對于網絡訪問和策略管理功能，Microsoft 的 RADIUS 服務器和代理工具是網絡策略服務器 (NPS)。NPS提供身份驗證，授權和計費（AAA），允許使用異構網絡設備，并確保健康的網絡設備。RADIUS 協議為 NPS 功能的核心網絡客戶端提供身份驗證的配置和管理。當前版本的 NPS 可通過Windows Server 2016 和 Server 2019 中的網絡策略和訪問服務 (NPAS) 功能安裝。本文著眼于什么是RADIUS 服務器、網絡策略服務器的用途、它們在網絡中的作用以及管理 NPS 的最佳實踐。

什么是RADIUS協議？

RADIUS 代表遠程身份驗證撥入用戶服務，最初是用于撥號連接的客戶端-服務器協議。雖然撥號在企業使用中失去了光彩，但 RADIUS 服務器仍然是一種從接入點卸載身份驗證的便捷方式。RADIUS 服務器可以在 Windows 或 Unix 服務器上運行，最重要的是，它允許管理員控制誰可以連接到網絡。RADIUS 服務器的客戶端代表網絡接入點；用戶向 RADIUS 客戶端發出請求，然后將請求傳遞到 RADIUS 服務器進行身份驗證。

RADIUS 服務器有什么作用？

在網絡通信協議中，如用戶數據報協議 (UDP) 或傳輸控制協議 (TCP)，RADIUS 服務器與網絡訪問服務器通信。客戶端設備向網絡訪問服務器 (NAS) 發出連接請求。NAS 與 RADIUS 服務器一起工作，依靠其 AAA 功能對用戶進行身份驗證并響應正確配置的權限。

NPS 的目的是什么？

網絡策略服務器是使用 RADIUS 功能的 Windows 網絡管理員的解決方案。NPS 不僅為網絡訪問提供可配置的策略，而且還確保非 Microsoft 設備在通過身份驗證后可以連接。通過將用戶和客戶端設備分組或自動分類，管理員可以控制網絡用戶可用的客戶端類型和權限。此控制允許對訪問策略的持續管理，還允許出于記帳目的記錄事件。NPS 還掃描請求以確保客戶端健康并維護網絡完整性。

NPS 的 3 個角色

• RADIUS服務器：NPS作為 RADIUS 服務器為無線、交換機、遠程訪問撥號和虛擬專用網連接執行AAA 。管理員將網絡訪問服務器（例如WAP和虛擬專用網服務器）配置為 RADIUS 客戶端，并在本地硬盤或SQL Server數據庫上記錄事件數據。
• RADIUS 代理：NPS 可以配置訪問策略并管理連接請求作為 RADIUS 代理傳遞的 RADIUS 服務器。這包括轉發記帳數據以在多個遠程 RADIUS 服務器上復制日志以實現負載平衡的能力。
• 訪問保護：由于遠程工作和 BYOD 策略將各種設備呈現給網絡，管理員需要知道哪些端點是值得信賴的。NPS 可以通過修補軟件、防火墻和惡意軟件定義等指標充當客戶端設備的健康驗證器。