Partilhar via

Configurar políticas de rede

Você pode usar este tópico para configurar diretivas de rede no NPS.

Adicionar uma Política de Rede

O Servidor de Diretivas de Rede (NPS) utiliza as diretivas de rede e as propriedades de ligação das contas de utilizador para determinar se um pedido de conexão está autorizado a ligar-se à rede.

Você pode usar este procedimento para configurar uma nova diretiva de rede no console do NPS ou no console de Acesso Remoto.

Execução da autorização

Quando o NPS executa a autorização de uma solicitação de conexão, ele compara a solicitação com cada diretiva de rede na lista ordenada de diretivas, começando com a primeira diretiva e, em seguida, movendo-se para baixo na lista de diretivas configuradas. Se o NPS encontrar uma política cujas condições coincidam com o pedido de conexão, o NPS utilizará a política correspondente e as propriedades de acesso da conta de usuário para efetuar a autorização. Se as propriedades de acesso remoto da conta de usuário estiverem configuradas para conceder acesso ou controlar o acesso através da política de rede e a solicitação de conexão for autorizada, o NPS aplicará as configurações definidas na política de rede à conexão.

Se o NPS não encontrar uma diretiva de rede que corresponda ao pedido de conexão, o pedido de conexão será rejeitado, a menos que as propriedades de acesso remoto na conta de usuário estejam configuradas para conceder acesso.

Se as propriedades de acesso remoto da conta de utilizador estiverem definidas para negar o acesso, a solicitação de conexão será rejeitada pelo NPS.

Configurações de chave

Quando você usa o assistente Nova Diretiva de Rede para criar uma diretiva de rede, o valor especificado no método de conexão de rede é usado para configurar automaticamente a condição Tipo de Diretiva :

  • Se você mantiver o valor padrão de Não especificado , a diretiva de rede criada será avaliada pelo NPS para todos os tipos de conexão de rede que estejam usando qualquer tipo de servidor de acesso à rede (NAS).
  • Se você especificar um método de conexão de rede, o NPS avaliará a diretiva de rede somente se a solicitação de conexão for originada do tipo de servidor de acesso à rede especificado.

Na página Permissão de Acesso , você deve selecionar Acesso concedido se quiser que a política permita que os usuários se conectem à sua rede. Se pretender que a política impeça os utilizadores de se ligarem à sua rede, selecione Acesso negado.

Se desejar que a permissão de acesso seja determinada pelas propriedades de discagem da conta de usuário nos Serviços de Domínio Ative Directory® (AD DS), marque a caixa de seleção Acesso é determinado pelas propriedades de discagem do usuário .

A associação a Administradores de Domínio, ou equivalente, é o mínimo necessário para concluir este procedimento.

Para adicionar uma política de rede

  1. Abra o console do NPS e clique duas vezes em Diretivas.

  2. Na árvore da consola, clique com o botão direito do rato em Políticas de Rede e clique em Novo. O assistente de nova política de rede abre.

  3. Utilize o assistente "Nova Diretiva de Rede" para criar uma diretiva.

Criar políticas de rede para dial-up ou VPN com um assistente de configuração

Você pode usar este procedimento para criar as diretivas de solicitação de conexão e as diretivas de rede necessárias para implantar servidores dial-up ou servidores de rede virtual privada (VPN) como clientes RADIUS (Remote Authentication Dial-In User Service) no servidor RADIUS NPS.

Note

Os computadores cliente, como laptops e outros computadores que executam sistemas operacionais cliente, não são clientes RADIUS. Os clientes RADIUS são servidores de acesso à rede — como pontos de acesso sem fio, comutadores de autenticação 802.1X, servidores de rede virtual privada (VPN) e servidores dial-up — porque esses dispositivos usam o protocolo RADIUS para se comunicar com servidores RADIUS, como NPSs.

Este procedimento explica como abrir o assistente de Novas conexões dial-up ou VPN (Rede Privada Virtual) no NPS.

Depois de executar o assistente, as seguintes políticas são criadas:

  • Uma política de solicitação de conexão
  • Uma política de rede

Você pode executar o assistente para 'Novas ligações de acesso telefónico ou de Rede Privada Virtual' sempre que precisar criar novas políticas para servidores de acesso telefónico e servidores VPN.

