Новый улучшенный сервер политики сети

В жизни всегда есть место для улучшений, и сервер политики сети (Network Policy Server, NPS) не стал исключением — в новой версии введены серьезные улучшения. В Windows Server 2008 R2 NPS состоит из RADIUS-сервера (Microsoft Remote Authentication Dial-In User Service) и прокси. Эта служба обеспечивает проверку подлинности, авторизацию и учет доступа к сети и действует как сервер политики работоспособности NAP. Далее приводится краткий перечень новых NPS-шаблонов и основных усовершенствований учета в NPS.

NPS-шаблоны

NPS-шаблоны позволяют снизить стоимость владения средами NPS за счет отделения стандартных элементов конфигурации RADIUS, таких как общие секреты и параметры начальной настройки клиентов, от существующей на сервере конфигурации. Элемент конфигурации RADIUS наследует значения, заданные в определенном шаблоне. Изменение в шаблоне приводит к изменению соответствующих значений всюду, где этот шаблон применяется.

Например, можно создать на многих RADIUS-клиентах и удаленных RADIUS-серверах ссылки на единственный шаблон с общим секретом RADIUS. Если изменить в этом шаблоне общий секрет, все RADIUS-клиенты и удаленные RADIUS-серверы, использующие этот шаблон, унаследуют это изменение.

NPS-шаблоны можно также использовать для исправления конфигурации путем временного их применения. Например, создайте шаблон RADIUS-клиента для определенной группы RADIUS-клиентов (например всех беспроводных точек доступа определенного поставщика), содержащий стандартные параметры настройки, такие как тип поставщика или общий секрет. Создавая новый RADIUS-клиент, выберите созданный шаблон — RADIUS-клиент получит стандартные параметры настройки. При отключении шаблона унаследованные параметры остаются, и можно будет изменить отдельные параметры, например IP-адрес RADIUS-клиента.

Имейте в виду, что команды контекста netsh nps не поддерживают шаблонные параметры. При использовании таких команд ссылка на шаблон удаляется и изменяется указанный в команде параметр конфигурации.

Шаблоны можно применять для настройки следующих элементов конфигурации NPS:

Общий секрет RADIUSRADIUS-клиентыУдаленные RADIUS-серверыIP-фильтрыПолитика работоспособностиГруппы серверов обновления

Для этих параметров конфигурации можно задать шаблоны в узле «Управление шаблонами» в оснастке NPS (рис. 1).

Рис. 1. Узел управления шаблонами в оснастке NPS.

Шаблоны можно добавлять, редактировать, дублировать или удалять. Готовые шаблоны можно выбирать или отменять их выбор в соответствующих диалоговых окнах оснастки NPS. На рис.2 приводится перечень типов шаблонов с указанием, где они используются в оснастке NPS.

Шаблон Где используетсяОбщий секрет RADIUSПри создании или конфигурировании RADIUS-клиентов, членов групп удаленных RADIUS-серверов, шаблонов RADIUS-клиентов или шаблонов удаленных RADIUS-серверовRADIUS-клиентыПри создании или настройке RADIUS-клиентовУдаленные RADIUS-серверыПри создании или настройке членов групп удаленных RADIUS-серверовIP-фильтрыПри настройке параметров IP-фильтров в политиках сетиПолитика работоспособностиПри создании или настройке политики работоспособностиГруппы серверов обновленияПри создании или настройке групп серверов обновления

Рис.2. Типы шаблонов и указание, где они применяются в оснастке NPS.

Использование шаблона общего секрета RADIUS

Шаблоны общего секрета RADIUS позволяют определять общий секрет, повторно используемый при конфигурировании RADIUS-клиентов и удаленных RADIUS-серверов в оснастке NPS.Создание и использование шаблона общего секрета RADIUS выполняется в следующем порядке:

1. В оснастке NPS откройте узел Управление шаблонами (Templates Management).

2. В дереве консоли щелкните правой кнопкой Общие секреты (Shared Secrets) и щелкните Новый общий секрет (New).

3. В поле Имя шаблона (Template Name) введите имя шаблона общего секрета, а затем задайте общий секрет вручную или определите, что NPS должен автоматически сгенерировать секрет.

4. Щелкните OK, чтобы сохранить изменения.

Чтобы задействовать шаблон общего секрета RADIUS, при настройке RADIUS-клиента, удаленного RADIUS-сервера или шаблона удаленного RADIUS-сервера задайте имя шаблона общего секрета, не задавая общий секрет вручную или автоматически средствами NPS. На рис. 3 показан пример.

