Npas windows 2016 что это такое
Обновлено: 01.07.2024
Организациям требуются системы виртуализации, которые не только поддерживают различные типы приложений, но и упрощают ИТ-инфраструктуру.
Виртуализация приносит экономию средств и экономит время ИТ-специалистам, которые курируют роботов-роботов. Для эффективной реализации требуется облачная среда.
Администраторы часто сравнивают Xen и KVM как варианты с открытым исходным кодом. Основными факторами, которые следует учитывать при выборе основного гипервизора, являются организационные факторы.
Чтобы добиться высокой доступности и отказоустойчивости в AWS, ИТ-администраторы должны сначала понять различия между двумя моделями.
Amazon ECS и EKS похожи, но их различий достаточно, чтобы выделить их для пользователей AWS. Узнайте, что лучше всего подходит для вашего .
Новые дополнения к системам хранения, такие как гибкие блочные тома и высокая доступность для ZFS, делают облачную платформу Oracle более конкурентоспособной.
Хороший дизайн базы данных необходим для удовлетворения потребностей обработки в системах SQL Server. На вебинаре консультант Коэн Вербек предложил .
Базы данных SQL Server можно переместить в облако Azure несколькими способами. Вот что вы получите от каждого из вариантов .
В отрывке из этой книги вы познакомитесь с методами LEFT OUTER JOIN и RIGHT OUTER JOIN и найдете различные примеры создания SQL.
ИТ-администраторам, рассматривающим возможность перехода на Windows 11, следует узнать, как функции версии Enterprise могут помочь их .
Последняя сборка для разработчиков Windows 11 позволяет открывать несколько папок в приложении для управления файлами. Предполагается, что эта функция .
Администраторам настольных компьютеров следует обратить внимание на собственные функции безопасности и архитектуру Windows 10, чтобы установить базовый уровень настольных компьютеров.
Перенаправление папок может поддерживать среду виртуального рабочего стола с перемещаемыми профилями, предоставляя пользователям единообразие при .
Люди, использующие виртуальный рабочий стол VMware на смартфонах и планшетах Samsung, могут получить доступ к Windows как на устройстве, так и на .
Организациям с виртуальными рабочими столами следует планировать свою стратегию управления профилями, и одним из ключевых компонентов является профиль .
Я использую NPAS (Radius) на Windows Server 2016 для беспроводной аутентификации.
У меня есть одна проблема. все работает отлично, но мне нужно использовать сертификаты, а также пользователей и пароли для аутентификации. Теперь я использую EAP - PEAP-MS-CHAP v2, он запрашивает у клиентов только пользователя и пароль.
Моя цель состоит в том, чтобы никто не мог подключиться к беспроводной сети только с пользователем и паролем. Мне нужно, чтобы все попросили админов подключить сеть, и сертификат будет установлен на устройство пользователя.
Итак, на Windows Server 2012 EAP — PEAP-MS-CHAP v2 работает отлично, но 2016 — это нечто другое.
Все ответы
Спасибо за вопрос.
Пожалуйста, проверьте правильность моего понимания этой проблемы. Согласно вашему сообщению, вы хотите использовать сертификаты для беспроводной аутентификации. EAP-PEAP и MS-CHAPv2 уже настроены на сервере NPS 2016, но пока не могут работать. А на NPS 2012 может нормально работать. Если я неправильно понимаю вашу ситуацию, сообщите мне об этом без колебаний.
Чтобы создать инфраструктуру для аутентификации, авторизации и учета защищенных беспроводных подключений для организации, использующей беспроводные клиенты Windows, необходимо выполнить следующие шаги:
- Настройте инфраструктуру сертификатов.
- Настройте Active Directory для учетных записей и групп.
- Настройте беспроводную точку доступа.
- Настройте сервер NPS на компьютере.
- Настройка параметров групповой политики политик беспроводной сети (IEEE 802.11).
- Настройте беспроводные клиенты для EAP-TLS или PEAP-TLS.
Дополнительные сведения об этой реализации см. в следующей статье о создании безопасной беспроводной инфраструктуры 802.1x с использованием NPS и проверки подлинности на основе сертификатов. Надеюсь, это поможет.
