安装和配置网络策略服务器

安装、配置和故障解除网络策略服务器角色服务本章概述 本章帮助学员安装、配置网络访问服务器（NPS）服务角色并进行故障解除。教学目标：安装和配置网络策略服务器配置远程身份验证拨入用户服务(RADIUS)客户端和服务器描述NPS身份验证方法对网络策略服务器进行监视和故障解除教学重点：安装和配置网络策略服务器配置远程身份验证拨入用户服务(RADIUS)客户端和服务器描述NPS身份验证方法对网络策略服务器进行监视和故障解除教学难点：对网络策略服务器进行监视和故障解除教学资源：课本学问点安装和配置网络策略服务器配置RAIDUS客户端和服务器NPS身份验证方法对网络策略服务器进行监视和故障解除试验试验1：安装和配置网络策略服务器角色服务试验2：配置RADIUS客户端试验3：配置证书自动注册其他电子教案、试验报告、试验答案建议学时数课堂教学（2课时）+试验教学（2课时） 安装和配置网络策略服务器教学提示：本部分主要达到以下目的：驾驭安装网络策略服务器的方法教学内容和方法网络策略服务器描述NPS角色服务。学员应当理解路由和远程访问服务器上创建的策略对于承载该角色的服务器来说是本地的。在RADIUS(NPS)状况下，多个远程访问服务（RAS）服务器可在一个地方存储全部策略—NPSRADIUS服务器—因此在单个RAS服务器上无需重复策略。运用RADIUS身份验证和授权服务时也有具体的日志和记账信息。参考资料帮助主题：网络策略服务器网络策略服务器运用场景向学员说明网络访问爱护（NAP）场景须要NPS来评估连接到网络的NAP客户端计算机发送的SoH（健康声明）。客户端的健康状况与服务器的NAP策略相比较，然后确定是否授予访问权限。后续内容将具体探讨。爱护有线/无线访问须要802.1X身份验证交换机和支持802.1X的无线访问点。RADIUS为远程访问供应集中的策略管理。它也用于终端服务器的连接授权策略。参考资料MicrosoftTechNet：WindowsServer2008TechnicalLibrary：演示：如何安装网络策略服务器从服务器管理器中的添加角色中安装网络策略和访问服务。在选择角色服务页面中，选择网络策略服务器，单击下一步，然后单击安装。从管理工具菜单中打开NPS管理工具。用于管理网络策略服务器的工具安装完成后，运用NPS限制台只能管理本地NPS服务器。对于远程NPS管理，运用NPSMicrosoft管理限制台（MMC）管理单元。netsh吩咐行工具也可用于NPS管理任务。参考资料帮助主题：NPS限制台帮助主题：用于网络策略服务器（NPS）的Netsh吩咐。演示：配置常规NPS设置演示如何配置常规的NPS设置：打开NPS限制台：单击起先，指向管理工具，然后单击网络策略服务器。从限制台树中，右键单击NPS（本地），依据任务选择导入或导出：假如是导入，在导入NPS配置页面中，阅读到想要运用的.xml配置文件。假如是导出，选择我知道我正在导出全部共享机密选项。而且，MicrosoftSQLServer日志设置没有导出到文件中。必需在导入配置文件的服务器上手动配置SQL。单击确定，然后指定XML文件保存的文件名和位置。要启动并停止NPS服务，从限制台树中右键单击NPS(本地)，然后从上下文菜单选择合适的操作。因为NPS通过网络策略和检查ActiveDirectory书目服务中用户帐户的拨入属性进行授权，所以服务器必需在ActiveDirectory中注册。在限制台树中右键单击NPS（本地），然后单击在ActiveDirectory中注册服务器。

留意：运用netsh吩咐在默认域中注册NPS服务器：通过具有域管理凭据的帐户注册到NPS服务器打开吩咐提示符。在吩咐提示符下输入：netshrasaddregisteredserver参考资料帮助主题：在ActiveDirectory中注册NPS服务器配置RAIDUS客户端和服务器教学提示：本部分主要达到以下目的：驾驭配置RAIDUS客户端和服务器的方法教学内容和方法RADIUS客户端向学员强调客户端计算机，如无线笔记本和其他运行客户端操作系统的计算机，都不是RADIUS客户端。RADIUS客户端是网络访问设备，可为来自有线局域网（LAN）、无线环境和远程访问方案的用户供应连接性。参考资料帮助主题：RADIUS客户端RADIUS代理说明将NPS配置成RADIUS代理时，它从RADIUS客户端接收连接恳求然后转发到适当的RADIUS服务器或其它RADIUS代理以便进一步的路由操作。

说明何时须要RADIUS代理：你是供应外包拨号、VPN或无线网络访问服务的服务供应商。连接恳求依据其领域名称被转发到客户维护的RADIUS服务器，进行身份验证和授权。你想要为非ActiveDirectory成员的用户帐户供应身份验证和授权。你想要运用非Windows帐户数据库的数据库进行身份验证和授权。你想要在多个RADIUS服务器之间对连接恳求进行负载平衡。你想要为外包服务供应商供应RADIUS，并且希望通过防火墙限制通信类型。

询问学员代理有用的一些场合。让学员主动参加探讨，加深他们的理解。参考资料帮助主题：RADIUS代理演示：配置RADIUS客户端演示如何：运用NPS限制台添加RADIUS客户端：在NPS限制台，在限制台树中单击RADIUS客户端和服务器，在具体的窗格中，单击配置RADIUS客户端。右键单击RADIUS客户端，然后单击新建Radius客户端。在新建Radius客户端对话框中填写内容，然后单击确定。运用路由和远程访问限制台将路由和远程访问配置成RADIUS客户端：在路由和远程访问限制台，右键单击servername，然后单击属性。在平安标签，将RADIUS指定为身份验证供应者属性。在平安标签上对审计供应者做相同操作。留意：假如NPS安装在相同的服务器上，那么配置身份验证和审计的对话框不会出现。相反，你运用NPS来创建身份验证策略。参考资料路由和远程访问帮助主题：服务器属性-平安选项卡帮助主题：添加新RADIUS客户端配置连接恳求处理强调多个远程访问服务器的状况最好运用RADIUS，因为全部的策略一旦在NPS创建后会集中存储。描述RADIUS服务器组在负载平衡操作中实现的好处。对于端口，讲解防火墙外部RADIUS代理，以及允许UDP1812/1645和1813/1646在内部打开代理和RADIUS服务器间通信的防火墙策略所带来的好处。参考资料帮助主题：远程RADIUS服务器组帮助主题：配置NPSUDP端口信息连接恳求策略对每个策略探讨3个部分：概述（启用/禁用）条件设置（身份验证与记账行为）从管理工具中启动NPS限制台打开NPS中的默认策略。绽开限制台树中的策略，选连接恳求策略，然后双击默认策略查看设置。询问学员须要客户连接策略的一些场景。包括多个策略用于不同的领域名称用于RADIUS身份验证和授权，或者须要不同记账服务器的状况。

参考资料帮助主题：连接恳求策略NPS帮助主题：连接恳求策略演示：创建新的连接恳求策略演示如何运用Windows界面添加新连接恳求以及如何禁用策略。留意：须要是DomainAdmins组、EnterpriseAdmins组或者本地计算机上的Administrators组成员身份来完成该步骤。运用Windows界面添加新连接恳求策略：打开NPS限制台，然后双击策略。在限制台树中，右键单击连接恳求策略，然后单击新建。运用新连接恳求策略向导配置连接恳求策略（假如没有事先配置）和远程RADIUS服务器组。留意：这些策略的处理依次是从上至下，所以要确保依据你须要的处理依次支配策略。要禁用一个策略：在细微环节窗格中右键单击策略，从上下文菜单中单击禁用。你也可以打开策略，然后在概述标签中放弃选择策略已启用。在NPS中创建定制策略后，你可以删除默认策略或者将其移动到列表底部以便最终处理。要删除默认策略，右键单击策略，然后从上下文菜单单击删除。参考资料帮助主题：添加连接恳求策略帮助主题：连接恳求处理NPS身份验证方法教学提示：本部分主要达到以下目的：驾驭NPS身份验证的方法教学内容和方法基于密码的身份验证方法基于密码的身份验证无法供应很强的平安性。因此，我们不举荐运用。允许运用基于密码的身份验证时，会从最平安（MS-CHAPv2）的处理方式变为最担心全（未经身份验证）的处理方式。确保学员相识到假如运用该服务的客户端都是MS客户端，那么MS-CHAPv2应当是唯一的基于密码的解决方案。假如必需支持非MS客户端，那么可运用质询握手身份验证协议（CHAP）。密码身份验证协议（PAP）是明文，因此任何嗅探工具都可以俘获明文的文本传输。来宾帐号的访问须要未经身份验证的访问，我们不举荐运用。参考资料帮助主题：基于密码的身份验证方法运用证书进行身份验证确保学员理解基于证书的身份验证是NPS中最强的身份验证，我们剧烈举荐运用这种方式。绽开关于承载自己证书服务器优缺点的探讨，以及运用公共证书授权（CA）供应商满意证书需求有哪些优缺点。参考资料帮助主题：证书和NPSNPS身份验证方法所需证书说明可以运用专用或公共CA满意证书需求。然而，专用CA对于多数公司来说是最节约成本的方案。运用证书就无需采纳基于密码的担心全的身份验证方法，可以避开额外的管理和配置成本。增加的成本小于运用CA后增加的平安性。参考资料帮助主题：PEAP和EAP的证书要求帮助主题：证书和NPS为PEAP和EAP部署证书说明通过自动注册功能，企业用户和计算机的证书部署可得到极大简化。借助基础结构使尽可能多的过程自动化。探讨部署受爱护扩展身份验证协议(PEAP)和扩展身份验证协议（EAP）的指导原则：对于域计算机和用户帐户，组策略中的自动注册可用于自动获得必要证书，在下一个组策略刷新间隔内进行身份验证，或者运用GPupdate强制组策略刷新。非域成员注册须要管理员要求运用CAWeb注册工具恳求用户或计算机证书。管理员必需将计算机或用户证书保存到软盘或其它可移动媒体，然后在非域组计算机上手动安装证书。计算机不行用时，管理员信任的域用户可以安装证书。管理员可以在智能卡上发布用户证书。

参考资料帮助主题：证书和NPS帮助主题：EAP和NPS帮助主题：PEAP和NPS对网络策略服务器进行监视和故障解除教学提示：本部分主要达到以下目的：驾驭网络策略服务器的监视方法以及故障解除方法教学内容和方法用于监视NPS的方法描述日志的最佳做法：为身份验证和记账记录启用日志。依据环境进行修改。确保配置的事务日志有足够容量可以维护日志。定期备份日志，因为假如损坏或者删除它们无法重建。在不同子网上运用冗余SQL服务器进行数据库复制。运用RADIUS类属性进行运用跟踪，明确对哪个部门或用户收运用费。运用NPS日志记录最佳做法信息相关的资源。参考资料帮助主题：NPS最佳实践配置日志文件属性确保学员理解任何发生的日志记录都应当在系统分区之外，并且应进行配置，保证收集到的数据对运用NPS的企业最有用。指出输出可通过管道发送到外部的应用程序，对于网络位置也可以指定UNC路径。NPSparse.exe可用于查看日志数据。

参考资料帮助主题：配置日志文件属性帮助主题：NPS最佳实践配置SQLServer日志假如SQL可用，最好将日志记录到SQL实例。可以配置SQL和NPS之间最大的并发会话数量。说明如何在NPS中配置SQL服务器日志记录：打开网络策略服务器MMC，在限制台树中单击记账。在细微环节窗格的SQLServer日志中，单击配置SQLServer日志记录。打开SQLServer日志记录对话框。指定你想要记录在将以下信息记录到日志区域中的信息。配置NPS和SQL之间并发连接的最大数量。单击配置以配置SQLServer数据源。参考资料帮助主题：在NPS中配置SQL日志配制须要在事务查看器中记录的NPS事务说明连接恳求可能因为各种缘由被拒绝或者忽视，包括：未依据RFC2865或2866设置RADIUS消息的格式。RADIUS客户端是未知的。RADIUS客户端具有多个IP地址，并已向非NPS中定义的地址发送了恳求。共享机密无效。客户端发送的消息身份验证器（也成为数字签名）无效。NPS无法找到该用户名的域。NPS无法连接到该用户名的域。NPS无法访问域中的用户帐户。NPS拒绝连接恳求时，事务文本中的信息包括用户名、访问服务器标识、身份验证类型、第一个匹配网络策略的名称、拒绝的缘由以及其他信息。NPS接受连接恳求时，事务文本中的信息包括用户名、访问服务器标识符、身份验证类型和第一个匹配网络策略的名称。

记录Schannel事务平安通道(Schannel)是一个平安支持供应程序(SSP)，它支持一组Internet平安协议，如置平安套接字层(SSL)和传输层平安(TLS)。这些协议通过加密供应身份验证和平安保密的通信。对客户端证书验证失败进行记录是一项平安通道事务，但默认状况下在运行NPS的服务器上未被启用。通过将以下注册表项值从1（REG_DWORD类型，数据0x00000001）更改为3（REG_DWORD类型，数据0x00000003），可以启用其他平安通道事务：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\EventLogging试验目标：安装网络策略服务器角色服务并配置网络策略服务器设置配置RADIUS客户端配置证书自动注册场景：Windows基础结构服务技术专员的任务是在现有的基础结构中安装并配置网络策略服务器，可用于NAP、无线和有线访问、RADIUS以及RADIUS代理。试验7-1：安装和配置网络策略服务器角色服务学员要安装NPS角色服务并配置一般的服务器设置，诸如ActiveDirectory注册。试验7-2：配置RADIUS客户端给定场景和网络图后，学员可配置RADIUS客户端。试验7-3：配置证书自动注册学员将配置并部署证书自动注册以支持高级身份验证。

条件：供应的场景虚拟机（一个配置成CA）结果：安装和配置好的NPS角色服务配置了客户端设置的RADIUS服务器计算机获得自动注册证书进行身份验证试验回顾问题问题：RADIUS代理可供应什么？回答：把NPS用作RADIUS代理时，NPS转发连接恳求到NPS或其他RADIUS服务器进行处理。正因为如此，NPS代理的域成员身份是无关的。代理无需在ActiveDirectory中注册，因为它无需访问用户帐户的拨入属性。此外，你无需在NPS代理配置网络策略，因为代理不会对连接恳求进行授权。NPS代理可能是域成员或者也可以是没有域成员身份的单独服务器。问题：什么是RADIUS客户端？并请举出RADIUS客户端的一些示例。回答：网络访问服务器（NAS）是为大型网络供应某些访问权限的设备。运用RADIUS基础结构的NAS也是RADIUS客户端，它发送连接恳求和记账消息到RADIUS服务器进行身份验证、授权和记账。网络访问服务器的例子包括：供应对组织网络或Internet的远程访问连接的网络访问服务器。例如，运行WindowsServer2008操作系统和路由和远程访问服务，并且供应到组织的Intranet传统拨号或虚拟专用网络(VPN)远程访问服务的计算机。运用基于无线的传输和接收技术，供应对组织网络的物理层访问权限的无线访问点。运用传统的LAN技术（如Ethernet），供应对组织网络的物理层访问权限的交换机。将连接恳求转发到RADIUS服务器的RADIUS代理，该RADIUS服务器是在RADIUS代理上配置的远程RADIUS服务器组的成员。习题答案简答题问题：为什么必需在ActiveDirectory中注册NPS服务器？回答：当NPS是ActiveDirectory域的成员时，NPS比较从网络访问服务器中收到的凭据和ActiveDirectory针对该用户帐户保存的凭据，从而进行身份验证。NPS通过网络策略和检查ActiveDirectory中用户帐户拨入属性来对连接恳求进行授权。NPS服务器必需注册在ActiveDirectory之中才能访问用户帐户凭据和拨入属性。问题：如何可以最有效地运用NPS日志功能？回答：通过如下任务最有效地利用NPS日志功能：打开身份验证和记账记录日志(初始)。确定哪些修改对环境比较适合后作出修改。确保事务日志记录配置了足够空间来维护记录。定期备份日志，因为假如损坏或者删除它们无法再次创建。运用RADIUS类属性来进行运用跟踪，简化部门或用户运用费用的确认。虽然自动生成的类属性对每个恳求都是唯一的，但假如对访问服务器的回复丢失并且重发恳求时，就会出现重复的记录。你可能须要从日志中删除重复恳求才能保证运用跟踪精确无误。通过SQLServer日志记录供应故障复原和冗余，在不同子网上放置