安装配置和故障排除网络策略服务器角色服务.ppt

第七章 安装 配置和故障排除网络策略服务器角色服务 内容 安装配置网络策略服务器配置RAIDUS客户端和服务器NPS身份验证方法对网络策略服务器进行监视和故障排除 第1节 安装和配置网络策略服务器 网络策略服务器网络策略服务器使用场景演示 如何安装网络策略服务器用于管理网络策略服务器的工具演示 配置常规NPS设置 网络策略服务器 WindowsServer2008NetworkPolicyServer NPS RADIUSserver RADIUSproxy NetworkAccessProtection 网络策略服务器使用场景 NPS用于以下场景 NetworkAccessProtectionEnforcementforIPsectrafficEnforcementfor802 1xwiredandwirelessEnforcementforDHCPEnforcementforVPN SecureWiredandWirelessAccess RADIUS TerminalServerGateway Demonstration HowtoInstalltheNetworkPolicyServer Inthisdemonstration youwillseehowtoinstalltheNetworkPolicyServer 用于管理网络策略服务器的工具 用于管理NPS的工具包括 NetshcommandlinetoconfigureallaspectsofNPS suchas NPSServerCommandsRADIUSClientCommandsConnectionRequestPolicyCommandsRemoteRADIUSServerGroupCommandsNetworkPolicyCommandsNetworkAccessProtectionCommandsAccountingCommands NPSMMCConsole Demonstration ConfiguringGeneralNPSSettings Inthisdemonstration youwillseehowtoconfiguregeneralNPSsettings 第2节 配置RAIDUS客户端和服务器 RADIUS客户端RADIUS代理Demonstration ConfiguringaRADIUSClient配置连接请求处理连接请求策略Demonstration CreatingaNewConnectionRequestPolicy RADIUS客户端 RADIUSclientsarenetworkaccessservers suchas Wirelessaccesspoints802 1xauthenticatingswitchesVPNserversDial upservers NPS是RADIUS服务器 RADIUSclientssendconnectionrequestsandaccountingmessagestoRADIUSserversforauthentication authorization andaccounting RADIUS代理 RADIUS代理用于 提供外包的拨号 VPN或无线网络访问服务的服务提供商 为非AD成员的用户账户提供身份验证和授权 使用非Windows账户数据库的数据库执行身份验证和授权 在多台RADIUS服务器之间负载平衡连接请求 RADIUS代理接收来自RADIUS客户端的请求并将它们转发给相应的RADIUS服务器或者另一个RADIUS代理 以进行下一步路由 为外包服务提供商提供RADIUS并限制通过防火墙的通信类型 Demonstration ConfiguringaRADIUSClient Inthisdemonstration youwillseehowto AddanewRADIUSclienttoNPSConfigureRoutingandRemoteAccessasaRADIUSclient 配置连接请求处理 连接请求策略 连接请求策略包括 Conditions suchas FramedProtocolServiceTypeTunnelTypeDayandTimerestrictions 连接请求策略是一组条件和设置 允许网络管理员指定哪些RADIUS服务器对NPS服务器从RADIUS客户端接收到的连接请求执行身份验证和授权 Settings suchas AuthenticationAccountingAttributeManipulationAdvancedsettings 需要自定义连接请求策略来转发给另一个代理或RADIUS服务器或服务器组以进行授权和身份验证 或为记账信息指定其他服务器 Demonstration CreatingaNewConnectionRequestPolicy Inthisdemonstration youwillseehowto UsetheConnectionRequestPolicywizardtocreateanewconnectionrequestpolicyDisableordeleteaconnectionrequestpolicy Lesson3 NPS身份验证方法 基于密码的身份验证方法使用证书进行身份验证NPS身份验证方法所需证书为PEAP和EAP部署证书 基于密码的身份验证方法 NPS服务器的身份验证方法包括 MS CHAPv2 MS CHAP CHAP PAP Unauthenticatedaccess 使用证书进行身份验证 NPS中基于证书的身份验证 证书类型 CA证书 验证其他证书的信任路径客户端计算机证书 在身份验证期间办法给计算机以向NPS证明其深翻服务器证书 在身份验证期间颁发给NPS服务器以向客户端计算机证明其身份用户证书 颁发给个人以向NPS服务器证明其身份进行身份验证 证书可从公共CA提供方或自由的AD证书服务处获得 要在网络策略中指定基于证书的身份验证 可在约束选项卡上配置身份验证方法 NPS身份验证方法所需证书 所有证书必须满足X 509的要求且必须适用于使用SSL TLS的连接 为PEAP和EAP部署证书 对于域计算机和用户账户 在组策略中使用自动注册功能 非域成员注册需要管理员使用CAWEB注册工具来请求用户证书或计算机证书 管理员必须将计算机证书或者用户证书保存到软盘或其他可移动介质 并在非域成员计算机上安装证书 管理员可将用户证书分发给智能卡 Lesson4 对网络策略服务器进行监视和故障排除 用于监视NPS的方法配置日志文件属性配置SQLServer日志配置需要在实践查看器中记录的NPS事件 用于监视NPS的方法 监视NPS的方法包括 事件日志在系统事件日志中记录NPS事件用于连接请求的审核和故障排除 记录用户身份验证和记账请求用于连接分析和账单用途可采用纯文本格式可以是SQL实例内的数据库 配置日志文件属性 使用NPS控制台配置日志 OpenNPSfromtheAdministrativeToolsmenu Intheconsoletree clickAccounting Inthedetailspane clickConfigureLocalFileLogging OntheSettingstab selecttheinformationtobelogged OntheLogFiletab selectthelogtypeandthefrequencyorsizeattributesofthelogfilestobegenerated 1 2 3 4 5 日志文件应存储在与系统分区隔离的分区上 如果RADIUS记账由于整个硬盘而发生故障 那么NPS停止处理连接请求 配置SQLServer日志 使用SQL记录RADIUS记账数据 需要SQL有一个名为report event的存储过程 NPS将记账数据格式化为XML文档 可以是本地SQLServer数据库或远程SQLServer数据库 配置需要在实践查看器中记录的NPS事件 配置要在实践查看器中记录的NPS事件 默认情况下 配置NPS在实践日志中记录失败连接和成功连接可在网络策略的 属性 页的 常规 选项卡上更改此配置常见请求失败事件失败事件记录的信息成功事件记录的信息 Schannel日志及其配置 Schannel是支持一组internet安全协议的安全支持提供程序可采用以下注册表键值配置Schannel日志 HKEY LOCAL MACHINE SYSTEM CurrentControlSet Control SecurityProviders SCHANNEL EventLogging Lab ConfiguringandManagingNetworkPolicyServer Exercise1 InstallingandConfiguringtheNetworkPolicyServerRoleServiceExercise2 ConfiguringaRADIUSClientExercise3 ConfiguringCertificateAuto Enrollment Logoni