Windows Server 2025 搭建NPS-Radius服务器的步骤

核心概念

• NPS：微软的 RADIUS 服务器实现，用于对网络访问（如 VPN、Wi-Fi、交换机登录）进行集中化的身份验证、授权和记账。
• RADIUS：远程用户拨号认证服务，一种客户端/服务器协议。
• 典型场景：客户端设备（如 WiFi 接入点）将用户凭证转发给 NPS，NPS 向 Active Directory 验证凭证并返回允许/拒绝访问的策略。

搭建步骤

• Windows Server 2025 Standard 或 Datacenter。
• 已加入 Active Directory 域（这是大多数企业场景的前提，NPS 需要域账号进行认证）。
• 拥有固定的 IP 地址。
• 使用具有域管理员权限的账户登录。

• RADIUS 客户端：需要知道将要配置的接入点、交换机或 VPN 网关的 IP 地址/主机名。
• 共享密钥：为每个 RADIUS 客户端准备一个强密码（共享密钥），用于 NPS 与客户端之间的安全通信。

• 弹出窗口会提示添加所需功能，点击 “添加功能”。
• 点击 下一步。

配置遵循一个标准流程：客户端 -> 策略（条件/约束/设置）。

打开 NPS 控制台：

• 在服务器管理器中，点击右上角 “工具” -> “网络策略服务器”。
• 或在开始菜单中搜索 NPS.msc 并运行。

配置 RADIUS 客户端（即你的网络设备）：

• 在左侧控制台树中，展开 “RADIUS 客户端和服务器”。
• 右键点击 “RADIUS 客户端” -> “新建”。
• “友好名称”：输入一个易于识别的名称（如 HQ-WiFi-AP1）。
• “地址(IP 或 DNS)”：输入网络设备的 IP 地址或主机名。建议使用 IP 地址更可靠。
• “共享密钥”：
  • 输入一个强密码。
  • 非常重要：将此密钥也配置到你的物理网络设备（交换机、WiFi 控制器等）上。两边必须完全一致。
  • 勾选 “请求必须包括消息验证程序属性”（推荐，增强安全性）。
• 点击 “确定”。
• 重复此步骤，为所有需要连接的网络设备添加客户端。

配置网络策略（允许访问的规则）：

• 在左侧控制台树中，点击 “策略” 下的 “网络策略”。
• 默认已有一些策略，但建议为你的特定场景创建新策略。
• 右键点击空白处 -> “新建”。
• 策略名称：输入描述性名称（如 允许域用户访问公司WiFi）。
• 条件：点击 “添加”。
  • 常用条件：
    • 用户组：选择 Windows 组 -> 添加你的域用户组（如 DOMAIN\Domain Users 或更安全的 DOMAIN\WiFi-Users）。
    • NAS 端口类型：选择无线 (Wireless - IEEE 802.11) 或以太网 (Ethernet) 等。
    • NAS IPv4 地址：指定某个特定客户端的地址。
  • 点击 “下一步”。
• 指定访问权限：选择 “已授予访问权限” -> 点击 “下一步”。
• 配置身份验证方法（关键步骤）：
  • EAP 类型：点击 “添加” -> 选择 “Microsoft：受保护的 EAP (PEAP)” -> 点击 “确定”。
  • 选中 “Microsoft：受保护的 EAP (PEAP)”，然后点击 “编辑”。
  • 在新窗口中，确保 “向 NPS 证书颁发机构注册计算机证书时验证服务器证书” 已勾选。
  • 在 “选择身份验证方法” 下，选择 “安全密码 (EAP-MSCHAP v2)”。这是最常用的方法。
  • 点击 “确定”。
  • 点击 “下一步”。
• 配置约束（可选但推荐）：
  • 空闲超时、会话超时：可以设置断开不活动连接的时间。
  • 被叫站 ID：可以匹配客户端的 MAC 地址（需在条件中添加 NAS 标识符 或 被叫站 ID）。
  • 点击 “下一步”。
• 配置设置：
  • 在 “RADIUS 属性” 中，可以配置返回给网络设备的特定属性（Vendor-Specific）。例如，为不同的用户组返回不同的 VLAN ID。
    • 点击 “添加” -> 选择 Tunnel-Type -> 值 VLAN (13)。
    • 点击 “添加” -> 选择 Tunnel-Medium-Type -> 值 802 (包括以太网在内的所有 802 介质) (6)。
    • 点击 “添加” -> 选择 Tunnel-Pvt-Group-ID -> 值 你的VLAN号 (例如 10)。
  • 点击 “下一步”。
• 完成：点击 “完成”。
• 重要：新建的策略会放在列表顶部，NPS 按从上到下的顺序评估策略。请确保你的策略顺序正确（更具体的策略放上面）。

为了使客户端（如 Windows 笔记本电脑）信任 NPS 服务器，需要一个服务器身份验证证书。

• 最佳实践：使用企业 CA (证书颁发机构) 颁发证书。

• 在 NPS 服务器上，运行 mmc，添加 “证书” 管理单元，管理 “计算机账户”。
• 导航到 “证书(本地计算机)” -> “个人” -> “证书”。
• 右键点击 -> “所有任务” -> “申请新证书”。
• 选择 “计算机” 模板（或专门为 NPS 创建的模板），完成申请。
• 确保证书具有 “服务器身份验证” 的增强型密钥用法，并且 使用者可选名称 中包含服务器的 DNS 名称。

• 测试/临时环境：可以使用自签名证书（NPS 安装时会自动生成一个），但客户端需要手动信任此根证书，不推荐生产环境使用。

NPS 使用 UDP 端口 1812（身份验证）和 1813（记账）。旧标准使用 1645/1646。

• 端口：UDP 1812, 1813
• 允许连接。
• 作用域：可限制为你的内部网络子网。
• 名称：NPS RADIUS。

• 在 NPS 控制台中，右键点击服务器名 -> “属性” -> 取消勾选 “在此服务器上启用 RADIUS 客户端” 再勾选（强制重新加载配置）。
• 使用事件查看器（事件查看器 -> Windows 日志 -> 安全）查看 NPS 相关事件（事件 ID 6272 表示访问接受，6273 表示访问拒绝）。

• 将你的无线接入点或 VPN 服务器配置为使用此 NPS 服务器的 IP 和共享密钥作为 RADIUS 服务器。
• 尝试从一台已加入域的计算机连接 WiFi，使用你的域凭据登录。

• 在 NPS 服务器上以管理员身份打开 PowerShell。
• 使用以下命令模拟 RADIUS 请求（需要提前在 NPS 中配置一个测试用的 RADIUS 客户端，地址为 127.0.0.1）：

  netsh nps add client name="TestClient" address="127.0.0.1" secret="YourStrongSecret"

• 然后可以使用专门的 RADIUS 测试工具，或配置本地连接进行测试。

故障排除要点

• 事件 ID 6273 (访问拒绝)：仔细检查策略条件、用户组、身份验证方法。
• “身份验证方法不匹配”：确保 NPS 策略和客户端设备配置的 EAP 类型一致（通常都是 PEAP-MSCHAPv2）。
• 超时/无响应：检查防火墙规则、IP 地址是否正确、共享密钥是否一致。
• 证书问题：客户端不信任服务器证书是最常见的问题。确保客户端信任颁发服务器证书的根 CA。

通过以上步骤，你应该可以在 Windows Server 2025 上成功部署并配置一台基础的 NPS RADIUS 服务器。对于生产环境，请务必详细规划策略、证书和安全性。