Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Os firewalls podem ser configurados para permitir ou bloquear tipos de tráfego IP de e para o computador ou dispositivo no qual o firewall está sendo executado. Se os firewalls não estiverem configurados corretamente para permitir o tráfego RADIUS entre clientes RADIUS, proxies RADIUS e servidores RADIUS, a autenticação de acesso à rede poderá falhar, impedindo que os usuários acessem os recursos da rede.
Talvez seja necessário configurar dois tipos de firewalls para permitir o tráfego RADIUS:
- Firewall do Windows Defender com Segurança Avançada no servidor local que executa o NPS (Servidor de Políticas de Rede).
- Firewalls em execução em outros computadores ou dispositivos de hardware.
Firewall do Windows no NPS local
Por padrão, o NPS envia e recebe tráfego RADIUS usando as portas UDP (User Datagram Protocol) 1812, 1813, 1645 e 1646. O Firewall do Windows Defender no NPS deve ser configurado automaticamente, com exceções, durante a instalação do NPS, para permitir que esse tráfego RADIUS seja enviado e recebido.
Com o Server 2019, essa exceção de firewall requer uma modificação no identificador de segurança da conta de serviço para detetar e permitir efetivamente o tráfego RADIUS. Se essa alteração de identificador de segurança não for executada, o firewall descartará o tráfego RADIUS. Em um prompt de comando elevado, execute sc sidtype IAS unrestricted. Este comando altera o serviço IAS (RADIUS) para utilizar um SID exclusivo em vez de partilhar com outros serviços NETWORK SERVICE.
Portanto, se você estiver usando as portas UDP padrão, não será necessário alterar a configuração do Firewall do Windows Defender para permitir o tráfego RADIUS de e para NPSs.
Em alguns casos, talvez você queira alterar as portas que o NPS usa para o tráfego RADIUS. Se você configurar o NPS e seus servidores de acesso à rede para enviar e receber tráfego RADIUS em portas diferentes dos padrões, deverá fazer o seguinte:
- Remova as exceções que permitem o tráfego RADIUS nas portas padrão.
- Crie novas exceções que permitam o tráfego RADIUS nas novas portas.
Para obter mais informações, consulte Configurar informações de porta UDP do NPS.
Outros firewalls
Na configuração mais comum, o firewall está conectado à Internet e o NPS é um recurso de intranet conectado à rede de perímetro.
Para alcançar o controlador de domínio na intranet, o NPS pode ter:
- Uma interface na rede de perímetro e uma interface na intranet (o roteamento IP não está habilitado).
- Uma única interface na rede de perímetro. Nessa configuração, o NPS se comunica com controladores de domínio por meio de outro firewall que conecta a rede de perímetro à intranet.
Configurando o firewall da Internet
O firewall conectado à Internet deve ser configurado com filtros de entrada e saída em sua interface de Internet (e, opcionalmente, sua interface de perímetro de rede), para permitir o encaminhamento de mensagens RADIUS entre os clientes NPS e RADIUS ou proxies na Internet. Filtros adicionais podem ser usados para permitir a passagem de tráfego para servidores Web, servidores VPN e outros tipos de servidores na rede de perímetro.
Filtros de pacotes de entrada e saída separados podem ser configurados na interface da Internet e na interface de rede de perímetro.
Configurar filtros de entrada na interface da Internet
Configure os seguintes filtros de pacotes de entrada na interface de Internet do firewall para permitir os seguintes tipos de tráfego:
- Endereço IP de destino da interface da rede perimetral e porta de destino UDP de 1812 (0x714) do NPS. Este filtro permite que o tráfego de autenticação RADIUS de clientes RADIUS na Internet seja transmitido para o NPS. Esta é a porta UDP padrão usada pelo NPS, conforme definido na RFC 2865. Se você estiver usando uma porta diferente, substitua esse número de porta por 1812.
- Endereço IP de destino da interface de rede de perímetro do NPS e porta de destino UDP de 1813 (0x715). Este filtro permite o tráfego de contabilização RADIUS de clientes RADIUS na Internet para o NPS. Esta é a porta UDP padrão usada pelo NPS, conforme definido na RFC 2866. Se você estiver usando uma porta diferente, substitua esse número de porta por 1813.
- (Opcional) Endereço IP de destino da interface de rede de perímetro e porta de destino UDP de 1645 (0x66D) do NPS. Este filtro permite que o tráfego de autenticação RADIUS de clientes RADIUS na Internet seja transmitido para o NPS. Esta é a porta UDP usada por clientes RADIUS mais antigos.
- (Opcional) Endereço IP de destino da interface de rede de perímetro e porta de destino UDP de 1646 (0x66E) do NPS. Este filtro permite o tráfego de contabilização RADIUS de clientes RADIUS na Internet para o NPS. Esta é a porta UDP usada por clientes RADIUS mais antigos.
Configurar filtros de saída na interface da Internet
Configure os seguintes filtros de saída na interface de Internet do firewall para permitir os seguintes tipos de tráfego:
- Endereço IP de origem da interface de rede de perímetro e porta de origem UDP 1812 (0x714) do NPS. Esse filtro permite o tráfego de autenticação RADIUS do NPS para clientes RADIUS baseados na Internet. Esta é a porta UDP padrão usada pelo NPS, conforme definido na RFC 2865. Se você estiver usando uma porta diferente, substitua esse número de porta por 1812.
