安装和配置网络策略服务器

安装、配置和故障排除网络策略服务器角色服务

本章概述

本章帮助学员安装、配置网络访问服务器（NPS）服务角色并进行故障排除。

教学目标：

∙安装和配置网络策略服务器

∙配置远程身份验证拨入用户服务(RADIUS)客户端和服务器

∙描述NPS身份验证方法

∙对网络策略服务器进行监视和故障排除

教学重点：

1.安装和配置网络策略服务器

2.配置远程身份验证拨入用户服务(RADIUS)客户端和服务器

3.描述NPS身份验证方法

4.对网络策略服务器进行监视和故障排除

教学难点：

1.对网络策略服务器进行监视和故障排除

教学资源：

《Windows 网络操作系统配置与管理》

建议学时数

课堂教学（2课时）+实验教学（2课时）7.1安装和配置网络策略服务器

2

安装、配置和故障排除网络策略服务器角色服务

7.2配置RAIDUS 客户端和服务器

3

《Windows 网络操作系统配置与管理》

4

安装、配置和故障排除网络策略服务器角色服务

7.3NPS 身份验证方法

5

《Windows 网络操作系统配置与管理》

6

安装、配置和故障排除网络策略服务器角色服务7.4对网络策略服务器进行监视和故障排除

7

《Windows 网络操作系统配置与管理》

8

安装、配置和故障排除网络策略服务器角色服务

实验

目标：

●安装网络策略服务器角色服务并配置网络策略服务器设置

●配置RADIUS 客户端

●配置证书自动注册

场景：

Windows基础结构服务技术专员的任务是在现有的基础结构中安装并配置网络策略服务器，可用于NAP、无线和有线访问、RADIUS以及RADIUS代理。

实验7-1：安装和配置网络策略服务器角色服务

学员要安装NPS角色服务并配置一般的服务器设置，诸如Active Directory注册。

实验7- 2：配置RADIUS 客户端

给定场景和网络图后，学员可配置RADIUS客户端。

实验7- 3：配置证书自动注册

学员将配置并部署证书自动注册以支持高级身份验证。

条件：

●提供的场景

●虚拟机（一个配置成CA）

结果：

●安装和配置好的NPS角色服务

●配置了客户端设置的RADIUS服务器

9

《Windows 网络操作系统配置与管理》

10●计算机获得自动注册证书进行身份验证

实验回顾问题

问题：RADIUS 代理可提供什么？

回答：把NPS用作RADIUS代理时，NPS转发连接请求到NPS或其他RADIUS服务器进行处理。正因为如此，NPS代理的域成员身份是无关的。代理无需在Active Directory中注册，因为它无需访问用户帐户的拨入属性。此外，你无需在NPS代理配置网络策略，因为代理不会对连接请求进行授权。NPS代理可能是域成员或者也可以是没有域成员身份的单独服务器。

问题：什么是RADIUS 客户端？并请举出RADIUS 客户端的一些示例。

回答：网络访问服务器（NAS）是为大型网络提供某些访问权限的设备。使用RADIUS基础结构的NAS也是RADIUS客户端，它发送连接请求和记账消息到RADIUS服务器进行身份验证、授权和记账。

网络访问服务器的例子包括：

●提供对组织网络或Internet 的远程访问连接的网络访问服务器。例如，运行

Windows Server 2008 操作系统和路由和远程访问服务，并且提供到组织的

Intranet 传统拨号或虚拟专用网络(VPN) 远程访问服务的计算机。

●使用基于无线的传输和接收技术，提供对组织网络的物理层访问权限的无线访问

点。

●使用传统的LAN 技术（如Ethernet），提供对组织网络的物理层访问权限的交换

机。

●将连接请求转发到RADIUS 服务器的RADIUS代理，该RADIUS服务器是在

RADIUS 代理上配置的远程RADIUS服务器组的成员。

习题答案

简答题

问题：为什么必须在Active Directory 中注册NPS 服务器？

回答：当NPS 是Active Directory 域的成员时，NPS 比较从网络访问服务器中收到的凭据和Active Directory针对该用户帐户保存的凭据，从而进行身份验证。NPS通过网络策略和检查Active Directory中用户帐户拨入属性来对连接请求进行授权。NPS 服务器必须注册在Active Directory 之中才能访问用户帐户凭据和拨入属性。

问题：如何可以最有效地使用NPS 日志功能？

回答：通过如下任务最有效地利用NPS日志功能：

●打开身份验证和记账记录日志(初始)。决定哪些修改对环境比较适合后作出修改。

●确保事件日志记录配置了足够空间来维护记录。

●定期备份日志，因为如果损坏或者删除它们无法再次创建。

安装、配置和故障排除网络策略服务器角色服务 11 ● 使用RADIUS 类属性来进行使用跟踪，简化部门或用户使用费用的确认。虽然自动

生成的类属性对每个请求都是唯一的，但如果对访问服务器的回复丢失并且重发

请求时，就会出现重复的记录。你可能需要从日志中删除重复请求才能保证使用

跟踪准确无误。

● 通过SQL Server 日志记录提供故障恢复和冗余，在不同子网上放置两个运行SQL

Server 的计算机。使用SQL Server 创建发布向导设置两个服务器之间的数据库复

制。

问题：RADIUS 的默认身份验证和记账端口是什么？使用 Windows 界面配置 NPS UDP 端口信息的过程是什么？

回答：可使用如下步骤配置NPS 用于RADIUS 身份验证和记账通信的端口。默认情况下，NPS 为所有已安装网络适配器的 Internet 协议第 6 版 (IPv6) 和 IPv4 的端口 1812、1813、1645 和 1646 侦听 RADIUS 流量。

用于身份验证的值1812 和用于记账的值 1813 是 RFC 2865 和 2866 中定义的 RADIUS 标准端口。但是，默认情况下，许多访问服务器将端口1645 用于身份验证请求及将端口 1646 用于记账请求。无论决定使用哪个端口号，都要确保将 NPS 和访问服务器配置为相同的端口号。

使用 Windows 界面配置 NPS UDP 端口信息的步骤：

1. 打开 NPS 控制台。

2. 右键单击“网络策略服务器”，然后单击“属性”。

3. 单击“端口”选项卡，然后检查端口设置。如果 RADIUS 身份验证和 RADIUS 记账

UDP 端口与提供的默认值（1812 和1645 用于身份验证，1813 和 1646

用于记账）不同，请在“身份验证”和“记账”中键入端口设置。

问题：如果选择对 RADIUS 通信使用非标准端口分配，那么还需要考虑什么？

回答：如果不是有RADIUS 默认端口号，你必须为本地计算机配置防火墙例外，以便允许新端口上的RADIUS 通信。