基于Windows 2019 server 独立环境&域控环境搭建（NPS与CA）

在讲解NAC体系中的MAC认证以及802.1x认证的时候，需要用到几个服务器，我们会讲解基于独立架构下的认证，以及基于域环境下的认证，需要的服务有，域控、NPS（radius）、CA服务器（可选）。

服务器安装

安装步骤就省略了，大家可以根据自己环境选择用什么样的虚拟机可以是wmare 个人版也可以是exsi，或者hyper-v都可以，就普通安装，下一步即可。镜像文件可以直接MSDN https://msdn.itellyou.cn/ 下载即可

什么是独立环境

独立环境指的是CA NPS没有在域架构的环境下独立运行的服务，所有认证用户信息都保存在NPS数据库中，当无线客户端用户认证时候，AC会把用户信息交给NPS，NPS通过匹配给予结果反回给AC，AC根据结果来执行操作。（在独立环境下，我们安装CA与NPS服务即可。）

服务安装之前准备工作

在安装各种服务之前，我们一定要为服务器配置一个固定的IP，不管是实验环境还是实际中都要养成这样一个习惯。

NPS（Radius）服务安装

在微软里面的radius服务早期叫做IAS，2008后更改为NPS，一直到2012、2019版本都叫这个名字，这也是我们在后续认证中需要用到的服务，用来作为外部用户认证的数据库，并且可以基于这个做授权。

添加角色和功能

选择网络策略和访问服务，下一步

一直下一步，安装即可

至此网络策略服务器安装完毕。

CA（证书）服务安装

CA服务器是可选的，在802.1x中，我们用到PEAP、TTLS认证的时候，服务器是需要安装证书的，而这个证书我们可以选择从CA服务器申请，也可以用iis自带的功能申请一个自签名证书，自签名证书有效期只有一年，所以这里建议是CA服务器来颁发。（关于服务器为什么要安装证书，我们在802.1x环节在讲解）

添加角色和功能

安装证书服务以及IIS

除了网络设备注册服务，其余的都勾选

默认即可，下一步

点击安装，然后完成

配置CA服务器的一些参数

下面两个暂时不选择，下一步

没有域控，所以是独立CA

根CA

默认即可

输入一个名字

可以为证书指定时间默认为5年，这也是用CA比较关键的 一个地方。

点击配置即可

能够正常打开CA服务器

IIS服务器打开正常，至此整个独立环境搭建完成，起始独立环境就依赖两个服务，一个radius，CA（在802.1x需要用到），像portal、MAC地址认证都只需要用到radius。

什么是域集成环境

域集成环境是在企业原有域控的架构上面，我们搭建NPS、CA服务，这个时候的认证信息数据都直接通过域控里面的信息进行交互，而不存在NPS上面了。

域控安装

在小型环境里面我们可以是域控的服务器在单独装CA与NPS，在中大型环境一般都有虚拟化环境，可以把CA与NPS单独一台机子，而且实际中域控一般都是存在了的，而我们做的比较多的就是装CA NPS然后对接域控，然后AC来指向NPS。

添加角色和功能

选择域服务，然后下一步

安装即可

开始配置域控的参数

第一个域控是新林，然后下一步，需要等待几分钟

输入一个密码即可

事先没有创建DNS，下一步

下一步

点击安装，安装过程需要一点时间，然后完成后会重启。

重启后，输入密码即可，注意这个时候登陆的是域环境。

看到有这些就说明安装成功了。

NPS CA安装

我们不能直接安装，因为是基于域环境，首先我们需要把这台机子加域。

加域

如果提示有重复的SID或者是名字出现的时候，那可能就是你镜像克隆导致的，记得用系统自带的工具重新生成SID，运行输入 sysprep

加入成功，然后会重启。

登陆的时候一定要基于域方式登陆，直接登陆还是本地

勾选证书、IIS、网络策略和访问服务

勾选3个就行（网络设备注册服务可以不要），然后一直下一步

配置AC服务器的参数

勾选这三个即可，网络设备注册可以不用。

选择企业CA

根CA

创建新的

默认即可

起一个名字

这里选择10年，默认是5年

然后点击配置即可，过程很快。

结束语

至此，两种环境的服务器都搭建完成了，后续我们可以直接应用这些服务器，2019的安装跟2008以及2012还是没多大变化的，唯一注意的是，在定义模板的时候，如果克隆的话，一定要把SID重置，否则加域会遇到各种问题。