Windows2003 Radius服务器搭建

用windows server2003架设域服务器今天教大家用windows server2003系统建立Active Directory域控制器，客户机是XP系统。

准备工具Windows server2003系统盘。

控制面板--管理工具--配置您的服务器，出现向导点下一步正在检测等待一下自定义配置，下一步。

选择域控制器，下一步。

出现AD向导，点下一步。

出现AD安装向导，点下一步。

选择新域的控制器。

选择新的域林。

配置DNS，记得一定要配置。

填入你需要的域名。

这里早期的Windows用户采用的是netbios来标示域，我这里写的YAZI，下一步。

活动目录的数据库和日志建议放在别的盘符，点浏览找到你想放的盘符和具体文件夹。

指定系统卷共享的文件夹，建议放在别的盘符，但是要主要的是盘符必须放在NTFS格式的分区里面。

选择下面一个：只与windows2000或者windows server2003输入还原密码，这个是目录还原模式的密码，而不是系统管理员的密码。

确定无误后点下一步。

等待一下。

AD安装完成提示你启动。

启动后出现了一行登陆选项。

最后提示你：此服务器选择是域控制器了，点击完成。

开始--程序--管理工具---找到Active Directory用户和计算机。

然后展开域名，找到Users鼠标右键--新建--用户创建姓名，简写。

然后创建用户的登陆名。

别写中文的。

选择密码永不过期，密码是:英文+数字+符号。

不然提示你密码不和规范。

windows2003下RADIUS服务器配置概述：802.1x 的认证的实现原理拓扑结构图如下：由拓扑图可以看到，配置会涉及到无线客户端、ap、ac、radius四种设备。

各设备网络配置如下：1、用无线网卡模拟无线客户端，ip地址由ac配置dhcp自动获取2、ap配置静态ip地址：192.168.254.6 255.255.255.03、ac vlan1配置管理地址：192.168.254.9 255.255.255.04、radius由虚拟机运行windows 2003配置，虚拟机ip设为：192.168.254.8 255.255.255.0一、配置RADIUS server：配置RADIUS server 前需要在windows 2003服务器上安装Active Directory ，IAS（internet验证服务），IIS管理器（internet信息服务管理器），和证书颁发机构；a)、安装AD（Active Directory），在“开始”—〉“运行”—〉命令框中输入命令“dcpromo”开始进行安装。

b)、安装证书颁发机构，在“控制面板”—〉“添加删除程序”—〉“添加/删除windows组件”—〉“windows 组件向导”的组件中选择“证书服务”并按提示安装；c)、安装IAS和IIS，在“控制面板”—〉“添加删除程序”—〉“添加/删除windows 组件”—〉“网络服务”并按提示安装。

d)、注：没有安装AD和证书服务时，要先安装AD然后再安装证书服务，如果此顺序相反，证书服务中的企业根证书服务则不能选择安装；在这四个管理部件都安装的条件下，就可以开始进行RADIUS服务器配置。

1、默认域安全、默认域控制器安全设置为了在配置客户端密码时省去一些麻烦，进行下面的配置：a)、进入“开始”—〉“管理工具”—〉“域安全策略”，进入默认域安全设置，展开“安全设置”—〉“账户策略”—〉“密码策略”，在右侧列出的策略中作如下设置：●右键点击“密码必须符合复杂性要求”选择“属性”，将这个策略设置成“已禁用”。

RADIUS安装与配置1.安装RADIUS进入添加/删除程序中的添加/删除Windows组件，选择网络服务中的Internet验证服务2.安装IAS后，进入IAS配置界面3．右键点击RADIUS客户端，选择新建RADIUS客户端。

