安装和配置网络策略服务器.docx
《安装和配置网络策略服务器.docx》由会员分享,可在线阅读,更多相关《安装和配置网络策略服务器.docx(15页珍藏版)》请在冰点文库上搜索。
安装和配置网络策略服务器
安装、配置和故障排除网络策略服务器角色服务
本章概述
本章帮助学员安装、配置网络访问服务器(NPS)服务角色并进行故障排除。
教学目标:
∙安装和配置网络策略服务器
∙配置远程身份验证拨入用户服务(RADIUS)客户端和服务器
∙描述NPS身份验证方法
∙对网络策略服务器进行监视和故障排除
教学重点:
1.安装和配置网络策略服务器
2.配置远程身份验证拨入用户服务(RADIUS)客户端和服务器
3.描述NPS身份验证方法
4.对网络策略服务器进行监视和故障排除
教学难点:
1.对网络策略服务器进行监视和故障排除
教学资源:
课本
知识点
1.安装和配置网络策略服务器
2.配置RAIDUS客户端和服务器
3.NPS身份验证方法
4.对网络策略服务器进行监视和故障排除
实验
实验1:
安装和配置网络策略服务器角色服务
实验2:
配置RADIUS客户端
实验3:
配置证书自动注册
其他
电子教案、实验报告、实验答案
建议学时数
课堂教学(2课时)+实验教学(2课时)
7.1安装和配置网络策略服务器
教学提示:
本部分主要达到以下目的:
●掌握安装网络策略服务器的方法
教学内容和方法
7.1.1网络策略服务器
描述NPS角色服务。
学员应当理解路由和远程访问服务器上创建的策略对于承载该角色的服务器来说是本地的。
在RADIUS(NPS)情况下,多个远程访问服务(RAS)服务器可在一个地方存储所有策略—NPSRADIUS服务器—因此在单个RAS服务器上无需重复策略。
使用RADIUS身份验证和授权服务时也有详细的日志和记账信息。
参考资料
帮助主题:
网络策略服务器
7.1.2网络策略服务器使用场景
向学员解释网络访问保护(NAP)场景需要NPS来评估连接到网络的NAP客户端计算机发送的SoH(健康声明)。
客户端的健康状况与服务器的NAP策略相比较,然后决定是否授予访问权限。
后续内容将详细讨论。
保护有线/无线访问需要802.1X身份验证交换机和支持802.1X的无线访问点。
RADIUS为远程访问提供集中的策略管理。
它也用于终端服务器的连接授权策略。
参考资料
MicrosoftTechNet:
WindowsServer2008TechnicalLibrary:
7.1.3演示:
如何安装网络策略服务器
从服务器管理器中的添加角色中安装网络策略和访问服务。
在选择角色服务页面中,选择网络策略服务器,单击下一步,然后单击安装。
从管理工具菜单中打开NPS管理工具。
7.1.4用于管理网络策略服务器的工具
安装完成后,使用NPS控制台只能管理本地NPS服务器。
对于远程NPS管理,使用NPSMicrosoft管理控制台(MMC)管理单元。
netsh命令行工具也可用于NPS管理任务。
参考资料
●帮助主题:
NPS控制台
●帮助主题:
用于网络策略服务器(NPS)的Netsh命令。
7.1.5演示:
配置常规NPS设置
演示如何配置常规的NPS设置:
●打开NPS控制台:
⏹单击开始,指向管理工具,然后单击网络策略服务器。
⏹从控制台树中,右键单击NPS(本地),根据任务选择导入或导出:
●如果是导入,在导入NPS配置页面中,浏览到想要使用的.xml配置文件。
●如果是导出,选择我知道我正在导出所有共享机密选项。
而且,MicrosoftSQLServer日志设置没有导出到文件中。
必须在导入配置文件的服务器上手动配置SQL。
单击确定,然后指定XML文件保存的文件名和位置。
●要启动并停止NPS服务,从控制台树中右键单击NPS(本地),然后从上下文菜单选择合适的操作。
●因为NPS通过网络策略和检查ActiveDirectory目录服务中用户帐户的拨入属性进行授权,所以服务器必须在ActiveDirectory中注册。