A execução do assistente para Novas conexões dial-up ou de rede virtual privada não é a única etapa necessária para implantar servidores dial-up ou VPN como clientes RADIUS no NPS. Ambos os métodos de acesso à rede exigem que você implante componentes adicionais de hardware e software.

A associação a Administradores de Domínio, ou equivalente, é o mínimo necessário para concluir este procedimento.

Para criar políticas para acesso telefónico ou VPN com um assistente

  1. Abra o console do NPS. Se ainda não estiver selecionado, clique em NPS (Local). Se quiser criar políticas em um NPS remoto, selecione o servidor.

  2. Em Introdução e Configuração Padrão, selecione Servidor RADIUS para Conexões dial-up ou VPN. O texto e os links sob o texto mudam para refletir sua seleção.

  3. Clique em Configurar VPN ou Dial-Up com um assistente. O assistente para Novas conexões dial-up ou de rede virtual privada é aberto.

  4. Siga as instruções no assistente para concluir a criação das suas novas políticas.

Criar políticas de rede para 802.1X com ou sem fio com um assistente

Você pode usar este procedimento para criar a diretiva de solicitação de conexão e a diretiva de rede necessárias para implantar switches de autenticação 802.1X ou pontos de acesso sem fio 802.1X como clientes RADIUS (Remote Authentication Dial-In User Service) no servidor RADIUS NPS.

Este procedimento explica como iniciar o assistente para Novas Conexões Seguras com e Sem Fio IEEE 802.1X no NPS.

Depois de executar o assistente, as seguintes políticas são criadas:

  • Uma política de solicitação de conexão
  • Uma política de rede

Você pode executar o assistente de configuração para Novas Conexões Seguras com Fios e Sem Fios IEEE 802.1X sempre que precisar criar novas políticas para acesso 802.1X.

A execução do assistente para Novas Conexões Seguras com e Sem Fio IEEE 802.1X não é a única etapa necessária para implantar switches de autenticação 802.1X e pontos de acesso sem fio como clientes RADIUS no NPS. Ambos os métodos de acesso à rede exigem que você implante componentes adicionais de hardware e software.

A associação a Administradores de Domínio, ou equivalente, é o mínimo necessário para concluir este procedimento.

Para criar políticas para 802.1X com fio ou sem fio utilizando um assistente

  1. No NPS, no Gerenciador do Servidor, clique em Ferramentas e em Servidor de Diretivas de Rede. O console NPS abre.

  2. Se ainda não estiver selecionado, clique em NPS (Local). Se quiser criar políticas em um NPS remoto, selecione o servidor.

  3. Em Introdução e Configuração padrão, selecione Servidor RADIUS para conexões com ou sem fio 802.1X. O texto e os links sob o texto mudam para refletir sua seleção.

  4. Clique em Configurar 802.1X usando um assistente. O assistente para Novas Conexões Seguras com e Sem Fio IEEE 802.1X é aberto.

  5. Siga as instruções no assistente para concluir a criação das suas novas políticas.

Configurar o NPS para ignorar as definições de acesso remoto da conta de utilizador

Utilize este procedimento para configurar uma Política de Rede NPS para ignorar as propriedades de discagem das contas de utilizador no Active Directory durante o processo de autorização. As contas de utilizador em Usuários e Computadores do Active Directory têm propriedades de discagem que o NPS avalia durante o processo de autorização, a menos que a propriedade Permissão de Acesso à Rede da conta de utilizador esteja definida como Controlar o acesso através da Política de Rede NPS.

Há duas circunstâncias em que você pode querer configurar o NPS para ignorar as propriedades de discagem das contas de usuário no Ative Directory:

  • Quando você deseja simplificar a autorização do NPS usando a diretiva de rede, mas nem todas as suas contas de usuário têm a propriedade Permissão de Acesso à Rede definida como Controlar o acesso por meio da Diretiva de Rede NPS. Por exemplo, algumas contas de usuário podem ter a propriedade Permissão de Acesso à Rede da conta de usuário definida como Negar acesso ou Permitir acesso.

  • Quando outras propriedades de acesso de contas de utilizador não são aplicáveis ao tipo de conexão configurado na diretiva de rede. Por exemplo, propriedades diferentes da configuração Permissão de Acesso à Rede são aplicáveis somente a conexões discadas ou VPN, mas a diretiva de rede que você está criando é para conexões sem fio ou de comutador de autenticação.

Pode usar este procedimento para configurar o Serviço de Políticas de Rede (NPS) para ignorar as propriedades de acesso da conta de utilizador. Se uma solicitação de conexão corresponder à política de rede na qual esta caixa de seleção está marcada, o NPS não utilizará as propriedades de acesso remoto da conta de utilizador para determinar se o utilizador ou computador está autorizado a aceder à rede; somente as configurações da política de rede são usadas para determinar a autorização.

A associação a Administradores, ou equivalente, é o mínimo necessário para concluir este procedimento.

  1. No NPS, no Gerenciador do Servidor, clique em Ferramentas e em Servidor de Diretivas de Rede. O console NPS abre.

  2. Faça duplo clique em Políticas, clique em Políticas de Rede e, em seguida, no painel de detalhes, faça duplo clique na política que pretende configurar.

  3. Na caixa de diálogo Propriedades da política, na guia Visão geral, em Permissão de Acesso, marque a caixa de seleção Ignorar propriedades de discagem da conta de usuário e clique em OK.

Para configurar o NPS para ignorar as propriedades de discagem da conta de usuário

Configurar o NPS para VLANs

Usando servidores de acesso à rede com reconhecimento de VLAN e NPS no Windows Server 2016, você pode fornecer a grupos de usuários acesso somente aos recursos de rede apropriados para suas permissões de segurança. Por exemplo, você pode fornecer aos visitantes acesso sem fio à Internet sem permitir que eles acessem a rede da sua organização.

Além disso, as VLANs permitem agrupar logicamente recursos de rede que existem em locais físicos diferentes ou em sub-redes físicas diferentes. Por exemplo, os membros do departamento de vendas e seus recursos de rede, como computadores clientes, servidores e impressoras, podem estar localizados em vários edifícios diferentes em sua organização, mas você pode colocar todos esses recursos em uma VLAN que usa o mesmo intervalo de endereços IP. A VLAN então funciona, do ponto de vista do usuário final, como uma única sub-rede.

Você também pode usar VLANs quando quiser segregar uma rede entre diferentes grupos de usuários. Depois de determinar como deseja definir os seus grupos, pode criar grupos de segurança no snap-in Usuários e Computadores do Active Directory e adicionar membros aos grupos.

Configurar uma política de rede para VLANs

Você pode usar este procedimento para configurar uma diretiva de rede que atribua usuários a uma VLAN. Ao usar hardware de rede com reconhecimento de VLAN, como roteadores, switches e controladores de acesso, você pode configurar a diretiva de rede para instruir os servidores de acesso a colocar membros de grupos específicos do Ative Directory em VLANs específicas. Essa capacidade de agrupar recursos de rede logicamente com VLANs fornece flexibilidade ao projetar e implementar soluções de rede.

Ao definir as configurações de uma diretiva de rede NPS para uso com VLANs, você deve configurar os atributos Tunnel-Medium-Type, Tunnel-Pvt-Group-ID, Tunnel-Type e Tunnel-Tag.

Este procedimento é fornecido como orientação; Sua configuração de rede pode exigir configurações diferentes das descritas abaixo.

A associação a Administradores, ou equivalente, é o mínimo necessário para concluir este procedimento.

Para configurar uma política de rede para VLANs

  1. No NPS, no Gerenciador do Servidor, clique em Ferramentas e em Servidor de Diretivas de Rede. O console NPS abre.

  2. Faça duplo clique em Políticas, clique em Políticas de Rede e, em seguida, no painel de detalhes, faça duplo clique na política que pretende configurar.

  3. Na caixa de diálogo Propriedades da política, clique na guia Configurações .

  4. Em Propriedades da política, em Configurações, em Atributos RADIUS, verifique se a opção Padrão está selecionada.

  5. No painel de detalhes, em Atributos, o atributo Service-Type é configurado com um valor padrão de Framed. Por padrão, para políticas com métodos de acesso de VPN e dial-up, o atributo Framed-Protocol é configurado com um valor de PPP. Para especificar atributos de conexão adicionais necessários para VLANs, clique em Adicionar. A caixa de diálogo Adicionar atributo RADIUS padrão é aberta.

  6. Em Adicionar Atributo RADIUS Padrão, em Atributos, role para baixo e adicione os seguintes atributos:

    • Tunnel-Medium-Type. Selecione um valor apropriado para as seleções anteriores que você fez para a política. Por exemplo, se a política de rede que você está configurando for uma diretiva sem fio, selecione Valor: 802 (Inclui todas as mídias 802 mais o formato canônico Ethernet).

    • Tunnel-Pvt-Group-ID. Insira o número inteiro que representa o número VLAN ao qual os membros do grupo serão atribuídos.

    • Tunnel-Type. Selecione LANs virtuais (VLAN).

  7. Em Adicionar atributo RADIUS padrão, clique em Fechar.

  8. Se o servidor de acesso à rede (NAS) exigir o uso do atributo Tunnel-Tag , use as etapas a seguir para adicionar o atributo Tunnel-Tag à diretiva de rede. Se a documentação do NAS não mencionar esse atributo, não o adicione à política. Se necessário, adicione os atributos da seguinte maneira:

    • Em Propriedades da política, em Configurações, em Atributos RADIUS, clique em Específico do fornecedor.

    • No painel de detalhes, clique em Adicionar. A caixa de diálogo Adicionar atributo específico do fornecedor é aberta.

    • Em Atributos, role para baixo e selecione Tunnel-Tag e clique em Adicionar. A caixa de diálogo Informações do Atributo é aberta.

    • Em Valor do atributo, digite o valor obtido na documentação do hardware.

Configurar o tamanho da carga útil EAP

Em alguns casos, roteadores ou firewalls descartam pacotes porque são configurados para descartar pacotes que exigem fragmentação.

Quando você implanta o NPS com diretivas de rede que usam o protocolo EAP (Extensible Authentication Protocol) com TLS (Transport Layer Security), ou EAP-TLS, como um método de autenticação, a MTU (unidade máxima de transmissão) padrão que o NPS usa para cargas úteis EAP é de 1500 bytes.

Esse tamanho máximo para a carga EAP pode criar mensagens RADIUS que exigem fragmentação por um roteador ou firewall entre o NPS e um cliente RADIUS. Se esse for o caso, um roteador ou firewall posicionado entre o cliente RADIUS e o NPS pode descartar silenciosamente alguns fragmentos, resultando em falha de autenticação e na incapacidade do cliente de acesso de se conectar à rede.

Use o procedimento a seguir para reduzir o tamanho máximo que o NPS usa para cargas úteis EAP ajustando o atributo Framed-MTU em uma diretiva de rede para um valor não maior que 1344.

A associação a Administradores, ou equivalente, é o mínimo necessário para concluir este procedimento.

Para configurar o atributo Framed-MTU

  1. No NPS, no Gerenciador do Servidor, clique em Ferramentas e em Servidor de Diretivas de Rede. O console NPS abre.

  2. Faça duplo clique em Políticas, clique em Políticas de Rede e, em seguida, no painel de detalhes, faça duplo clique na política que pretende configurar.

  3. Na caixa de diálogo Propriedades da política, clique na guia Configurações .

  4. Em Configurações, em Atributos RADIUS, clique em Padrão. No painel de detalhes, clique em Adicionar. A caixa de diálogo Adicionar atributo RADIUS padrão é aberta.

  5. Em Atributos, role para baixo e clique em Framed-MTU e, em seguida, clique em Adicionar. A caixa de diálogo Informações do Atributo é aberta.

  6. Em Valor do Atributo, digite um valor igual ou inferior a 1344. Clique em OK, clique em Fechar e, em seguida, clique em OK.

Para obter mais informações sobre diretivas de rede, consulte Diretivas de rede.

Para obter exemplos de sintaxe de correspondência de padrões para especificar atributos de diretiva de rede, consulte Usar expressões regulares no NPS.

Para obter mais informações sobre o NPS, consulte Servidor de diretivas de rede (NPS).

  • Last updated on