客户端地址为验证交换机的管理地址，点击下一步。

4.选择RADIUS Standard，共享机密为交换机中所配置的key。

点击完成。

5.右键点击远程访问策略，单击新建远程访问策略。

6.为策略取一个名字，点击下一步7.选择以太网，点击下一步8.选择用户，点击下一步1.使用MD5质询，点击下一步，并完成。

2.在右面板中右键点击所新建的策略，选择属性。

3.点击添加，选择Day-And-Time-Restrictions4.选择添加，选择允许，单击确定。

5.删除NAS-Port-Type匹配”Ethernet”，并选择授予访问权限6.单击编辑配置文件，选择高级-------添加选择添加[64]Tunnel-Type：VLAN[65]Tunnel-Medium-Type：802[81]Tunnel-Pvt-Group-ID：VLAN ID7.单击确定8.右键点击连接请求策略，选择新建连接请求策略9.选择自定义策略，并为该策略取个名字10.策略状况选择添加Day-And-Time-Restrictions,配置方法同上。

然后一直下一步并完成。

20．添加远程登录用户。

在本地用户和组中新建一个用户。

11.右键点击新建的用户，进入属性，选择隶属于，删除默认的USERS组21．点击拨入，设置为允许访问12.IAS配置完成。

13.VRV EDP Agent认证成功。

配置和部署IAS RADIUS在Windows Server 2003中，附带了一款稳定，安全和强健的RADIUS（也被称作AAA）服务器。

如果你在互联网上搜索有关Microsoft IAS的漏洞，你会发现根本找不到。

IAS服务已经安全的运行了数年而没有进行任何修补工作了。

如果你的Windows Server 2003主机已经设置成只允许IAS请求，同时防火墙也封闭了其它的端口，并且Windows Server 2003系统上没有运行其它服务，那么你可以确保这个IAS RADIUS服务器可以无故障的持续运行数年而不需要重新启动。

安装IAS插入Windows Server 2003的安装光盘，在控制面板区域打开“添加和删除程序”，并选择“安装和卸载Windows组件”即可。

之后你会看到如图一所示的窗口，通过下拉滚动条，找到“网络服务”。

由于我们不需要安装全部网络服务，因此应该高亮该项目，并选择“详细信息”按钮。

（图1.1）网络服务接下来你会看到如图 1.2所示的窗口，向下滚动，找到"Internet验证服务" （Internet Authentication Service）IAS 并选中。

（图1.2）选择IAS安装IAS后，你就可以通过管理工具或者开始菜单来启动IAS 了。

（图1.3）设置日志策略我们首先要做的是检查并设置日志策（图1.4）。

右键点击“Internet验证服务(本地)”，然后选择属性。

（图1.4）IAS 属性接下来会看到如图五所示的窗口。

如果选择了窗口下方的两个复选框，那么就可以通过Windows的事件查看器看到成功和失败的IAS验证请求了。

如果你喜欢使用文本或基于SQL的日志，就不需要选择这两项了，除非你希望通过各种途径都能查看到IAS的日志。

（图1.5）本地属性如果选择了“端口”标签，你会看到如（图1.6）所示的窗口。

其中显示了默认的RADIUS 端口，一般来说，我们都采用这些端口作为标准的RADIUS通信端口。

IEEE 802.1x协议IEEE 802.1x是一个基于端口的网络访问控制协议，该协议的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能，从而实现认证与业务的分离，保证了网络传输的效率。

IEEE 802系列局域网（LAN）标准占据着目前局域网应用的主要份额，但是传统的IEEE 802体系定义的局域网不提供接入认证，只要用户能接入集线器、交换机等控制设备，用户就可以访问局域网中其他设备上的资源，这是一个安全隐患，同时也不便于实现对局域网接入用户的管理。

IEEE 802.1x是一种基于端口的网络接入控制技术，在局域网设备的物理接入级对接入设备（主要是计算机）进行认证和控制。

连接在交换机端口上的用户设备如果能通过认证，就可以访问局域网内的资源，也可以接入外部网络（如Internet）；如果不能通过认证，则无法访问局域网内部的资源，同样也无法接入Internet，相当于物理上断开了连接。

