Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Quando você implanta o NPS (Servidor de Diretivas de Rede) como um proxy RADIUS (Remote Authentication Dial-In User Service), o NPS recebe solicitações de conexão de clientes RADIUS, como servidores de acesso à rede ou outros proxies RADIUS, e encaminha essas solicitações de conexão para servidores que executam o NPS ou outros servidores RADIUS. Você pode usar essas diretrizes de planejamento para simplificar sua implantação do RADIUS.
Essas diretrizes de planejamento não incluem circunstâncias nas quais você deseja implantar o NPS como um servidor RADIUS. Quando você implanta o NPS como um servidor RADIUS, o NPS executa autenticação, autorização e contabilização para solicitações de conexão para o domínio local e para domínios que confiam no domínio local.
Antes de implantar o NPS como um proxy RADIUS em sua rede, use as diretrizes a seguir para planejar sua implantação.
Planeje a configuração do NPS.
Planear os clientes RADIUS.
Planeje grupos de servidores remotos RADIUS.
Planejar regras de manipulação de atributos para encaminhamento de mensagens.
Planeje políticas de solicitação de conexão.
Planeje a contabilidade NPS.
Planejar a configuração do NPS
Quando você usa o NPS como um proxy RADIUS, o NPS encaminha solicitações de conexão para um NPS ou outros servidores RADIUS para processamento. Por isso, a associação de domínio do proxy NPS é irrelevante. O proxy não precisa ser registrado nos Serviços de Domínio Ative Directory (AD DS) porque não precisa acessar as propriedades de discagem das contas de usuário. Além disso, não é necessário configurar diretivas de rede em um proxy NPS porque o proxy não executa autorização para solicitações de conexão. O proxy NPS pode ser um membro do domínio ou pode ser um servidor autônomo sem associação de domínio.
O NPS deve ser configurado para se comunicar com clientes RADIUS, também chamados de servidores de acesso à rede, usando o protocolo RADIUS. Além disso, você pode configurar os tipos de eventos que o NPS registra no log de eventos e inserir uma descrição para o servidor.
Principais passos
Durante o planejamento da configuração de proxy do NPS, você pode usar as etapas a seguir.
Determine as portas RADIUS que o proxy NPS usa para receber mensagens RADIUS de clientes RADIUS e para enviar mensagens RADIUS para membros de grupos de servidores remotos RADIUS. As portas UDP (User Datagram Protocol) padrão são 1812 e 1645 para mensagens de autenticação RADIUS e as portas UDP 1813 e 1646 para mensagens de contabilização RADIUS.
Se o proxy NPS estiver configurado com vários adaptadores de rede, determine os adaptadores sobre os quais você deseja que o tráfego RADIUS seja permitido.
Determine os tipos de eventos que você deseja que o NPS registre no Log de Eventos. Você pode registrar solicitações de conexão rejeitadas, solicitações de conexão bem-sucedidas ou ambas.
Determine se você está implantando mais de um proxy NPS. Para fornecer tolerância a falhas, use pelo menos dois proxies NPS. Um proxy NPS é usado como o proxy RADIUS primário e o outro é usado como backup. Cada cliente RADIUS é então configurado em ambos os proxies NPS. Se o proxy NPS primário ficar indisponível, os clientes RADIUS enviarão mensagens Access-Request para o proxy NPS alternativo.
Planeje o script usado para copiar uma configuração de proxy NPS para outros proxies NPS para economizar na sobrecarga administrativa e evitar a configuração incorreta de um servidor. O NPS fornece os comandos Netsh que permitem copiar toda ou parte de uma configuração de proxy NPS para importação para outro proxy NPS. Você pode executar os comandos manualmente no prompt Netsh. No entanto, se você salvar sua sequência de comandos como um script, poderá executá-lo posteriormente se decidir alterar suas configurações de proxy.
Planejar clientes RADIUS
Os clientes RADIUS são servidores de acesso à rede, como pontos de acesso sem fio, servidores de rede virtual privada (VPN), comutadores compatíveis com 802.1X e servidores dial-up. Os proxies RADIUS, que encaminham mensagens de solicitação de conexão para servidores RADIUS, também são clientes RADIUS. O NPS suporta todos os servidores de acesso à rede e proxies RADIUS que estão em conformidade com o protocolo RADIUS, conforme descrito em RFC 2865, "Remote Authentication Dial-in User Service (RADIUS)" e RFC 2866, "RADIUS Accounting".
Além disso, tanto os pontos de acesso sem fio quanto os switches devem ser capazes de autenticação 802.1X. Se você quiser implantar o EAP (Extensible Authentication Protocol) ou o PEAP (Protected Extensible Authentication Protocol), os pontos de acesso e switches devem oferecer suporte ao uso do EAP.
Para testar a interoperabilidade básica para conexões PPP para pontos de acesso sem fio, configure o ponto de acesso e o cliente de acesso para usar o Protocolo de Autenticação de Senha (PAP). Use protocolos de autenticação adicionais baseados em PPP, como PEAP, até testar os que pretende usar para acesso à rede.
Principais passos
Durante o planejamento para clientes RADIUS, você pode usar as etapas a seguir.
Documente os atributos específicos do fornecedor (VSAs) que você deve configurar no NPS. Se seus NASs exigirem VSAs, registre as informações do VSA para uso posterior ao configurar suas diretivas de rede no NPS.
Documente os endereços IP dos clientes RADIUS e seu proxy NPS para simplificar a configuração de todos os dispositivos. Ao implantar seus clientes RADIUS, você deve configurá-los para usar o protocolo RADIUS, com o endereço IP do proxy NPS inserido como o servidor de autenticação. E ao configurar o NPS para se comunicar com seus clientes RADIUS, você deve inserir os endereços IP do cliente RADIUS no snap-in NPS.
Crie segredos compartilhados para configuração nos clientes RADIUS e no snap-in NPS. Você deve configurar clientes RADIUS com um segredo compartilhado, ou senha, que também deverá ser inserido no snap-in NPS ao configurar os clientes RADIUS no NPS.
Planejar grupos de servidores remotos RADIUS
Ao configurar um grupo de servidores remotos RADIUS em um proxy NPS, você está informando ao proxy NPS para onde enviar algumas ou todas as mensagens de solicitação de conexão que ele recebe de servidores de acesso à rede e proxies NPS ou outros proxies RADIUS.
Você pode usar o NPS como um proxy RADIUS para encaminhar solicitações de conexão para um ou mais grupos de servidores remotos RADIUS, e cada grupo pode conter um ou mais servidores RADIUS. Quando desejar que o proxy NPS encaminhe mensagens para vários grupos, configure uma política de solicitação de conexão por grupo. A diretiva de solicitação de conexão contém informações adicionais, como regras de manipulação de atributos, que informam ao proxy NPS quais mensagens enviar para o grupo de servidores remotos RADIUS especificado na política.
Você pode configurar grupos de servidores remotos RADIUS usando os comandos Netsh para NPS, configurando grupos diretamente no snap-in NPS em Grupos de Servidores RADIUS Remotos ou executando o assistente Nova Diretiva de Solicitação de Conexão.
Principais passos
Durante o planejamento de grupos de servidores remotos RADIUS, você pode usar as etapas a seguir.
Determine os domínios que contêm os servidores RADIUS para os quais você deseja que o proxy NPS encaminhe solicitações de conexão. Esses domínios contêm as contas de usuário para usuários que se conectam à rede por meio dos clientes RADIUS implantados.
Determine se você precisa adicionar novos servidores RADIUS em domínios onde o RADIUS ainda não está implantado.
Documente os endereços IP dos servidores RADIUS que pretende adicionar aos grupos de servidores remotos RADIUS.
Determine quantos grupos de servidores remotos RADIUS você precisa criar. Em alguns casos, é melhor criar um grupo de servidores remotos RADIUS por domínio e, em seguida, adicionar os servidores RADIUS do domínio ao grupo. No entanto, pode haver casos em que você tenha uma grande quantidade de recursos em um domínio, incluindo um grande número de usuários com contas de usuário no domínio, um grande número de controladores de domínio e um grande número de servidores RADIUS. Ou seu domínio pode cobrir uma grande área geográfica, fazendo com que você tenha servidores de acesso à rede e servidores RADIUS em locais distantes uns dos outros. Nesses e possivelmente em outros casos, você pode criar vários grupos de servidores remotos RADIUS por domínio.
Crie segredos compartilhados para configuração no proxy NPS e nos servidores remotos RADIUS.
Planejar regras de manipulação de atributos para encaminhamento de mensagens
As regras de manipulação de atributos, que são configuradas em diretivas de solicitação de conexão, permitem identificar as mensagens Access-Request que deseja encaminhar para um grupo de servidores remotos RADIUS específico.
Você pode configurar o NPS para encaminhar todas as solicitações de conexão para um grupo de servidores remotos RADIUS sem usar regras de manipulação de atributos.
No entanto, se você tiver mais de um local para o qual deseja encaminhar solicitações de conexão, deverá criar uma diretiva de solicitação de conexão para cada local e, em seguida, configurar a diretiva com o grupo de servidores remotos RADIUS para o qual deseja encaminhar mensagens, bem como com as regras de manipulação de atributos que informam ao NPS quais mensagens encaminhar.
Você pode criar regras para os seguintes atributos.
Called-Station-ID. O número de telefone do servidor de acesso à rede (NAS). O valor desse atributo é uma cadeia de caracteres. Você pode usar sintaxe de correspondência de padrões para especificar códigos de área.
Calling-Station-ID. O número de telefone usado pelo chamador. O valor desse atributo é uma cadeia de caracteres. Você pode usar sintaxe de correspondência de padrões para especificar códigos de área.
User-Name. O nome de usuário fornecido pelo cliente de acesso e incluído pelo NAS na mensagem Access-Request RADIUS. O valor desse atributo é uma cadeia de caracteres que normalmente contém um nome de território e um nome de conta de usuário.
Para substituir ou converter corretamente nomes de território no nome de usuário de uma solicitação de conexão, você deve configurar regras de manipulação de atributo para o atributo User-Name na política de solicitação de conexão apropriada.
Principais passos
Durante o planejamento de regras de manipulação de atributos, você pode usar as etapas a seguir.
Planeje o roteamento de mensagens do NAS através do proxy para os servidores remotos RADIUS para verificar se você tem um caminho lógico com o qual encaminhar mensagens para os servidores RADIUS.
Determine um ou mais atributos que você deseja usar para cada política de solicitação de conexão.
Documente as regras de manipulação de atributos que você planeja usar para cada diretiva de solicitação de conexão e faça a correspondência entre as regras e o grupo de servidores remotos RADIUS para o qual as mensagens são encaminhadas.
Planejar políticas de solicitação de conexão
A diretiva de solicitação de conexão padrão é configurada para NPS quando é usada como um servidor RADIUS. Diretivas de solicitação de conexão adicionais podem ser usadas para definir condições mais específicas, criar regras de manipulação de atributos que informam ao NPS quais mensagens encaminhar para grupos de servidores remotos RADIUS e especificar atributos avançados. Use o Assistente para Nova Diretiva de Solicitação de Conexão para criar diretivas de solicitação de conexão comuns ou personalizadas.
Principais passos
Durante o planejamento de políticas de solicitação de conexão, você pode usar as etapas a seguir.
Exclua a diretiva de solicitação de conexão padrão em cada servidor que executa o NPS que funciona apenas como um proxy RADIUS.
Planeje condições e configurações adicionais necessárias para cada política, combinando essas informações com o grupo de servidores remotos RADIUS e as regras de manipulação de atributos planejadas para a política.
Projete o plano para distribuir políticas comuns de solicitação de conexão para todos os proxies NPS. Crie políticas comuns a vários proxies NPS em um NPS e, em seguida, use os comandos Netsh para NPS para importar as diretivas de solicitação de conexão e a configuração do servidor em todos os outros proxies.
Planejar a contabilidade NPS
Ao configurar o NPS como um proxy RADIUS, você pode configurá-lo para executar a contabilização RADIUS usando arquivos de log no formato NPS, arquivos de log de formato compatíveis com banco de dados ou log do NPS SQL Server.
Você também pode encaminhar mensagens de contabilização para um grupo de servidores remotos RADIUS que executa a contabilização usando um desses formatos de log.
Principais passos
Durante o planejamento da contabilidade NPS, você pode usar as etapas a seguir.
Determine se você deseja que o proxy NPS execute serviços de contabilidade ou encaminhe mensagens de contabilidade para um grupo de servidores remotos RADIUS para contabilidade.
Planeje desabilitar a contabilidade de proxy NPS local se você planeja encaminhar mensagens de contabilidade para outros servidores.
Planeje as etapas de configuração da política de solicitação de conexão se você planeja encaminhar mensagens de contabilidade para outros servidores. Se você desabilitar a contabilização local para o proxy NPS, cada diretiva de solicitação de conexão configurada nesse proxy deverá ter o encaminhamento de mensagens contábeis habilitado e configurado corretamente.
Determine o formato de log que você deseja usar: arquivos de log no formato IAS, arquivos de log de formato compatível com banco de dados ou log do NPS SQL Server.
Para configurar o balanceamento de carga para NPS como um proxy RADIUS, consulte NPS Proxy Server Load Balancing.