Network Policy Server (NPS) 是 Windows Server 中所包含的一项服务。它充当 RADIUS 服务器按 Active Directory 对客户端进行身份验证。
RADIUS (Remote Authentication Dial-In User Service)是一个客户端/服务器系统,该系统保护Local Area Network (LAN) 以防止未经授权的访问。RADIUS 服务器必须配置为支持 IEEE 802.1X 基于端口的验证,并针对身份验证请求启用与验证器(交换机)的通信。
注释
以下说明适用于 Windows Server 2016。其他系统可能需要其他配置。有关完整说明,请参阅供应商文档。
请按所列顺序执行以下说明。
在 [Server Manager] 中单击 [Manage]。
[Server Manager]选项单击[Add Roles and Features]。
此时将显示 [Add Roles and Features] 向导的第一页。
在 [Before You Begin] 页面上,单击 [Next]。
在 [Installation Type] 页面上,确保选择了 [Role-Based or feature-based installation]。然后单击[Next]。
在 [Server Selection] 页面上,确保选择了 [Select a server from the server pool]。然后,从 [Server Pool] 列表中选择本地计算机。
在 [Server Roles] 页面上,选择 [Network Policy and Access Services]。然后单击[Next]。
[Network Policy and Access Services] 向导在 [Features] 页面上,单击 [Next]。
在 [Confirmation] 页面上,单击 [Install]。
在 [Results] 页面上,您可以查看安装是否已成功。
如果未配置 RADIUS 客户端(交换机),请执行说明 3。
在 [Server Manager] 中单击 [Tools]。
[Server Manager]选项单击[Network Policy Server]。
在 [NPS] 控制台中,单击 [NPS (Local)]。
展开 [RADIUS Clients and Servers] 条目。
双击 [RADIUS Clients]。
[RADIUS Clients]右键单击 RADIUS 客户端(交换机)的名称,然后选择 [Properties]。
单击[Settings]选项卡。检查 [Enable this RADIUS client] 复选框是否已选中且 [Name and Address] 字段是否正确。
RADIUS 客户端(交换机)属性单击[Advanced]选项卡。检查是否从 [Vendor name] 列表中选择了 [RADIUS Standard]。
RADIUS 客户端(交换机)属性如果未配置此交换机(参阅说明 2),请执行此说明。
在 [Server Manager] 中单击 [Tools]。
[Server Manager]选项单击[Network Policy Server]。
在 [NPS] 控制台中,单击 [NPS (Local)]。
展开 [RADIUS Clients and Servers] 条目。
右键单击 [RADIUS Clients] 并选择 [New]。
在新的 [RADIUS Client] 对话框中,单击 [Settings] 选项卡。
选中 [Enable this RADIUS client] 复选框。
在 [Friendly name] 字段中输入交换机的显示名称。
在 [Address (IP or DNS)] 字段中输入此交换机的 IP 地址或Fully Qualified Domain Name (FQDN)。
当您输入 FQDN (Fully Qualified Domain Name)后,单击 [Verify...] 以验证名称是否指有效 IP 地址。
在 [Shared secret] 选项中,选择 [Manual]。
在 [Shared secret] 字段中输入强文本字符串。此共享密钥是用作 RADIUS 客户端(交换机)与 RADIUS 服务器之间的密码的文本字符串。配置交换机时,您将输入相同的共享密钥。
在 [Confirm shared secret] 字段中重新输入此共享密钥。
在 [Advanced] 选项卡上,从 [Vendor name] 下拉列表中选择 [RADIUS Standard]。
单击[OK]。此交换机将出现在 RADIUS 客户端的列表中。
[RADIUS Clients]连接请求策略确定服务器或服务充当 RADIUS 服务器的方式。默认情况下,连接请求策略使用Network Policy Server (NPS) 作为 RADIUS 服务器并在本地处理所有身份验证请求。
如果未配置 [Ethernet] Connection Request Policy,请执行说明 5。
在 [Server Manager] 中单击 [Tools]。
[Server Manager]选项单击[Network Policy Server]。
在 [NPS] 控制台中,单击 [NPS (Local)]。
展开 [Policies]。
右键单击适用于 [Ethernet] 连接的连接请求策略,然后选择 [Properties]。
[Ethernet] 属性单击 [Overview] 选项卡,然后检查是否选中了 [Policy enabled] 复选框。
[Ethernet] 属性单击 [Conditions] 选项卡,然后检查 [NAS Port Type] 是否具有值:[Ethernet].
[Ethernet] 属性单击 [Settings] 选项卡,然后检查是否清除了所有复选框。
[Ethernet] 属性单击[OK]。
如果未配置 [Ethernet] Connection Request Policy(参阅说明 4),请执行此说明。
在 [Server Manager] 中单击 [Tools]。
[Server Manager]选项单击[Network Policy Server]。
在 [NPS] 控制台中,单击 [NPS (Local)]。
展开 [Policies] 条目。
右键单击[Connection Request Policies]。然后单击 [New]。
启动 [New Connection Request Policy Wizard] 以配置连接请求策略。
在 [Policy name] 字段中,输入名称以标识策略。然后单击 [Next]。
在 [Specify Conditions] 页面上,单击 [Add]。
在 [Select condition] 对话框中,选择 [NAS Port Type] 作为条件。然后单击 [Add]。
在 [NAS Port Type] 对话框中,选中 [Ethernet] 复选框。此选项定义请求者 (PRISMAsync Print Server) 使用的介质类型。
单击[OK]。
在 [Specify Connection Request Forwarding] 页面上,选择 [Authenticate requests on this server]。然后单击 [Next]。
在 [Specify Authentication page] 上,清除 [Override network policy authentication settings] 复选框。然后单击 [Next]。
在 [Configure Settings] 页面上,单击 [Next]。
在 [Completing Connection Request Policy Wizard] 上,单击 [Finish]。现在,[Network Policies] 窗格中列出了该策略。