Настройка Windows Server 2008 R2 в качестве RADIUS сервера для Cisco ASA. Настройка radius windows server 2018 r2


Сервер политики сети (NPS) | Microsoft Docs

  • 10.04.2018
  • Время чтения: 24 мин

In this article

Область применения: Windows Server (канал точками годовой), Windows Server 2016Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016

Обзор сервера политики сети в Windows Server 2016, можно использовать в этом разделе.You can use this topic for an overview of Network Policy Server in Windows Server 2016.

Примечание

Дополнение к данному разделу доступна следующая документация NPS.In addition to this topic, the following NPS documentation is available.

Сервер политики сети (NPS) позволяет создавать и применять политики доступа к сети организации для проверки подлинности и авторизации.Network Policy Server (NPS) allows you to create and enforce organization-wide network access policies for connection request authentication and authorization.

Можно также настроить сервер политики сети как прокси для пересылки запросов подключения удаленного сервера политики сети или другого сервера RADIUS, могли балансировки нагрузки подключения запросов и перенаправлять их на правильный домен, для проверки подлинности и авторизации службы проверки подлинности удаленного пользователя (RADIUS).You can also configure NPS as a Remote Authentication Dial-In User Service (RADIUS) proxy to forward connection requests to a remote NPS or other RADIUS server so that you can load balance connection requests and forward them to the correct domain for authentication and authorization.

Сервер политики сети позволяет централизованно настраивать и управлять проверки подлинности доступа к сети, авторизацию и учет с помощью следующих средств:NPS allows you to centrally configure and manage network access authentication, authorization, and accounting with the following features:

  • RADIUS-сервер.RADIUS server. Сервер политики сети выполняет централизованную проверку подлинности, авторизацию и учет для беспроводных сетей, проверки подлинности коммутатора, удаленного доступа и подключения к виртуальной частной сети (VPN).NPS performs centralized authentication, authorization, and accounting for wireless, authenticating switch, remote access dial-up and virtual private network (VPN) connections. При использовании сервера политики сети как RADIUS-сервер, серверы доступа к сети, такие как точки беспроводного доступа и VPN-серверы, настраиваются как RADIUS-клиентов на сервере политики сети.When you use NPS as a RADIUS server, you configure network access servers, such as wireless access points and VPN servers, as RADIUS clients in NPS. Можно также настроить политики сети, используемые сервером политики сети для авторизации запросов на подключение, и можно настроить RADIUS-учет, чтобы сервер политики сети сохранял информацию в журнала файлов на локальном жестком диске или в базе данных Microsoft SQL Server.You also configure network policies that NPS uses to authorize connection requests, and you can configure RADIUS accounting so that NPS logs accounting information to log files on the local hard disk or in a Microsoft SQL Server database. Дополнительные сведения см. в разделе RADIUS-сервер.For more information, see RADIUS server.
  • Прокси-сервера RADIUS.RADIUS proxy. Если вы используете сервер политики сети как RADIUS-прокси, настраиваются политики запросов на подключение, которые сообщают серверу политики сети, какие запросы на подключение необходимо переадресовывать на другие RADIUS-серверы и на какие RADIUS-серверы требуется переадресовывать запросы на подключение.When you use NPS as a RADIUS proxy, you configure connection request policies that tell the NPS server which connection requests to forward to other RADIUS servers and to which RADIUS servers you want to forward connection requests. Сервер политики сети можно также настроить переадресацию данных учета для их хранения на одном или нескольких компьютерах в группе удаленных RADIUS-серверов.You can also configure NPS to forward accounting data to be logged by one or more computers in a remote RADIUS server group. Настройка сервера политики сети в качестве прокси-сервера RADIUS, см. в следующих разделах.To configure NPS as a RADIUS proxy server, see the following topics. Дополнительные сведения см. в разделе прокси-сервера RADIUS.For more information, see RADIUS proxy.
  • RADIUS-учет.RADIUS accounting. Можно настроить таким Образом, чтобы записывать в журнал события в локальный файл журнала, или на локальный или удаленный экземпляр Microsoft SQL Server.You can configure NPS to log events to a local log file or to a local or remote instance of Microsoft SQL Server. Дополнительные сведения см. в разделе ведения журнала сервера политики сети.For more information, see NPS logging.

Важно!

(NAP) защиты доступа к сети, центра регистрации работоспособности (HRA) и протокол авторизации учетных данных узла (HCAP) рекомендуется использовать в Windows Server 2012 R2 и не доступны в Windows Server 2016.Network Access Protection (NAP), Health Registration Authority (HRA), and Host Credential Authorization Protocol (HCAP) were deprecated in Windows Server 2012 R2, and are not available in Windows Server 2016. Если у вас есть развертывания защиты доступа к сети, с помощью операционных систем более ранних, чем Windows Server 2016, нельзя перенести развертывания защиты доступа к сети Windows Server 2016.If you have a NAP deployment using operating systems earlier than Windows Server 2016, you cannot migrate your NAP deployment to Windows Server 2016.

Сервер политики сети можно настроить с любой комбинацией этих функций.You can configure NPS with any combination of these features. Например можно настроить один сервер политики сети как RADIUS-сервер для VPN-подключений, а также RADIUS-прокси для пересылки запросов на подключение к членам группы внешних серверов RADIUS для проверки подлинности и авторизации в другом домене.For example, you can configure one NPS server as a RADIUS server for VPN connections and also as a RADIUS proxy to forward some connection requests to members of a remote RADIUS server group for authentication and authorization in another domain.

Выпуски Windows Server и сервера политики сетиWindows Server Editions and NPS

Сервер политики сети предоставляет различные функциональные возможности в зависимости от выпуска Windows Server, необходимо установить.NPS provides different functionality depending on the edition of Windows Server that you install.

Windows Server 2016 Datacenter EditionWindows Server 2016 Datacenter Edition

С сервером политики сети в Windows Server 2016 Datacenter можно настроить неограниченное число клиентов RADIUS и удаленных групп серверов RADIUS.With NPS in Windows Server 2016 Datacenter, you can configure an unlimited number of RADIUS clients and remote RADIUS server groups. Кроме того можно настроить RADIUS-клиентов, указывая диапазон IP-адресов.In addition, you can configure RADIUS clients by specifying an IP address range.

Windows Server 2016 Standard EditionWindows Server 2016 Standard Edition

С сервером политики сети в Windows Server 2016 Standard можно настроить максимум 50 клиентами RADIUS и максимум 2 удаленными группами серверов RADIUS.With NPS in Windows Server 2016 Standard, you can configure a maximum of 50 RADIUS clients and a maximum of 2 remote RADIUS server groups. Можно определить, используя полное доменное имя или IP-адрес клиента RADIUS, но определять группы RADIUS-клиентов, указывая диапазон IP-адресов нельзя.You can define a RADIUS client by using a fully qualified domain name or an IP address, but you cannot define groups of RADIUS clients by specifying an IP address range. Если полное доменное имя RADIUS-клиента разрешается в несколько IP-адресов, на NPS-сервер использует первый IP-адрес, возвращаемый в ответе на запрос доменных имен (DNS).If the fully qualified domain name of a RADIUS client resolves to multiple IP addresses, the NPS server uses the first IP address returned in the Domain Name System (DNS) query.

Более подробные сведения о сервере политики сети как RADIUS-сервера и прокси-сервера в следующих разделах.The following sections provide more detailed information about NPS as a RADIUS server and proxy.

RADIUS-сервера и прокси-сервераRADIUS server and proxy

Можно использовать сервер политики сети как RADIUS-сервер, RADIUS-прокси или оба.You can use NPS as a RADIUS server, a RADIUS proxy, or both.

RADIUS-сервераRADIUS server

Сервер политики сети — Корпорация Майкрософт реализует стандартный RADIUS, определяется (IETF) Internet Engineering Task Force в документах RFC 2865 и 2866.NPS is the Microsoft implementation of the RADIUS standard specified by the Internet Engineering Task Force (IETF) in RFCs 2865 and 2866. Как RADIUS-сервер сервер политики сети выполняет централизованную проверку подлинности подключений, авторизацию и учет для многих типов доступа к сети, включая беспроводных сетей, коммутатор удаленного доступа с проверкой подлинности и виртуальной частной сети (VPN) подключений удаленного доступа и маршрутизатор маршрутизатор.As a RADIUS server, NPS performs centralized connection authentication, authorization, and accounting for many types of network access, including wireless, authenticating switch, dial-up and virtual private network (VPN) remote access, and router-to-router connections.

Сервер политики сети позволяет использовать разнородных набор беспроводной связи, коммутатора, удаленного доступа или VPN оборудования.NPS enables the use of a heterogeneous set of wireless, switch, remote access, or VPN equipment. Сервер политики сети можно использовать со службой удаленного доступа, которая доступна в Windows Server 2016.You can use NPS with the Remote Access service, which is available in Windows Server 2016.

Сервер политики сети использует домен (AD DS) доменных служб Active Directory или попыток локальной базе данных учетных записей диспетчера учетных записей безопасности (SAM) пользователя для проверки подлинности учетных данных пользователя для подключения.NPS uses an Active Directory Domain Services (AD DS) domain or the local Security Accounts Manager (SAM) user accounts database to authenticate user credentials for connection attempts. Если сервер политики сети является членом домена AD DS, сервер политики сети использует службы каталогов в качестве базы данных учетной записи пользователя и является частью решении единого входа.When a server running NPS is a member of an AD DS domain, NPS uses the directory service as its user account database and is part of a single sign-on solution. Тот же набор учетных данных используется для управления доступом к сети \ (проверка подлинности и авторизации доступа к сетевой) и для входа в домен AD DS.The same set of credentials is used for network access control (authenticating and authorizing access to a network) and to log on to an AD DS domain.

Примечание

Сервер политики сети использует свойства удаленного-пользователя учетной записи и политик сети для авторизации подключения.NPS uses the dial-in properties of the user account and network policies to authorize a connection.

(ISPs) поставщиков служб Интернета и организации, которые обеспечивают доступ к сети есть Повышенная сложность управления все типы доступа к сети из одной точки администрирования, независимо от типа используемого оборудования доступа к сети.Internet service providers (ISPs) and organizations that maintain network access have the increased challenge of managing all types of network access from a single point of administration, regardless of the type of network access equipment used. Эта функция поддерживает стандарт RADIUS в однородных и в разнородных средах.The RADIUS standard supports this functionality in both homogeneous and heterogeneous environments. RADIUS является протокол клиент сервер, который позволяет оборудования доступа к сети (используется в качестве RADIUS-клиентов) для отправки запросов на сервер RADIUS.RADIUS is a client-server protocol that enables network access equipment (used as RADIUS clients) to submit authentication and accounting requests to a RADIUS server.

RADIUS-сервер имеет доступ к учетной записи пользователя, а также можете проверить учетные данные проверки подлинности сети.A RADIUS server has access to user account information and can check network access authentication credentials. Если учетные данные пользователя, проходят проверку подлинности и попытка подключения авторизацию, RADIUS-сервер разрешает пользователю доступ на основе заданных условий и затем доступ к сети в журнал учета.If user credentials are authenticated and the connection attempt is authorized, the RADIUS server authorizes user access on the basis of specified conditions, and then logs the network access connection in an accounting log. Использование RADIUS позволяет проверке подлинности, авторизации и данных учета для собираются и сохраняются в центральном расположении, а не на каждом сервере доступа.The use of RADIUS allows the network access user authentication, authorization, and accounting data to be collected and maintained in a central location, rather than on each access server.

С помощью сервера политики сети как RADIUS-серверUsing NPS as a RADIUS server

Можно использовать сервер политики сети как RADIUS-сервер при:You can use NPS as a RADIUS server when:

  • Вы используете домене AD DS или в локальной базе данных учетных записей SAM пользователя базы данных учетной записи пользователя для доступа клиентов.You are using an AD DS domain or the local SAM user accounts database as your user account database for access clients.
  • С помощью удаленного доступа на нескольких серверах удаленного доступа, VPN-серверы или маршрутизаторы вызова по требованию и вы хотите централизовать настройку политик сети и подключение ведения журнала и учета.You are using Remote Access on multiple dial-up servers, VPN servers, or demand-dial routers and you want to centralize both the configuration of network policies and connection logging and accounting.
  • Стороннему вашей удаленного доступа, VPN или беспроводной доступ к поставщику служб.You are outsourcing your dial-up, VPN, or wireless access to a service provider. Серверы доступа используют RADIUS для проверки подлинности и авторизации подключений, которые становятся членами вашей организации.The access servers use RADIUS to authenticate and authorize connections that are made by members of your organization.
  • Нужно централизовать проверку подлинности, авторизации и учету для разнородных набора серверов доступа.You want to centralize authentication, authorization, and accounting for a heterogeneous set of access servers.

Следующая иллюстрация показывает сервера политики сети как RADIUS-сервер для различных клиентов доступа.The following illustration shows NPS as a RADIUS server for a variety of access clients.

Прокси-сервера RADIUSRADIUS proxy

RADIUS-прокси NPS перенаправляет проверки подлинности сообщения и учета сервера политики сети и другие серверы RADIUS.As a RADIUS proxy, NPS forwards authentication and accounting messages to NPS and other RADIUS servers. Можно использовать сервер политики сети как RADIUS-прокси для маршрутизации RADIUS сообщений между клиентами RADIUS \ (также называемый servers\ доступа к сети) и RADIUS-серверы, которые выполняют проверку подлинности пользователя, авторизации и учету для попытки подключения.You can use NPS as a RADIUS proxy to provide the routing of RADIUS messages between RADIUS clients (also called network access servers) and RADIUS servers that perform user authentication, authorization, and accounting for the connection attempt.

При использовании в качестве RADIUS-прокси, сервер политики сети является центральной коммутации или маршрутизации точки, через которую проходят RADIUS доступа и учета сообщения.When used as a RADIUS proxy, NPS is a central switching or routing point through which RADIUS access and accounting messages flow. Сервер политики сети информация записывается в журнал данных учета о сообщениях, которые пересылаются.NPS records information in an accounting log about the messages that are forwarded.

С помощью сервера политики сети как RADIUS-проксиUsing NPS as a RADIUS proxy

Сервер политики сети можно использовать в качестве RADIUS-прокси при:You can use NPS as a RADIUS proxy when:

  • Вы несете поставщика услуг, который предоставляет внешних подключений удаленного доступа, VPN или службы доступа к беспроводной сети для нескольких клиентов.You are a service provider who offers outsourced dial-up, VPN, or wireless network access services to multiple customers. Серверы доступа к сети направляют запросы на подключение RADIUS-прокси.Your NASs send connection requests to the NPS RADIUS proxy. На основании сферы, являющееся частью имени пользователя в запрос на подключение, RADIUS-прокси перенаправляет соединение RADIUS-сервер, который ведется с клиента и можно проверки подлинности и авторизации попытки подключения.Based on the realm portion of the user name in the connection request, the NPS RADIUS proxy forwards the connection request to a RADIUS server that is maintained by the customer and can authenticate and authorize the connection attempt.
  • Требуется для проверки подлинности и авторизации для учетных записей пользователей, которые не являются членами домена, в который входит сервер политики сети или другом домене, имеющем двустороннее доверие с доменом, членом которого является сервер политики сети.You want to provide authentication and authorization for user accounts that are not members of either the domain in which the NPS server is a member or another domain that has a two-way trust with the domain in which the NPS server is a member. Сюда относятся учетные записи в недоверенных доменах, доменов с односторонним доверием и других лесах.This includes accounts in untrusted domains, one-way trusted domains, and other forests. Вместо того чтобы настраивать серверы доступа для отправки запросов на подключение к серверу RADIUS для сервера политики сети, можно настроить их для отправки запросов на подключение к прокси-сервер RADIUS для сервера политики сети.Instead of configuring your access servers to send their connection requests to an NPS RADIUS server, you can configure them to send their connection requests to an NPS RADIUS proxy. RADIUS-прокси использует имя сферы, являющееся частью имени пользователя и переадресует запрос NPS-сервер в соответствующем домене или лесе.The NPS RADIUS proxy uses the realm name portion of the user name and forwards the request to an NPS server in the correct domain or forest. Попытки подключения для учетных записей из одного домена или леса могут проходить проверку подлинности для серверов NAS в другой домен или лес.Connection attempts for user accounts in one domain or forest can be authenticated for NASs in another domain or forest.
  • Вы хотите выполнять аутентификацию и авторизацию с помощью базы данных, который не является базой данных учетных записей Windows.You want to perform authentication and authorization by using a database that is not a Windows account database. В этом случае запросы на подключение, совпадает с именем указанной области будут перенаправлены на сервер RADIUS, которая имеет доступ к другой базе данных учетных записей пользователей и данные авторизации.In this case, connection requests that match a specified realm name are forwarded to a RADIUS server, which has access to a different database of user accounts and authorization data. Для других баз данных пользователя примеры базах данных Novell Directory Services (NDS) и язык структурированных запросов (SQL).Examples of other user databases include Novell Directory Services (NDS) and Structured Query Language (SQL) databases.
  • Вам требуется обрабатывать большое количество запросов на подключение.You want to process a large number of connection requests. В этом случае вместо настройки RADIUS-клиентов для равномерного распределения их запросов подключения и учета между несколькими серверами RADIUS, вы можно настроить для отправки их запросов подключения и учета RADIUS-прокси.In this case, instead of configuring your RADIUS clients to attempt to balance their connection and accounting requests across multiple RADIUS servers, you can configure them to send their connection and accounting requests to an NPS RADIUS proxy. RADIUS-прокси динамически распределяет нагрузку на подключение и учета запросы между несколькими серверами RADIUS, а также повышает обработки большого количества клиентов RADIUS и проверки подлинности в секунду.The NPS RADIUS proxy dynamically balances the load of connection and accounting requests across multiple RADIUS servers and increases the processing of large numbers of RADIUS clients and authentications per second.
  • Требуется обеспечить проверку подлинности RADIUS и авторизации для поставщиков услуг внешний и свести к минимуму конфигурации брандмауэра интрасети.You want to provide RADIUS authentication and authorization for outsourced service providers and minimize intranet firewall configuration. Брандмауэр интрасети находится между сети периметра (сеть между интрасетью и Интернетом) и интрасетью.An intranet firewall is between your perimeter network (the network between your intranet and the Internet) and intranet. Размещение сервера политики сети в сети периметра, брандмауэр между сетью периметра и интрасети необходимо разрешить прохождение трафика между сервером политики сети и несколькими контроллерами домена.By placing an NPS server on your perimeter network, the firewall between your perimeter network and intranet must allow traffic to flow between the NPS server and multiple domain controllers. Заменив прокси-сервер политики сети с сервером политики сети, брандмауэр должен пропускать только трафик RADIUS между прокси-сервера политики сети и один или несколько серверов политики сети в своей интрасети.By replacing the NPS server with an NPS proxy, the firewall must allow only RADIUS traffic to flow between the NPS proxy and one or multiple NPS servers within your intranet.

На следующем рисунке представлена сервера политики сети как RADIUS-прокси между RADIUS-клиенты и серверы RADIUS.The following illustration shows NPS as a RADIUS proxy between RADIUS clients and RADIUS servers.

С сервером политики сети организации могут также привлечение инфраструктуры удаленного доступа к поставщику услуг, сохраняя контроль над проверки подлинности пользователя, авторизации и учету при.With NPS, organizations can also outsource remote access infrastructure to a service provider while retaining control over user authentication, authorization, and accounting.

Конфигурации сервера политики сети могут создаваться для следующих сценариев:NPS configurations can be created for the following scenarios:

  • Беспроводной доступWireless access
  • Организации удаленного доступа или виртуальной частной сети (VPN) удаленного доступаOrganization dial-up or virtual private network (VPN) remote access
  • Внешний удаленный доступ или беспроводного доступаOutsourced dial-up or wireless access
  • Доступ к ИнтернетуInternet access
  • Доступ с проверкой подлинности к ресурсам экстрасети для деловых партнеровAuthenticated access to extranet resources for business partners

Примеры конфигурации прокси-сервера RADIUS и сервера RADIUSRADIUS server and RADIUS proxy configuration examples

В следующих примерах конфигурации показано, как настроить сервер политики сети как RADIUS-сервера и RADIUS-прокси.The following configuration examples demonstrate how you can configure NPS as a RADIUS server and a RADIUS proxy.

Сервер политики сети как RADIUS-сервер.NPS as a RADIUS server. В этом примере сервер политики сети настроен в качестве RADIUS-сервера, политики запросов на подключение по умолчанию является единственной настроенной политикой, и все запросы на подключение обрабатываются локальным сервером политики сети.In this example, NPS is configured as a RADIUS server, the default connection request policy is the only configured policy, and all connection requests are processed by the local NPS server. Сервер политики сети можно проверки подлинности и авторизации пользователей, учетные записи в домене с сервером политики сети, а также в доверенных доменах.The NPS server can authenticate and authorize users whose accounts are in the domain of the NPS server and in trusted domains.

Сервер политики сети как RADIUS-прокси.NPS as a RADIUS proxy. В этом примере сервер политики сети настроен как RADIUS-прокси, который перенаправляет запросы на подключение для удаленных групп серверов RADIUS в двух доменах без доверия.In this example, the NPS server is configured as a RADIUS proxy that forwards connection requests to remote RADIUS server groups in two untrusted domains. Удалить политики запросов на подключение по умолчанию, и для пересылки запросов на каждый из двух недоверенных доменах создаются две новые политики запросов на подключение.The default connection request policy is deleted, and two new connection request policies are created to forward requests to each of the two untrusted domains. В этом примере сервер политики сети не обрабатывает запросы на подключение на локальном сервере.In this example, NPS does not process any connection requests on the local server.

Сервер политики сети в качестве сервера RADIUS и прокси-сервера RADIUS.NPS as both RADIUS server and RADIUS proxy. Помимо по умолчанию политика запросов на подключение, который указывает, что локально обрабатываются запросы на подключение, политики запросов на подключение создается, перенаправляет запросы на подключение, сервер политики сети или другой RADIUS-сервер в домене без доверия.In addition to the default connection request policy, which designates that connection requests are processed locally, a new connection request policy is created that forwards connection requests to an NPS or other RADIUS server in an untrusted domain. Эта политика второй называется политики прокси-сервера.This second policy is named the Proxy policy. В этом примере политика прокси отображается первой в списке политик.In this example, the Proxy policy appears first in the ordered list of policies. Если запрос на подключение соответствует политике прокси, запрос на подключение перенаправляется RADIUS-сервер в группе удаленных RADIUS-серверов.If the connection request matches the Proxy policy, the connection request is forwarded to the RADIUS server in the remote RADIUS server group. Если запрос на подключение не соответствует политике прокси, но соответствует политики запросов на подключение по умолчанию, сервер политики сети обрабатывает запросы на подключение на локальном сервере.If the connection request does not match the Proxy policy but does match the default connection request policy, NPS processes the connection request on the local server. Если запрос на подключение не соответствует либо политики, они удаляются.If the connection request does not match either policy, it is discarded.

Сервер политики сети как RADIUS-сервер с удаленными серверами учета.NPS as a RADIUS server with remote accounting servers. В этом примере локальный сервер политики сети не настроен на ведение учета и политики запросов на подключение по умолчанию изменена таким образом, чтобы учета RADIUS перенаправляются на сервер политики сети или другие RADIUS-сервер в группе удаленных RADIUS-серверов.In this example, the local NPS server is not configured to perform accounting and the default connection request policy is revised so that RADIUS accounting messages are forwarded to an NPS server or other RADIUS server in a remote RADIUS server group. Несмотря на то, что сообщения учета перенаправляются, не будут перенаправлены сообщения проверки подлинности и авторизации и локальный сервер политики сети выполняет следующие функции для локального домена и всех доверенных доменов.Although accounting messages are forwarded, authentication and authorization messages are not forwarded, and the local NPS server performs these functions for the local domain and all trusted domains.

Сервер политики сети с использованием удаленного RADIUS для сопоставления пользователя Windows.NPS with remote RADIUS to Windows user mapping. В этом примере NPS действует как сервер RADIUS, а как RADIUS-прокси для каждого отдельного запроса на подключение, перенаправляя запрос на проверку подлинности на удаленном сервере RADIUS, используя локальную учетную запись пользователя Windows для авторизации.In this example, NPS acts as both a RADIUS server and as a RADIUS proxy for each individual connection request by forwarding the authentication request to a remote RADIUS server while using a local Windows user account for authorization. Эта конфигурация реализуется путем настройки удаленных RADIUS для сопоставления пользователей Windows атрибута в качестве условия политики запросов на подключение.This configuration is implemented by configuring the Remote RADIUS to Windows User Mapping attribute as a condition of the connection request policy. \ (Кроме того, учетной записи пользователя должен создаваться локально на сервере RADIUS, совпадает с именем учетной записи удаленного пользователя, по которой будет выполняться проверка подлинности удаленных RADIUS-сервером. )(In addition, a user account must be created locally on the RADIUS server that has the same name as the remote user account against which authentication is performed by the remote RADIUS server.)

КонфигурацииConfiguration

Чтобы настроить сервер политики сети как RADIUS-сервер, можно использовать стандартную конфигурацию или дополнительной настройки в консоли сервера политики сети или в диспетчере сервера.To configure NPS as a RADIUS server, you can use either standard configuration or advanced configuration in the NPS console or in Server Manager. Чтобы настроить сервер политики сети как RADIUS-прокси, необходимо использовать дополнительной настройки.To configure NPS as a RADIUS proxy, you must use advanced configuration.

Стандартная конфигурацияStandard configuration

С помощью стандартной конфигурации мастеров предоставляются сведения о настройке сервера политики сети для следующих сценариев:With standard configuration, wizards are provided to help you configure NPS for the following scenarios:

  • RADIUS-сервер для удаленного доступа или VPN-подключенийRADIUS server for dial-up or VPN connections
  • RADIUS-сервер для беспроводных или кабельных подключений 802.1 XRADIUS server for 802.1X wireless or wired connections

Чтобы настроить сервер политики сети с помощью мастера, откройте консоль сервера политики сети, выберите один из перечисленных выше условий и щелкните ссылку, чтобы открыть мастер.To configure NPS using a wizard, open the NPS console, select one of the preceding scenarios, and then click the link that opens the wizard.

Дополнительная настройкаAdvanced configuration

При использовании конфигурации расширенной вручную настроить сервер политики сети как RADIUS-сервер или прокси-сервера RADIUS.When you use advanced configuration, you manually configure NPS as a RADIUS server or RADIUS proxy.

Чтобы настроить сервер политики сети с помощью дополнительной настройки, откройте консоль сервера политики сети и щелкните стрелку рядом с пунктом дополнительная конфигурация разверните в этом разделе.To configure NPS by using advanced configuration, open the NPS console, and then click the arrow next to Advanced Configuration to expand this section.

Предоставляются следующие дополнительные настройки.The following advanced configuration items are provided.

Настройка сервера RADIUSConfigure RADIUS server

Чтобы настроить сервер политики сети как RADIUS-сервер, необходимо настроить RADIUS-клиенты, политики сети и RADIUS-учет.To configure NPS as a RADIUS server, you must configure RADIUS clients, network policy, and RADIUS accounting.

Инструкции по внесению этих конфигураций см. в следующих разделах.For instructions on making these configurations, see the following topics.

Настройка прокси-сервера RADIUSConfigure RADIUS proxy

Чтобы настроить сервер политики сети как RADIUS-прокси, необходимо настроить клиенты RADIUS, удаленных групп серверов RADIUS и политики запросов на подключение.To configure NPS as a RADIUS proxy, you must configure RADIUS clients, remote RADIUS server groups, and connection request policies.

Инструкции по внесению этих конфигураций см. в следующих разделах.For instructions on making these configurations, see the following topics.

Ведение журнала сервера политики сетиNPS logging

Ведение журнала сервера политики сети также называется учета RADIUS.NPS logging is also called RADIUS accounting. Настройте сервер политики сети ведение журнала для требований, ли сервер политики сети используется в качестве сервера RADIUS, прокси-сервера или любое сочетание этих конфигураций.Configure NPS logging to your requirements whether NPS is used as a RADIUS server, proxy, or any combination of these configurations.

Настройка ведения журнала сервера политики сети, необходимо настроить, какие события в журнал и просмотра с помощью просмотра событий и определите, какие сведения о требуется регистрировать.To configure NPS logging, you must configure which events you want logged and viewed with Event Viewer, and then determine which other information you want to log. Кроме того необходимо решить, следует ли проверка подлинности пользователя и журнала данных учета текстовые файлы журнала, хранящихся на локальном компьютере или в базу данных SQL Server на локальном или удаленном компьютере.In addition, you must decide whether you want to log user authentication and accounting information to text log files stored on the local computer or to a SQL Server database on either the local computer or a remote computer.

Дополнительные сведения см. в разделе Настройка сети политики сервера учета.For more information, see Configure Network Policy Server Accounting.

docs.microsoft.com

Cisco 802.1x + Windows 2012R2 NPS

Возникла такая задача\желание сделать в организации авторизацию по проводу через внутренний Radius сервер и Cisco 802.1x, поскольку инфраструктура строится на Wind домене был выбран встроенный механизм NPS.

Для начала нужно проверить что оборудование и сервер видят друг друга по портам 1812 и 1813.

Затем на NPS Сервере нужно создать Connection Request Policy.

Выглядит она так:

Никаких особых настроек, за исключением только типа подключения – NAS – Ethernet

Затем в Templates нужно завести SharedSecret, можно конечно каждый раз вносить его в ручную, но через шаблон это удобнее.

Затем в RADIUS Clients нужно добавить IP нашего коммутатора, с которого будут прилетать запросы на авторизацию:

Как раз тут и пригодится шаблон секрета, в случае если коммутаторов много – меньше шансов ошибиться.

После этого начинается самое интересное, нужно создать политики авторизации как клиентов, так и устройств которые не умеют 802.1x

Сперва пишем политику для пользователей.

Далее указываем условия успешной авторизации, что пользователь должен быть в нужной нам группе, и что авторизация происходить в проводной сети.

Механизмы авторизации указываем EAP и MSCHAP v2

И в NAS так же указываем тип – Ethernet

Тут самое интересное, мы добавляем в Standart следующие параметры:

Tunnel-Medium-Type – 802

Tunnel-Type – Virtual VLANs

Tunnel-Pvt-Group-ID – 100 (Это VLAN в который после авторизации коммутатор поместит клиента, в моем случае это 100 VLAN)

А в Vendor Specific Указываем Tunnel-Tag – 100 (Так же номер VLAN)

И после этого можно уже настраивать коммутатор, для этого на нем нужно ввести такие настройки:

aaa new-modelaaa authentication dot1x default group radiusdot1x system-auth-controlradius-server host ххх.ххх.ххх.хххradius-server key суперсекретныйкод

И уже на нужном нам интерфейсе, или на всех если вы поехавший, делаем такие настройки:

interface GigabitEthernet0/46

switchport mode accessauthentication event fail action authorize vlan 71

// Это мы указываем в какой влан попадет устройство в случае неудачной авторизации, в моей сети 71 – гостевой vlan.authentication event no-response action authorize vlan 71

// Тоже самое, но только если устройство не может\не хочет авторизоваться – попадает в 71.

authentication port-control autodot1x pae authenticatordot1x timeout quiet-period 15dot1x timeout tx-period 3no cdp enablespanning-tree portfast

И все, после подключения в этот порт – устройство обязано авторизоваться дабы попасть в рабочий VLAN.

Но это только часть беды, есть же устройства которые не умеют 802.1х, и для этого мы будем использовать механизм авторизации по MAC адресу устройства. В моем случае это камеры видео-наблюдения.

Сперва напишем политику авторизации, отличатся она будет только другой группой

Условиями авторизации, появляется параметр PAP, SPAP

И  Tunnel-Pvt-Group-ID  и Tunnel-Tag, нужно будет указать какой VLAN вы будете отдавать при авторизации по MAC.

Но это не самое интересное, самое интересное что для каждого устройства в домене должен быть пользователь у которого username и пароль будут равны его мак адресу, к примеру если у устройства mac адрес 12-34-56-78-90-AB, то в домене должен быть пользователь с логином 1234567890ab и паролем 1234567890ab.

Причем ВАЖНО, Логин и пароль должен быть именно в таком виде, и в нижнем регистре.

Тут начинается загвоздка, поскольку политики безопасности в домене не позволяют пользователю иметь такой же пароль как и логин, и он не проходит по безопасности – домен не даст нам создать такого пользователя.

А лечится это написанием отдельной парольной политики для групп пользователей, более подробно можно найти в этой статье:

AD DS — Создание нескольких политик паролей Password Settings objects (PSOs) в домене Windows Server 2008/2008 R2

И после написания отдельной политики – создаем пользователя, присваиваем ему группу доступа отвечающую за VLAN и группу с пониженным требованием к паролю.

Я еще ставлю следующие атрибуты: Пароль никогда не истечет, пароль нельзя сменить, и для интерактивного логина нужна смарт-карта.

Так же убираю у пользователя группу доменных пользователей, так во избежание.

И собственно после этих манипуляций нужно на Cisco добавить в строке интерфейса всего 1 строчку – mab

Таким образом настройки интерфейса выглядят так:

interface GigabitEthernet0/46description Besdima_Testswitchport mode accessauthentication event fail action authorize vlan 71authentication event no-response action authorize vlan 71authentication port-control automabdot1x pae authenticatordot1x timeout quiet-period 15dot1x timeout tx-period 3no cdp enablespanning-tree portfast

В качестве бонуса вот табличка радиус ответов, по которым можно продиагностировать почему не проходит авторизация в логах на NPS.

Код Назначение Комментарий
0 Код состояния в случае успешной аутентификации Все OK
7 Домен не найден Нужно проверить логин/пароль
8 Учетная запись не найдена Нужно проверить логин/пароль
16 Неверный пароль или имя пользователя Нужно проверить логин/пароль
17 Ошибка при смене пароля Вводят неверный текущий пароль, либо ошибка в работе протокола
19 Ошибка CHAP аутентификации Этот тип аутентификации используется только для устройств без поддержки 802.1X

Нужно установить атрибут “Store password using reversible encryption” в TRUE

22 Ошибка при согласовании типа аутентификации Обычно пользователи Mac OS или Linux
23 Ошибка в работе протокола аутентификации Обычно пользователи Mac OS или Linux
34 Учетная запись отключена Учетная запись отключена
36 Учетная запись заблокирована Учетная запись заблокирована
49 Нет подходящей политики подключения Обычно пользователи Mac OS или Linux
265 Сертификат подписан неизвестным издателем Отсутствует сертификат корневого центра сетификации

Полный список кодов информации о состоянии

0 – 37: http://technet.microsoft.com/ru-ru/library/dd197464(v=ws.10).aspx

38 – 257: http://technet.microsoft.com/ru-ru/library/dd197521(v=ws.10).aspx

258 – 282: http://technet.microsoft.com/ru-ru/library/dd197582(v=ws.10).aspx

283 – 303: http://technet.microsoft.com/ru-ru/library/dd197508(v=ws.10).aspx

besdima.ru

Настройка VPN и RADIUS сервера на Windows Server 2008 | Info-Comp.ru

Сегодня речь пойдет об установке и настройке VPN сервера на Windows Server 2008 в связке с Network Policy Server (NPS), который будет выполнять роль RADIUS сервера, а также будет защищать нашу сеть с помощью сетевых политик.

Для начала определимся для чего нам нужно устанавливать и настраивать VPN? Чаще всего VPN используется для предоставления доступа в свою сеть из вне, по защищенному каналу. Но тут нужно подумать, является это для Вас лучшим решением или можно обойтись и без VPN (например «Удаленный рабочий стол»). Но если у Вас нет другого выхода, кроме как настраивать VPN, то давайте приступим.

Для начала расскажу, в каких условиях мы будем все это дело настраивать.

  • Во-первых, на базе службы каталогов Active Directory Windows Server 2008;
  • Во-вторых, обычно второй сетевой интерфейс, который слушает входящие звонки, имеет внешний IP адрес, я для тестов буду использовать просто другую локальную сеть. Предполагается, что у нас на сервере имеется два сетевых интерфейса:

Первый (локальный)10.10.10.3255.255.255.0    Второй (как бы выход в инет, т.е. этот интерфейс будет принимать входящие подключения)192.168.1.1255.255.255.0

Задача. Настроить VPN сервер и NPS сервер. При этом клиенты VPN сервера должны подключаться только в определенное время (с 20:00 до 21:00) в другое время им запрещено входить в сеть.

Для начала создайте группу безопасности в оснастке Active Directory «Пользователи и компьютеры». Для того чтобы в нее помещать пользователей, которые будут иметь возможность подключаться к сети по VPN.

Установка ролей сервера для VPN и NPS

Далее можно переходить к установке необходимых ролей сервера. В качестве VPN сервера у нас будет выступать «Служба маршрутизации и удаленного доступа», а в качестве RADIUS сервера будет выступать «Сервер политики сети». Для установки как обычно зайдите в «Диспетчер сервера» и добавьте роль «Служба политики сети и доступа». На вкладке «Службы ролей» поставьте необходимые галочки (как на картинке).

Настройка службы маршрутизации и удаленного доступа для VPN

После того как все установилось можно переходить к настройке «Службы маршрутизации и удаленного доступа». Для этого запустите соответствующую оснастку в администрирование. Запускайте мастер настройка сервера (правой кнопкой «Настроить и включить маршрутизацию и удаленный доступ»).

Выбирайте «Удаленный доступ (VPN  или модем)» как на картинке (мы сейчас будем настраивать только удаленный доступ, NAT настраивать не будем, у нас нет такой задачи, поэтому выбираем самый первый пункт).

Далее выбираем «Доступ к виртуальной частной сети (VPN)».

На следующем этапе выбирайте интерфейс, который будет слушать входящие звонки, т.е. именно по этому адресу клиенты будут к нам подключаться (в настоящих условиях это интерфейс который смотрит в Интернет).

Далее выберете способ раздачи IP адресов клиентам, которые будут подключаться, другими словами, для того чтобы пользователь находился в одной сети, ему необходимо присвоить соответствующий IP адрес. Существует два способа это сделать:

  • Раздать через DHCP;
  • Задать вручную диапазон.

Первый вариант можно использовать тогда, когда у Вас настроен DHCP сервер в Вашей сети. Весь процесс выглядит так – если Вы выбрали этот вариант «Служба маршрутизации и удаленно доступа» сразу займет на DHCP сервере 10 IP адресов, поэтому не удивляйтесь, почему у Вас на DHCP сервере появились занятые ip-ки с уникальном кодом RAS. Кстати если одновременных подключений будет больше 10, то RAS займет еще 10 и так далее, т.е. занимает сразу по десять штук.

Если Вы не хотите использовать DHCP, то просто на всего выберете соответствующий пункт и задайте диапазон IP адресов.

Примечание! Если Вы решили задать вручную и при этом у Вас работает DHCP сервер, то задавайте тот диапазон, который не будет пересекаться с выдачей DHCP, или просто на DHCP сервере задайте диапазон исключений, IP адреса которого не будут выдаваться, а здесь Вы его укажите для выдачи.

На следующем этапе Вам предложат выбрать способ проверки подлинности запросов на подключение. Здесь у Вас снова два варианта: первый, сама служба будет это делать, а второй RADIUS сервер, как раз второй вариант мы сегодня и рассматриваем.

Далее предстоит выбрать адрес основного RADIUS сервера, так как основным сервером являемся мы сами, то и пишем наш IP адрес: 10.10.10.3

Все жмите готово, у Вас при этом настроится DHCP сервер для совместной работы с данной службой.

Настройка Network Policy Server (NPS)

Теперь переходим к настройке Network Policy Server (NPS) для этого запускайте оснастку «Сервер политики сети». Для начала зарегистрируйте этот сервер в AD, правой кнопкой «Зарегистрировать сервер в AD». Потом можно выключить политики, которые создались по умолчанию (также легко, правой кнопкой выключить). Затем можете запускать мастер настройки сервера.

Сначала выбираете тип подключения и можете задать имя Ваших политик, я например не изменял, а оставил все по умолчанию.

Затем можно указать клиентов RADIUS сервера. Под этим понимается сервера, которым нужны услуги RADIUS сервера, например наш VPN сервер, но так как он находится на нашем локальном компьютере, то здесь можно ничего не заполнять.

На следующем этапе у Вас спросят, какой метод проверки подлинности Вы хотите использовать, выберите вариант MS-CHAPv2.

Далее добавьте группу пользователей, которые имеют право на подключения к VPN серверу. Свою группу я назвал VPN.

Потом Вас попросят настроить ip-фильтры, но мы этого делать не будем, жмем далее и попадаем на этап настройки шифрования, здесь опять ничего не меняем (по умолчанию все галочки включены). Переходим к следующему этапу, где необходимо указать «Имя сферы» мы это тоже пропускаем и жмем далее, где нам уже скажут, что настройка прошла успешно. Жмем «Готово».