Надеюсь, приведенная выше информация поможет вам.
Очень ценим ваши усилия и время. Если у вас есть какие-либо вопросы или опасения, пожалуйста, дайте мне знать.
Спасибо за ответ.
В инфраструктуре Windows 2012 MS-CHAPv2 также требует клиентского сертификата для беспроводного подключения.
Спасибо за быстрый ответ.
Согласно приведенному выше блогу, независимо от метода EAP-TLS или PEAP, используемого для беспроводных подключений, сертификаты компьютеров должны быть установлены на серверах NPS.
Для PEAP-MS-CHAP v2 нет необходимости развертывать инфраструктуру сертификатов для выдачи компьютерных и пользовательских сертификатов для каждого беспроводного клиентского компьютера. Вместо этого вы можете получить отдельные сертификаты для каждого сервера NPS в коммерческом ЦС и установить их на серверах NPS.
Для проверки подлинности компьютера с помощью EAP-TLS или PEAP-TLS сертификат компьютера, также известный как сертификат компьютера, должен быть установлен на каждом клиентском компьютере беспроводной сети.Для проверки подлинности пользователя с помощью EAP-TLS или PEAP-TLS после установления сетевого подключения и входа пользователя в систему необходимо использовать сертификат пользователя на беспроводном клиентском компьютере.
Поэтому для этой реализации нам нужно установить «Microsoft: смарт-карта или другой сертификат» на вкладке PEAP политики NPS, как показано ниже.
Кроме того, MS-CHAPv2 просто поддерживает пароль для аутентификации.
Надеюсь, приведенная выше информация поможет вам. Если у вас есть какие-либо вопросы или сомнения, сообщите мне об этом.
На этом шаге вы установите сервер политики сети (NPS) для обработки запросов на подключение, отправляемых VPN-сервером:
- Выполните авторизацию, чтобы убедиться, что у пользователя есть разрешение на подключение.
- Выполнение аутентификации для подтверждения личности пользователя.
- Выполнение учета для регистрации аспектов запроса на подключение, которые вы выбрали при настройке учета RADIUS в NPS.
Действия в этом разделе позволяют выполнить следующие действия:
На компьютере или виртуальной машине, которые запланированы для сервера NPS и установлены в вашей организации или корпоративной сети, вы можете установить NPS.
Если в вашей сети уже есть один или несколько серверов NPS, вам не нужно выполнять установку сервера NPS. Вместо этого вы можете использовать этот раздел для обновления конфигурации существующего сервера NPS.
Вы не можете установить службу Network Policy Server на Windows Server Core.
- На корпоративном/корпоративном NPS-сервере можно настроить NPS для работы в качестве RADIUS-сервера, обрабатывающего запросы на подключение, полученные от VPN-сервера.
Установить сервер политики сети
В этой процедуре сервер политики сети устанавливается с помощью Windows PowerShell или мастера добавления ролей и компонентов диспетчера серверов. NPS — это служба роли сервера сетевых политик и служб доступа.
По умолчанию NPS прослушивает трафик RADIUS на портах 1812, 1813, 1645 и 1646 на всех установленных сетевых адаптерах. При установке NPS и включении брандмауэра Windows в режиме повышенной безопасности исключения брандмауэра для этих портов создаются автоматически для трафика IPv4 и IPv6. Если ваши серверы доступа к сети настроены на отправку трафика RADIUS через порты, отличные от указанных по умолчанию, удалите исключения, созданные в брандмауэре Windows в режиме повышенной безопасности во время установки NPS, и создайте исключения для портов, которые вы используете для трафика RADIUS.
Процедура для Windows PowerShell:
Чтобы выполнить эту процедуру с помощью Windows PowerShell, запустите Windows PowerShell от имени администратора и введите следующий командлет:
Процедура для диспетчера серверов:
В диспетчере серверов выберите «Управление», затем выберите «Добавить роли и компоненты». Откроется мастер добавления ролей и компонентов.
В разделе "Перед началом" выберите "Далее".
Страница «Перед началом работы» мастера добавления ролей и компонентов не отображается, если вы ранее выбрали Пропустить эту страницу по умолчанию при запуске мастера добавления ролей и компонентов.
