Сервер политики сети Network Policy Server NPS: основные принципы и настройка

Сервер политики сети (Network Policy Server, NPS) является сервером аутентификации и авторизации, который позволяет устанавливать правила доступа для пользователей и устройств в сетях на основе политик. С его помощью можно контролировать доступ к сетевым ресурсам и реализовывать дополнительные механизмы проверки подлинности и учета пользователей. NPS выполняет свою работу, используя протоколы RADIUS (Remote Authentication Dial-In User Service) и, если требуется, работая с VPN- или прокси-серверами.

Основные принципы работы NPS заключаются в том, что сервер получает запросы на аутентификацию и авторизацию от различных устройств в сети. Запросы могут приходить от VPN- или прокси-серверов, а также от клиентов, которые пытаются получить доступ к сетевым ресурсам. NPS анализирует каждый запрос и принимает решение о разрешении или запрете доступа в соответствии с заданными политиками и правилами.

Настройка NPS производится через специальный мастер (wizard), который позволяет задать основные настройки сервера, включая использование или отключение аудита и ведение журнала событий. В рамках мастера возможна конфигурация аутентификационных методов и параметров безопасности. Также можно определить, какие учетные данные и какой тип аутентификации должен использоваться при проверке подлинности пользователей и устройств.

Сервер политики сети NPS способен работать как самостоятельное устройство или как часть сетевой инфраструктуры Windows Server. В случае интеграции с другими сервисами домена могут быть определены дополнительные параметры, такие как взаимодействие с Active Directory, проверка подлинности клиентов через сертификаты, использование расширенной базы данных для хранения данных о пользователях и многое другое.

Сервер политики сети Network Policy Server NPS

Основной целью сервера политики сети является ведение журнала входящих запросов и решение о предоставлении или отказе в доступе на основе установленных правил и политик безопасности. NPS может работать в качестве RADIUS-сервера или прокси-сервера. В случае использования в качестве прокси-сервера, NPS принимает запросы аутентификации и авторизации от удаленного RADIUS-сервера и перенаправляет их на соответствующий сервер внутри локальной сети.

Сервер политики сети позволяет вам выполнять следующие функции:

Аутентификация	Проверка подлинности пользователей, которые пытаются получить доступ к сети.
Авторизация	Определение прав доступа и разрешений для аутентифицированных пользователей.
Ведение журнала	Запись всех запросов на аутентификацию и авторизацию в журнал событий Windows.

Для конфигурации сервера политики сети NPS вы должны установить соответствующие компоненты и выполнить несколько простых шагов на сервере домена Windows. Конфигурация NPS может быть выполнена на одном или нескольких серверах, которые находятся в лесу доменов.

Сервер политики сети Network Policy Server NPS доступен в различных изданиях Windows Server, включая Standard, Datacenter и Enterprise. В каждой из этих версий NPS предоставляет функциональность, которая позволяет аутентифицировать и авторизовать пользователей на сетевых ресурсах.

Используя сервер политики сети NPS, вы можете производить балансировку нагрузки и управление доступом к сети для удаленных и локальных пользователей. Вы также можете использовать NPS для ведения журнала данных аутентификации и авторизации.

Основные принципы и настройка

NPS может быть развернут на одном или нескольких серверах в домене или доменах Active Directory. В случае развертывания на нескольких серверах, NPS использует ряд серверов NPS в качестве членов группы, которая обеспечивает отказоустойчивость и распределение нагрузки в зависимости от потоковых данных.

При настройке службы NPS на каждом сервере NPS должны быть определены учетные записи администраторов с разрешениями на доступ к серверу NPS. Эти администраторские учетные записи будут использоваться при проверке политик доступа.

В NPS доступна возможность настройки пересылки запросов аутентификации на другие NPS-серверы или серверы RADIUS в зависимости от политики доступа. Кроме того, NPS может использоваться в качестве прокси-сервера для пересылки запросов аутентификации на другие серверы NPS или серверы RADIUS.

Подключения к серверу NPS могут быть получены от разных клиентов, в том числе от виртуальных или физических серверов, маршрутизаторов или прокси-серверов. Когда запросы на аутентификацию или авторизацию пересылаются на NPS, они записываются в журналах событий для дальнейшей проверки и контроля.

В стандартных и Datacenter-изданиях Windows Server предоставляются два режима аутентификации для NPS: для проверки учетных записей в домене используется проверка аутентификации с обращением за помощью протокола LDAP (Lightweight Directory Access Protocol), а для проверки учетных записей в локальном хранилище NPS используется проверка аутентификации с обращением за помощью протокола RADIUS.

Политики NPS могут быть настроены для различных сервисов и методов аутентификации. Каждая политика содержит набор параметров, включая тип подключения, метод аутентификации, серверы аутентификации, доступные методы аутентификации.

Эти параметры могут быть изменены или конфигурированы для каждой политики в зависимости от конкретного требования.

