骤：1. 打开 NPS 控制台。2. 右键单击“网络策略服务器”，然后单击“属性”。3. 单击“端口”选项卡，然后检查端口设置。如果 RADIUS 身份验证和 RADIUS 记账 UDP 端口与提供的默认值（1812 和1645 用于身份验证，1813 和 1646 用于记账）不同，请在“身份验证”和“记账”中键入端口设置。注意：要完成这个过程，你必须是“Domain Admins”组、“Enterprise Admins”组或本地计算机上“Administrators”组的成员。问题：如果选择对 RADIUS 通信使用非标准端口分配，那么还需要考虑什么？ 回答：如果不是有RADIUS默认端口号，你必须为本地计算机配置防火墙例外，以便允许新端口上的RADIUS通信。