Убедитесь, что в разделе «Выберите тип установки» выбран вариант «Установка на основе ролей» или «Установка на основе функций», а затем нажмите «Далее».
Убедитесь, что в поле «Выбор целевого сервера» установлен флажок «Выбрать сервер из пула серверов».
В пуле серверов убедитесь, что выбран локальный компьютер, и нажмите кнопку Далее.
В разделе "Выбор ролей сервера" в разделе "Роли" выберите "Сетевая политика и службы доступа". Откроется диалоговое окно с вопросом, следует ли добавить функции, необходимые для сетевых политик и служб доступа.
Выберите «Добавить функции», затем нажмите «Далее».
В разделе «Выбрать функции» нажмите «Далее», а в разделе «Сетевая политика и службы доступа» просмотрите предоставленную информацию и нажмите «Далее».
В разделе "Выбрать службы ролей" выберите Сервер политики сети.
Для функций, необходимых для сервера политики сети, выберите "Добавить компоненты", а затем нажмите "Далее".
В разделе Подтвердить выбор установки выберите Автоматический перезапуск целевого сервера, если требуется.
Выберите Да, чтобы подтвердить выбор, а затем выберите Установить.
На странице «Ход установки» отображается состояние процесса установки. Когда процесс завершится, отобразится сообщение «Установка выполнена успешно на ComputerName», где ComputerName — это имя компьютера, на котором вы установили Network Policy Server.
Выберите Закрыть.
Настроить NPS
После установки NPS вы настраиваете NPS для выполнения всех функций проверки подлинности, авторизации и учета для запросов на подключение, которые он получает от VPN-сервера.
Зарегистрируйте NPS-сервер в Active Directory
В этой процедуре вы регистрируете сервер в Active Directory, чтобы он имел разрешение на доступ к информации учетной записи пользователя при обработке запросов на подключение.
В диспетчере серверов выберите Инструменты, а затем выберите Сервер политики сети. Откроется консоль NPS.
В консоли NPS щелкните правой кнопкой мыши NPS (локальный) и выберите Зарегистрировать сервер в Active Directory.
Откроется диалоговое окно Network Policy Server.
В диалоговом окне Network Policy Server дважды нажмите OK.
Настройка учета сервера политики сети
В этой процедуре настройте учет сервера политики сети, используя один из следующих типов ведения журнала:
Журналирование событий. Используется в основном для аудита и устранения неполадок при попытках подключения. Вы можете настроить ведение журнала событий NPS, получив свойства сервера NPS в консоли NPS.
Запись запросов аутентификации и учета пользователей в локальный файл. Используется в основном для анализа соединений и выставления счетов. Также используется в качестве инструмента исследования безопасности, поскольку предоставляет метод отслеживания действий злоумышленника после атаки. Вы можете настроить локальное ведение журнала файлов с помощью мастера настройки учета.
Запись запросов аутентификации и учета пользователей в XML-совместимую базу данных Microsoft SQL Server. Используется для того, чтобы несколько серверов с NPS могли иметь один источник данных. Также предоставляет преимущества использования реляционной базы данных. Вы можете настроить ведение журнала SQL Server с помощью мастера настройки учета.
Чтобы настроить учет сервера политики сети, см. раздел Настройка учета сервера политики сети.
Добавить VPN-сервер в качестве RADIUS-клиента
В разделе «Настройка сервера удаленного доступа для Always On VPN» вы установили и настроили свой VPN-сервер. Во время настройки VPN-сервера вы добавили общий секрет RADIUS на VPN-сервер.
В этой процедуре вы используете ту же текстовую строку общего секрета для настройки VPN-сервера в качестве клиента RADIUS в NPS. Используйте ту же текстовую строку, что и на VPN-сервере, иначе произойдет сбой связи между NPS-сервером и VPN-сервером.
При добавлении в сеть нового сервера доступа к сети (сервера VPN, точки беспроводного доступа, коммутатора аутентификации или удаленного доступа) необходимо добавить этот сервер в качестве клиента RADIUS в NPS, чтобы сервер политики сети знал об этом и может обмениваться данными с сервером доступа к сети.