IEEE 802. 1x协议采用现有的可扩展认证协议（Extensible Authentication Protocol，EAP），它是IETF提出的PPP协议的扩展，最早是为解决基于IEEE 802.11标准的无线局域网的认证而开发的。

虽然IEEE802.1x定义了基于端口的网络接入控制协议，但是在实际应用中该协议仅适用于接入设备与接入端口间的点到点的连接方式，其中端口可以是物理端口，也可以是逻辑端口。

典型的应用方式有两种：一种是以太网交换机的一个物理端口仅连接一个计算机；另一种是基于无线局域网（WLAN）的接入方式。

其中，前者是基于物理端口的，而后者是基于逻辑端口的。

目前，几乎所有的以太网交换机都支持IEEE 802.1x协议。

RADIUS服务器RADIUS（Remote Authentication Dial In User Service，远程用户拨号认证服务）服务器提供了三种基本的功能：认证（Authentication）、授权（Authorization）和审计（Accounting），即提供了3A功能。

WindowsServer2003关于IAS（Radius）域⽤户认证⽅式Windows Server 2003 关于IAS（Radius）+域⽤户的配置
⼀、安装Internet验证服务（IAS），略
⼆、配置IAS服务
新建Radius客户端
对应防⽕墙的IP，注意输⼊的共享密码与防⽕墙中输⼊的密码⼀致。

使IAS产⽣“远程访问记录”，以便于观察哪些⽤户使⽤VRC登录过VPN设备：
设置记录的内容选项：
设置⽇志⽂件的相关参数：
访问记录的范本：
设置远程访问策略：
设备访问策略的内容为：
1、加⼊域控制器上的VPN⽤户特定的⽤户组：radius（Windows-Groups 是由域控制器中⽣成，见下⾯新建域⽤户）；
2、规定可访问的时间：周⼀⾄周⽇所有时间（像防⽕墙中的时间策略）；
3、特别注意连接请求匹配条件；
4、编辑配置⽂件：
应该把所有加密选项全部去掉，使⽤未加密的⾝份验证：
配置“连接请求处理”：
对所有⽤户使⽤周⼀⾄周⽇的所有时间：
到⽬前为⽌，Radius服务器配置完毕。

只需要在域控制器上新建⽤户即可。

三、新建域⽤户
新建‘组织单位’，在其下⾯新‘安全组-全局’（在编辑配置⽂件时使⽤过）
新建⽤户，加⼊上述全局组中，并对⽤户设置相关权限：
远程访问权限需要设置成“允许访问”：
全部完成后，使⽤At-Vrc+Radius登录VPN设备就可以实现。

辽宁工程技术大学上机实验报告课程名称网络操作系统实验题目Windows Server 2003网络服务器安装与配置院系专业班级姓名学号实验日期实验目的安装IIS组件，建立及配置Web、FTP、SMTP服务器。

实验准备1.Windows Server 2003网络服务器安装与配置2.安装IIS组件，建立及配置Web、Ftp、SMTP服务器。

实验进度本次共有 3 个练习，完成 3 个。

实验内容1．安装IIS信息服务器一般情况下，Windows Server 2003服务器的默认安装，没有安装IIS6.0组件。

因此，IIS6.0需要另外单独安装。

安装方法如下：第1步：依次选择【开始】→【设置】→【控制面板】→【添加/删除程序】，第2步：在“添加/删除程序”对话框中选择【添加/删除Windows组件】，就会弹出的“Windows组件向导”对话框，添加或者删除程序对话框成绩Windows 组件向导对话框第3步：在Windows 组件向导对话框中选择“应用程序服务器”，单击【详细信息】，在其中选择“Internet 信息服务（IIS）”，单击【确定】，如图所示。

