Windows2016搭建radius服务器、安装NPS

Windows2016搭建radius服务器

（1）交换机的配置：

sw1_10.12.160.3_2022.09.04.09时31分57秒.txt

华为交换机：
sw1:配置设备的管理ip地址与默认路由
interface Vlanif1
 ip address 10.12.3.3 255.255.0.0
ip route-static 0.0.0.0 0.0.0.0 10.12.12.254
配置STelnet登录
# 在服务器端生成本地密钥对。
[sw1]dsa local-key-pair create
# 配置VTY用户界面0～14的认证方式为AAA认证、支持的协议为SSH。
user-interface vty 0 4
   authentication-mode aaa
   protocol inbound ssh
   user privilege level 3   #配置15级，这个版本只有1到3级
[sw1]stelnet server enable
[sw1]ssh authentication-type default password
# 配置RADIUS服务器模板，实现与RADIUS服务器的通信。
radius server group 1
   radius server shared-key www.zh-cjh.com
   radius server authentication 10.12.160.8 1812
   radius server accounting 10.12.160.8 1813
   radius server user-name domain-excluded    //交换机发送用户名给radius服务器时不要带域名
# 配置AAA认证方案，指定认证方式为RADIUS+Local。
aaa
    authentication-scheme sch1
        authentication-mode radius local
# 配置计费方案acc1
aaa
    accounting-scheme acc1
         accounting-mode none
 
# 在域下引用AAA认证方案、RADIUS服务器模板。
aaa
   domain zh-cjh.com
       authentication-scheme sch1
       accounting-scheme acc1
       radius server group 1
# 配置example.com为全局默认管理域。
aaa
   default-domain admin zh-cjh.com

（2）windows2016安装好域功能并配置好组与用户

配置组：

把用户加入组

（3）点击服务器管理器在里面进行添加功能网络策略和访问服务

安装网络策略和访问服务Network Policy Service（NPS）

（4）在AD中注册服务器

（5）配置RADIUS客户端

（6.1）新建连接请求策略

（6.2）修改连接请求策略

（7）配置网络策略

配置windows防火墙：

（8）配置记录，记录下客户端连接上来的信息

（9）测试：登录失败。

（10）日志路径
管理工具>Windows事件查看器>自定义视图>服务器角色>网络策略和访问服务

已经审核成功，但是还是交换机登录不成功。

如果故障输入错误的用户名等，会审核不成功，如下所示：

所以还得继续找问题。

解决：把连接请求策略与网络策略中的供应商特定中的内空全部删除。

测试：登录成功，带不带域名都可以成功。

就算交换机给radius server 发送用户名时带上域名，AD域服务器（radius server）也能正常工作。

带上域，工作也正常。

查看日志：

NAC网络准入控制、radius、802.1X（列表、list、全）radiuslist
http://www.zh-cjh.com/wenzhangguilei/1008.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html