На сервере NPS в консоли NPS дважды щелкните Клиенты и серверы RADIUS.
Щелкните правой кнопкой мыши Клиенты RADIUS и выберите Создать. Откроется диалоговое окно «Новый клиент RADIUS».
Убедитесь, что установлен флажок Включить этот клиент RADIUS.
В поле Понятное имя введите отображаемое имя для VPN-сервера.
В поле Адрес (IP или DNS) введите IP-адрес или полное доменное имя NAS.
Если вы вводите полное доменное имя, выберите Подтвердить, если вы хотите убедиться, что имя правильное и сопоставляется с действительным IP-адресом.
В разделе "Общий секрет" выполните следующие действия:
Убедитесь, что выбрано «Вручную».
Введите надежную текстовую строку, которую вы также ввели на VPN-сервере.
Повторно введите общий секрет в поле Подтвердить общий секрет.
Выберите ОК. VPN-сервер отображается в списке клиентов RADIUS, настроенных на сервере NPS.
Настроить NPS как RADIUS для VPN-подключений
В этой процедуре вы настраиваете NPS в качестве RADIUS-сервера в сети вашей организации. На NPS необходимо определить политику, которая разрешает только пользователям из определенной группы доступ к сети организации/корпорации через VPN-сервер, и только при использовании действительного сертификата пользователя в запросе проверки подлинности PEAP.
В консоли NPS в стандартной конфигурации убедитесь, что выбран сервер RADIUS для подключений удаленного доступа или VPN.
Выберите «Настроить VPN или удаленный доступ».
Откроется мастер настройки VPN или коммутируемого доступа.
Выберите Подключения к виртуальной частной сети (VPN) и нажмите Далее.
В разделе «Указать удаленный доступ или VPN-сервер» в клиентах RADIUS выберите имя VPN-сервера, добавленное на предыдущем шаге. Например, если NetBIOS-имя вашего VPN-сервера — RAS1, выберите RAS1.
Выберите "Далее".
В разделе "Настройка методов аутентификации" выполните следующие действия:
Снимите флажок Microsoft Encrypted Authentication version 2 (MS-CHAPv2).
Установите флажок Extensible Authentication Protocol, чтобы выбрать его.
В поле Тип (в зависимости от метода доступа и конфигурации сети) выберите Microsoft: Protected EAP (PEAP), затем выберите Настроить.
Откроется диалоговое окно "Редактировать защищенные свойства EAP".
Выберите Удалить, чтобы удалить тип EAP Secured Password (EAP-MSCHAP v2).
Выберите Добавить. Откроется диалоговое окно "Добавить EAP".
Выберите смарт-карту или другой сертификат, затем нажмите кнопку ОК.
Нажмите «ОК», чтобы закрыть окно «Редактировать защищенные свойства EAP».
Выберите "Далее".
В разделе "Указать группы пользователей" выполните следующие действия:
Выберите Добавить. Откроется диалоговое окно «Выбор пользователей, компьютеров, учетных записей служб или групп».
Введите пользователей VPN, затем нажмите OK.
Выберите "Далее".
В разделе "Указать IP-фильтры" выберите "Далее".
В разделе "Указать параметры шифрования" выберите "Далее". Не вносите никаких изменений.
Эти параметры применяются только к соединениям Microsoft Point-to-Point Encryption (MPPE), которые не поддерживаются в этом сценарии.
В разделе "Укажите имя области" выберите "Далее".
Нажмите "Готово", чтобы закрыть мастер.
Автоматическая регистрация сертификата сервера NPS
В этой процедуре вы вручную обновляете групповую политику на локальном сервере политики сети. При обновлении групповой политики, если автоматическая подача заявок на сертификат настроена и работает правильно, центр сертификации (ЦС) автоматически подает заявку на сертификат на локальном компьютере.
Групповая политика обновляется автоматически при перезапуске компьютера-члена домена или при входе пользователя на компьютер-член домена. Кроме того, групповая политика периодически обновляется. По умолчанию это периодическое обновление происходит каждые 90 минут со случайным интервалом до 30 минут.
Членство в группе администраторов или эквивалентное — это минимальное требование для выполнения этой процедуры.
На NPS откройте Windows PowerShell.
