安装配置和故障排除网络策略服务器角色服务.pptx

内容安装配置网络策略服务器配置RAIDUS客户端和服务器NPS身份验证方法对网络策略服务器进行监视和故障排除第1节：安装和配置网络策略服务器网络策略服务器网络策略服务器使用场景演示：如何安装网络策略服务器用于管理网络策略服务器的工具演示：配置常规NPS设置网络策略服务器Windows Server 2008 Network Policy Server(NPS):RADIUS serverRADIUS proxyNetwork Access Protection 网络策略服务器使用场景NPS 用于以下场景用于以下场景:Network Access ProtectionEnforcement for IPsec trafficEnforcement for 802.1x wired and wirelessEnforcement for DHCPEnforcement for VPNSecure Wired and Wireless AccessRADIUSTerminal Server GatewayDemonstration:How to Install the Network Policy ServerIn this demonstration,you will see how to install the Network Policy Server 用于管理网络策略服务器的工具用于管理用于管理NPS的工具包括的工具包括:Netsh command line to configure all aspects of NPS,such as:NPS Server CommandsRADIUS Client CommandsConnection Request Policy CommandsRemote RADIUS Server Group CommandsNetwork Policy CommandsNetwork Access Protection CommandsAccounting CommandsNPS MMC ConsoleDemonstration:Configuring General NPS SettingsIn this demonstration,you will see how to configure general NPS settings第2节:配置RAIDUS客户端和服务器RADIUS客户端RADIUS 代理Demonstration:Configuring a RADIUS Client配置连接请求处理连接请求策略Demonstration:Creating a New Connection Request PolicyRADIUS客户端RADIUS clients are network access servers,such as:Wireless access points802.1x authenticating switchesVPN serversDial-up serversNPS 是是 RADIUS 服务器服务器RADIUS clients send connection requests and accounting messages to RADIUS servers for authentication,authorization,and accountingRADIUS代理RADIUS 代理用于代理用于:提供外包的拨号、提供外包的拨号、VPN或无线网络访问服务的服务提供商或无线网络访问服务的服务提供商为非为非AD成员的用户账户提供身份验证和授权成员的用户账户提供身份验证和授权使用非使用非Windows账户数据库的数据库执行身份验证和授权账户数据库的数据库执行身份验证和授权在多台在多台RADIUS服务器之间负载平衡连接请求服务器之间负载平衡连接请求RADIUS代理接收来自代理接收来自RADIUS客户端的请求并将它们转发给相应的客户端的请求并将它们转发给相应的RADIUS服务服务器或者另一个器或者另一个RADIUS代理，以进行下一步路由。代理，以进行下一步路由。为外包服务提供商提供为外包服务提供商提供RADIUS并限制通过防火墙的通信类型并限制通过防火墙的通信类型Demonstration:Configuring a RADIUS ClientIn this demonstration,you will see how to:Add a new RADIUS client to NPSConfigure Routing and Remote Access as a RADIUS client配置连接请求处理配置描述本地身份验证和本地身份验证和RADIUS身份验证身份验证本地身份验证使用本地安全账户数据库或者AD，连接策略在其他服务器上RADIUS身份验证转发连接请求给RADIUS服务器使用安全数据库进行身份验证。RADIUS维护者所有连接策略的集中存储。RADIUS server groups在一个或者多个RADIUS服务器能够处理连接请求时使用。如果该组中不止一台RADIUS服务器，那么请依据RADIUS服务器组创建期间指定的标准实现连接请求的负载均衡Default ports for accounting and authentication using RADIUS被转发给RADIUS服务器的记账和身份验证请求所需的端口是UDP 1812/1645 和UDP 1813/1646连接请求策略连接请求策略包括连接请求策略包括:Conditions,such as:Framed ProtocolService TypeTunnel TypeDay and Time restrictions 连接请求策略是一组条件和设置。允许网络管理员指定哪些连接请求策略是一组条件和设置。允许网络管理员指定哪些RADIUS服服务器对务器对NPS服务器从服务器从RADIUS客户端接收到的连接请求执行身份验证和授客户端接收到的连接请求执行身份验证和授权。权。Settings,such as:AuthenticationAccountingAttribute ManipulationAdvanced settings需要自定义连接请求策略来转发给另一个代理或需要自定义连接请求策略来转发给另一个代理或RADIUS服务器或服务器服务器或服务器组以进行授权和身份验证，或为记账信息指定其他服务器。组以进行授权和身份验证，或为记账信息指定其他服务器。