- 08/07/2020
- 6 minut na przeczytanie
-
- J
- e
- j
Dotyczy: Windows Server (Semi-Annual Channel), Windows Server 2016
Można użyć tego tematu do skonfigurowania serwerów dostępu do sieci jako klientów RADIUS w NPS.
Po dodaniu do sieci nowego serwera dostępu do sieci (serwera VPN, bezprzewodowego punktu dostępu, przełącznika uwierzytelniającego lub serwera dial-up) należy dodać serwer jako klienta RADIUS w NPS, a następnie skonfigurować klienta RADIUS do komunikacji z NPS.
Important
Komputery i urządzenia klienckie, takie jak laptopy, tablety, telefony i inne komputery z klienckimi systemami operacyjnymi, nie są klientami RADIUS. Klientami RADIUS są serwery dostępu do sieci – takie jak punkty dostępu bezprzewodowego, przełączniki obsługujące 802.1X, serwery wirtualnych sieci prywatnych (VPN) i serwery dial-up – ponieważ używają protokołu RADIUS do komunikacji z serwerami RADIUS, takimi jak serwery Network Policy Server (NPS).
Ten krok jest również konieczny, gdy twój NPS jest członkiem grupy zdalnych serwerów RADIUS skonfigurowanej na serwerze proxy NPS. W takiej sytuacji, oprócz wykonania czynności opisanych w tym zadaniu na serwerze proxy NPS, należy wykonać następujące czynności:
- Na serwerze proxy NPS skonfiguruj zdalną grupę serwerów RADIUS, która zawiera NPS.
- Na zdalnym NPS skonfiguruj serwer proxy NPS jako klienta RADIUS.
Aby wykonać procedury opisane w tym temacie, w sieci musi być fizycznie zainstalowany co najmniej jeden serwer dostępu do sieci (serwer VPN, bezprzewodowy punkt dostępu, przełącznik uwierzytelniający lub serwer dial-up) lub serwer proxy NPS.
- Konfiguracja serwera dostępu do sieci
- Aby skonfigurować serwer dostępu do sieci
- Add the Network Access Server as a RADIUS Client in NPS
- Aby dodać serwer dostępu do sieci jako klienta RADIUS w NPS
- Konfigurowanie klientów RADIUS według zakresu adresów IP w Windows Server 2016 Datacenter
- Aby skonfigurować klientów RADIUS według zakresu adresów IP
Konfiguracja serwera dostępu do sieci
Użyj tej procedury, aby skonfigurować serwery dostępu do sieci do użytku z usługą NPS. Po wdrożeniu sieciowych serwerów dostępu (NAS) jako klientów RADIUS należy skonfigurować klientów do komunikacji z NPS, w których NAS są skonfigurowane jako klienci.
Ta procedura zawiera ogólne wytyczne dotyczące ustawień, których należy użyć do skonfigurowania NAS; szczegółowe instrukcje dotyczące konfiguracji urządzenia wdrażanego w sieci można znaleźć w dokumentacji produktu NAS.
Aby skonfigurować serwer dostępu do sieci
- Na serwerze NAS, w ustawieniach RADIUS, wybierz uwierzytelnianie RADIUS na porcie 1812 User Datagram Protocol (UDP) i księgowanie RADIUS na porcie 1813 UDP.
- W polu Serwer uwierzytelniania lub RADIUS określ swój NPS za pomocą adresu IP lub w pełni kwalifikowanej nazwy domeny (FQDN), w zależności od wymagań serwera NAS. Gdy skonfigurujesz NAS jako klienta RADIUS w NPS, będziesz używał tego samego hasła, więc nie zapomnij go.
- Jeśli używasz PEAP lub EAP jako metody uwierzytelniania, skonfiguruj NAS, aby używał uwierzytelniania EAP.
- Jeśli konfigurujesz punkt dostępu bezprzewodowego, w SSID, określ Service Set Identifier (SSID), który jest ciągiem alfanumerycznym służącym jako nazwa sieci. Nazwa ta jest rozsyłana przez punkty dostępowe do klientów bezprzewodowych i jest widoczna dla użytkowników w hotspotach Wi-Fi.
- Jeśli konfigurujesz punkt dostępu bezprzewodowego, w sekcji 802.1X i WPA włącz uwierzytelnianie IEEE 802.1X, jeśli chcesz wdrożyć uwierzytelnianie PEAP-MS-CHAP v2, PEAP-TLS lub EAP-TLS.
Add the Network Access Server as a RADIUS Client in NPS
Użyj tej procedury, aby dodać serwer dostępu do sieci jako klienta RADIUS w NPS. Możesz użyć tej procedury, aby skonfigurować NAS jako klienta RADIUS za pomocą konsoli NPS.
Aby wykonać tę procedurę, musisz być członkiem grupy Administrators.
Aby dodać serwer dostępu do sieci jako klienta RADIUS w NPS
- W NPS, w Menedżerze serwera kliknij Narzędzia, a następnie kliknij Network Policy Server. Zostanie otwarta konsola NPS.
- W konsoli NPS kliknij dwukrotnie pozycję RADIUS Clients and Servers (Klienty i serwery RADIUS). Kliknij prawym przyciskiem myszy RADIUS Clients, a następnie kliknij New RADIUS Client.
- W New RADIUS Client, sprawdź, czy zaznaczone jest pole wyboru Enable this RADIUS client.
- W New RADIUS Client, w Friendly name, wpisz nazwę wyświetlaną dla NAS. W polu Adres (IP lub DNS) wpisz adres IP serwera NAS lub w pełni kwalifikowaną nazwę domeny (FQDN). Jeśli wprowadzisz FQDN, kliknij Weryfikuj, jeśli chcesz sprawdzić, czy nazwa jest poprawna i czy odpowiada prawidłowemu adresowi IP.
- W Nowy klient RADIUS, w Sprzedawca, określ nazwę producenta NAS. Jeśli nie jesteś pewien nazwy producenta NAS, wybierz RADIUS standard.
- W New RADIUS Client, w Shared secret, wykonaj jedną z następujących czynności:
- Upewnij się, że wybrano Manual, a następnie w Shared secret wpisz silne hasło, które jest również wprowadzone na NAS. Powtórz sekret współdzielony w Potwierdź sekret współdzielony.
- Wybierz Generuj, a następnie kliknij Generuj, aby automatycznie wygenerować sekret współdzielony. Zapisz wygenerowany shared secret do konfiguracji na NAS, aby mógł komunikować się z NPS.
- W New RADIUS Client, w Additional Options, jeśli używasz metod uwierzytelniania innych niż EAP i PEAP, i jeśli Twój NAS obsługuje atrybut message authenticator, wybierz Access Request messages must contain the Message Authenticator attribute.
- Kliknij OK. Twój NAS pojawia się na liście klientów RADIUS skonfigurowanych na NPS.
Konfigurowanie klientów RADIUS według zakresu adresów IP w Windows Server 2016 Datacenter
Jeśli używasz Windows Server 2016 Datacenter, możesz skonfigurować klientów RADIUS w NPS według zakresu adresów IP. Umożliwia to dodanie dużej liczby klientów RADIUS (takich jak bezprzewodowe punkty dostępu) do konsoli NPS za jednym razem, zamiast dodawania każdego klienta RADIUS osobno.
Nie można skonfigurować klientów RADIUS według zakresu adresów IP, jeśli używasz NPS w systemie Windows Server 2016 Standard.
Użyj tej procedury, aby dodać grupę sieciowych serwerów dostępu (NAS) jako klientów RADIUS, które wszystkie są skonfigurowane z adresami IP z tego samego zakresu adresów IP.
Wszystkie klienty RADIUS w zakresie muszą używać tej samej konfiguracji i współdzielonego sekretu.
Aby wykonać tę procedurę, musisz być członkiem grupy Administratorzy.
Aby skonfigurować klientów RADIUS według zakresu adresów IP
- Na NPS, w Menedżerze serwera, kliknij Narzędzia, a następnie kliknij Network Policy Server. Zostanie otwarta konsola NPS.
- W konsoli NPS kliknij dwukrotnie pozycję RADIUS Clients and Servers (Klienci i serwery RADIUS). Kliknij prawym przyciskiem myszy na RADIUS Clients, a następnie kliknij New RADIUS Client.
- W New RADIUS Client, w Friendly name, wpisz nazwę wyświetlaną dla kolekcji NAS.
- W Address (IP or DNS), wpisz zakres adresów IP dla klientów RADIUS, używając notacji Classless Inter-Domain Routing (CIDR). Na przykład, jeśli zakres adresów IP dla NAS to 10.10.0.0, wpisz 10.10.0.0/16.
- W polu Nowy klient RADIUS, w polu Dostawca, podaj nazwę producenta NAS. Jeśli nie jesteś pewien nazwy producenta NAS, wybierz RADIUS standard.
- W New RADIUS Client, w Shared secret wykonaj jedną z następujących czynności:
- Upewnij się, że wybrano Manual, a następnie w Shared secret wpisz silne hasło, które jest również wpisane na NAS. Ponownie wpisz współdzielony sekret w Potwierdź współdzielony sekret.
- Wybierz Generuj, a następnie kliknij Generuj, aby automatycznie wygenerować współdzielony sekret. Zapisz wygenerowany shared secret do konfiguracji na NAS, aby mógł komunikować się z NPS.
- W New RADIUS Client, w Additional Options, jeśli używasz metod uwierzytelniania innych niż EAP i PEAP, i jeśli wszystkie NAS obsługują atrybut message authenticator, wybierz Access Request messages must contain the Message Authenticator attribute.
- Kliknij OK. Twoje NAS pojawiają się na liście klientów RADIUS skonfigurowanych w NPS.
Więcej informacji, zobacz Klienci RADIUS.
Więcej informacji o NPS, zobacz Network Policy Server (NPS).