- Endereço IP de origem da interface de rede de perímetro e porta de origem UDP de 1813 (0x715) do NPS. Esse filtro permite que o tráfego de contabilização RADIUS do NPS para clientes RADIUS baseados na Internet. Esta é a porta UDP padrão usada pelo NPS, conforme definido na RFC 2866. Se você estiver usando uma porta diferente, substitua esse número de porta por 1813.
- (Opcional) Endereço IP de origem da interface de rede de perímetro e porta de origem UDP de 1645 (0x66D) do NPS. Esse filtro permite o tráfego de autenticação RADIUS do NPS para clientes RADIUS baseados na Internet. Esta é a porta UDP usada por clientes RADIUS mais antigos.
- (Opcional) Endereço IP de origem da interface de rede de perímetro e porta de origem UDP de 1646 (0x66E) do NPS. Esse filtro permite que o tráfego de contabilização RADIUS do NPS para clientes RADIUS baseados na Internet. Esta é a porta UDP usada por clientes RADIUS mais antigos.
Configurar filtros de entrada na interface de rede perimetral
Configure os seguintes filtros de entrada na interface de rede de perímetro do firewall para permitir os seguintes tipos de tráfego:
- Endereço IP de origem da interface de rede de perímetro e porta de origem UDP 1812 (0x714) do NPS. Esse filtro permite o tráfego de autenticação RADIUS do NPS para clientes RADIUS baseados na Internet. Esta é a porta UDP padrão usada pelo NPS, conforme definido na RFC 2865. Se você estiver usando uma porta diferente, substitua esse número de porta por 1812.
- Endereço IP de origem da interface de rede de perímetro e porta de origem UDP de 1813 (0x715) do NPS. Esse filtro permite que o tráfego de contabilização RADIUS do NPS para clientes RADIUS baseados na Internet. Esta é a porta UDP padrão usada pelo NPS, conforme definido na RFC 2866. Se você estiver usando uma porta diferente, substitua esse número de porta por 1813.
- (Opcional) Endereço IP de origem da interface de rede de perímetro e porta de origem UDP de 1645 (0x66D) do NPS. Esse filtro permite o tráfego de autenticação RADIUS do NPS para clientes RADIUS baseados na Internet. Esta é a porta UDP usada por clientes RADIUS mais antigos.
- (Opcional) Endereço IP de origem da interface de rede de perímetro e porta de origem UDP de 1646 (0x66E) do NPS. Esse filtro permite que o tráfego de contabilização RADIUS do NPS para clientes RADIUS baseados na Internet. Esta é a porta UDP usada por clientes RADIUS mais antigos.
Configurar filtros de saída na interface de rede de perímetro
Configure os seguintes filtros de pacotes de saída na interface de rede de perímetro do firewall para permitir os seguintes tipos de tráfego:
- Endereço IP de destino da interface da rede perimetral e porta de destino UDP de 1812 (0x714) do NPS. Este filtro permite que o tráfego de autenticação RADIUS de clientes RADIUS na Internet seja transmitido para o NPS. Esta é a porta UDP padrão usada pelo NPS, conforme definido na RFC 2865. Se você estiver usando uma porta diferente, substitua esse número de porta por 1812.
- Endereço IP de destino da interface de rede de perímetro do NPS e porta de destino UDP de 1813 (0x715). Este filtro permite o tráfego de contabilização RADIUS de clientes RADIUS na Internet para o NPS. Esta é a porta UDP padrão usada pelo NPS, conforme definido na RFC 2866. Se você estiver usando uma porta diferente, substitua esse número de porta por 1813.
- (Opcional) Endereço IP de destino da interface de rede de perímetro e porta de destino UDP de 1645 (0x66D) do NPS. Este filtro permite que o tráfego de autenticação RADIUS de clientes RADIUS na Internet seja transmitido para o NPS. Esta é a porta UDP usada por clientes RADIUS mais antigos.
- (Opcional) Endereço IP de destino da interface de rede de perímetro e porta de destino UDP de 1646 (0x66E) do NPS. Este filtro permite o tráfego de contabilização RADIUS de clientes RADIUS na Internet para o NPS. Esta é a porta UDP usada por clientes RADIUS mais antigos.
Para maior segurança, você pode usar os endereços IP de cada cliente RADIUS que envia os pacotes através do firewall para definir filtros para o tráfego entre o cliente e o endereço IP do NPS na rede de perímetro.
Filtros na interface de rede perimetral
Configure os seguintes filtros de pacotes de entrada na interface de rede de perímetro do firewall da intranet para permitir os seguintes tipos de tráfego:
- Endereço IP de origem da interface de rede de perímetro do NPS. Este filtro permite o tráfego do NPS na rede de perímetro.
Configure os seguintes filtros de saída na interface de rede de perímetro do firewall da intranet para permitir os seguintes tipos de tráfego:
- Endereço IP de destino da interface de rede de perímetro do NPS. Este filtro permite o tráfego para o NPS na rede de perímetro.
Filtros na interface da intranet
Configure os seguintes filtros de entrada na interface da intranet do firewall para permitir os seguintes tipos de tráfego:
- Endereço IP de destino da interface de rede de perímetro do NPS. Este filtro permite o tráfego para o NPS na rede de perímetro.
Configure os seguintes filtros de pacotes de saída na interface da intranet do firewall para permitir os seguintes tipos de tráfego:
- Endereço IP de origem da interface de rede de perímetro do NPS. Este filtro permite o tráfego do NPS na rede de perímetro.
Para obter mais informações sobre como gerenciar o NPS, consulte Manage Network Policy Server.
Para obter mais informações sobre o NPS, consulte Servidor de Diretivas de Rede (NPS).