Понимание нового Windows Server 2008 Network Policy Server

Published on Февраль 20, 2009 by   ·   Комментариев нет

Хотя я был знаком со всеми понятиями и терминами касаемо технологий защиты доступа к сети (Microsoft Network Access Protection (NAP)) и Cisco NAC, я решил рассмотреть новый Windows Server 2008 Network Policy Server, потому что он не связан с этими двумя технологиями. Меня заинтересовала в Windows 2008 Network Policy Server (NPS) возможность использования RADIUS на системах Windows 2008 System. Если говорить точнее, я хотел использовать Windows 2008 Server с тем, чтобы аутентифицировать ПК, использующие 802.1x, и пользователей, входящих в такие устройства сети, как маршрутизаторы Cisco.

Обычно, если я хотел выполнить одну из этих задач в Windows 2000 или 2003 Server, я использовал службу Интернет аутентификации (Internet Authentication Service) (IAS). В прошлом, WindowsNetworking.com предложил несколько статей по использованию IAS. Например, Беспроводные сети в Windows 2003 и Настройка Windows 2000 RADIUS для аутентификации беспроводных 802.1x клиентов. Однако в Windows Server 2008, вы быстро обнаружите, что IAS была заменена на Network Policy Server (NPS).

Так что же такое NPS и как он может помочь мне?

Что такое Windows Server 2008 Network Policy Server?

NPS – это не просто замена для IAS, он делает то же что и IAS, и гораздо больше. Хотя многие из нас будут делать то же, что делали с IAS в Windows 2003, когда установят NPS, но все же с NPS перед нами открываются абсолютно новые функциональные возможности.

Вот те же функции NPS, которыми обладала IAS:

  • Маршрутизация LAN и WAN трафика.
  • Открытие доступа через ВЧС и dial-up соединения.
  • Создание и внедрение доступа к сети через ВЧС или dial-up соединения.

Например, NPS может обеспечить следующие функции:

  • Службы ВЧС (VPN Services)
  • Службы Dial-up
  • 802.11 защищенный доступ
  • Маршрутизация & Удаленный доступ (Remote Access (RRAS))
  • Предлагает аутентификацию через активную директорию (Windows Active Directory)
  • Управление доступом к сети с помощью политик

NPS обладает новыми функциями, связанными с Защитой Доступа к Сети (Network Access Protection (NAP)). Например, System Health Validators, Remediation Server Groups, Health Polices, и т.д.

Для детального пошагового рассмотрения примера того, как использовать NPS для выполнения защиты доступа к сети (NAP), пожалуйста прочтите серию статей Брайана Поузи Введение в защиту доступа к сети — часть 1 — 7

Как установить NPS?

NPS является компонентом Windows 2008 Server. Это означает, что вы устанавливаете его путем добавления компонента, как показано на рисунке 1:

Ias соединения

Рисунок 1: Добавление NPS компонента

Затем выбираете политику сети и сервисы доступа (Network Policy and Access Services):

У вас появится окно с полным обзором информации о NPS

Теперь выбираем сервисы для этой роли, которые мы хотим установить. Обратите внимание, что если вы захотите установить протоколы Health Registration Authority или Host Credential Authorization, вам будет предложено установить больше ролей для вашего сервера (например, IIS веб-сервер). Оба этих сервиса связаны либо с Microsoft NAP, либо с Cisco NAC.

Продвигаясь дальше по этому списку, сервис Network Policy Service представляет собой RADIUS сервер, который встречался в IAS. Сервисы RRAS – это вторая часть, которая традиционно была включена в IAS. Когда эти элементы отсутствуют, вы можете избирательно устанавливать выбранные компоненты.

После того как вы определились с выбором и нажали Далее, у вас появится последнее окно подтверждения, где нужно нажать Установить.

По окончании установки должно появиться окно «Установка завершена»

Теперь давайте рассмотрим то, как управлять новым Network Policy Server’

Как управлять NPS?

Если вы хотите использовать традиционные функции IAS, самый простой способ управления службами вашего нового сервера NPS заключается в использовании Windows 2008 Server Manager. В Server Manager вы найдете пункт роли (Roles), а в этом пункте вы найдете Network Policy and Access Services, как показано на рисунке 2:

Ias соединения

Рисунок 2: Сервисы NPS в Server Manager

Как вы видите, есть три сервиса, ассоциируемых с NPS, сервер политики сети (network policy server (с названием IAS)), менеджер соединений удаленного доступа (remote access connection manager (RasMan)) и служба маршрутизации и удаленного доступа (routing and remote access service (RemoteAccess)). Тем, кто использует IAS, эти названия покажутся знакомыми.

Для конфигурирования и управления отдельными службами Network Policy Server (NPS) в Windows 2008 Server есть новый административный инструмент под названием Network Policy Server.

Ias соединения

Рисунок 3: Запуск инструмента управления NPS

Когда он загружен, он выглядит примерно так:

Ias соединения

Рисунок 4: Инструмент управления NPS

Как вы видите, секция клиентов и серверов RADIUS довольно знакома, как и секция политик. По-новому выглядит IAS ‘Remote Access Logging’, переименованная в ‘Accounting’, а также есть новая папка Network Access Protection.

И все же это не просто измененный интерфейс и переименованные элементы IAS, принципиальная разница заключается в функциональных возможностях в области защиты доступа к сети, которыми обладает NPS.

Архитектура сервера Network Policy Server

Есть несколько частей в архитектуре сервера Network Policy Server. Ниже представлена схема, изначально опубликованная на Microsoft TechNet в статье с названием’Инфраструктура Network Policy Server’.

Ias соединения Рисунок 10: Архитектура NPS (источник: Microsoft)

Как видно на схеме, сервер NPS, который мы установили в этой статье, является лишь частью большой инфраструктуры NPS. Не все эти части являются обязательными. Выбор частей этой инфраструктуры, зависит от той функции, которую вы собираетесь выполнять.

Например во введении я говорил о том, что хочу использовать NPS для аутентификации сетевых устройств Cisco, использующих RADIUS. Для этого мне потребуется лишь сервер NPS RADIUS и Network Policy Server (NPS). Маршрутизатор Cisco (или другое сетевое устройство) будет клиентом NPS RADIUS. Сервер NPS RADIUS – это то, что принимает запросы на аутентификацию сертификатов пользователя из сетевого устройства. Сервер NPS RADIUS обычно связывается с Network Policy Server с тем, чтобы убедится, что последний принимает запросы аутентификации от клиента RADIUS, что политика соответствует, что мандаты отправлены (обычно в активную директорию Windows) на подтверждение. Если они подтверждены, принятый запрос аутентификации отправляется обратно клиенту NPS RADIUS (сетевому устройству, в моем примере, маршрутизатору Cisco).

Заключение

В сочетании с клиентом Microsoft NAP, Microsoft называет Network Policy Server ‘платформой внедрения безопасной политики системы’. Но я все же воспринимаю NPS, как AAA сервер (аутентификация, авторизация и учетные данные — authentication, authorization, and accounting). Если вам нужен традиционный сервер RADIUS, вы не заметите большой разницы при использовании NPS. Однако я советую вам тщательнее присмотреться к тому, как NPS может помочь вам в решении проблем вашей компании в области защиты доступа к сети (NAP). Открывая доступ только тем компьютерам, на которых имеются обновленные патчи, антивирусное ПО и настройки брандмауэра для доступа к вашей сети, вы тем самым делаете сети вашей компании более надежными и безопасными.

www.windowsnetworking.com


Смотрите также:

Tags: ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)




Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]