Konfigurowanie zapór dla ruchu usługi RADIUS

Dotyczy: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Azure Local 2311.2 and later

Zapory można skonfigurować tak, aby zezwalały lub blokowały typy ruchu IP do i z komputera lub urządzenia, na którym jest uruchomiona zapora. Jeśli zapory nie są prawidłowo skonfigurowane tak, aby zezwalały na ruch RADIUS między klientami RADIUS, serwerami proxy RADIUS i serwerami RADIUS, uwierzytelnianie dostępu do zasobów sieciowych może zakończyć się niepowodzeniem, uniemożliwiając użytkownikom dostęp do zasobów sieciowych.

Może być konieczne skonfigurowanie dwóch typów zapór, aby zezwolić na ruch usługi RADIUS:

Zapora Windows Defender z zaawansowanymi zabezpieczeniami na lokalnym serwerze, na którym uruchomiony jest serwer zasad sieciowych (NPS).
Zapory uruchomione na innych komputerach lub urządzeniach sprzętowych.

Zapora systemu Windows na lokalnym serwerze NPS

Domyślnie NPS wysyła i odbiera ruch RADIUS przy użyciu portów UDP (Protokół Datagramów Użytkownika) 1812, 1813, 1645, i 1646. Zapora Windows Defender na serwerze NPS powinna być automatycznie skonfigurowana z wyjątkami podczas instalacji serwera NPS, aby zezwolić na wysyłanie i odbieranie tego ruchu usługi RADIUS.

W przypadku Servera 2019 ten wyjątek zapory wymaga modyfikacji identyfikatora zabezpieczeń konta usługi, aby skutecznie wykrywać i zezwalać na ruch RADIUS. Jeśli ta zmiana identyfikatora zabezpieczeń nie zostanie wykonana, zapora usunie ruch usługi RADIUS. W wierszu polecenia z podwyższonym poziomem uprawnień uruchom polecenie sc sidtype IAS unrestricted. To polecenie zmienia usługę IAS (RADIUS), aby mogła używać unikatowego identyfikatora SID zamiast udostępniania go innym usługom NETWORK SERVICE.

W związku z tym, jeśli używasz domyślnych portów UDP, nie musisz zmieniać konfiguracji zapory Windows Defender, aby zezwolić na ruch RADIUS do i z serwerów NPS.

W niektórych przypadkach warto zmienić porty używane przez serwer NPS dla ruchu usługi RADIUS. W przypadku skonfigurowania serwera NPS i serwerów dostępu do sieci do wysyłania i odbierania ruchu RADIUS na portach innych niż domyślne należy wykonać następujące czynności:

Usuń wyjątki zezwalające na ruch USŁUGI RADIUS na portach domyślnych.
Utwórz nowe wyjątki, które zezwalają na ruch usługi RADIUS na nowych portach.

Aby uzyskać więcej informacji, zobacz Konfigurowanie informacji o porcie UDP serwera NPS.

Inne zapory

W najbardziej typowej konfiguracji zapora jest połączona z Internetem, a serwer NPS to zasób intranetowy połączony z siecią obwodową.

Aby uzyskać dostęp do kontrolera domeny w intranecie, serwer ZASAD sieciowych może mieć następujące elementy:

Interfejs w sieci obwodowej i interfejs w intranecie (routing IP nie jest włączony).
Pojedynczy interfejs w sieci obwodowej. W tej konfiguracji serwer NPS komunikuje się z kontrolerami domeny za pośrednictwem innej zapory, która łączy sieć obwodową z intranetem.

Konfigurowanie zapory internetowej

Zapora, która jest połączona z Internetem, musi być skonfigurowana z filtrami wejściowymi i wyjściowymi w interfejsie internetowym (i opcjonalnie interfejsem obwodowym sieci), aby umożliwić przekazywanie komunikatów RADIUS między klientami NPS i serwerami proxy usługi RADIUS w Internecie. Dodatkowe filtry mogą służyć do zezwalania na przekazywanie ruchu do serwerów sieci Web, serwerów sieci VPN i innych typów serwerów w sieci obwodowej.

Oddzielne filtry pakietów wejściowych i wyjściowych można skonfigurować w interfejsie internetowym i interfejsie sieci obwodowej.