在控制台树中右键单击NPS(本地),然后单击在ActiveDirectory中注册服务器。
注意:
使用netsh命令在默认域中注册NPS服务器:
●通过具有域管理凭据的帐户注册到NPS服务器
●打开命令提示符。
●在命令提示符下输入:
netshrasaddregisteredserver
参考资料
帮助主题:
在ActiveDirectory中注册NPS服务器
7.2配置RAIDUS客户端和服务器
教学提示:
本部分主要达到以下目的:
●掌握配置RAIDUS客户端和服务器的方法
教学内容和方法
7.2.1RADIUS客户端
向学员强调客户端计算机,如无线笔记本和其他运行客户端操作系统的计算机,都不是RADIUS客户端。
RADIUS客户端是网络访问设备,可为来自有线局域网(LAN)、无线环境和远程访问方案的用户提供连接性。
参考资料
帮助主题:
RADIUS客户端
7.2.2RADIUS代理
说明将NPS配置成RADIUS代理时,它从RADIUS客户端接收连接请求然后转发到适当的RADIUS服务器或其它RADIUS代理以便进一步的路由操作。
说明何时需要RADIUS代理:
●你是提供外包拨号、VPN或无线网络访问服务的服务提供商。
连接请求根据其领域名称被转发到客户维护的RADIUS服务器,进行身份验证和授权。
●你想要为非ActiveDirectory成员的用户帐户提供身份验证和授权。
●你想要使用非Windows帐户数据库的数据库进行身份验证和授权。
●你想要在多个RADIUS服务器之间对连接请求进行负载平衡。
●你想要为外包服务提供商提供RADIUS,并且希望通过防火墙限制通信类型。
询问学员代理有用的一些场合。
让学员积极参与讨论,加深他们的理解。
参考资料
帮助主题:
RADIUS代理
7.2.3演示:
配置RADIUS客户端
演示如何:
●使用NPS控制台添加RADIUS客户端:
⏹在NPS控制台,在控制台树中单击RADIUS客户端和服务器,在详细的窗格中,单击配置RADIUS客户端。
⏹右键单击RADIUS客户端,然后单击新建Radius客户端。
⏹在新建Radius客户端对话框中填写内容,然后单击确定。
●使用路由和远程访问控制台将路由和远程访问配置成RADIUS客户端:
⏹在路由和远程访问控制台,右键单击servername,然后单击属性。
⏹在安全标签,将RADIUS指定为身份验证提供者属性。
在安全标签上对审计提供者做相同操作。
注意:
如果NPS安装在相同的服务器上,那么配置身份验证和审计的对话框不会出现。
相反,你使用NPS来创建身份验证策略。
参考资料
●路由和远程访问帮助主题:
服务器属性-安全选项卡
●帮助主题:
添加新RADIUS客户端
7.2.4配置连接请求处理
强调多个远程访问服务器的情况最好使用RADIUS,因为所有的策略一旦在NPS创建后会集中存储。
描述RADIUS服务器组在负载平衡操作中实现的好处。
对于端口,讲解防火墙外部RADIUS代理,以及允许UDP1812/1645和1813/1646在内部打开代理和RADIUS服务器间通信的防火墙策略所带来的好处。
参考资料
●帮助主题:
远程RADIUS服务器组
●帮助主题:
配置NPSUDP端口信息
7.2.5连接请求策略
对每个策略讨论3个部分:
●概述(启用/禁用)
●条件
●设置(身份验证与记账行为)
从管理工具中启动NPS控制台打开NPS中的默认策略。
展开控制台树中的策略,选连接请求策略,然后双击默认策略查看设置。
询问学员需要客户连接策略的一些场景。
包括多个策略用于不同的领域名称用于RADIUS身份验证和授权,或者需要不同记账服务器的情况。
参考资料
●帮助主题:
连接请求策略
●NPS帮助主题:
连接请求策略
7.2.6演示:
创建新的连接请求策略
演示如何使用Windows界面添加新连接请求以及如何禁用策略。
注意:
需要是DomainAdmins组、EnterpriseAdmins组或者本地计算机上的Administrators组成员身份来完成该步骤。
●使用Windows界面添加新连接请求策略:
⏹打开NPS控制台,然后双击策略。
⏹在控制台树中,右键单击连接请求策略,然后单击新建。
⏹使用新连接请求策略向导配置连接请求策略(如果没有事先配置)和远程RADIUS服务器组。
注意:
这些策略的处理顺序是从上至下,所以要确保根据你需要的处理顺序安排策略。
●要禁用一个策略:
⏹在细节窗格中右键单击策略,从上下文菜单中单击禁用。
你也可以打开策略,然后在概述标签中放弃选择策略已启用。
⏹在NPS中创建定制策略后,你可以删除默认策略或者将其移动到列表底部以便最后处理。
要删除默认策略,右键单击策略,然后从上下文菜单单击删除。
参考资料
●帮助主题:
添加连接请求策略
●帮助主题:
连接请求处理
7.3NPS身份验证方法
教学提示:
本部分主要达到以下目的:
●掌握NPS身份验证的方法
教学内容和方法
7.3.1基于密码的身份验证方法
基于密码的身份验证无法提供很强的安全性。
因此,我们不推荐使用。
允许使用基于密码的身份验证时,会从最安全(MS-CHAPv2)的处理方式变为最不安全(未经身份验证)的处理方式。
确保学员认识到如果使用该服务的客户端都是MS客户端,那么MS-CHAPv2应当是唯一的基于密码的解决方案。
如果必须支持非MS客户端,那么可使用质询握手身份验证协议(CHAP)。
密码身份验证协议(PAP)是明文,因此任何嗅探工具都可以俘获明文的文本传输。
来宾帐号的访问需要未经身份验证的访问,我们不推荐使用。
参考资料
帮助主题:
基于密码的身份验证方法
7.3.2使用证书进行身份验证
确保学员理解基于证书的身份验证是NPS中最强的身份验证,我们强烈推荐使用这种方式。
展开关于承载自己证书服务器优缺点的讨论,以及使用公共证书授权(CA)供应商满足证书需求有哪些优缺点。
参考资料
帮助主题:
证书和NPS
7.3.3NPS身份验证方法所需证书
解释可以使用专用或公共CA满足证书需求。
然而,专用CA对于多数公司来说是最节省成本的方案。
使用证书就无需采用基于密码的不安全的身份验证方法,可以避免额外的管理和配置成本。
增加的成本小于使用CA后增加的安全性。
参考资料
●帮助主题:
PEAP和EAP的证书要求
●帮助主题:
证书和NPS
7.3.4为PEAP和EAP部署证书
说明通过自动注册功能,企业用户和计算机的证书部署可得到极大简化。
借助基础结构使尽可能多的过程自动化。
讨论部署受保护扩展身份验证协议(PEAP)和扩展身份验证协议(EAP)的指导原则:
●对于域计算机和用户帐户,组策略中的自动注册可用于自动获得必要证书,在下一个组策略刷新间隔内进行身份验证,或者使用GPupdate强制组策略刷新。
●非域成员注册需要管理员要求使用CAWeb注册工具请求用户或计算机证书。
●管理员必须将计算机或用户证书保存到软盘或其它可移动媒体,然后在非域组计算机上手动安装证书。
计算机不可用时,管理员信任的域用户可以安装证书。
●管理员可以在智能卡上发布用户证书。
参考资料
●帮助主题:
证书和NPS
●帮助主题:
EAP和NPS
●帮助主题:
PEAP和NPS
7.4对网络策略服务器进行监视和故障排除
教学提示:
本部分主要达到以下目的:
●掌握网络策略服务器的监视方法以及故障排除方法
教学内容和方法
7.4.1用于监视NPS的方法
描述日志的最佳做法:
●为身份验证和记账记录启用日志。
根据环境进行修改。
●确保配置的事件日志有足够容量可以维护日志。
●定期备份日志,因为如果损坏或者删除它们无法重建。
●在不同子网上使用冗余SQL服务器进行数据库复制。
●使用RADIUS类属性进行使用跟踪,明确对哪个部门或用户收使用费。
●使用NPS日志记录最佳做法信息相关的资源。
参考资料
帮助主题:
NPS最佳实践
7.4.2配置日志文件属性
