什么是网络策略服务器 (NPS)？基本指南

网络策略服务器（Network Policy Server, NPS） 是微软 Windows Server 中的一个角色服务，用于提供 集中化的网络访问控制，主要应用于 身份验证、授权和计费（AAA） 服务。它通常作为 RADIUS（Remote Authentication Dial-In User Service）服务器 使用，管理用户或设备对网络资源的访问权限。

---

1. NPS 的核心功能

NPS 主要用于以下场景：
身份验证（Authentication） – 验证用户或设备的身份（如通过 Active Directory）。
授权（Authorization） – 决定用户/设备是否有权访问网络（如 Wi-Fi、VPN、交换机端口）。
计费（Accounting） – 记录用户的网络使用情况（如登录时间、流量统计）。

典型应用场景

• 企业 Wi-Fi 认证（如 802.1X 认证）

• VPN 访问控制（如 SSTP、L2TP/IPsec）

• 网络设备管理（如交换机、防火墙的 RADIUS 认证）

• 动态 VLAN 分配（基于用户角色自动分配 VLAN）

---

2. NPS 的工作原理

NPS 作为 RADIUS 服务器，与 RADIUS 客户端（如 Wi-Fi AP、VPN 服务器、交换机）配合工作：

1. 客户端请求访问（如用户连接 Wi-Fi）。

2. 网络设备（RADIUS 客户端） 将认证请求发送给 NPS。

3. NPS 检查策略（如是否允许该用户访问）。

4. NPS 返回授权结果（允许/拒绝，并可能分配 VLAN 或带宽限制）。

5. 设备执行策略（如允许用户接入指定网络）。

https://example.com/nps-flow.png (示意图：NPS 作为 RADIUS 服务器的认证流程)

---

3. NPS 的核心组件

组件 功能 RADIUS 服务器 处理认证请求，对接 Active Directory 或其他身份源。 网络策略（Network Policies） 定义访问规则（如“仅允许市场部员工访问 VPN”）。 连接请求策略（Connection Request Policies） 控制哪些 RADIUS 客户端可以发送请求。 RADIUS 客户端 网络设备（如 Wi-Fi AP、VPN 网关）向 NPS 发送认证请求。 记账日志（Accounting Logs） 记录用户会话信息（登录时间、流量等）。

---

4. NPS vs. 其他 AAA 服务器

对比项 NPS（Windows） FreeRADIUS（Linux） Cisco ISE 适用环境 Windows 生态 跨平台（Linux/Unix） 企业级网络 集成能力 深度集成 AD 支持多种数据库 支持 Cisco 设备 扩展性 适合中小型企业 高度可定制 适合大型企业 成本 包含在 Windows Server 授权内 开源免费 商业授权

---

5. 如何部署 NPS？

基础部署步骤（Windows Server）

1. 安装 NPS 角色

   • 服务器管理器 → 添加角色 → 选择 Network Policy Server。

2. 配置 RADIUS 客户端

   • 添加 Wi-Fi AP、VPN 服务器等设备的 IP 和共享密钥。

3. 设置网络策略

   • 定义访问规则（如“允许域用户访问 Wi-Fi”）。

4. 测试连接

   • 使用 netsh ras show registeredserver 或 RADIUS 测试工具验证。

---

6. NPS 的最佳实践

 结合 Active Directory 实现集中化用户管理。
启用日志记录 监控异常登录行为。
使用证书认证（如 EAP-TLS）提高安全性。
定期备份 NPS 配置（netsh nps export）。

---

总结

NPS 是 Windows 环境下 网络访问控制（NAC） 的核心组件，适用于 Wi-Fi 认证、VPN 访问、交换机端口管理 等场景。它提供基于策略的访问控制，并能与 Active Directory 无缝集成，适合企业级网络安全管理。

如果需要更详细的配置指南，可以参考 Microsoft 官方文档 或结合 网络设备（如 Cisco、Aruba） 进行部署优化。