Konfigurowanie filtrów wejściowych w interfejsie internetowym

Skonfiguruj następujące filtry pakietów wejściowych w interfejsie internetowym zapory, aby zezwolić na następujące typy ruchu:

Docelowy adres IP interfejsu sieciowego obwodowego i docelowy port UDP 1812 (0x714) serwera NPS. Ten filtr pozwala na przepływ ruchu uwierzytelnienia usługi RADIUS od klientów RADIUS z Internetu do serwera NPS. Jest to domyślny port UDP używany przez serwer NPS zgodnie z definicją w dokumencie RFC 2865. Jeśli używasz innego portu, zastąp ten numer portu numerem 1812.
Docelowy adres IP interfejsu sieciowego obwodowego i port docelowy UDP 1813 (0x715) serwera NPS. Ten filtr umożliwia ewidencjonowanie ruchu usługi RADIUS z internetowych klientów usługi RADIUS do serwera NPS. Jest to domyślny port UDP używany przez serwer NPS zgodnie z definicją w dokumencie RFC 2866. Jeśli używasz innego portu, zastąp ten numer portu numerem 1813.
(Opcjonalnie) Docelowy adres IP interfejsu sieci peryferyjnej i docelowy port UDP 1645 (0x66D) NPS. Ten filtr pozwala na przepływ ruchu uwierzytelnienia usługi RADIUS od klientów RADIUS z Internetu do serwera NPS. Jest to port UDP używany przez starszych klientów RADIUS.
(Opcjonalnie) Docelowy adres IP interfejsu sieci perymetrycznej oraz port docelowy UDP 1646 (0x66E) serwera NPS. Ten filtr umożliwia ewidencjonowanie ruchu usługi RADIUS z internetowych klientów usługi RADIUS do serwera NPS. Jest to port UDP używany przez starszych klientów RADIUS.

Konfigurowanie filtrów wyjściowych w interfejsie internetowym

Skonfiguruj następujące filtry wyjściowe w interfejsie internetowym zapory, aby zezwolić na następujące typy ruchu:

Adres źródłowy IP interfejsu sieci obwodowej i źródłowy port UDP 1812 (0x714) serwera NPS. Ten filtr umożliwia ruch związany z uwierzytelnianiem RADIUS z serwera NPS do klientów RADIUS opartych na internecie. Jest to domyślny port UDP używany przez serwer NPS zgodnie z definicją w dokumencie RFC 2865. Jeśli używasz innego portu, zastąp ten numer portu numerem 1812.
Adres IP źródłowy interfejsu sieci peryferyjnej i źródłowy port UDP 1813 (0x715) serwera NPS. Ten filtr umożliwia ruch księgowy usługi RADIUS z serwera NPS do klientów RADIUS opartych na Internecie. Jest to domyślny port UDP używany przez serwer NPS zgodnie z definicją w dokumencie RFC 2866. Jeśli używasz innego portu, zastąp ten numer portu numerem 1813.
(Opcjonalnie) Źródłowy adres IP interfejsu sieci obwodowej oraz port źródłowy UDP (1645, 0x66D) serwera NPS. Ten filtr umożliwia ruch związany z uwierzytelnianiem RADIUS z serwera NPS do klientów RADIUS opartych na internecie. Jest to port UDP używany przez starszych klientów RADIUS.
(Opcjonalnie) Źródłowy adres IP interfejsu sieciowego obwodowego i portu źródłowego UDP 1646 (0x66E) serwera NPS. Ten filtr umożliwia ruch księgowy usługi RADIUS z serwera NPS do klientów RADIUS opartych na Internecie. Jest to port UDP używany przez starszych klientów RADIUS.

Konfigurowanie filtrów wejściowych w interfejsie sieci obwodowej

Skonfiguruj następujące filtry wejściowe w interfejsie sieci obwodowej zapory, aby zezwolić na następujące typy ruchu:

Adres źródłowy IP interfejsu sieci obwodowej i źródłowy port UDP 1812 (0x714) serwera NPS. Ten filtr umożliwia ruch związany z uwierzytelnianiem RADIUS z serwera NPS do klientów RADIUS opartych na internecie. Jest to domyślny port UDP używany przez serwer NPS zgodnie z definicją w dokumencie RFC 2865. Jeśli używasz innego portu, zastąp ten numer portu numerem 1812.
Adres IP źródłowy interfejsu sieci peryferyjnej i źródłowy port UDP 1813 (0x715) serwera NPS. Ten filtr umożliwia ruch księgowy usługi RADIUS z serwera NPS do klientów RADIUS opartych na Internecie. Jest to domyślny port UDP używany przez serwer NPS zgodnie z definicją w dokumencie RFC 2866. Jeśli używasz innego portu, zastąp ten numer portu numerem 1813.
(Opcjonalnie) Źródłowy adres IP interfejsu sieci obwodowej oraz port źródłowy UDP (1645, 0x66D) serwera NPS. Ten filtr umożliwia ruch związany z uwierzytelnianiem RADIUS z serwera NPS do klientów RADIUS opartych na internecie. Jest to port UDP używany przez starszych klientów RADIUS.
(Opcjonalnie) Źródłowy adres IP interfejsu sieciowego obwodowego i portu źródłowego UDP 1646 (0x66E) serwera NPS. Ten filtr umożliwia ruch księgowy usługi RADIUS z serwera NPS do klientów RADIUS opartych na Internecie. Jest to port UDP używany przez starszych klientów RADIUS.

