如果将用户密码设置为在用户下次登录时更改，该用户必须使用 LAN 连接进行登录，并在用户尝试使用远程访问连接登录之前，使用 CHAP 更改密码。在身份验证过程中，不能使用 CHAP 更改密码；否则，登录尝试将失败。远程访问用户的一种解决方法是暂时使用 MS-CHAP 登录来更改密码。

5. 在访问客户端上启用 CHAP。

其他注意事项

? ?

用户密码过期时，CHAP 不为其提供在身份验证过程中更改密码的功能。

验证网络访问服务器支持 CHAP，然后再在运行 NPS 的服务器上的网络策略中启用它。有关详细信息，请参阅 NAS 文档。

?

PAP

不能对 CHAP 使用 Microsoft 点对点加密 (MPPE)。

密码身份验证协议 (PAP) 使用纯文本密码，是最不安全的身份验证协议。如果访问客户端和网络访问服务器无法协商使用更安全的身份验证方法，通常协商使用此方法。 若要启用基于 PAP 的身份验证，必须执行下列操作：

1. 启用 PAP 作为网络访问服务器上的身份验证协议。

2. 在 NPS 中的相应网络策略上启用 PAP。

3. 在访问客户端上启用 PAP。

重要事项 启用 PAP 作为身份验证协议时，将以纯文本形式发送用户密码。任何捕获到身份验证过程的数据包的用户均可以很容易地读取密码并使用该密码对您的 Intranet 进行未经授权的访问。建议不要使用 PAP，特别是对于 VPN 连接。 其他注意事项

?

如果部署了拨号服务器，通过在网络访问服务器上禁用 PAP 支持，可确保从不通过拨号客户端发送纯文本密码。禁用对 PAP 的支持可以提高身份验证的安全性，但是只支持 PAP 的远程访问客户端将无法连接。

?

用户的密码过期时，PAP 不为其提供在身份验证过程中更改密码的功能。

?

在 NPS 服务器的网络策略上启用 PAP 之前，确保您的网络访问服务器支持 PAP。有关详细信息，请参阅 NAS 文档。

?

不能对 PAP 使用 Microsoft 点对点加密 (MPPE)。

未经身份验证的访问

使用未经身份验证的访问，不需要用户凭据（用户名和密码）。虽然在某些情况下，未经身份验证的访问很有用，但在大多数情况下不推荐在组织网络中使用。

启用未经身份验证的访问时，将允许用户访问网络，而无需发送用户凭据。此外，未经身份验证的访问客户端在建立连接过程中不协商使用公用身份验证协议，也不将用户名或密码发送到 NPS。 必须使用未经身份验证的访问时，可以使用以下解决方案之一：

? ? ?

DNIS 授权

ANI/CLI 身份验证

来宾身份验证

DNIS 授权

被叫号码识别服务 (DNIS) 使您能够对由 NPS 尝试的连接（基于客户端计算机呼叫的号码）进行授权，以初始化该连接。DNIS 识别被呼叫到呼叫接收方的号码，由大多数电话公司提供。例如，可以允许通过指定的免费号码连接的全部连接。若要识别基于 DNIS 的连接并应用适当的连接设置，必须执行以下操作：

1. 在网络访问服务器上启用未经身份验证的访问。

在 NPS 服务器上为2. 将 Called-Station-Id 条件设置为客户端计算机必须呼叫才能启动连接的电话号码后，

基于 DNIS 的授权创建一个网络策略。

3. 在 NPS 的网络策略中为基于 DNIS 的授权启用未经身份验证的访问。

其他注意事项

? ?

如果电话服务或硬件不支持 DNIS，可以手动设置端口的电话号码。

NPS 不支持有代理的 DNIS 访问请求。

ANI/CLI 身份验证

自动号码识别/呼叫线路识别 (ANI/CLI) 身份验证是对基于呼叫方电话号码的连接尝试进行的身份验证。ANI/CLI 服务将呼叫方号码返回呼叫的接收方，大多数电话公司提供此服务。

ANI/CLI 身份验证不同于呼叫方 ID 授权。在呼叫方 ID 授权中，呼叫方发送有效用户名和密码。为用户帐户上的拨入属性配置的呼叫方 ID 必须与连接尝试匹配；否则，将拒绝连接尝试。使用 ANI/CLI 身份验证，将不发送用户名和密码。

若要识别基于 ANI/CLI 的连接并应用适当的连接设置，必须执行以下操作：

1. 在网络访问服务器上启用未经身份验证的访问。

2. 在 NPS 的相应网络策略中为基于 ANI/CLI 的身份验证启用未经身份验证的访问。

3. 在 Active Directory(R) 域服务 (AD DS) 中或在 NPS 服务器上的本地安全帐户管理器 (SAM) 数据库

中，为每个将呼叫并要为其提供 ANI/CLI 身份验证的号码创建一个用户帐户。用户帐户的名称必须与用户拨入的号码匹配。例如，如果用户拨入 555-0100，将创建一个用户名为 5550100 的用户帐户。此外，用户帐户的密码必须为空。

4. 在 NPS 服务器上将以下注册表值设置为 31：

HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\RemoteAccess\\Policy\\User Identity Attribute

此注册表设置告知验证服务器将呼叫号码（RADIUS 属性 31，用作呼叫用户的标识。Calling-Station-ID）仅当在连接尝试中未提供用户名时，用户标识才被设置为呼叫号码。

若要始终将呼叫号码用作用户标识，请在身份验证服务器上将以下注册表值设置为 1：

HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\RemoteAccess\\Policy\\Override User-Name

但是，如果将Override User-Name设置为 1 并将User Identity Attribute设置为 31，则身份验证服务器只能执行基于 ANI/CLI 的身份验证。使用身份验证协议（如 MS-CHAP、CHAP 和 EAP）的一般身份验证被禁用。

备注 重新启动路由和远程访问服务或网络策略服务器服务之后，对注册表设置的更改才会生效。 注意 对注册表编辑不当可能会严重损坏您的系统。在更改注册表之前，应备份计算机中任何有价值的数据。 来宾身份验证

AD DS 包括一个称为“来宾”的用户帐户，默认情况下，该帐户被禁用。如果需要提供未经身份验证的访问，可以启用来宾帐户。使用来宾身份验证，在身份验证过程中，用户不提供用户名或密码。如果已启用未经身份验证的访问，则在默认情况下，使用来宾帐户作为呼叫方的标识。 若要启用来宾帐户访问，必须执行下列操作：

1. 在网络访问服务器上启用未经身份验证的访问。

2. 在 NPS 中的相应网络策略上启用未经身份验证的访问。

3. 在“Active Directory 用户和计算机”中启用来宾帐户。

4. 根据网络策略管理模型，将来宾帐户的网络访问权限设置为“允许访问”或“通过 NPS 网络策略控制访问”。

如果需要启用未命名为“来宾”的来宾帐户，请创建一个用户帐户并将远程访问权限设置为“允许访问”或“通过 NPS 网络策略控制访问”。然后，在身份验证服务器（远程访问服务器或 NPS 服务器）上，将以下注册表值设置为帐户的名称：

HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\RemoteAccess\\Policy\\Default User Identity

备注 重新启动路由和远程访问服务或网络策略服务器服务之后，对注册表设置的更改才会生效。 注意 对注册表编辑不当可能会严重损坏您的系统。在更改注册表之前，应备份计算机中任何有价值的数据。 证书与 NPS

应用到: Windows Server 2008

证书与 NPS

证书是由证书颁发机构 (CA)，如 Active Directory(R) 证书服务 (AD CS) 或 Verisign 公共 CA 颁发的数字文档。证书可用于许多目的，如代码签名和保护电子邮件通信，但使用网络策略服务器 (NPS) 时，证书用于网络访问身份验证。