В командной строке Windows PowerShell введите gpupdate и нажмите клавишу ВВОД.
Дальнейшие шаги
Шаг 5. Настройте параметры DNS и брандмауэра для Always On VPN. На этом шаге настройте параметры DNS и брандмауэра для подключения к VPN.
Для доступа к сети и возможностей управления политиками сервер Microsoft RADIUS и прокси-сервер – это сервер политики сети (NPS). NPS обеспечивает проверку подлинности, авторизацию и учет (AAA), позволяет использовать гетерогенное сетевое оборудование и обеспечивает работоспособность сетевых устройств.
Протокол RADIUS обеспечивает настройку и управление проверкой подлинности для сетевых клиентов, центральную часть функциональных возможностей NPS. Текущие выпуски NPS можно установить с помощью функции сетевых политик и служб доступа (NPAS) в Windows Server 2016 и Server 2019.
В этой статье рассматривается, что такое серверы RADIUS, назначение серверов политик сети, их роль в сети и рекомендации по управлению NPS.
Узнайте больше о различных типах серверов, их функциях и назначении в нашем Руководстве по серверам .
Что такое протокол RADIUS?
RADIUS расшифровывается как Remote Authentication Dial-In User Service и изначально был клиент-серверным протоколом для коммутируемых подключений. В то время как коммутируемое соединение утратило свою привлекательность в корпоративном использовании, серверы RADIUS остаются удобным способом разгрузить аутентификацию от точек доступа.
Серверы RADIUS могут работать на серверах Windows или Unix и, что наиболее важно, позволяют администраторам контролировать, кто может подключаться к сети. Клиенты для сервера RADIUS представляют собой точки доступа к сети; пользователи отправляют запросы клиентам RADIUS, которые передают запрос на сервер RADIUS для проверки подлинности.
Что делают серверы RADIUS?
В протоколах связи для сетей, таких как протокол пользовательских дейтаграмм (UDP) или протокол управления передачей (TCP), серверы RADIUS взаимодействуют с серверами доступа к сети.
Клиентское устройство отправляет запрос на подключение к серверу доступа к сети (NAS). NAS работает с сервером RADIUS, полагаясь на его возможности AAA для аутентификации пользователя и предоставления разрешения для правильной настройки.
Какова цель NPS?
Network Policy Server — это решение для сетевых администраторов Windows, использующее возможности RADIUS. NPS не только предлагает настраиваемые политики доступа к сети, но и гарантирует возможность подключения устройств сторонних производителей после проверки подлинности.
Размещая пользователей и клиентские устройства в группы или автоматизируя классификацию, администраторы могут управлять типами клиентов и разрешениями, доступными для пользователей сети. Этот элемент управления позволяет постоянно управлять политиками доступа, а также позволяет вести журнал событий для целей учета. NPS также сканирует запросы, чтобы убедиться в работоспособности клиентов и поддерживать целостность сети.
Три роли NPS
RADIUS-сервер
NPS выполняет AAA для беспроводных подключений, коммутаторов, подключений удаленного доступа и VPN в качестве сервера RADIUS. Администраторы настраивают серверы доступа к сети, например серверы WAP и VPN, в качестве клиентов RADIUS и регистрируют данные о событиях на локальном жестком диске или в базе данных SQL Server.
RADIUS-прокси
NPS может настраивать политики доступа и управлять тем, какой RADIUS-сервер запрос на подключение доставляет в качестве прокси-сервера RADIUS. Это включает в себя возможность пересылки данных учета для репликации журналов на несколько удаленных серверов RADIUS для балансировки нагрузки.
Защита доступа
Поскольку удаленная работа и политики BYOD представляют различные устройства в сетях, администраторам необходимо знать, какие конечные точки заслуживают доверия. NPS может выступать в качестве средства проверки работоспособности клиентских устройств с помощью таких индикаторов, как исправленное программное обеспечение, брандмауэры и определения вредоносных программ.
Рекомендации по NPS
Microsoft выделяет семь областей передового опыта при использовании Network Policy Server. Они представлены в таблице ниже.
Чтобы узнать больше о последних обновлениях Network Policy Server, см. документацию Microsoft NPS .
Читайте также: