指南]07安装配置和故障排除网络策略服务器角色服务.ppt

第七章：安装、配置和故障排除网络策略服务器角色服务,牛络骏盎毁猪教订恐监瓜东埃袭践粟噬擂藉搓凝汤乾娜量临顺啸恿吐跪至07安装配置和故障排除网络策略服务器角色服务07安装配置和故障排除网络策略服务器角色服务,内容,安装配置网络策略服务器 配置RAIDUS客户端和服务器 NPS身份验证方法 对网络策略服务器进行监视和故障排除,粤饿蚕芜乱斗享孽哪听莫运陕晓足呸奥练众均氰蛋闭骇杨羊谍鸯零汇惕抒07安装配置和故障排除网络策略服务器角色服务07安装配置和故障排除网络策略服务器角色服务,第1节：安装和配置网络策略服务器,网络策略服务器 网络策略服务器使用场景 演示：如何安装网络策略服务器 用于管理网络策略服务器的工具 演示：配置常规NPS设置,淄故炕挣伴黎昼困炽栋赃膜嫩懈睫鬼成兑筋嗽愈夷屁裔坏取切锌安早箩泼07安装配置和故障排除网络策略服务器角色服务07安装配置和故障排除网络策略服务器角色服务,网络策略服务器,Windows Server 2008 Network Policy Server (NPS):,RADIUS server,RADIUS proxy,Network Access Protection,咆恃启突摆机协滤潍肢倍肛绅女赠渤客妖览雌美坐葛捏吞琢烫娇鲸渝矩鲸07安装配置和故障排除网络策略服务器角色服务07安装配置和故障排除网络策略服务器角色服务,网络策略服务器使用场景,NPS 用于以下场景:,Network Access Protection Enforcement for IPsec traffic Enforcement for 802.1x wired and wireless Enforcement for DHCP Enforcement for VPN,Secure Wired and Wireless Access,RADIUS,Terminal Server Gateway,浓抢煌笔自茹苟倦睫朗咒明敌瓤疗滨瞩廉罕聘劣经眼箔泰裤而搭沁冯忆字07安装配置和故障排除网络策略服务器角色服务07安装配置和故障排除网络策略服务器角色服务,Demonstration: How to Install the Network Policy Server,In this demonstration, you will see how to install the Network Policy Server,佩土系陌朝吧搅骋廖嚷袄停羡刨祖夸砰谦愉较贫娶葬酶沁灸摧谴奏瓢索方07安装配置和故障排除网络策略服务器角色服务07安装配置和故障排除网络策略服务器角色服务,用于管理网络策略服务器的工具,用于管理NPS的工具包括:,Netsh command line to configure all aspects of NPS, such as: NPS Server Commands RADIUS Client Commands Connection Request Policy Commands Remote RADIUS Server Group Commands Network Policy Commands Network Access Protection Commands Accounting Commands,NPS MMC Console,谓幼忘射但详蹄穿到本立弱放疮挡修部痕絮泌败湖翼没任澳玉溢她缆椅弃07安装配置和故障排除网络策略服务器角色服务07安装配置和故障排除网络策略服务器角色服务,Demonstration: Configuring General NPS Settings,In this demonstration, you will see how to configure general NPS settings,画团孪桓腥浑乌泵宇七妒纬滦枕铆斡步体唱蝎烽仆僻专栅拢挣橡居整仆芜07安装配置和故障排除网络策略服务器角色服务07安装配置和故障排除网络策略服务器角色服务,RADIUS客户端 RADIUS 代理 Demonstration: Configuring a RADIUS Client 配置连接请求处理 连接请求策略 Demonstration: Creating a New Connection Request Policy,疏吞跃浑八屡一膳酿姨叔劝尿驹厄佩蚌许揭奋袜拔疗蜘栽铃墙佐墩栅真拳07安装配置和故障排除网络策略服务器角色服务07安装配置和故障排除网络策略服务器角色服务,RADIUS客户端,RADIUS clients are network access servers, such as: Wireless access points 802.1x authenticating switches VPN servers Dial-up servers,NPS 是 RADIUS 服务器,RADIUS clients send connection requests and accounting messages to RADIUS servers for authentication, authorization, and accounting,枣钧骂炳史烃态瞳雍邵另典泽赎钱刷掺漆雹权氖猜恰梗酗掂楚酞绒必陡酪07安装配置和故障排除网络策略服务器角色服务07安装配置和故障排除网络策略服务器角色服务,RADIUS代理,RADIUS 代理用于:,提供外包的拨号、VPN或无线网络访问服务的服务提供商,为非AD成员的用户账户提供身份验证和授权,使用非Windows账户数据库的数据库执行身份验证和授权,在多台RADIUS服务器之间负载平衡连接请求,RADIUS代理接收来自RADIUS客户端的请求并将它们转发给相应的RADIUS服务器或者另一个RADIUS代理，以进行下一步路由。,为外包服务提供商提供RADIUS并限制通过防火墙的通信类型,柒枕痞丑收待伍调绍宙住鸳吠材郑怨坝萧踩妈魏耙愉斤沫忠秽旁像扫邹攒07安装配置和故障排除网络策略服务器角色服务07安装配置和故障排除网络策略服务器角色服务,Demonstration: Configuring a RADIUS Client,In this demonstration, you will see how to: Add a new RADIUS client to NPS Configure Routing and Remote Access as a RADIUS client,神值椎训洞揍酌匪捣茵才掷案创掀夕九樱同壹绘鲸遂颇什甄学聘榆稿窜凌07安装配置和故障排除网络策略服务器角色服务07安装配置和故障排除网络策略服务器角色服务,配置连接请求处理,厉举陌挞恐瓶棒纱隋咆陇讣休但原掇悔书聋酉螟竞姆过住迸绸寂抬务必捶07安装配置和故障排除网络策略服务器角色服务07安装配置和故障排除网络策略服务器角色服务,连接请求策略,连接请求策略包括:,Conditions, such as: Framed Protocol Service Type Tunnel Type Day and Time restrictions,连接请求策略是一组条件和设置。允许网络管理员指定哪些RADIUS服务器对NPS服务器从RADIUS客户端接收到的连接请求执行身份验证和授权。,Settings, such as: Authentication Accounting Attribute Manipulation Advanced settings,需要自定义连接请求策略来转发给另一个代理或RADIUS服务器或服务器组以进行授权和身份验证，或为记账信息指定其他服务器。,况鼻贵五谣囱墅县蜡歹酬剖己裁罚卖鞋屹割维咕钮碗替徊馏碌第截贷衅棚07安装配置和故障排除网络策略服务器角色服务07安装配置和故障排除网络策略服务器角色服务,Demonstration: Creating a New Connection Request Policy,In this demonstration, you will see how to: Use the Connection Request Policy wizard to create a new connection request policy Disable or delete a connection request policy,频擞巢控俊赎貉诵瓶场瀑磊追黑屉拣镶掠巢湿旭猛泼撅再劳加狐烯骑蚤屹07安装配置和故障排除网络策略服务器角色服务07安装配置和故障排除网络策略服务器角色服务,Lesson 3: NPS 身份验证方法,基于密码的身份验证方法 使用证书进行身份验证 NPS身份验证方法所需证书 为PEAP 和EAP部署证书,遂罢悲滥她蜂代壁由态匡欧料汀软筏最翔眷乡筏峡接茵柄障茬葛鸿丛狼悟07安装配置和故障排除网络策略服务器角色服务07安装配置和故障排除网络策略服务器角色服务,基于密码的身份验证方法,NPS服务器的身份验证方法包括:,MS-CHAPv2,MS-CHAP,CHAP,PAP,Unauthenticated access,携透痘龚牲章贝怎婶诌裔锥戍觅朔奸圾牟汹髓舔药旭笑掖杂篓碍段嵌休科07安装配置和故障排除网络策略服务器角色服务07安装配置和故障排除网络策略服务器角色服务,使用证书进行身份验证,NPS中基于证书的身份验证:,证书类型: CA证书：验证其他证书的信任路径 客户端计算机证书：在身份验证期间办法给计算机以向NPS证明其深翻 服务器证书：在身份验证期间颁发给NPS服务器以向客户端计算机证明其身份 用户证书：颁发给个人以向NPS服务器证明其身份进行身份验证,证书可从公共CA提供方或自由的AD证书服务处获得,要在网络策略中指定基于证书的身份验证，可在约束选项卡上配置身份验证方法,杀搏虽常烦筑氧岭等臀诫汲张袄疤支盟淋镶井呆胶础己彪衬怎柴因肪嚏租07安装配置和故障排除网络策略服务器角色服务07安装配置和故障排除网络策略服务器角色服务,NPS身份验证方法所需证书,所有证书必须满足X.509的要求且必须适用于使用SSL/TLS的连接,刽拿蚂笆藏旧隶橱崇环咀吨孔西磨撩淤倍螟卸限冀跑理虾国妈据旺罪暴寓07安装配置和故障排除网络策略服务器角色服务07安装配置和故障排除网络策略服务器角色服务,为PEAP 和 EAP部署证书,对于域计算机和用户账户，在组策略中使用自动注册功能,非域成员注册需要管理员使用CA WEB注册工具来请求用户证书或计算机证书,管理员必须将计算机证书或者用户证书保存到软盘或其他可移动介质，并在非域成员 计算机上安装证书,管理员可将用户证书分发给智能卡,怠硼梆廉咋落厚辩氟蹈邢原古脑狰丰徒队痴轩穴扒架框苑台粥忿城芹襟涪07安装配置和故障排除网络策略服务器角色服务07安装配置和故障排除网络策略服务器角色服务,Lesson 4: 对网络策略服务器进行监视和故障排除,用于监视NPS的方法 配置日志文件属性 配置SQL Server日志 配置需要在实践查看器中记录的NPS事件,诣作诵哨挡梨孟汹败摄公苔葱玲植躯誉旁汕肚签贞核焚渠茹瓜湘兵页阐生07安装配置和故障排除网络策略服务器角色服务07安装配置和故障排除网络策略服务器角色服务,用于监视NPS的方法,监视NPS的方法包括:,事件日志 在系统事件日志中记录NPS事件 用于连接请求的审核和故障排除,记录用户身份验证和记账请求 用于连接分析和账单用途 可采用纯文本格式 可以是SQL实例内的数据库,撬椅趾众露串幅限硷滁囚膛胳你劈桔笼讽轻煽炳梗枯譬党叶亦俱屯化胃蚕07安装配置和故障排除网络策略服务器角色服务07安装配置和故障排除网络策略服务器角色服务,配置日志文件属性,使用NPS控制台配置日志:,Open NPS from the Administrative Tools menu,In the console tree, click Accounting,In the details pane, click Configure Local File Logging,On the Settings tab, select the information to be logged,On the Log File tab, select the log type and the frequency or size attributes of the log files to be generated,1,2,3,4,5,日志文件应存储在与系统分区隔离的分区上:,如果RADIUS记账由于整个硬盘而发生故障，那么NPS停止处理连接请求,游顺锡曹烽肇舍罢骨屏倡舞任箔老脐甄掉彰蒋捣豹完拨落月算筷往呛曾糕07安装配置和故障排除网络策略服务器角色服务07安装配置和故障排除网络策略服务器角色服务,配置 SQL Server 日志,使用SQL记录RADIUS记账数据:,需要SQL有一个名为report_event的存储过程,NPS将记账数据格式化为XML文档,可以是本地SQL Server数据库或远程SQL Server数据库,赴婶奴闰踩格厕憋愧殊拼扯韭盯惜勾奥又当牧处还糜台早阴阂储睬挪仲病07安装配置和故障排除网络策略服务器角色服务07安装配置和故障排除网络策略服务器角色服务,配置需要在实践查看器中记录的NPS事件,配置要在实践查看器中记录的NPS事件：,默认情况下，配置NPS在实践日志中记录失败连接和成功连接 可在网络策略的“属性”页的“常规”选项卡上更改此配置 常见请求失败事件 失败事件记录的信息 成功事件记录的信息,Schannel日志及其配置：,Schannel 是支持一组internet安全协议的安全支持提供程序 可采用以下注册表键值配置Schannel日志: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl SecurityProvidersSCHANNELEventLogging,丁雁翁硕目茄燥晚扫搐嘎障跪缅煽肯坠诚挞际曹岿再撤叔启盲许擦迈蛀遣07安装配置和故障排除网络策略服务器角色服务07安装配置和故障排除网络策略服务器角色服务,Lab: Configuring and Managing Networ