确保学员理解任何发生的日志记录都应当在系统分区之外,并且应进行配置,保证收集到的数据对使用NPS的企业最有用。
指出输出可通过管道发送到外部的应用程序,对于网络位置也可以指定UNC路径。
NPSparse.exe可用于查看日志数据。
参考资料
●帮助主题:
配置日志文件属性
●帮助主题:
NPS最佳实践
7.4.3配置SQLServer日志
如果SQL可用,最好将日志记录到SQL实例。
可以配置SQL和NPS之间最大的并发会话数量。
解释如何在NPS中配置SQL服务器日志记录:
●打开网络策略服务器MMC,在控制台树中单击记账。
●在细节窗格的SQLServer日志中,单击配置SQLServer日志记录。
打开SQLServer日志记录对话框。
●指定你想要记录在将以下信息记录到日志区域中的信息。
●配置NPS和SQL之间并发连接的最大数量。
●单击配置以配置SQLServer数据源。
参考资料
帮助主题:
在NPS中配置SQL日志
7.4.4配制需要在事件查看器中记录的NPS事件
解释连接请求可能因为各种原因被拒绝或者忽略,包括:
●未按照RFC2865或2866设置RADIUS消息的格式。
●RADIUS客户端是未知的。
●RADIUS客户端具有多个IP地址,并已向非NPS中定义的地址发送了请求。
●共享机密无效。
●客户端发送的消息身份验证器(也成为数字签名)无效。
●NPS无法找到该用户名的域。
●NPS无法连接到该用户名的域。
●NPS无法访问域中的用户帐户。
●NPS拒绝连接请求时,事件文本中的信息包括用户名、访问服务器标识、身份验证类型、第一个匹配网络策略的名称、拒绝的原因以及其他信息。
●NPS接受连接请求时,事件文本中的信息包括用户名、访问服务器标识符、身份验证类型和第一个匹配网络策略的名称。
记录Schannel事件
安全通道(Schannel)是一个安全支持提供程序(SSP),它支持一组Internet安全协议,如置安全套接字层(SSL)和传输层安全(TLS)。
这些协议通过加密提供身份验证和安全保密的通信。
对客户端证书验证失败进行记录是一项安全通道事件,但默认情况下在运行NPS的服务器上未被启用。
通过将以下注册表项值从1(REG_DWORD类型,数据0x00000001)更改为3(REG_DWORD类型,数据0x00000003),可以启用其他安全通道事件:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\EventLogging
实验
目标:
●安装网络策略服务器角色服务并配置网络策略服务器设置
●配置RADIUS客户端
●配置证书自动注册
场景:
Windows基础结构服务技术专员的任务是在现有的基础结构中安装并配置网络策略服务器,可用于NAP、无线和有线访问、RADIUS以及RADIUS代理。
实验7-1:
安装和配置网络策略服务器角色服务
学员要安装NPS角色服务并配置一般的服务器设置,诸如ActiveDirectory注册。
实验7-2:
配置RADIUS客户端
给定场景和网络图后,学员可配置RADIUS客户端。
实验7-3:
配置证书自动注册
学员将配置并部署证书自动注册以支持高级身份验证。
条件:
●提供的场景
●虚拟机(一个配置成CA)
结果:
●安装和配置好的NPS角色服务
●配置了客户端设置的RADIUS服务器
●计算机获得自动注册证书进行身份验证
实验回顾问题
问题:
RADIUS代理可提供什么?
回答:
把NPS用作RADIUS代理时,NPS转发连接请求到NPS或其他RADIUS服务器进行处理。
正因为如此,NPS代理的域成员身份是无关的。
代理无需在ActiveDirectory中注册,因为它无需访问用户帐户的拨入属性。
此外,你无需在NPS代理配置网络策略,因为代理不会对连接请求进行授权。
NPS代理可能是域成员或者也可以是没有域成员身份的单独服务器。
问题:
什么是RADIUS客户端?
