Processamento de solicitações de conexão

Você pode usar este tópico para saber mais sobre o processamento de solicitações de conexão no Servidor de Diretivas de Rede no Windows Server 2016.

Você pode usar o processamento de solicitações de conexão para especificar onde a autenticação de solicitações de conexão é executada - no computador local ou em um servidor RADIUS remoto que seja membro de um grupo de servidores RADIUS remotos.

Se desejar que o servidor local que executa o NPS (Servidor de Diretivas de Rede) execute a autenticação para solicitações de conexão, você poderá usar a diretiva de solicitação de conexão padrão sem configuração adicional. Com base na política padrão, o NPS autentica usuários e computadores que têm uma conta no domínio local e em domínios confiáveis.

Se desejar encaminhar solicitações de conexão para um NPS remoto ou outro servidor RADIUS, crie um grupo de servidores RADIUS remotos e configure uma diretiva de solicitação de conexão que encaminhe solicitações para esse grupo de servidores remotos RADIUS. Com essa configuração, o NPS pode encaminhar solicitações de autenticação para qualquer servidor RADIUS e os usuários com contas em domínios não confiáveis podem ser autenticados.

A ilustração a seguir mostra o caminho de uma mensagem Access-Request de um servidor de acesso à rede para um proxy RADIUS e, em seguida, para um servidor RADIUS em um grupo de servidores RADIUS remotos. No proxy RADIUS, o servidor de acesso à rede é configurado como um cliente RADIUS; e em cada servidor RADIUS, o proxy RADIUS é configurado como um cliente RADIUS.

Se desejar que o NPS processe algumas solicitações de autenticação localmente enquanto encaminha outras solicitações para um grupo de servidores remotos RADIUS, configure mais de uma diretiva de solicitação de conexão.

Para configurar uma diretiva de solicitação de conexão que especifique qual grupo de servidores NPS ou RADIUS processa solicitações de autenticação, consulte Diretivas de solicitação de conexão.

Para especificar NPS ou outros servidores RADIUS para os quais as solicitações de autenticação são encaminhadas, consulte Grupos de servidores remotos RADIUS.

NPS como servidor RADIUS para processamento de solicitação de conexão

Quando você usa o NPS como um servidor RADIUS, as mensagens RADIUS fornecem autenticação, autorização e contabilização para conexões de acesso à rede da seguinte maneira:

1. Servidores de acesso, como servidores de acesso à rede dial-up, servidores VPN e pontos de acesso sem fio, recebem solicitações de conexão de clientes de acesso.

2. O servidor de acesso, configurado para usar RADIUS como protocolo de autenticação, autorização e contabilidade, cria uma mensagem Access-Request e a envia para o NPS.

3. O NPS avalia a mensagem Access-Request.

4. Se necessário, o NPS envia uma mensagem Access-Challenge para o servidor de acesso. O servidor de acesso processa o desafio e envia um Access-Request atualizado para o NPS.

5. As credenciais do utilizador são verificadas e as propriedades de acesso remoto da conta de utilizador são obtidas usando uma conexão segura com um controlador de domínio da rede.

6. A tentativa de conexão é autorizada tanto com as propriedades de acesso telefónico da conta de utilizador como com as diretivas de rede.

7. Se a tentativa de conexão for autenticada e autorizada, o NPS enviará uma mensagem Access-Accept para o servidor de acesso. Se a tentativa de conexão não for autenticada ou não autorizada, o NPS enviará uma mensagem Access-Reject para o servidor de acesso.

8. O servidor de acesso conclui o processo de conexão com o cliente de acesso e envia uma mensagem Accounting-Request para o NPS, onde a mensagem é registrada.

9. O NPS envia um Accounting-Response para o servidor de acesso.

NPS como proxy para processamento de pedidos de conexão RADIUS

Quando o NPS é usado como um proxy RADIUS entre um cliente RADIUS e um servidor RADIUS, as mensagens RADIUS para tentativas de conexão de acesso à rede são encaminhadas da seguinte maneira:

1. Os servidores de acesso, como servidores de acesso à rede dial-up, servidores de rede virtual privada (VPN) e pontos de acesso sem fio, recebem solicitações de conexão de clientes de acesso.

2. O servidor de acesso, configurado para usar RADIUS como protocolo de autenticação, autorização e contabilidade, cria uma mensagem Access-Request e a envia para o NPS que está sendo usado como o proxy RADIUS do NPS.

3. O proxy RADIUS NPS recebe a mensagem Access-Request e, com base nas diretivas de solicitação de conexão configuradas localmente, determina para onde encaminhar a mensagem Access-Request.

4. O proxy RADIUS NPS encaminha a mensagem Access-Request para o servidor RADIUS apropriado.

5. O servidor RADIUS avalia a mensagem Access-Request.

6. Se necessário, o servidor RADIUS envia uma mensagem Access-Challenge para o proxy RADIUS NPS, onde é encaminhada para o servidor de acesso. O servidor de acesso processa o desafio com o cliente de acesso e envia um Access-Request atualizado para o proxy RADIUS NPS, onde é encaminhado para o servidor RADIUS.

7. O servidor RADIUS autentica e autoriza a tentativa de conexão.

8. Se a tentativa de conexão for autenticada e autorizada, o servidor RADIUS enviará uma mensagem Access-Accept para o proxy RADIUS NPS, onde será encaminhada para o servidor de acesso. Se a tentativa de conexão não for autenticada ou não autorizada, o servidor RADIUS enviará uma mensagem Access-Reject para o proxy RADIUS NPS, onde será encaminhada para o servidor de acesso.

9. O servidor de acesso conclui o processo de conexão com o cliente de acesso e envia uma mensagem Accounting-Request para o proxy RADIUS NPS. O proxy RADIUS NPS registra os dados contábeis e encaminha a mensagem para o servidor RADIUS.

10. O servidor RADIUS envia um Accounting-Response para o proxy RADIUS NPS, onde é encaminhado para o servidor de acesso.

Para obter mais informações sobre o NPS, consulte Servidor de Diretivas de Rede (NPS).