Рис 3. Выбор шаблона общего секрета

Чтобы увидеть, какие RADIUS-клиенты, удаленные RADIUS-серверы и шаблоны удаленных RADIUS-серверов используют определенный шаблон общего секрета RADIUS, щелкните правой кнопкой значок шаблон общего секрета RADIUS в правой панели оснастки NPS и выберите «Просмотр сведений об использовании» (View Usage).

Перенос и синхронизация шаблонов

Поскольку шаблоны независимы от текущей конфигурации сервера NPS, их можно экспортировать и импортировать средствами оснастки NPS независимо от конфигурации сервера NPS.Эти операции не связаны с экспортом и импортом конфигурации сервера NPS командами netsh nps export и netsh nps import.

Чтобы экспортировать шаблоны сервера NPS, в оснастке NPS щелкните правой кнопкой узел Управление шаблонами (Template Management) и выберите Экспорт шаблонов в файл (Export Templates to a File). Чтобы импортировать шаблоны сервера NPS, надо выбрать Импорт шаблонов из файла (Import Templates from a File). Эти операции можно использовать для переноса шаблонов с одного сервера NPS на другой.

Чтобы быстро синхронизировать шаблоны между серверами NPS, щелкните правой кнопкой узел Управление шаблонами в оснастке NPS и выберите Импорт шаблонов с компьютера (Import Templates from a Computer). Вам потребуется задать имя удаленного сервера NPS. После щелчка OK оснастка NPS синхронизирует локальный и удаленный серверы NPS.

Оснастка NPS в Windows Server 2008 R2 поддерживает удаленное управление серверами NPS. При добавлении оснастки NPS в консоль MMC можно задать, каким сервером управлять — локальным или удаленным. Можно также удаленно управлять NPS-сервером на основе Windows Server 2008 с NPS-сервера под управлением Windows Server 2008 R2. Однако в этом случае в дереве консоли отсутствует узел «Управление шаблонами», а в диалоговых окнах отсутствует возможность настройки шаблонов.

Учет обновлений

В Windows Server 2008 R2 появилось много возможностей усовершенствования учетных операций и значительного снижения стоимость развертывания серверов NPS. Среди них — несколько новых возможностей журналирования, позволяющих увязывать регистрацию событий в базе данных SQL Server или в файле. Есть также новый Мастер настройки учета. Эти расширения интегрированы в узел «Учетные данные» (Accounting) оснастки NPS.

Чтобы удобнее было управлять конфигурациями записи журналов в базу данных SQL Server или в файл, в Windows Server 2008 R2 введен файл нового типа, называемого «DTS-совместимый файл». Этот новый тип файлов предназначен для упрощения сопоставления на NPS стандартной базы данных SQL средствами служб преобразования данных SQL Server. Новый тип файлов можно задать на вкладке «Файл журнала» (Log File) окна свойств файла, как показано на рис. 4.

Рис. 4. Выбор DTS-совместимого формата локального журнала

Связь между записью журналов NPS на SQL Server и в файл

Следующие возможности Windows Server 2008 R2 обеспечивают поддержку конфигураций учета, позволяющих использовать ведение журнала на SQL или в файле:

Регистрация перехода на другой ресурс, как в журнале SQL, так и в файле: можно сконфигурировать NPS так, чтобы он выполнял запись в базу данных SQL (локальную или удаленную) и переходил на заданный журнал в случае потери связи с SQL Server. Чтобы включить эту функцию, установите флажок Включить ведение текстового файла журнала для обработки отказов (Enable text file logging for failover) на странице свойств журнала NPS на SQL Server.

Параллельная регистрация в файл и на SQL Server: можно сконфигурировать NPS так, чтобы все записи вносились как на SQL Server, так и в файл. Средств явного включения этой функции нет — просто нужно включить оба режима регистрации событий учета, не настраивая переход в случае отказа.

Проверка подлинности без учета: можно сконфигурировать NPS так, чтобы проверка подлинности и авторизация не регистрировались в журнале. Эта функция отключена по умолчанию. Она обеспечивает работу NPS, даже если ведение журнала невозможно. Включить эту функцию можно независимо настройки регистрации в базу данных SQL Server или в файл,

что позволяет организовать самые разные конфигурации в связке с параллельным ведением журналов или регистрацией с возможностью перехода на другой ресурс. Функция включается путем установки флажка Отбрасывать запросы на подключение при сбое ведения журнала (If logging fails, discard connection requests) на страницах свойств как журнала SQL Server, так и файла. Если хотя бы один из этих флажков установлен, запросы на доступ должны успешно регистрироваться в журнале.

