NPS Server搭建起来,可以将 NPS 配置为作为 RADIUS 服务器执行,用于处理从 VPN 、802.1X等服务器接收的连接请求。
本教程适用于:Windows Server 2019,Windows Server 2016,Windows Server 2012 R2,Windows 10
1.安装NPS服务
在安装过程中,可以使用 Windows PowerShell 或服务器管理器添加角色和功能向导 “安装 NPS。 NPS 是网络策略和访问服务服务器角色的一个角色服务。
默认情况下,NPS 在所有已安装的网络适配器上侦听端口 1812、1813、1645 和 1646 上的 RADIUS 流量。 安装 NPS 时,如果启用 Windows 防火墙,则这些端口的防火墙例外会自动创建用于 IPv4 和 IPv6 通信。 如果网络访问服务器被配置为通过这些默认端口之外的端口发送 RADIUS 流量,请在安装 NPS 期间删除在 “高级安全 Windows 防火墙” 中创建的例外,并为用于 RADIUS 流量的端口创建例外。
1.1通过PowerShell安装
若要使用 Windows PowerShell 执行此过程,请以管理员身份运行 Windows PowerShell,输入以下 cmdlet:
Install-WindowsFeature NPAS -IncludeManagementTools
1.2服务器管理器过程:
- 在服务器管理器中,选择 “管理“,然后选择 “添加角色和功能“。 将打开“添加角色和功能向导”。
- 在 “开始之前” 中,选择 “下一步“。 备注如果以前选择了 “添加角色和功能向导” 运行时默认跳过此页,则不会显示 “添加角色和功能向导” 的 “开始之前” 页。
- 在 “选择安装类型” 中,确保选择了 “基于角色或基于功能的安装“,然后选择 “下一步“。
- 在 “选择目标服务器” 中,确保已选择 “从服务器池中选择服务器” 。
- 在 “服务器池” 中,确保选中 “本地计算机”,然后选择 “下一步“。
- 在 “选择服务器角色” 的 “角色” 中,选择 “网络策略和访问服务“。 此时会打开一个对话框,询问是否应添加网络策略和访问服务所需的功能。
- 选择 “添加功能“,然后选择 “下一步“
- 在 “选择功能” 中选择 “下一步“,在 “网络策略和访问服务” 中查看提供的信息,然后选择 “下一步“。
- 在 “选择角色服务” 中,选择 “网络策略服务器“。
- 对于网络策略服务器所需的功能,请选择 “添加功能“,然后选择 “下一步“。
- 在 “确认安装选择” 中,选择 “如果需要,自动重新启动目标服务器”。
- 选择 “是” 以确认所选的,然后选择 “安装“。”安装进度” 页面将在安装过程中显示状态。 此过程完成后,将显示消息 ” computername上安装成功”,其中ComputerName是安装了网络策略服务器的计算机的名称。
- 选择“关闭”。
2.配置 NPS
安装 NPS 后,您可以将 NPS 配置为处理从 VPN 服务器接收的连接请求的所有身份验证、授权和记帐职责。
在 Active Directory 中注册 NPS 服务器
在此过程中,您将在 Active Directory 中注册服务器,以便它在处理连接请求时有权访问用户帐户信息。
方法
- 在“服务器管理器”中,依次选择“工具”和“网络策略服务器”。 此时将打开 NPS 控制台。
- 在 NPS 控制台中,右键单击**nps (本地) **,然后选择 “在 Active Directory 中注册服务器“。打开“网络策略服务器”对话框。
- 在 “网络策略服务器” 对话框中,选择 “确定” 两次。
3.配置 RADIUS 服务
- 在服务器管理器中,单击 “工具“,然后单击 “网络策略服务器” 以打开 NPS 控制台。
- 在控制台树中,双击 ” RADIUS 客户端和服务器“,右键单击 “远程 RADIUS 服务器组“,然后单击 “新建“。
- 此时将打开 “新建远程 RADIUS 服务器组” 对话框。 在 “组名” 中,键入远程 RADIUS 服务器组的名称。
- 在 RADIUS 服务器中,单击 “添加“。 此时将打开 “添加 RADIUS 服务器” 对话框。 键入要添加到组的 RADIUS 服务器的 IP 地址,或者键入 RADIUS 服务器的完全限定的域名 ( FQDN, ) 然后单击 “验证“。
- 在 “添加 RADIUS 服务器” 中,单击 “身份验证/记帐” 选项卡。在 “共享机密” 和 “确认共享密钥” 中,键入共享机密。 当在远程 RADIUS 服务器上将本地计算机配置为 RADIUS 客户端时,必须使用相同的共享机密。
- 如果不使用可扩展的身份验证协议 (EAP) 进行身份验证,请单击 “请求必须包含消息身份验证器属性”。 默认情况下,EAP 使用消息身份验证器属性。
- 确认身份验证和记帐端口号对您的部署正确。
- 如果你使用不同的共享机密来进行记帐,请在 “记帐” 中清除 “为身份验证和记帐使用相同的共享机密” 复选框,然后在 “共享密钥” 和 “确认共享机密” 中键入记帐共享机密。
- 如果你不想将网络访问服务器启动和停止消息转发到远程 RADIUS 服务器,则清除 “将网络访问服务器启动和停止通知转发到此服务器” 复选框。
2 条评论 “Windows NPS( RADIUS ) server服务搭建”
此方案,若域控勾选了“用户下次登录时须更改密码”,手机无法弹窗修改密码。怎么办?
Radius 和 Ldap 等接入认证,不支持修改密码吧