Demonstration:Creating a New Connection Request PolicyIn this demonstration,you will see how to:Use the Connection Request Policy wizard to create a new connection request policyDisable or delete a connection request policy Lesson 3:NPS 身份验证方法基于密码的身份验证方法使用证书进行身份验证NPS身份验证方法所需证书为PEAP 和EAP部署证书基于密码的身份验证方法NPS服务器的身份验证方法包括服务器的身份验证方法包括:MS-CHAPv2MS-CHAPCHAP PAPUnauthenticated access 使用证书进行身份验证NPS中基于证书的身份验证中基于证书的身份验证:证书类型证书类型:CA证书：验证其他证书的信任路径客户端计算机证书：在身份验证期间办法给计算机以向NPS证明其深翻服务器证书：在身份验证期间颁发给NPS服务器以向客户端计算机证明其身份用户证书：颁发给个人以向NPS服务器证明其身份进行身份验证证书可从公共证书可从公共CA提供方或自由的提供方或自由的AD证书服务处获得证书服务处获得要在网络策略中指定基于证书的身份验证，可在约束选项卡上配置身份验证方法要在网络策略中指定基于证书的身份验证，可在约束选项卡上配置身份验证方法NPS身份验证方法所需证书类型需求服务器证书服务器证书Must contain a Subject attribute that is not NULLMust chain to a trusted-root CAConfigured with Server Authentication purpose in EKU extensionsConfigured with required algorithm of RSA with a minimum 2048 key lengthSubject Alternative Name extension,if used,must contain the DNS name客户端证书客户端证书 Issued by an Enterprise CA or mapped to an account in Active DirectoryMust chain to a trusted-root CAFor computer certificates,the Subject Alternative Name must contain the FQDNFor user certificates,the Subject Alternative Name must contain the UPN所有证书必须满足所有证书必须满足X.509的要求且必须适用于使用的要求且必须适用于使用SSL/TLS的连接的连接为PEAP 和 EAP部署证书对于域计算机和用户账户，在组策略中使用自动注册功能对于域计算机和用户账户，在组策略中使用自动注册功能非域成员注册需要管理员使用非域成员注册需要管理员使用CA WEB注册工具来请求用户证书或计算机证书注册工具来请求用户证书或计算机证书管理员必须将计算机证书或者用户证书保存到软盘或其他可移动介质，并在非域成员管理员必须将计算机证书或者用户证书保存到软盘或其他可移动介质，并在非域成员 计算机上安装证书计算机上安装证书管理员可将用户证书分发给智能卡管理员可将用户证书分发给智能卡Lesson 4:对网络策略服务器进行监视和故障排除用于监视NPS的方法配置日志文件属性配置SQL Server日志配置需要在实践查看器中记录的NPS事件用于监视NPS的方法监视监视NPS的方法包括的方法包括:事件日志事件日志在系统事件日志中记录NPS事件用于连接请求的审核和故障排除记录用户身份验证和记账请求记录用户身份验证和记账请求 用于连接分析和账单用途可采用纯文本格式可以是SQL实例内的数据库配置日志文件属性使用使用NPS控制台配置日志控制台配置日志:Open NPS from the Administrative Tools menu In the console tree,click Accounting In the details pane,click Configure Local File Logging On the Settings tab,select the information to be logged On the Log File tab,select the log type and the frequency or size attributes of the log files to be generated 12345日志文件应存储在与系统分区隔离的分区上日志文件应存储在与系统分区隔离的分区上:如果RADIUS记账由于整个硬盘而发生故障，那么NPS停止处理连接请求配置 SQL Server 日志使用使用SQL记录记录RADIUS记账数据记账数据:需要需要SQL有一个名为有一个名为report_event的存储过程的存储过程NPS将记账数据格式化为将记账数据格式化为XML文档文档可以是本地可以是本地SQL Server数据库或远程数据库或远程SQL Server数据库数据库配置需要在实践查看器中记录的NPS事件配置要在实践查看器中记录的配置要在实践查看器中记录的NPS事件：事件：默认情况下，配置默认情况下，配置NPS在实践日志中记录失败连接和成功连接在实践日志中记录失败连接和成功连接可在网络策略的“属性”页的“常规”选项卡上更改此配置常见请求失败事件常见请求失败事件失败事件记录的信息失败事件记录的信息成功事件记录的信息成功事件记录的信息Schannel日志及其配置：日志及其配置：Schannel 是支持一组是支持一组internet安全协议的安全支持提供程序安全协议的安全支持提供程序可采用以下注册表键值配置可采用以下注册表键值配置Schannel日志日志:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELEventLoggingLab:Configuring and Managing Network Policy ServerExercise 1:Installing and Configuring the Network Policy Server Role ServiceExercise 2:Configuring a RADIUS ClientExercise 3:Configuring Certificate Auto-EnrollmentLogon informationVirtual machine6421A-NYC-DC1 and 6421A-NYC-SVR1 User nameAdministratorPasswordPa$w0rdEstimated time:60 minutesLab ReviewWhat does a RADIUS proxy provide?What is a RADIUS client,and what are some examples of RADIUS clients?Module Review and TakeawaysReview questionsBest Practices Security Issues Tools