Konfigurowanie filtrów wyjściowych w interfejsie sieci obwodowej

Skonfiguruj następujące filtry pakietów wyjściowych w interfejsie sieci obwodowej zapory, aby zezwolić na następujące typy ruchu:

Docelowy adres IP interfejsu sieciowego obwodowego i docelowy port UDP 1812 (0x714) serwera NPS. Ten filtr pozwala na przepływ ruchu uwierzytelnienia usługi RADIUS od klientów RADIUS z Internetu do serwera NPS. Jest to domyślny port UDP używany przez serwer NPS zgodnie z definicją w dokumencie RFC 2865. Jeśli używasz innego portu, zastąp ten numer portu numerem 1812.
Docelowy adres IP interfejsu sieciowego obwodowego i port docelowy UDP 1813 (0x715) serwera NPS. Ten filtr umożliwia ewidencjonowanie ruchu usługi RADIUS z internetowych klientów usługi RADIUS do serwera NPS. Jest to domyślny port UDP używany przez serwer NPS zgodnie z definicją w dokumencie RFC 2866. Jeśli używasz innego portu, zastąp ten numer portu numerem 1813.
(Opcjonalnie) Docelowy adres IP interfejsu sieci peryferyjnej i docelowy port UDP 1645 (0x66D) NPS. Ten filtr pozwala na przepływ ruchu uwierzytelnienia usługi RADIUS od klientów RADIUS z Internetu do serwera NPS. Jest to port UDP używany przez starszych klientów RADIUS.
(Opcjonalnie) Docelowy adres IP interfejsu sieci perymetrycznej oraz port docelowy UDP 1646 (0x66E) serwera NPS. Ten filtr umożliwia ewidencjonowanie ruchu usługi RADIUS z internetowych klientów usługi RADIUS do serwera NPS. Jest to port UDP używany przez starszych klientów RADIUS.

W przypadku dodanych zabezpieczeń można użyć adresów IP każdego klienta RADIUS, który wysyła pakiety przez zaporę, aby zdefiniować filtry ruchu między klientem a adresem IP serwera NPS w sieci obwodowej.

Filtry w interfejsie sieci obwodowej

Skonfiguruj następujące filtry pakietów wejściowych w interfejsie sieci obwodowej zapory intranetowej, aby zezwolić na następujące typy ruchu:

Źródłowy adres IP interfejsu sieci obwodowej NPS. Ten filtr umożliwia ruch pochodzący z NPS w sieci obwodowej.

Skonfiguruj następujące filtry wyjściowe w interfejsie sieci obwodowej zapory intranetowej, aby zezwolić na następujące typy ruchu:

Docelowy adres IP interfejsu sieciowego obwodowego w NPS. Ten filtr umożliwia ruch do serwera NPS w sieci obwodowej.

Filtry w interfejsie intranetowym

Skonfiguruj następujące filtry wejściowe w interfejsie intranetowym zapory, aby zezwolić na następujące typy ruchu:

Docelowy adres IP interfejsu sieciowego obwodowego w NPS. Ten filtr umożliwia ruch do serwera NPS w sieci obwodowej.

Skonfiguruj następujące filtry pakietów wyjściowych w interfejsie intranetowym zapory, aby zezwolić na następujące typy ruchu:

Źródłowy adres IP interfejsu sieci obwodowej NPS. Ten filtr umożliwia ruch pochodzący z NPS w sieci obwodowej.

Aby uzyskać więcej informacji na temat zarządzania NPS, zobacz Zarządzanie serwerem zasad sieciowych.

Aby uzyskać więcej informacji na temat serwera NPS, zobacz Serwer zasad sieciowych (NPS).

Sprzężenie zwrotne

Czy ta strona była pomocna?

Last updated on 2025-04-30