Теперь можете раскрыть политики, выберете «Политики запросов на подключение» нажмите правой кнопку на созданную Вами политику и нажмите свойства, перейдите на вкладку условия и нажмите добавить. Найдите там раздел «Ограничение по дням недели и времени суток» и жмите еще раз добавить. Настройте время так, как Вам нужно, для нашей с Вами тестовой задачи это с 20:00 по 21:00.

Теперь можно переходить к тестированию, в настройках подключения клиента указываем адрес 192.168.1.1 (в реальность внешний IP адрес или DNS имя).

Все, на этом наша с Вами тестовая задача выполнена. Но сразу могу сказать, что возможностей у NPS сервера очень много и Вы можете задавать свои сетевые политики для своей локальной сети, при выполнении некоторых условий. Например, компьютеры должны быть в домене и у них должен быть включен NAP агент. Но об этом и многом другом будем разговаривать в следующих статьях.

Похожие статьи:

info-comp.ru

Network Policy Server и аутентификация Cisco RADIUS

Настройка RADIUS аутентификации между устройствами Cisco и службой Network Policy Server (NPS) в Windows Server 2008 немного отличается от настройки подобной связки в предыдущих версиях Windows.

В том случае, если вы не знакомы со службой, рекомендую почитать следующую статью TechNet.

http://technet.microsoft.com/en-us/network/bb629414.aspx

В данной статье я покажу базовую настройку, позволяющую использовать NPS в качестве сервера аутентификации для различных устройств компании Cisco (коммутаторов, маршрутизаторов). Возможно, данная инструкция подойдет для работы с другими устройствами, поддерживающими RADIUS  аутентификацию, однако у меня такого опыта не было.

1. Установите службу Network Policy Server. Этот компонент можно найти в разделе ‘Network Policy and Access Services’ на Windows 2008 Server.

2. Откройте консоль управления Network Policy Server из меню «Administrative Tools».

3. Создайте новый radius клиент для устройств Cisco. Этот шаг практически ничем не отличается от конфигурации подобной связки в Windows Server 2000/2003. Вам нужно просто указать IP адрес устройства, выбрать тип the “radius standard”, и задать секретный ключ (shared secret).

4. Зарегистрируйте сервер в Active Directory, для чего щелкните правой клавишей мыши по узлу  “NPS (local)”  и выберите пункт “RegisterserverinActiveDirectory”. В результате NPS при получение запроса на авторизацию,  сможет пересылать эти запросы к AD.

5. Создайте “Connection Request Policy”. Этот шаг является новым, он появился только в Windows Server 2008. Ранее эта настройка была включена в политику удаленного доступа (remote access policy). В настройке “Connection request policy” нет ничего сложного.  На первом шаге необходимо задать тип сервера network access в “Unspecified”.

Далее нужно добавить хотя бы одно условие политики. Я в данном тестовом примере использую ограничение по дню и времени использования (“day and time restrictions”), для простоты я разрешаю доступ (permitted) 24×7. Естественно те правила, которые вы тут указываете должны соответствовать политике безопасности вашей компании, поэтому нужно внимательно отнестись к настройкам политики использования NPS.

И, наконец, на вкладке Settings в разделе Authentication, отметьте опцию “Authenticate requests on this server” (Аутентификация запросов на этом сервере).

6. Создаем Network Policy, в более ранних версиях Windows Server эта настройка называлась политикой удаленного доступа (remote access policy). На вкладке Overview нужно настроить политику на использование сервера network access типа “Unspecified”. Не забудьте предоставить или разрешить доступ по этой политике, я выбрал “Grant Access”.

На вкладке Conditions необходимо добавить хотя бы одно условие. Как правило, здесь указывается группа Active Directory, членам которой будет разрешено подключение.

Единственное, что нужно сделать на вкладке Constraints – включить метод аутентификации “Unencrypted authentication (PAP, SPAP)”.

И наконец, на вкладке Settings нужно убедиться, что в секции шифрования (Encryption) выбрана опция “No Encryption” (не шифровать).

7. На сетевом оборудовании нужно задать сервер аутентификации. Данная настройка специфична для различных марок и моделей сетевого оборудования. В последних версиях IOS на коммутаторах Cisco, команды настройки будут такими:

aaa new-model

aaa session-id common

aaa authentication login default group radius

radius-server host 10.24.0.1 auth-port 1812 acct-port 1813 key ваш_секретный_ключ

8. Осталось только протестировать работу!

winitpro.ru

Шлюз удаленных рабочих столов (RDG) и сервер Многофакторной идентификации Azure по протоколу RADIUS

  • 07/11/2018
  • Время чтения: 8 мин
  • Соавторы

In this article

Часто шлюз удаленных рабочих столов использует локальные службы политик сети (NPS) для аутентификации пользователей.Often, Remote Desktop (RD) Gateway uses the local Network Policy Services (NPS) to authenticate users. В этой статье объясняется, как перенаправлять RADIUS-запросы из шлюза удаленных рабочих столов (через локальную службу NPS) на сервер Многофакторной идентификации.This article describes how to route RADIUS requests out from the Remote Desktop Gateway (through the local NPS) to the Multi-Factor Authentication Server. Сочетание Azure MFA и шлюза удаленных рабочих столов означает, что пользователи могут подключаться к своим рабочим средам из любой точки мира, выполняя строгую аутентификацию.The combination of Azure MFA and RD Gateway means that your users can access their work environments from anywhere while performing strong authentication.

Поскольку Server 2012 R2 не поддерживает аутентификацию Windows для служб терминалов, для интеграции с сервером многофакторной идентификации нужно использовать шлюз удаленных рабочих столов и RADIUS.Since Windows Authentication for terminal services is not supported for Server 2012 R2, use RD Gateway and RADIUS to integrate with MFA Server.

Установите сервер Многофакторной идентификации на отдельном сервере, который будет передавать RADIUS-запрос обратно в службу NPS на сервере шлюза удаленных рабочих столов.Install the Azure Multi-Factor Authentication Server on a separate server, which proxies the RADIUS request back to the NPS on the Remote Desktop Gateway Server. Когда NPS проверит имя пользователя и пароль, он вернет ответ на сервер Многофакторной идентификации.After NPS validates the username and password, it returns a response to the Multi-Factor Authentication Server. Затем сервер MFA выполнит второй этап аутентификации и вернет результат в шлюз.Then, the MFA Server performs the second factor of authentication and returns a result to the gateway.

Предварительные требованияPrerequisites

Настройка шлюза удаленных рабочих столовConfigure the Remote Desktop Gateway

Настройте на шлюзе удаленных рабочих столов отправку RADIUS-запросов на аутентификацию на сервер Многофакторной идентификации Azure.Configure the RD Gateway to send RADIUS authentication to an Azure Multi-Factor Authentication Server.

  1. В диспетчере шлюза удаленных рабочих столов щелкните правой кнопкой мыши имя сервера и выберите пункт Свойства.In RD Gateway Manager, right-click the server name and select Properties.
  2. Откройте вкладку Хранилище политики авторизации подключений к удаленным рабочим столам и выберите Центральный сервер политики сети.Go to the RD CAP Store tab and select Central server running NPS.
  3. Добавьте один или несколько серверов Многофакторной идентификации Azure в качестве серверов RADIUS. Для этого введите имя или IP-адрес каждого сервера.Add one or more Azure Multi-Factor Authentication Servers as RADIUS servers by entering the name or IP address of each server.
  4. Создайте для каждого сервера общий секрет.Create a shared secret for each server.

Настройка NPSConfigure NPS

Шлюз удаленных рабочих столов использует NPS для отправки запроса RADIUS в службу Многофакторной идентификации Azure.The RD Gateway uses NPS to send the RADIUS request to Azure Multi-Factor Authentication. Для настройки службы NPS сначала измените параметры времени ожидания, чтобы на шлюзе удаленных рабочих столов не истекало время ожидания до завершения двухэтапной проверки.To configure NPS, first you change the timeout settings to prevent the RD Gateway from timing out before the two-step verification has completed. Затем внесите изменения в службу NPS, чтобы она получала RADIUS-запросы на аутентификацию с сервера Многофакторной идентификации.Then, you update NPS to receive RADIUS authentications from your MFA Server. Ниже описаны действия по настройке службы NPS.Use the following procedure to configure NPS:

Изменение политики времени ожиданияModify the timeout policy

  1. В службе NPS в столбце слева откройте меню RADIUS-клиенты и серверы и выберите Группы внешних RADIUS-серверов.In NPS, open the RADIUS Clients and Server menu in the left column and select Remote RADIUS Server Groups.
  2. Выберите TS Gateway Server Group (Группа серверов со шлюзами служб терминалов).Select the TS GATEWAY SERVER GROUP.
  3. Откройте вкладку Балансировка нагрузки.Go to the Load Balancing tab.
  4. В полях Число секунд без ответа, после которого запрос считается отброшенным и Число секунд между запросами, после которого сервер считается недоступным установите значение в диапазоне 30–60 секунд.Change both the Number of seconds without response before request is considered dropped and the Number of seconds between requests when server is identified as unavailable to between 30 and 60 seconds. Если вы обнаружите, что на сервере все равно истекает время ожидания аутентификации, вернитесь сюда еще раз и увеличьте количество секунд.(If you find that the server still times out during authentication, you can come back here and increase the number of seconds.)
  5. Откройте вкладку Authentication/Account (Аутентификация/Учетная запись) и убедитесь, что указанные RADIUS-порты соответствуют портам, на которых сервер Многофакторной идентификации ожидает передачи данных.Go to the Authentication/Account tab and check that the RADIUS ports specified match the ports that the Multi-Factor Authentication Server is listening on.

Подготовка службы NPS к получению запросов на аутентификацию с сервера Многофакторной идентификацииPrepare NPS to receive authentications from the MFA Server

  1. В столбце слева в меню "RADIUS-клиенты и серверы" щелкните правой кнопкой мыши пункт RADIUS-клиенты и выберите Создать.Right-click RADIUS Clients under RADIUS Clients and Servers in the left column and select New.
  2. Добавьте сервер Многофакторной идентификации Azure как клиента RADIUS.Add the Azure Multi-Factor Authentication Server as a RADIUS client. Выберите понятное имя и укажите общий секретный ключ.Choose a Friendly name and specify a shared secret.
  3. В столбце слева откройте меню Политики и выберите Политики запросов на подключение.Open the Policies menu in the left column and select Connection Request Policies. Вы должны увидеть политику с именем TS GATEWAY AUTHORIZATION POLICY (Политика аутентификации шлюза службы терминалов), которая была создана при настройке шлюза удаленных рабочих столов.You should see a policy called TS GATEWAY AUTHORIZATION POLICY that was created when RD Gateway was configured. Эта политика направляет запросы RADIUS на сервер Многофакторной идентификации.This policy forwards RADIUS requests to the Multi-Factor Authentication Server.
  4. Щелкните правой кнопкой мыши политику TS GATEWAY AUTHORIZATION POLICY (Политика аутентификации шлюза службы терминалов) и выберите пункт Повторяющаяся политика.Right-click TS GATEWAY AUTHORIZATION POLICY and select Duplicate Policy.
  5. Откройте новую политику и перейдите на вкладку Условия.Open the new policy and go to the Conditions tab.
  6. Добавьте условие, сопоставляющее понятное имя клиента с понятным именем, заданным на шаге 2 для RADIUS-клиента сервера Многофакторной идентификации Azure.Add a condition that matches the Client Friendly Name with the Friendly name set in step 2 for the Azure Multi-Factor Authentication Server RADIUS client.
  7. Откройте вкладку Параметры и выберите Проверка подлинности.Go to the Settings tab and select Authentication.
  8. Укажите для поставщика проверки подлинности значение Проверять подлинность запросов на этом сервере.Change the Authentication Provider to Authenticate requests on this server. Эта политика гарантирует, что когда служба NPS получит от сервера Azure MFA RADIUS-запрос, аутентификация будет выполняться локально. Иными словами, RADIUS-запрос не будет отправляться на сервер Многофакторной идентификации Azure, так как это может привести к зацикливанию операции.This policy ensures that when NPS receives a RADIUS request from the Azure MFA Server, the authentication occurs locally instead of sending a RADIUS request back to the Azure Multi-Factor Authentication Server, which would result in a loop condition.
  9. Чтобы избежать зацикливания, в области Политики запросов на подключение новая политика должна находиться иерархически ВЫШЕ исходной политики.To prevent a loop condition, make sure that the new policy is ordered ABOVE the original policy in the Connection Request Policies pane.

Настройка Многофакторной идентификации AzureConfigure Azure Multi-Factor Authentication

Между шлюзом удаленных рабочих столов и NPS сервер Многофакторной идентификации Azure настраивается как прокси-сервер RADIUS.The Azure Multi-Factor Authentication Server is configured as a RADIUS proxy between RD Gateway and NPS. Он должен быть установлен на сервере, присоединенном к домену, который отличается от сервера шлюза удаленных рабочих столов.It should be installed on a domain-joined server that is separate from the RD Gateway server. Для настройки сервера Многофакторной идентификации Azure используйте следующую процедуру.Use the following procedure to configure the Azure Multi-Factor Authentication Server.

  1. Откройте сервер Многофакторной идентификации Azure и щелкните значок аутентификации RADIUS.Open the Azure Multi-Factor Authentication Server and select the RADIUS Authentication icon.
  2. Установите флажок Включить проверку подлинности RADIUS.Check the Enable RADIUS authentication checkbox.
  3. Порты на вкладке "Клиенты" должны соответствовать тем, что указаны в параметрах службы NPS. Если это так, нажмите кнопку Добавить.On the Clients tab, ensure the ports match what is configured in NPS then select Add.
  4. Добавьте IP-адрес сервера шлюза удаленных рабочих столов, имя приложения (необязательно) и общий секрет.Add the RD Gateway server IP address, application name (optional), and a shared secret. На сервере Многофакторной идентификации Azure и на шлюзе удаленных рабочих столов должен быть указан один и тот же общий секрет.The shared secret needs to be the same on both the Azure Multi-Factor Authentication Server and RD Gateway.
  5. Перейдите на вкладку Целевой объект и выберите переключатель Серверы RADIUS.Go to the Target tab and select the RADIUS server(s) radio button.
  6. Щелкните Добавить и введите IP-адрес, общий секрет и порты сервера NPS.Select Add and enter the IP address, shared secret, and ports of the NPS server. Если не используется центральная служба NPS, RADIUS-клиент и целевой RADIUS-объект будут совпадать.Unless using a central NPS, the RADIUS client and RADIUS target are the same. Общий секретный ключ должен соответствовать ключу, заданному в разделе клиентов RADIUS сервера NPS.The shared secret must match the one setup in the RADIUS client section of the NPS server.

Дополнительная информацияNext steps

docs.microsoft.com

Настройка Windows Server 2008 R2 в качестве RADIUS сервера для Cisco ASA

ASA 8.3: Аутентификация TACACS с помощью ACS 5. X

ASA 8.3: Аутентификация TACACS с помощью ACS 5. X Содержание Введение Предварительные условия Требования Используемые компоненты Условные обозначения Настройка Схема сети Настройте ASA для Аутентификации

Подробнее

НАСТРОЙКА VPN СОЕДИНЕНИЯ

Инструкция НАСТРОЙКА VPN СОЕДИНЕНИЯ 1. Cкачайте и установите на личный компьютер следующие программы и файлы: etoken PKI Client; Cisco VPN Client: для 32 разрядной операционной системы; для 64 разрядной

Подробнее

Настройка сетевых соединений

Настройка сетевых соединений Документ содержит описание настройки VPN соединений для тестирования сервиса при подключениях через сеть Интернет. Промышленные подключения доступны только через выделенные

Подробнее

Предварительные условия

Содержание Введение Предварительные условия Требования Используемые компоненты Теоретические сведения Условные обозначения Схема сети Настройка Cisco Secure ACS версии 3.2 для Windows Получение сертификата

Подробнее

Сервер политики сети

Сервер политики сети Сервер политики сети позволяет создавать и применять политики доступа к сети на уровне организации для обеспечения работоспособности клиентов, а также выполнения проверки подлинности

Подробнее

Установка Cisco VPN Client. Требования.

Установка Cisco VPN Client. 1. Требования. 2. Где взять Cisco VPN Client. 3. Установка клиента. 4. Создание нового подключения. 5. Вторичная аутентификация. 6. Диагностика и устранение проблем. 7. Контакты.

Подробнее

USB 2.0 СЕРВЕР ПЕЧАТИ

USB 2.0 СЕРВЕР ПЕЧАТИ Краткое руководство по установке DN-13006-1 До начала установки необходимо подготовить следующее: ПК с Windows и установочным CD сервера печати Принтер Кабель принтера Сетевой концентратор

Подробнее

Установка модема в Windows 98/ME/2000

Установка модема в Windows 98/ME/2000 Шаг 1. Включите компьютер. При загрузке операционной системы функция «Plug and Play» среды Windows определит модем и запустит программу-помощник для установки модема

Подробнее

Настройка роутера D-Link DIR-300

Инструкция Настройка роутера D-Link DIR-300 Настройка компьютера. Настройка автоматического получения IP-адреса в ОС Windows XP 1. Нажмите кнопку Пуск и перейдите в раздел Панель управления -> Сеть и подключения

Подробнее

Настройка Windows XP

1 Оглавление Подключение роутера... 2 Настройка Windows XP... 3 Настройка Windows Vista... 5 Настройка Windows Seven... 8 Настройка роутера (Английский интерфейс)... 11 Настройка роутера (Русский интерфейс)...

Подробнее

Установка Cisco VPN Client

Установка Cisco VPN Client 1. Требования 2. Где взять Cisco VPN Client 3. Установка клиента 4. Создание нового подключения 5. Вторичная аутентификация 6. Диагностика и устранение проблем 7. Контакты Требования

Подробнее

Лабораторная работа: изучение FTP

Задачи Часть 1. Запуск FTP из командной строки Часть 2. Загрузка FTP-файла с помощью клиента WS_FTP LE Часть 3. Запуск FTP в браузере Исходные данные/сценарий FTP (протокол передачи файлов) входит в набор

Подробнее

Установка ПК «ArchiMed»

Установка ПК «ArchiMed» 1. Установка ключа Guardant/NET III: Запустите файл GrdDriversRU.msi из каталога GrdSrv_key\Driver_key; Подключите электронный ключ защиты в разъем USB сервера; На предложение операционной

Подробнее

docplayer.ru

Миграция сервера RADIUS (IAS) с Windows Server 2003 на 2016 (NPS)

Недавно встала задача по миграции сервера RADIUS на базе IAS (Internet Authentication Service) с Windows Server 2003 на Windows Server 2016. С помощью RADIUS-сервера решалась задача по авторизации администраторов сети на сетевых коммутаторах и маршрутизатора Cisco и Huawei. Начиная с версии сервера 2008, этот функционал теперь реализуется Network Policy Server (NPS).  Кроме функционала RADIUS эта роль выполняет еще ряд полезных функций, позволяющих использовать интересные сценарии реализации доступа, но это тема для отдельной статьи.

Миграция проходит в три этапа:

  1. Экспорт настроек IAS на сервере 2003;
  2. Развертывание нового сервера Windows 2016 и добавление роли NPAS;
  3. Импорт настроек в NPAS на сервере 2016.

 

Экспорт настроек IAS на сервере Windows 2003

 

Итак, у нас есть сервер IAS под Windows 2003. В русской редакции Windows IAS называется службой проверки подлинности в Интернете. На сервере заведены RADIUS-клиенты и настроены политики доступа.

 

 

Для экспорта настроек нужно использовать консольную утилиту IASMigReader.exe.Взять ее можно с установочного диска Windows из папки \sources\dlmanifests\microsoft-windows-iasserver-migplugin.

Примечание. Нами были проверены версии, взятые с 2008R2, 2012R2 и 2016. Корректно отработали только версии с 2008R2 и 2012R2. На версии с Windows 2016 была следующая ошибка:

 

 

Видимо раз Windows 2003 уже не поддерживается, то для нее эта утилита уже не предназначена. Кстати, на сайте MSFT также не удалось найти статью по миграции IAS 2003 на 2016, все заканчивается на 2012R2 – скорей всего по той же причине.

Скопируйте во временную папку на целевой сервер Windows 2003 утилиту IASMigReader.exe и запустите. Естественно на сервере у вас должны быть права локального администратора.

 

 

Если программа отработала без ошибок, то, как и указано на скриншоте, в папке C:\Windows\System32\ias должен появиться файл ias.txt. Это и есть файл с конфигурацией IAS.

 

 

Примечание. Для 64-битной версии Windows файл ias.txt создается в папке С:\Windows\syswow64\ias.Важно. Данные в файле находятся в незашифрованном виде, поэтому если его просто посмотреть в обычном блокноте, то можно увидеть все ваши общие секреты клиентов RADIUS. Поэтому не оставляйте его в открытом доступе и не пересылайте по почте.

На этом экспорт закончен. Скопируйте файл на целевой сервер с Windows Server 2016.

 

Развертывание сервера Windows 2016 и добавление роли NPAS

 

Допустим, что сервер 2016 уже проинсталлирован. Теперь нужно установить роль NPAS. Для этого запустите Server Manager и выберете «Add roles and features».

 

 

Отметьте Network Policy and Access Services.

 

 

Потом «Add Features».

 

 

Щелкните “Install” и дождитесь окончания установки.  Перезагрузки обычно не требуется.

 

 

Убедитесь, что установка прошла успешна, и нажмите “Close”.

 

 

На этом установка сервера NPS закончена.

Совет. Для ускорения установки роли, можно также воспользоваться PowerShell:

   Install-WindowsFeature NPAS -IncludeManagementTools

 

В “Administrative Tools” у вас должен появиться ярлык для консоли NPS.

 

 

Видно, что настроенных клиентов RADIUS нет.

 

 

Переходим к следующему этапу – импорту настроек.

 

 

Импорт конфигурации RADIUS

 

Импорт настроек IAS можно сделать тремя способами:• Через GUI консоли;• Через команду netsh;• Через PowerShell.

Для импорта через консоль щелкните правой кнопкой по NPS(local) и выберите “Import Configuration”. В диалоге укажите файл настроек RADIUS ias.txt, полученный на первом этапе.

 

 

Убедитесь, что импорт прошел успешно.

 

 

Заметьте, что логирование в SQL нужно будет настроить вручную. В данном примере SQL не использовался, поэтому настраивать не будем.

Примечание. Как уже упоминалось выше импортировать настройки Internet Authentication Service можно также через командную строку:

netsh nps import filename=”C:\temp\ias.txt”

или в PowerShell:

Import-Module NPSImport-NpsConfiguration –Path C:\temp\ias.txt

 

Проверьте, что все ваши клиенты RADIUS и политики появились в консоли NPS.

 

 

Убедитесь, что все политики доступа успешно импортировались. Также проверьте настройки протоколов проверки подлинности, особенно EAP, если использовался. Проверьте и настройте каталог для хранения логов и настройки Accounting.

 

 

Если сервер NPS в домене и будет выполнять проверку подлинности для доменных пользователей, то его нужно зарегистрировать в Active Directory. Естественно у вас должны быть права администратора домена для успешного выполнения этой операции. Фактически нужны права на добавление учетной записи компьютера с ролью Network Policy Server во встроенную группу безопасности “RAS and IAS Servers”.

 

 

 

 

 

Сервер NPS будет проверять полномочия пользователей при подключении с помощью проверки сетевой политики и проверки наличия разрешений на вкладке Dial-in в свойствах учетных записей. Поэтому не забудьте дать права на подключение администраторам сети и включить их в группу, прописанную в сетевой политике NPS, иначе они не смогут авторизоваться на сетевых устройствах через RADIUS сервер.

 

 

 

Примечание. Зарегистрировать в AD можно также командой:

netsh ras add registeredserver

 

После регистрации в домене нужно рестартнуть службу Network Policy Server.

 

 

Примечание. Интересно, что имя службы фактически осталось прежнее – IAS, то есть поменялось только отображаемое имя.

 

 

 

 

 

Рестарт службы с помощью команды net.

 

 

На этом процесс миграции IAS закончен, теперь надо перенастроить сетевые коммутаторы на новый сервер RADIUS (или перебросить IP-адрес со старого сервера на новый), и проверить вход. Отлаживать процесс входа можно через логи сервера NPS и просмотр событий Windows.

Миграция сервера RADIUS с Windows Server 2003 на 2016

Средняя оценка 4.8 Проголосовало 5

sysadmintips.ru