并请举出RADIUS客户端的一些示例。
回答:
网络访问服务器(NAS)是为大型网络提供某些访问权限的设备。
使用RADIUS基础结构的NAS也是RADIUS客户端,它发送连接请求和记账消息到RADIUS服务器进行身份验证、授权和记账。
网络访问服务器的例子包括:
●提供对组织网络或Internet的远程访问连接的网络访问服务器。
例如,运行WindowsServer2008操作系统和路由和远程访问服务,并且提供到组织的Intranet传统拨号或虚拟专用网络(VPN)远程访问服务的计算机。
●使用基于无线的传输和接收技术,提供对组织网络的物理层访问权限的无线访问点。
●使用传统的LAN技术(如Ethernet),提供对组织网络的物理层访问权限的交换机。
●将连接请求转发到RADIUS服务器的RADIUS代理,该RADIUS服务器是在RADIUS代理上配置的远程RADIUS服务器组的成员。
习题答案
简答题
问题:
为什么必须在ActiveDirectory中注册NPS服务器?
回答:
当NPS是ActiveDirectory域的成员时,NPS比较从网络访问服务器中收到的凭据和ActiveDirectory针对该用户帐户保存的凭据,从而进行身份验证。
NPS通过网络策略和检查ActiveDirectory中用户帐户拨入属性来对连接请求进行授权。
NPS服务器必须注册在ActiveDirectory之中才能访问用户帐户凭据和拨入属性。
问题:
如何可以最有效地使用NPS日志功能?
回答:
通过如下任务最有效地利用NPS日志功能:
●打开身份验证和记账记录日志(初始)。
决定哪些修改对环境比较适合后作出修改。
●确保事件日志记录配置了足够空间来维护记录。
●定期备份日志,因为如果损坏或者删除它们无法再次创建。
●使用RADIUS类属性来进行使用跟踪,简化部门或用户使用费用的确认。
虽然自动生成的类属性对每个请求都是唯一的,但如果对访问服务器的回复丢失并且重发请求时,就会出现重复的记录。
你可能需要从日志中删除重复请求才能保证使用跟踪准确无误。
●通过SQLServer日志记录提供故障恢复和冗余,在不同子网上放置两个运行SQLServer的计算机。
使用SQLServer创建发布向导设置两个服务器之间的数据库复制。
问题:
RADIUS的默认身份验证和记账端口是什么?
使用Windows界面配置NPSUDP端口信息的过程是什么?
回答:
可使用如下步骤配置NPS用于RADIUS身份验证和记账通信的端口。
默认情况下,NPS为所有已安装网络适配器的Internet协议第6版(IPv6)和IPv4的端口1812、1813、1645和1646侦听RADIUS流量。
注意:
如果卸载网络适配器上的IPv4或IPv6,则NPS不会监视已卸载协议的RADIUS流量。
用于身份验证的值1812和用于记账的值1813是RFC2865和2866中定义的RADIUS标准端口。
但是,默认情况下,许多访问服务器将端口1645用于身份验证请求及将端口1646用于记账请求。
无论决定使用哪个端口号,都要确保将NPS和访问服务器配置为相同的端口号。
使用Windows界面配置NPSUDP端口信息的步骤:
1.打开NPS控制台。
2.右键单击“网络策略服务器”,然后单击“属性”。
3.单击“端口”选项卡,然后检查端口设置。
如果RADIUS身份验证和RADIUS记账UDP端口与提供的默认值(1812和1645用于身份验证,1813和1646用于记账)不同,请在“身份验证”和“记账”中键入端口设置。
注意:
要完成这个过程,你必须是“DomainAdmins”组、“EnterpriseAdmins”组或本地计算机上“Administrators”组的成员。
问题:
如果选择对RADIUS通信使用非标准端口分配,那么还需要考虑什么?
回答:
如果不是有RADIUS默认端口号,你必须为本地计算机配置防火墙例外,以便允许新端口上的RADIUS通信。
升级会员 