收藏
下载资源

安装和配置网络策略服务器

上传人:jiups****uk12 文档编号:90781613 上传时间:2019-06-16 格式:DOC 页数:10 大小:147.02KB
返回 下载 相关 举报
安装和配置网络策略服务器_第1页
第1页 / 共10页
安装和配置网络策略服务器_第2页
第2页 / 共10页
安装和配置网络策略服务器_第3页
第3页 / 共10页
安装和配置网络策略服务器_第4页
第4页 / 共10页
安装和配置网络策略服务器_第5页
第5页 / 共10页
点击查看更多>>
资源描述

《安装和配置网络策略服务器》由会员分享,可在线阅读,更多相关《安装和配置网络策略服务器(10页珍藏版)》请在金锄头文库上搜索。

1、安装、配置和故障排除网络策略服务器角色服务安装、配置和故障排除网络策略服务器角色服务本章概述本章帮助学员安装、配置网络访问服务器(NPS)服务角色并进行故障排除。 教学目标: 安装和配置网络策略服务器 配置远程身份验证拨入用户服务(RADIUS)客户端和服务器 描述NPS身份验证方法 对网络策略服务器进行监视和故障排除 教学重点:1. 安装和配置网络策略服务器2. 配置远程身份验证拨入用户服务(RADIUS)客户端和服务器3. 描述NPS身份验证方法4. 对网络策略服务器进行监视和故障排除 教学难点:1. 对网络策略服务器进行监视和故障排除 教学资源:课本知识点1. 安装和配置网络策略服务器2

2、. 配置 RAIDUS 客户端和服务器3. NPS 身份验证方法4. 对网络策略服务器进行监视和故障排除实验实验 1:安装和配置网络策略服务器角色服务实验 2:配置 RADIUS 客户端实验 3:配置证书自动注册其他电子教案、实验报告、实验答案建议学时数课堂教学(2课时)+实验教学(2课时)7.1 安装和配置网络策略服务器教学提示 :本部分主要达到以下目的: 掌握安装网络策略服务器的方法教学内容和方法7.1.1 网络策略服务器描述 NPS角色服务。学员应当理解路由和远程访问服务器上创建的策略对于承载该角色的服务器来说是本地的。在RADIUS(NPS)情况下,多个远程访问服务(RAS)服务器可在

3、一个地方存储所有策略NPS RADIUS服务器因此在单个RAS服务器上无需重复策略。使用RADIUS身份验证和授权服务时也有详细的日志和记账信息。参考资料 帮助主题:网络策略服务器7.1.2 网络策略服务器使用场景向学员解释网络访问保护(NAP)场景需要NPS来评估连接到网络的NAP客户端计算机发送的SoH(健康声明)。客户端的健康状况与服务器的NAP策略相比较,然后决定是否授予访问权限。后续内容将详细讨论。保护有线/无线访问需要802.1X身份验证交换机和支持802.1X 的无线访问点。RADIUS 为远程访问提供集中的策略管理。它也用于终端服务器的连接授权策略。参考资料 Microsoft

4、 TechNet:Windows Server 2008 Technical Library:http:/ 7.1.3 演示:如何安装网络策略服务器从服务器管理器中的添加角色中安装网络策略和访问服务。在选择角色服务页面中,选择网络策略服务器,单击下一步,然后单击安装。从管理工具菜单中打开NPS管理工具。7.1.4 用于管理网络策略服务器的工具安装完成后,使用NPS控制台只能管理本地NPS服务器。对于远程 NPS管理,使用 NPS Microsoft 管理控制台(MMC)管理单元。netsh 命令行工具也可用于NPS管理任务。参考资料 帮助主题:NPS 控制台 帮助主题:用于网络策略服务器(NP