• Тип подключения указывает, какие типы подключений могут использоваться с данной политикой.
• Метод аутентификации определяет метод, используемый для проверки подлинности пользователя.
• Серверы аутентификации указывают, на какие серверы аутентификации должны быть отправлены запросы.
• Доступные методы аутентификации задают, какие методы аутентификации доступны для использования с данной политикой.

Помимо этого, NPS также предоставляет возможность настроить проверку политик доступа, которая действует в зависимости от пользователей, групп пользователей, компьютеров или диапазона IP-адресов. Это позволяет определить, какие условия должны быть выполнены для применения политики доступа.

В разделе журнала событий NPS доступны логи событий, которые могут использоваться для анализа и контроля аутентификации и авторизации. Логи событий содержат информацию о всех произведенных запросах аутентификации, а также о состоянии аутентификации и авторизации запросов.

Таким образом, основные принципы и настройка сервера политики сети Network Policy Server предоставляют возможность централизованного и гибкого управления политиками доступа к сети, обеспечивают контроль аутентификации и авторизации пользователей и устройств, а также предоставляют логи событий для контроля и анализа запросов аутентификации и авторизации.

RADIUS-прокси RADIUS proxy

В Windows Server 2019 Datacenter Edition доступна функция RADIUS-прокси, которая позволяет использовать централизованный сервер NPS для аутентификации и авторизации пользователей на удаленных серверах доступа в разных доменах или сетях.

Прокси RADIUS использует две базы данных: базу данных пользовательских учетных записей (User database) на сервере NPS и базу данных RADIUS-прокси (RADIUS proxy database) на удаленном сервере доступа.

Когда клиент запрашивает доступ через удаленный сервер доступа, запрос отправляется на сервер NPS, где проходят проверки аутентификации и авторизации. Затем сервер NPS проксирует запрос на удаленный сервер доступа, который уже проверяет авторизацию пользователя и разрешает или запрещает доступ.

Прокси RADIUS может также использоваться для проверки аутентичности пользователей в разных доменах. Для этого необходимо настроить прокси RADIUS и указать выбранный сервер NPS как удаленный RADIUS-сервер для серверов доступа в других доменах.

В настройках прокси RADIUS можно указать, какие типы запросов проксируются на удаленный сервер доступа, какие параметры аутентификации и авторизации передаются и какие базы данных RADIUS-прокси используются.

При использовании прокси RADIUS важно учитывать, что в целом политика доступа и учетная запись пользователя должны быть настроены как на сервере NPS, так и на удаленном сервере доступа. Прокси RADIUS только перенаправляет запросы и не выполняет конфигурацию политики доступа непосредственно на удаленном сервере доступа.

Преимущества прокси RADIUS:
— Упрощенная настройка: прокси не требует отдельной настройки аутентификации и авторизации на каждом удаленном сервере доступа.
— Централизованное управление: вся политика доступа и проверка аутентичности могут быть настроены на сервере NPS.
— Увеличение безопасности: прокси обеспечивает контроль доступа пользователей из нескольких сетей и доменов через один центральный сервер NPS.

Ведение журнала NPS (NPS logging)

Сервер политики сети (Network Policy Server, NPS) предоставляет функционал для ведения журнала действий, связанных с его работой. Журнал NPS (NPS logging) позволяет учитывать различные события, происходящие на сервере, включая проверку учетных данных пользователей, проверку допустимости доступа и другие операции, связанные с политикой сетевого доступа.

Для ведения журнала действий сервер NPS использует специальный компонент, называемый «базой данных конфигураций» (configuration database), которая содержит информацию о всех серверах, которые находятся в текущей конфигурации сервера NPS. Конфигурации могут быть локальными для данного сервера или использовать внешние базы данных, называемые поставщиками данных (data providers).

При настройке ведения журнала NPS можно указать, какие события включать в журнал и какую информацию о них записывать. Также можно указать параметры ведения журнала для каждой конкретной конфигурации, чтобы получить более подробную информацию о проходящих проверках учета.

Журнал NPS logs можно настроить через консоль управления сервером NPS. В разделе «Журналы» (Logs) можно выбрать, какие события записывать в журнал, чтобы получить необходимую информацию. Кроме того, можно настроить именованные журналы для отслеживания определенных событий или конкретных пользователей.

Полученные журналы NPS могут использоваться для анализа доступа пользователей к сети, выявления проблем в политике сетевого доступа или балансировке нагрузки между серверами NPS в домене или лесу Active Directory.

Ключевой особенностью ведения журнала NPS является возможность настройки проверки учетных данных пользователей. Сервер NPS может выпускать учетные данные пользователей для проверки во внешние базы данных, называемые поставщиками данных (data providers). При этом сервер NPS может использовать как локальную базу данных, так и внешние источники для проверки пользователей. Журнал NPS logs позволяет отследить, какие поставщики данных используются для проведения проверки и какая информация была получена в результате проверки.

Для конфигурации ведения журнала NPS необходимо учитывать такие факторы, как типы журналов, настройки фильтров, уровень детализации информации и другие параметры. Все эти настройки можно произвести с помощью консоли управления сервером NPS.

