NPS身份验证方法..docxVIP

引用：/zh-cn/library/cc731694(WS.10).aspxNPS 身份验证方法应用到: Windows Server 2008身份验证方法用户尝试通过网络访问服务器（也称为 RADIUS 客户端）（如无线访问点、802.1X 身份验证切换、拨号服务器和虚拟专用网络 (VPN) 服务器）连接网络时，网络策略服务器 (NPS) 会首先对连接请求进行身份验证和授权，然后再决定允许或者拒绝访问。由于身份验证是验证尝试连接网络的用户或计算机的身份的过程，因此 NPS 必须以凭据形式从用户或计算机接收身份证明。某些身份验证方法使用基于密码的凭据。例如，Microsoft 质询握手身份验证协议 (MS-CHAP) 要求用户键入用户名和密码。然后由网络访问服务器将这些凭据传递到 NPS 服务器，NPS 会根据用户帐户数据库验证这些凭据。其他身份验证方法使用基于证书的凭据用于用户、客户端计算机、NPS 服务器或者某些组合。基于证书的身份验证方法提供了较强的安全性，因而优先于基于密码的身份验证方法推荐采用。当您部署 NPS 时，可以指定访问网络所需的身份验证方法的类型。基于密码的身份验证方法应用到: Windows Server 2008基于密码的身份验证方法每种身份验证方法在安全性、可用性和支持的广度方面都各有优缺点。但基于密码的身份验证方法不提供强大的安全性，因此不推荐使用。对于所有支持使用证书的网络访问方法，建议使用基于证书的身份验证方法。在无线连接的情况下尤其如此，此时建议使用 PEAP-MS-CHAP v2 或 PEAP-TLS。所使用的身份验证方法由网络访问服务器、客户端计算机和运行网络策略服务器 (NPS) 的服务器上的网络策略的配置来确定。请查阅访问服务器文档以确定所支持的身份验证方法。可以将 NPS 配置为接受多种身份验证方法。还可以配置网络访问服务器（也称为 RADIUS 客户端）以尝试通过首先请求使用最安全的协议，然后使用下一个最安全协议，以此类推，直至安全性最低的协议，与客户端计算机协商建立连接。例如，路由和远程访问服务首先尝试使用 EAP，然后依次使用 MS-CHAP v2、MS-CHAP、CHAP、SPAP、PAP 来尝试协商建立连接。选择 EAP 作为身份验证方法时，在访问客户端和 NPS 服务器之间出现 EAP 类型的协商。MS-CHAP 版本 2Microsoft 质询握手身份验证协议版本 2 (MS-CHAP v2) 为网络访问连接提供了比其前身 MS-CHAP 更强的安全性。MS-CHAP v2 解决了 MS-CHAP 版本 1 中的某些问题，如下表中所述。?MS-CHAP 版本 1 问题 MS-CHAP 版本 2 解决方案 用于与旧版 Microsoft 远程访问客户端的向后兼容性的 LAN 管理器响应编码是弱加密的。MS-CHAP v2 不再允许 LAN 管理器编码响应。密码更改的 LAN 管理器编码是弱加密的。MS-CHAP v2 不再允许 LAN 管理器编码密码更改。只能使用单向身份验证。远程访问客户端无法验证是拨入其组织的远程访问服务器还是一个伪装的远程访问服务器。MS-CHAP v2 提供双向身份验证，也称为相互身份验证。远程访问客户端收到其拨入的远程访问服务器有权访问用户密码的验证。加密密钥基于用户密码，使用 40 位加密。每次用户使用相同的密码连接时，将生成相同的加密密钥。使用 MS-CHAP v2，加密密钥始终基于用户的密码和一种任意的质询字符串。每次用户使用相同的密码连接时，将使用不同的加密密钥。在连接中使用单一加密密钥双向发送数据。使用 MS-CHAP v2，为传输和收到的数据生成单独的加密密钥。MS-CHAP v2 是一种单向加密密码，相互身份验证过程的工作方式如下：身份验证器（网络访问服务器或 NPS 服务器）向访问客户端发送质询，其中包含会话标识符和任意质询字符串。访问客户端发送包含下列信息的响应：用户名。任意对等质询字符串。接收的质询字符串、对等质询字符串、会话标识符和用户密码的单向加密。身份验证器检查来自客户端的响应并发送回包含下列信息的响应：指示连接尝试是成功还是失败。经过身份验证的响应，基于发送的质询字符串、对等质询字符串、加密的客户端响应和用户密码。访问客户端验证身份验证响应，如果正确，则使用该连接。如果身份验证响应不正确，访问客户端将终止该连接。启用 MS-CHAP v2若要启用基于 MS-CHAP?v2 的身份验证，必须执行下列操作：启用 MS-CHAP?v2 作为网络访问服务器上的身份验证协议。在相应的网络策略上启用 MS-CHAP?v2。在访问客户端上启用 MS-CHAP?v2。其他注意事项MS-CHAP（版本 1 和版本 2）是唯一的基于密码的