5、S)的Netsh命令。7.1.5 演示:配置常规 NPS 设置演示如何配置常规的NPS设置: 打开NPS控制台:n 单击开始, 指向管理工具,然后单击网络策略服务器。n 从控制台树中,右键单击NPS(本地),根据任务选择导入或导出:l 如果是导入,在导入NPS 配置页面中,浏览到想要使用的.xml配置文件。l 如果是导出,选择我知道我正在导出所有共享机密选项。而且,Microsoft SQL Server日志设置没有导出到文件中。必须在导入配置文件的服务器上手动配置SQL。单击确定,然后指定XML文件保存的文件名和位置。 要启动并停止 NPS 服务,从控制台树中右键单击 NPS(本地),然后从

6、上下文菜单选择合适的操作。 因为 NPS 通过网络策略和检查Active Directory目录服务中用户帐户的拨入属性进行授权,所以服务器必须在Active Directory中注册。在控制台树中右键单击 NPS(本地),然后单击在Active Directory中注册服务器。注意:使用 netsh 命令在默认域中注册NPS服务器: l 通过具有域管理凭据的帐户注册到NPS服务器l 打开命令提示符。l 在命令提示符下输入:netsh ras add registeredserver 参考资料 帮助主题:在Active Directory中注册NPS服务器7.2 配置 RAIDUS 客户端和服

7、务器教学提示 :本部分主要达到以下目的: 掌握配置RAIDUS客户端和服务器的方法教学内容和方法7.2.1 RADIUS 客户端向学员强调客户端计算机,如无线笔记本和其他运行客户端操作系统的计算机,都不是RADIUS客户端。RADIUS客户端是网络访问设备,可为来自有线局域网(LAN)、无线环境和远程访问方案的用户提供连接性。 参考资料 帮助主题:RADIUS 客户端7.2.2 RADIUS 代理说明将NPS配置成RADIUS代理时,它从RADIUS客户端接收连接请求然后转发到适当的RADIUS服务器或其它RADIUS代理以便进一步的路由操作。 说明何时需要RADIUS代理: 你是提供外包拨号

8、、VPN或无线网络访问服务的服务提供商。连接请求根据其领域名称被转发到客户维护的RADIUS服务器,进行身份验证和授权。 你想要为非 Active Directory 成员的用户帐户提供身份验证和授权。 你想要使用非Windows帐户数据库的数据库进行身份验证和授权。 你想要在多个RADIUS服务器之间对连接请求进行负载平衡。 你想要为外包服务提供商提供RADIUS,并且希望通过防火墙限制通信类型。询问学员代理有用的一些场合。让学员积极参与讨论,加深他们的理解。参考资料 帮助主题:RADIUS 代理7.2.3 演示:配置 RADIUS 客户端演示如何: 使用NPS控制台添加RADIUS客户端:

9、n 在 NPS控制台,在控制台树中单击 RADIUS 客户端和服务器,在详细的窗格中,单击配置RADIUS客户端。n 右键单击RADIUS客户端,然后单击新建Radius客户端。n 在新建Radius客户端对话框中填写内容,然后单击确定。 使用路由和远程访问控制台将路由和远程访问配置成RADIUS客户端:n 在路由和远程访问控制台,右键单击servername,然后单击属性。 n 在安全标签,将RADIUS指定为身份验证提供者属性。在安全标签上对审计提供者做相同操作。注意:如果NPS安装在相同的服务器上,那么配置身份验证和审计的对话框不会出现。相反,你使用NPS来创建身份验证策略。参考资料 路

10、由和远程访问帮助主题:服务器属性-安全选项卡 帮助主题:添加新RADIUS客户端7.2.4 配置连接请求处理强调多个远程访问服务器的情况最好使用RADIUS,因为所有的策略一旦在NPS创建后会集中存储。描述RADIUS服务器组在负载平衡操作中实现的好处。对于端口,讲解防火墙外部RADIUS代理,以及允许 UDP 1812/1645 和 1813/1646 在内部打开代理和RADIUS服务器间通信的防火墙策略所带来的好处。参考资料 帮助主题:远程 RADIUS 服务器组 帮助主题:配置NPS UDP 端口信息7.2.5 连接请求策略对每个策略讨论 3 个部分: 概述(启用/禁用) 条件 设置(身

11、份验证与记账行为)从管理工具中启动NPS控制台打开NPS中的默认策略。展开控制台树中的策略,选 连接请求策略,然后双击默认策略查看设置。询问学员需要客户连接策略的一些场景。包括多个策略用于不同的领域名称用于RADIUS身份验证和授权,或者需要不同记账服务器的情况。参考资料 帮助主题:连接请求策略 NPS帮助主题:连接请求策略7.2.6 演示:创建新的连接请求策略演示如何使用Windows界面添加新连接请求以及如何禁用策略。注意:需要是Domain Admins 组、Enterprise Admins 组或者本地计算机上的Administrators组成员身份来完成该步骤。 使用Windows界

12、面添加新连接请求策略:n 打开NPS控制台,然后双击策略。n 在控制台树中,右键单击连接请求策略,然后单击新建。n 使用新连接请求策略向导配置连接请求策略(如果没有事先配置)和远程 RADIUS服务器组。注意:这些策略的处理顺序是从上至下,所以要确保根据你需要的处理顺序安排策略。 要禁用一个策略:n 在细节窗格中右键单击策略,从上下文菜单中单击禁用。你也可以打开策略,然后在概述标签中放弃选择策略已启用。n 在NPS中创建定制策略后,你可以删除默认策略或者将其移动到列表底部以便最后处理。要删除默认策略,右键单击策略,然后从上下文菜单单击删除。参考资料 帮助主题:添加连接请求策略 帮助主题:连接请

13、求处理7.3 NPS 身份验证方法教学提示 :本部分主要达到以下目的: 掌握NPS身份验证的方法教学内容和方法7.3.1 基于密码的身份验证方法基于密码的身份验证无法提供很强的安全性。因此,我们不推荐使用。允许使用基于密码的身份验证时,会从最安全(MS-CHAPv2)的处理方式变为最不安全(未经身份验证)的处理方式。确保学员认识到如果使用该服务的客户端都是MS客户端,那么MS-CHAPv2应当是唯一的基于密码的解决方案。如果必须支持非 MS客户端,那么可使用 质询握手身份验证协议(CHAP)。密码身份验证协议(PAP)是明文,因此任何嗅探工具都可以俘获明文的文本传输。来宾帐号的访问需要未经身份

14、验证的访问,我们不推荐使用。参考资料 帮助主题:基于密码的身份验证方法7.3.2 使用证书进行身份验证确保学员理解基于证书的身份验证是NPS中最强的身份验证,我们强烈推荐使用这种方式。展开关于承载自己证书服务器优缺点的讨论,以及使用公共证书授权(CA)供应商满足证书需求有哪些优缺点。参考资料 帮助主题:证书和NPS 7.3.3 NPS 身份验证方法所需证书解释可以使用专用或公共CA满足证书需求。然而,专用CA对于多数公司来说是最节省成本的方案。使用证书就无需采用基于密码的不安全的身份验证方法,可以避免额外的管理和配置成本。增加的成本小于使用CA后增加的安全性。参考资料 帮助主题:PEAP和EA

15、P的证书要求 帮助主题:证书和NPS7.3.4 为 PEAP 和 EAP 部署证书说明通过自动注册功能,企业用户和计算机的证书部署可得到极大简化。借助基础结构使尽可能多的过程自动化。讨论部署受保护扩展身份验证协议(PEAP)和扩展身份验证协议(EAP)的指导原则: 对于域计算机和用户帐户,组策略中的自动注册可用于自动获得必要证书,在下一个组策略刷新间隔内进行身份验证,或者使用GPupdate强制组策略刷新。 非域成员注册需要管理员要求使用CA Web注册工具请求用户或计算机证书。 管理员必须将计算机或用户证书保存到软盘或其它可移动媒体,然后在非域组计算机上手动安装证书。计算机不可用时,管理员信任的域用户可以安装证书。 管理员可以在智能卡上发布用户证书。参考资料 帮助主题:证

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 中学教育 > 其它中学文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号