В общем, ведение журнала NPS (NPS logging) предоставляет возможность получить подробную информацию о работе сервера NPS и прохождении проверок учета пользователей. Эта функция является важным инструментом для обеспечения безопасности сети и отладки проблем, связанных с политикой сетевого доступа.

Выпуски Windows Server и NPS

В следующем списке представлены некоторые особенности NPS, доступные в различных версиях Windows Server:

Windows Server 2008

В Windows Server 2008 стандартная версия NPS поддерживает следующие типы серверов:

• Radius-сервера — используются для проверки подключений клиентов к сети;
• Radius-прокси-сервера — используются для балансировки нагрузки и перенаправления запросов на несколько radius-серверов;
• Proxy-сервера — используются для подключения аутентификации клиентов к другим службам, таким как Active Directory.

Для настройки NPS в Windows Server 2008 следует использовать расширенную конфигурацию, приведенную в документации. Также рекомендуется создать базу данных NPS внутри SQL Server или расположить базу данных на отдельном сервере.

Windows Server 2012

В Windows Server 2012 введено новое свойство NPS, называемое «недопустимыми сет. имена в базе данных». При наличии этого свойства локальная база данных NPS автоматически разрешает интрасеть NPS.

Также в Windows Server 2012 появилась поддержка виртуальных сетевых адаптеров NPS, которые позволяют выполнять проверку учетных данных пользователей, даже если они подключены к беспроводной сети.

Windows Server 2016

В Windows Server 2016 NPS внедрил несколько новых функций, чтобы обеспечить более гибкий контроль доступа пользователей.

Одной из таких функций является возможность проверки подключений несколькими радиус-серверами и выбор наиболее подходящего из них. Это позволяет осуществлять балансировку нагрузки и повышает отказоустойчивость NPS.

Другой новой возможностью NPS в Windows Server 2016 является поддержка расширенной аутентификации, которая позволяет настраивать политики доступа для конкретных групп пользователей или доменов.

Важно отметить, что каждая новая версия Windows Server и NPS дополняет и улучшает предыдущие функции, делая политику сети более эффективной и безопасной.

Windows Server Editions and NPS

Windows Server Editions предлагают различные варианты конфигурации и использования серверов политики сети Network Policy Server (NPS). Они предоставляют услуги учета и контроля доступа для клиентов, подключенных к сетевой инфраструктуре.

NPS является коммутируемым сервером услуг безопасности, который выполняет проверку подлинности пользователей, основанную на множестве параметров, таких как идентификатор пользователя, тип подключения, место подключения и другие. NPS может использоваться для различных целей, в том числе для беспроводного доступа, прокси-сервера и коммутации доступа с использованием протокола RADIUS.

В Windows Server 2016 NPS предоставляет два основных типа провайдеров услуг: локальные и удаленные. Локальные провайдеры NPS применяются для проверки аутентификации пользователей, которые имеют учетные записи в локальной базе данных NPS. Удаленные провайдеры NPS используются для перенаправления аутентификации на другие NPS или прокси-серверы RADIUS.

Примеры применения NPS в различных версиях Windows Server:

Windows Server Edition	Примеры использования NPS
Windows Server 2012 R2	Учет и контроль доступа пользователей в локальных серверах
Windows Server 2016	Создание комбинации локальных и удаленных NPS для проверки аутентификации в различных типах сетевых подключений
Windows Server 2019	Расширение функциональности NPS с использованием дополнительных провайдеров для учета и контроля доступа в высоконагруженных сетях и больших доменах

Пример настройки NPS в Windows Server 2016 (сочетание локального и удаленного RADIUS-сервера):

1. Откройте управление серверами NPS и создайте новую конфигурацию.
2. В конфигурации выберите список удаленных RADIUS-серверов для перенаправления запросов аутентификации.
3. Настройте локальные провайдеры NPS для проверки аутентификации пользователей в локальной базе данных серверов.
4. Настроите параметры аутентификации и авторизации для каждого провайдера: удаленного и локального.
5. При необходимости создайте группы пользователей и настройте правила, по которым они будут получать доступ к сети.
6. Сохраните и примените изменения в конфигурации NPS.

Обратите внимание, что для использования NPS в комбинации с RADIUS-сервером, необходимо настроить соответствующие параметры подключения и протоколы на серверах услуг безопасности. Это позволит перенаправлять запросы аутентификации с клиентских компьютеров на NPS и обратно для проверки и учета доступа.

Windows Server Editions предлагает различные варианты использования NPS для учета и контроля доступа пользователей в сети. Различные типы серверов могут быть использованы в сочетании для обеспечения безопасности и эффективности сетевой инфраструктуры. Настройка NPS позволяет создавать гибкую конфигурацию, подходящую для различных сценариев использования, включая беспроводные сети, прокси-серверы и коммутацию доступа с использованием протокола RADIUS.

Видео:

Windows Server 2019 Training 31- Installing and Configuring a Network Policy Server NPS

Windows Server 2019 Training 31- Installing and Configuring a Network Policy Server NPS by CCNA MCITP 13,435 views 4 years ago 38 minutes