创建RADIUS服务器

使用域管理员身份登录某台服务器，在服务器管理器中左侧点击“角色”项，在右侧点击“添加角色”链接，在向导界面中点击“下一步”按钮，在选择服务器角色窗口中选择“网络策略和访问服务”项，在下一步窗口中选择“网络策略服务器”项，之后点击“安装”按钮完成所需安装操作。对于本机来说，可以在管理工具菜单中点击“网络策略服务器”项，来启动网络策略服务器。

在本例中，网络策略服务器隶属于域环境，所以需要在网络策略服务器窗口左侧选择“NPS（本地）”项，在其右键菜单上点击“在Active Directory中注册服务器”项，系统会弹出提示窗口，点击“确定”按钮，将网络策略服务器注册到其所隶属的域。或以域管理员身份登录RADIUS服务器，在PowerShell界面执行“netsh ras add registeredserver”命令实现同样的效果。

最直接的方法是以域管理员身份登录域控制器，在Active Directory管理中心中的“User”中双击“RAS and Servers”组，在其管理窗口左侧点击“添加”按钮，将该RADIUS服务器添加到该组中。

管理RADIUS客户端

在本例中，VPN服务器就是RADIUS客户端。当网络策略服务器安装后，系统默认将其视为RADIUS服务器，需要指定RADIUS客户端。

在RADIUS服务器上打开网络策略服务器控制台窗口，在左侧选择“NPS（本地）”→“RADIUS客户端和服务器”→“RADIUS客户端”项，在其右键菜单中点击“新建”项，在新建RADIUS客户端窗口（如图1）中的“设置”面板中选择“启用此RADIUS客户端”项，在“友好名称”栏中输入客户端名称（例如“VPN服务”），在“地址（IP或DNS）”栏中输入VPN服务器的IP地址或计算机名称，如果输入的是计算机名称，需要点击“验证”按钮，来检测是否可以解析到VPN服务器的IP地址。

在“共享机密”栏中选择“手动”项，可以手工输入密码。也可以选择“生成”项，让系统自动创建密码。

注意，密码是区分大小写的，在RADIUS客户端也需要设置相同的密码，否则RADIUS服务器将拒绝接受客户端发送来的各种请求信息。

然后在“高级”面板中选择“Microsoft”或者“RADIUS Standard” 项 均可。选择“Accept-Request消息必须包含Message-Authenticator”项，表示双方 采 用 了 PAP，CHAP，MSCHAP，MS-CHAP v2安全验证方式的话，则需要RADIUS客户端发送消息验证程序属性，这样如果有假冒的RADIUS客户端的话，就可以将其IP找出来，这样可以提高双方通讯的安全性。如果采用的是EAP验证方式，则默认选中该功能。

选择“RADIUS客户端支持NAP”项，表示客户端需要支持网络访问保护功能，即客户端必须是健康的。保存设置信息后，就可以将VPN服务器变成RADIUS客户端了。在VPN服务器上打开路由和远程访问控制台，在左侧点击“路由和远程访问”→“VPN（本地）”项，在属性窗口中的“安全”面板中的“身份验证提供程序”列表中选择“RADIUS身份验证”项。

图1 新建RADIUS客户端

点击“配置”按钮，在弹出窗口中点击“添加”按钮，在添加RADIUS服务器窗口（如图2）中的“服务器名称”栏中输入RADIUS服务器IP，在“共享机密”栏中输入上述密码。在“超时”栏中设置合适的数值（默认5秒）。如果VPN服务器将访问请求发送给该RADIUS服务器后，在预设时间内未收到回应信息，就会将验证请求发送给其他服务器，当然，需要存在多台RADIUS服务器方可。如果存在多台RADIUS服务器的话，可以在“初始分数”栏中为该RADIUS服务器设置优先级参数，该值越大优先级越高。在发送验证请求时，VPN服务器会优先将其发送给优先级高的RADIUS服务器。在“端口”栏中可以更改RADIUS服务器的端口号，默认为1812。

图2 添加RADIUS服务器

选择“一直使用消息验证者”项，则需要RADIUS服务器端上选择“Accept-Request消息必须包含Message-Authenticator”项与之匹配。在“安全”面板中的“记账提供程序”列表中选择“RADIUS记账”项，表示VPN服务器将记账操作转交给RADIUS服务器来处理，所谓记账指的是记录每一个远程连接的状态，例如接受或者拒绝远程连接，记录其登录和注销操作等。点击“配置”按钮，可以对其进行配置，具体测操作比较简单大体和上述相同，记账服务的默认端口号为1813。

设置RADIUS代理服务

在一些情况下，单一的RADIUS服务器时无法满足需求的。这就需要使用RADIUS代理服务。那么，RADIUS服务器是自行处理连接请求，还是将其转发给其他的RADIUS服务器，其实是由其内置的连接请求策略决定。当安装好网络策略服务器后，其实际上就变成了RADIUS服务器。通过设置连接请求策略，就可以确定是让该RADIUS服务器来处理连接请求，还是交由另外的RADIUS服务器来处理验证请求。在RADIUS服务器的网络策略服务器控制台左侧点击“NPS（本地）”→“策略”→“连接请求策略”项，在窗口右侧显示其内置的名称为“Use Windows authentication for all users”的连接请求策略，双击该策略，在其属性窗口中的“条件”面板中显示只要一个星期内任意时段都可以连接的控制功能。

在“设置”面板中左侧点击“身份验证”项，在右侧默认选择“在此服务器上时请求进行身份验证”项，表示直接由该RADIUS服务器对连接请求进行验证。如果选择“将请求转发到以下远程RADIUS服务器组进行身份验证”项，那么该机就会充当RADIUS代理服务器的角色，在其下的列表中选择RADIUS服务器组的特定RADIUS服务器。当然，前提是必须创建RADIUS服务器组方可。如果选择“不验证凭据就接受用户”项，则直接允许用户的任意连接请求。

在网络策略服务器控制台左侧选择“NPS（本地）”→“RADIUS客户端和服务器”→“远程RADIUS服务器组”项，在其右键菜单上点击“新建”项，在弹出窗口的“组名”栏中设置RADIUS服务器组的名称，点击“添加”按钮，在打开窗口中的“服务器”栏中输入目标RADIUS服务器的IP，点击“验证”按钮，如果输入的是计算机名称，可以点击“验证”按钮，检测是否可以解析其IP。

按同样的方法可以添加其他的RADIUS服务器。在上述窗口右侧显示创建的RADIUS服务器组信息，双击目标组，在其属性窗口中显示包含的所有RADIUS服务器。双击目标RADIUS服务器，在其属性窗口中可以更改其地址、身份验证方式、共享密码等参数。在其中的“负载均衡”面板中可设置该RADIUS服务器的优先级和权重，优先级为1表示等级最高。当RADIUS代理服务器在转发连接请求时，首先转发给优先级高的RADIUS服务器。如果两台RADIUS优先级相同，则比较其权重参数，权重越高，转发的频率就越高。