本文可帮助你配置 Windows Server 网络策略服务器(NPS),以对用户进行身份验证,以响应与 VPN 网关点到站点中用于用户组支持的供应商特定属性(VSA)Access-Request 消息。 有关点到站点的 RADIUS 和用户组的详细信息,请参阅 关于点到站点的用户组和 IP 地址池。
以下部分中的步骤可帮助你在 NPS 服务器上设置网络策略。 NPS 服务器使用指定 VSA 答复此策略的所有用户,并且此 VSA 的值可以在点到站点 VPN 网关上使用。
可以在 NPS 服务器上创建多个网络策略,以基于 Active Directory 组成员身份或要支持的任何其他机制将不同的 Access-Accept 消息发送到点到站点 VPN 网关。
先决条件
验证是否已将有效的 RADIUS 服务器 (NPS) 注册到 Active Directory。
配置 NPS 服务器
使用以下步骤帮助你在 NPS 服务器上配置网络策略。 步骤可能会有所不同,具体取决于供应商和版本。 有关如何配置网络策略的详细信息,请参阅 网络策略服务器。
打开网络策略服务器控制台,然后双击“ 策略”。
在控制台树中,右键单击 “网络策略”,然后单击“ 新建”。 将打开新建网络策略向导。
使用“新建网络策略”向导来创建策略。 继续浏览策略页,并指定以下设置:
页 设置 价值 指定网络策略名称和连接类型 策略名称 输入策略的名称。 网络访问服务器的类型 从下拉列表中选择“远程访问服务器”(VPN-Dial 上)。 指定条件 Conditions 单击“ 添加 ”并选择“ 用户组”。 然后,单击“添加” 。 还可以使用 RADIUS 服务器供应商支持的其他网络策略条件。 用户组 添加组 单击“ 添加组 ”,然后选择将使用此策略的 Active Directory 组。 单击“ 确定 ”和“ 确定”,然后单击“ 下一步”。 指定访问权限 访问权限 选择 “授予的访问权限”,然后选择 “下一步”。 配置身份验证方法 身份验证方法 进行任何必要的更改。 配置约束 限制条件 选择任何必要的设置。 配置设置 RADIUS 属性 单击以突出显示 供应商特定,然后单击“ 添加”。 添加特定于供应商的属性 特性 滚动以选择 “特定于供应商”,然后单击“ 添加”。 属性信息 属性值 选择 并添加。 特定于供应商的属性信息 指定网络访问服务器供应商/指定符合性 选择 “从列表中选择 ”,然后选择 Microsoft。
选择“ 是”。它符合。 然后单击“ 配置属性”。配置 VSA (RFC 合规) 供应商分配的属性编号 65 属性格式 十六进制 属性值 将此值设置为 VPN 服务器配置上配置的 VSA 值,例如 6ad1bd08。 VSA 值应以 6ad1bd 开头。 单击“ 确定”,然后再次 单击“确定 ”。 然后, 关闭 以返回到 “配置设置” 页。
单击“ 下一步”,然后单击 “完成 ”以创建策略。