应用程序服务器对话框第4步：回到“Windows 组件向导”对话框中，单击【下一步】。

这时，需要在光驱中放入Windows Server 2003的系统安装盘，如图所示。

Windows 组件向导安装对话框第5步：安装完毕后，依次选择【开始】→【设置】→【控制面板】→【管理工具】→【Internet信息服务（IIS）管理器】，就会出现如图所示的“Internet信息服务”对话框。

图7-6 Internet信息服务对话框第6步：在IE浏览器的地址栏中输入“http://localhost”或者“http://你的计算机名字”或者“http://127.0.0.1”。

回车后，如果出现“建设中”字样，表示IIS安装成功，如图所示。

图7-7 成功安装IIS2．IIS的配置与管理基本Web站点的配置，操作步骤如下：第1步：依次选择【开始】→【设置】→【控制面板】→【管理工具】→【Internet信息服务（IIS）管理器】，展开“TEST（本地计算机）”（其中TEST为服务器的名称），然后展开“网站”。

RADIUS安装与配置1.安装RADIUS进入添加/删除程序中的添加/删除Windows组件，选择网络服务中的Internet验证服务2.安装IAS后，进入IAS配置界面3．右键点击RADIUS客户端，选择新建RADIUS客户端。

客户端地址为验证交换机的管理地址，点击下一步。

4.选择RADIUS Standard，共享机密为交换机中所配置的key。

点击完成。

5.右键点击远程访问策略，单击新建远程访问策略。

6.为策略取一个名字，点击下一步7.选择以太网，点击下一步8.选择用户，点击下一步1.使用MD5质询，点击下一步，并完成。

2.在右面板中右键点击所新建的策略，选择属性。

3.点击添加，选择Day-And-Time-Restrictions4.选择添加，选择允许，单击确定。

5.删除NAS-Port-Type匹配”Ethernet”，并选择授予访问权限6.单击编辑配置文件，选择高级-------添加选择添加[64]Tunnel-Type：VLAN[65]Tunnel-Medium-Type：802[81]Tunnel-Pvt-Group-ID：VLAN ID7.单击确定8.右键点击连接请求策略，选择新建连接请求策略9.选择自定义策略，并为该策略取个名字10.策略状况选择添加Day-And-Time-Restrictions,配置方法同上。

然后一直下一步并完成。

20．添加远程登录用户。

在本地用户和组中新建一个用户。

11.右键点击新建的用户，进入属性，选择隶属于，删除默认的USERS组21．点击拨入，设置为允许访问12.IAS配置完成。

13.VRV EDP Agent认证成功。

如何Windows2003 Radius服务器搭建1 目的为测试提供指导，加快测试效率，并为WLAN产品积累相应的测试案例。

2 范围1）适用于802.1x Radius测试。

4 术语和定义AP Access Point，接入点AC Access Controller，接入控制器WLAN Wireless Local Access Network，无线局域网VLANVirtual Local Area Network，虚拟局域网5 windows2003 Radius服务器安装步骤5.1 IIS安装在【控制面板->添加或删除程序->添加/删除Windows组件->应用程序服务器】中勾选“”，“Internet信息服务(IIS)”，“启用网络COM+访问”。

点击<确定>，插入Windows2003安装盘，点击<下一步>，完成IIS安装。

图5-1 IIS安装选项5.2 IAS(Internet验证服务)安装在【控制面板->添加或删除程序->添加/删除Windows组件->网络服务】中勾选“Internet 验证服务”，“域名系统(DNS)”。

点击<确定>，插入Windows2003安装盘，点击<下一步>，完成IAS安装。

图5-2 IAS安装选项5.3 Active Directory安装1、在运行栏输入“dcpromo”，进入AD安装向导。

图5-3 输入运行命令2、在安装向导页面点击<下一步>。

图5-4 开始安装向导3、点击<下一步>，继续安装。

图5-5 操作系统兼容性信息4、选择<新域的域控制器>，点击<下一步>。

图5-6 域控制类型5、选择<在新林中的域>，点击<下一步>。

图5-7 创建新域6、输入新的域名，点击<下一步>。

图5-8 新域名7、点击<下一步>，继续安装。

windows2003域服务器建立按照网络架构，一般网络中的PC 数目低于10台，则建议建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控? 我们现在就动手实践一下:本篇文章中所有的成员服务器均采用微软的Windows Server 2003，客户端则采用Windows XP。

首先，当然是在成员服务器上安装上Windows Server 2003，安装成功后进入系统，我们要做的第一件事就是给这台成员服务器指定一个固定的IP ，在这里指定情况如下:机器名:ServerIP:192.168.5.1子网掩码:255.255.255.0DNS:192.168.5.1(因为我要把这台机器配置成DNS 服务器由于Windows Server 2003在默认的安装过程中DNS 是不被安装的，所以我们需要手动去添加，添加方法如下:“开始—设置—控制面板—添加删除程序”，然后再点击“添加/删除Windows 组件”，则可以看到如下画面:向下搬运右边的滚动条，找到“网络服务”，选中:默认情况下所有的网络服务都会被添加，可以点击下面的“详细信息”进行自定义安装，由于在这里只需要DNS ，所以把其它的全都去掉了，以后需要的时候再安装:然后就是点“确定”，一直点“下一步”就可以完成整个DNS 的安装。

在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中，否则会出现找不到文件的提示，那就需要手动定位了。

安装完DNS 以后，就可以进行提升操作了，先点击“开始—运行”，输入“Dcpromo ”，然后回车就可以看到“Active Directory 安装向导”在这里直接点击“下一步”:这里是一个兼容性的要求，Windows 95及NT 4 SP3以前的版本无法登陆运行到Windo ws Server 2003的域控制器，我建议大家尽量采用Windows 2000及以上的操作系统来做为客户端。

Radius Server使用手册一、Radius Server配置（IAS）1、操作系统配置安装Server 20032、安装IAS 服务开始菜单->设置->控制面板->添加或删除程序->添加/删除Windows 组件。

安装网络服务，点击详细信息查看确认Internet 验证服务选取，下一步安装。

安装过程中会出现设定静态IP 地址，这是个可选项。

图2图3图43、安装Active Directory（AD）开始菜单->程序->管理工具->配置您的服务向导。

连续几个下一步到达服务器角色界面，选择域控制器（Active Directory）（图5），连续下一步到达（图6）界面，选择新域的域控制器，在创建一个新域中选择在新林中的域。

下一步。

输入DNS（图7），下一步，时间较长。

系统会生成一个NetBIOS 名，也可以自定义（图8）。

连续下一步到DNS 注册诊断（图9），下一步（图10），下一步，设置还原密码（图11），下一步，下一步。

域控制器安装结束重启，安装完AD后，计算机开机速度明显下降。

图5图6图7图8图9图10图114、安装证书服务开始菜单->设置->控制面板->添加或删除程序->添加/删除Windows 组件安装证书服务（图12）安装完AD域控制器后（图13），才有企业根证书选项可选（图14）。

设置受信任证书颁发机构名SES（图15），一路确定下去，完成安装，在系统盘下就会出现CA 证书（图16）。

图12图13图14图15图165、路由器或AP上Radius 服务配置一般要设置以下几项：Radius服务器IP：192.168.1.100Radius 端口：1812（默认或与Radius服务器设置对应）Radius密码：1234567（专业术语Radius Secret，客户端密码）6、Radius服务器端配置（1）基本设置开始菜单->程序->管理工具->Internet 验证服务，右击Internet 验证服务器（本地）属性(图17)查看端口号（图18）远程访问记录->本地文档->属性->设置，选择记录记录（图19），日志档中创新日志文档选择每天（便于分析测试Log，适用于测试环境）。

win2003下构建RADIUS服务器-VLAN守望者的日志-网易博客win2003 下构建RADIUS服务器默认分类2008-08-29 17:25:13 阅读225 评论1 字号：大中小订阅一、本文重点：① 远程访问策略的配置；② 启用用户“通过远程访问策略控制访问”；③ 在win2k中配置防火墙的vsa值。

二、W2K中RADIUS服务器的安装过程及与NS-204相连的步骤1.安装环境说明：局域网服务器（1台）IP：192.168.1.1局域网用户(DHCP)IP：防火墙NS-204 信任端IP：192.168.1.2主要作用是让局域网用户在经过防火墙时，防火墙会向局域网RADIUS服务器进行用户身份验证，通过验证后方能上网。

2.安装服务器W2K安装过程基本上按默认方式进行，但在添加组件时必须选上以下组件：――管理和监视工具、终端服务、终端服务授权及网络服务中的INTERNET验证服务、QOS许可控制服务、WINS、DHCP、DNS、简单PCP/IP。

3．配置INTERNET验证服务3.1 添加新客户端进入“INTERNET验证服务”――右键单击“客户端”――“新建客户端”――自定义一个客户端名如“netscreen”――“下一步”――输入NS204管理IP“192.168.1.2”――“验证”――“解析”――搜索结果中出现192.168.1.1则说明网络连接正常，否则请用PING检查服务器与防火墙的网络连接是否正常――“使用此IP”――“确定”――输入“共享机密”和“确认共享机密”如123456――“完成”3.2启用wind2k用户的通过远程访问策略控制访问单击“远程访问策略”――右键单击“如果启用拨入许可，就允许访问”――“属性”――选择“授予远和访问权限”――“编辑配置文件”――“身份验证”――在MS-CHAP V2、MS-CHAP、CHAP、PAP,SPAP选项上打勾――“确定”――“确定”说明:如果是win2003 server 就没有必要起用以上3.2的配置,因为win2003 server已经默认启用了wind2k用户的通过远程访问策略控制访问.只需另建一个远程访问策略,其配置步骤如下。

Radius与IAS的运作流程Radius是一种C/S的通讯协议,它使Radius客户端可以将验证用户身份、授权与记帐等工作转给Radius服务器来运行；或是转给Radius代理服务器，然后再由它转给另外一台Radius服务器。

您可以利用Windows Server 2003内的IAS，来架设Radius服务器或是Radius代理服务器。

IAS可以让Windows Server 2003扮演Radius服务器，而其Radius客户端可以是远程访问服务器、VPN服务器或无线接入点等存取服务器。

IAS服务器扮演Radius服务器的角色，它可以替Radius客户端来运行验证用户身份、授权与记帐的工作。

其运作流程如下：1、远程访问服务器、VPN服务器或无线接入点等存取服务器接收来自客户端的连接请求。

2、存取服务器会转而请求IAS RADIUS服务器来运行验证、授权与记帐的工作。

3、IAS RADIUS服务器会检查用户的帐户名称与密码是否正确，并且利用用户的帐户设置与远程访问策略内的设置，来决定用户是否有权限来连接。

4、若用户有权限来连接，它会通知存取服务器，再由存取服务器让客户端来开始连接。

同时存取服务器也会通知IAS RADIUS服务器将此次的连接请求记录下来。

IAS RADIUS服务器在检查用户身份与帐户设置时，它可以从以下所列的用户帐户数据库中得到这些信息：➢IAS RADIUS服务器的本机安全性，也就是SAM➢Windows nt 4 的域用户帐户数据库➢Active Directory数据库后两者要求IAS RADIUS服务器必须是域的成员，此时它所读取的帐户可以是所属域内的帐户，或是有双向信任关系的其它域内的帐户。

若未将验证、授权与记帐的工作转给RADIUS服务器，则每一台远程访问服务器或VPN服务器必须自己运行这些工作，因此每一台远程访问服务器或VPN 服务器都需要有自己的远程访问策略与远程访问记录文件，如此将增加维护这些信息的负担。