Мастер настройки учета NPS

Чтобы запустить новый Мастер настройки, выберите узел Учетные данные (Accounting) и щелкните ссылку Настройка учетных данных (Configure Accounting) в правой панели оснастки NPS.Мастер настройки учета позволяет полностью настроить конфигурацию учета для стандартных конфигураций, включая параметры, необходимые SQL Server для создания стандартной базы данных NPS, таблицы и хранимых процедур. На рис. 5 показана страница «Выберите параметры конфигурации» (Select Accounting Options) Мастера настройки учета.

Рис. 5. Окно нового Мастера настройки учета

На этой странице можно настроить следующие параметры:

Вести журнал в базе данных SQL (Log to a SQL Server database): NPS выполняет регистрацию только в базу данных SQL, используя заданные по умолчанию формат таблицы NPS на SQL Server и хранимые процедуры.Вести журнал в текстовом файле на локальном компьютере (Log to a text file on the local computer): NPS выполняет регистрацию только в текстовый файл, используя новый DTS-совместимый формат файла.Вести журнал одновременно в базе данных SQL и в локальном текстовом файле (Simultaneously log to a SQL Server database and to a local text file): включает регистрацию в базе данных SQL Server и в файле и обеспечивает параллельную регистрацию событий учета. При регистрации в базе данных SQL используются заданные по умолчанию формат таблицы NPS и хранимые процедуры. При записи в файл применяется DTS-совместимый формат. Запись информации в оба хранилища настраивается независимо друг от друга.Вести журнал для обработки отказов в текстовом файле в базе данных SQL (Log to a SQL Server database using text file logging for failover): включает регистрацию в базе данных SQL Server и в файл и обеспечивает запись в файл, только если недоступна регистрация в базу данных SQL Server. При регистрации в базе данных SQL используются заданные по умолчанию формат таблицы NPS и хранимые процедуры. При записи в файл применяется DTS-совместимый формат. Запись информации в оба хранилища настраивается независимо друг от друга.Автоматическая настройка базы данных SQL Server

Помимо настройки учета NPS, новый Мастер настройки учета также автоматически создает нужную базу данных, таблицы и хранимые процедуры на имеющемся сервере SQL Server. Мастер автоматически конфигурирует в SQL Server стандартное хранилище данных NPS на основании любой из конфигураций, задаваемых на странице «Выберите параметры конфигурации» (Select Accounting Options) Мастера настройки учета, которые также включают конфигурацию регистрации на SQL Server. На рис. 6 показана страница «Настройте ведение журнала для SQL Server» (Configure SQL Server Logging) Мастера настройки учета.

Рис. 6. Страница настройки ведения журнала для SQL Server в Мастере настройки учета

По щелчку кнопки «Настройка» (Configure) открывается диалоговое окно «Свойства канала передачи данных» (Data Link Properties) (рис. 7).

Рис. 7. Диалоговое окно свойств канала передачи данных

Задав имя SQL Server и учетную информацию (разделы 1 и 2), выберите базу данных на SQL Server. Если вы выберете существующую базу данных из списка, при завершении работы Мастер предложит использовать указанную базу данных или повторно инициализировать базу данных, используя заданную по умолчанию конфигурацию хранилища данных NPS в SQL Server.

Можно также ввести новое имя базы данных в поле со списком «Выберите базу данных на сервере» (Select the database on the server). В этом случае Мастер настройки учета автоматически создаст на SQL Server базу данных NPS с параметрами по умолчанию и с заданным именем.

Более подробную информацию об NPS в Windows Server 2008 R2 вы найдете на следующих веб-страницах:

страница Сервера политики сетидокументация Сервера политики сетиСвязанные материалыУлучшения PKI в Windows 7 и Windows Server 2008 R2Руководство по развертыванию Windows 7Кабельщик: Подключение к беспроводным сетям в Windows 7 Иcточник: TechNet Magazine  •  

Мой блог находят по следующим фразам

Данная статья "Новый улучшенный сервер политики сети" размещена на сайте Компьютерные сети и многоуровневая архитектура интернета (conlex.kz) в ознакомительных целях.

Уточнения, корректировки и обсуждения статьи "Новый улучшенный сервер политики сети" - под данным текстом, в комментариях.

Ответственность, за все изменения, внесённые в систему по советам данной статьи, Вы берёте на себя.

Копирование статьи "Новый улучшенный сервер политики сети", без указания ссылки на сайт первоисточника Компьютерные сети и многоуровневая архитектура интернета (conlex.kz), строго запрещено.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *