Mengonfigurasi Kebijakan Jaringan
Anda dapat menggunakan topik ini untuk mengonfigurasi kebijakan jaringan di NPS.
Menambahkan Kebijakan Jaringan
Network Policy Server (NPS) menggunakan kebijakan jaringan dan properti dial-in akun pengguna untuk menentukan apakah permintaan koneksi diizinkan untuk tersambung ke jaringan.
Anda dapat menggunakan prosedur ini untuk mengonfigurasi kebijakan jaringan baru di konsol NPS atau konsol Akses Jarak Jauh.
Melakukan otorisasi
Ketika NPS melakukan otorisasi permintaan koneksi, NPS membandingkan permintaan dengan setiap kebijakan jaringan dalam daftar kebijakan yang diurutkan, dimulai dengan kebijakan pertama, lalu memindahkan daftar kebijakan yang dikonfigurasi. Jika NPS menemukan kebijakan yang kondisinya cocok dengan permintaan koneksi, NPS menggunakan kebijakan yang cocok dan properti dial-in akun pengguna untuk melakukan otorisasi. Jika properti dial-in akun pengguna dikonfigurasi untuk memberikan akses atau mengontrol akses melalui kebijakan jaringan dan permintaan koneksi diotorisasi, NPS menerapkan pengaturan yang dikonfigurasi dalam kebijakan jaringan ke koneksi.
Jika NPS tidak menemukan kebijakan jaringan yang cocok dengan permintaan koneksi, permintaan koneksi ditolak kecuali properti dial-in pada akun pengguna diatur untuk memberikan akses.
Jika properti dial-in akun pengguna diatur untuk menolak akses, permintaan koneksi ditolak oleh NPS.
Pengaturan kunci
Saat Anda menggunakan wizard Kebijakan Jaringan Baru untuk membuat kebijakan jaringan, nilai yang Anda tentukan dalam metode koneksi Jaringan digunakan untuk mengonfigurasi kondisi Jenis Kebijakan secara otomatis:
- Jika Anda menyimpan nilai default Tidak Ditentukan , kebijakan jaringan yang Anda buat dievaluasi oleh NPS untuk semua jenis koneksi jaringan yang menggunakan segala jenis server akses jaringan (NAS).
- Jika Anda menentukan metode koneksi jaringan, NPS mengevaluasi kebijakan jaringan hanya jika permintaan koneksi berasal dari jenis server akses jaringan yang Anda tentukan.
Pada halaman Izin Akses, Anda harus memilih Akses yang diberikan jika Anda ingin kebijakan mengizinkan pengguna tersambung ke jaringan Anda. Jika Anda ingin kebijakan mencegah pengguna tersambung ke jaringan Anda, pilih Akses ditolak.
Jika Anda ingin izin akses ditentukan oleh properti dial-in akun pengguna di Active Directory® Domain Services (AD DS), Anda bisa memilih kotak centang Akses ditentukan oleh properti Dial-in Pengguna.
Keanggotaan di Admin Domain, atau yang setara, adalah minimum yang diperlukan untuk menyelesaikan prosedur ini.
Untuk menambahkan kebijakan jaringan
Buka konsol NPS, lalu klik dua kali Kebijakan.
Di pohon konsol, klik kanan Kebijakan Jaringan, dan klik Baru. Wizard Kebijakan Jaringan Baru terbuka.
Gunakan wizard Kebijakan Jaringan Baru untuk membuat kebijakan.
Membuat Kebijakan Jaringan untuk Dial-Up atau VPN dengan Wizard
Anda dapat menggunakan prosedur ini untuk membuat kebijakan permintaan koneksi dan kebijakan jaringan yang diperlukan untuk menyebarkan server dial-up atau server jaringan privat virtual (VPN) sebagai klien Remote Authentication Dial-In User Service (RADIUS) ke server RADIUS NPS.
Catatan
Komputer klien, seperti komputer laptop dan komputer lain yang menjalankan sistem operasi klien, bukan klien RADIUS. Klien RADIUS adalah server akses jaringan — seperti titik akses nirkabel, sakelar autentikasi 802.1X, server jaringan privat virtual (VPN), dan server dial-up — karena perangkat ini menggunakan protokol RADIUS untuk berkomunikasi dengan server RADIUS seperti NPSs.
Prosedur ini menjelaskan cara membuka wizard Dial-up Baru atau Koneksi Jaringan Privat Virtual di NPS.
Setelah Anda menjalankan wizard, kebijakan berikut dibuat:
- Satu kebijakan permintaan koneksi
- Satu kebijakan jaringan
Anda dapat menjalankan wizard Dial-up Baru atau Koneksi Jaringan Privat Virtual setiap kali Anda perlu membuat kebijakan baru untuk server dial-up dan server VPN.
Menjalankan wizard Dial-up Baru atau Koneksi Jaringan Privat Virtual bukan satu-satunya langkah yang diperlukan untuk menyebarkan server dial-up atau VPN sebagai klien RADIUS ke NPS. Kedua metode akses jaringan mengharuskan Anda menyebarkan komponen perangkat keras dan perangkat lunak tambahan.
Keanggotaan di Admin Domain, atau yang setara, adalah minimum yang diperlukan untuk menyelesaikan prosedur ini.
Untuk membuat kebijakan untuk dial-up atau VPN dengan wizard
Buka konsol NPS. Jika belum dipilih, klik NPS (Lokal). Jika Anda ingin membuat kebijakan pada NPS jarak jauh, pilih server.
Di Memulai dan Konfigurasi Standar, pilih server RADIUS untuk Dial-Up atau Koneksi VPN. Teks dan tautan di bawah perubahan teks untuk mencerminkan pilihan Anda.
Klik KonfigurasiKAN VPN atau Putar-Nomor dengan wizard. Wisaya Sambungan Jaringan Putar-nomor Baru atau Jaringan Privat Maya terbuka.
Ikuti instruksi dalam wizard untuk menyelesaikan pembuatan kebijakan baru Anda.
Membuat Kebijakan Jaringan untuk 802.1X Berkabel atau Nirkabel dengan Wizard
Anda dapat menggunakan prosedur ini untuk membuat kebijakan permintaan koneksi dan kebijakan jaringan yang diperlukan untuk menyebarkan sakelar autentikasi 802.1X atau titik akses nirkabel 802.1X sebagai klien Layanan Pengguna Dial-In Autentikasi Jarak Jauh (RADIUS) ke server RADIUS NPS.
Prosedur ini menjelaskan cara memulai wizard Koneksi Kabel dan Nirkabel Aman IEEE 802.1X Baru di NPS.
Setelah Anda menjalankan wizard, kebijakan berikut dibuat:
- Satu kebijakan permintaan koneksi
- Satu kebijakan jaringan
Anda dapat menjalankan wizard Koneksi Kabel Aman dan Nirkabel IEEE 802.1X Baru setiap kali Anda perlu membuat kebijakan baru untuk akses 802.1X.
Menjalankan wizard Koneksi Kabel Dan Nirkabel Aman IEEE 802.1X Baru bukan satu-satunya langkah yang diperlukan untuk menyebarkan sakelar autentikasi 802.1X dan titik akses nirkabel sebagai klien RADIUS ke NPS. Kedua metode akses jaringan mengharuskan Anda menyebarkan komponen perangkat keras dan perangkat lunak tambahan.
Keanggotaan di Admin Domain, atau yang setara, adalah minimum yang diperlukan untuk menyelesaikan prosedur ini.
Untuk membuat kebijakan untuk 802.1X berkabel atau nirkabel dengan wizard
Pada NPS, di Manajer Server, klik Alat, lalu klik Server Kebijakan Jaringan. Konsol NPS terbuka.
Jika belum dipilih, klik NPS (Lokal). Jika Anda ingin membuat kebijakan pada NPS jarak jauh, pilih server.
Di Memulai dan Konfigurasi Standar, pilih server RADIUS untuk Koneksi Nirkabel atau Kabel 802.1X. Teks dan tautan di bawah perubahan teks untuk mencerminkan pilihan Anda.
Klik Konfigurasikan 802.1X menggunakan wizard. Wizard Koneksi Kabel Aman dan Nirkabel IEEE 802.1X Baru terbuka.
Ikuti instruksi dalam wizard untuk menyelesaikan pembuatan kebijakan baru Anda.
Mengonfigurasi NPS untuk Mengabaikan Properti Dial-in Akun Pengguna
Gunakan prosedur ini untuk mengonfigurasi kebijakan jaringan NPS untuk mengabaikan properti dial-in akun pengguna di Direktori Aktif selama proses otorisasi. Akun pengguna di Pengguna direktori aktif dan Komputer memiliki properti dial-in yang dievaluasi NPS selama proses otorisasi kecuali properti Izin Akses Jaringan dari akun pengguna diatur ke Kontrol akses melalui Kebijakan Jaringan NPS.
Ada dua keadaan di mana Anda mungkin ingin mengonfigurasi NPS untuk mengabaikan properti dial-in akun pengguna di Direktori Aktif:
Saat Anda ingin menyederhanakan otorisasi NPS dengan menggunakan kebijakan jaringan, tetapi tidak semua akun pengguna Anda memiliki properti Izin Akses Jaringan yang diatur ke Kontrol akses melalui Kebijakan Jaringan NPS. Misalnya, beberapa akun pengguna mungkin memiliki properti Izin Akses Jaringan dari akun pengguna yang diatur ke Tolak akses atau Izinkan akses.
Ketika properti dial-in lain dari akun pengguna tidak berlaku untuk jenis koneksi yang dikonfigurasi dalam kebijakan jaringan. Misalnya, properti selain pengaturan Izin Akses Jaringan hanya berlaku untuk sambungan dial-in atau VPN, tetapi kebijakan jaringan yang Anda buat adalah untuk koneksi nirkabel atau mengautentikasi sakelar.
Anda dapat menggunakan prosedur ini untuk mengonfigurasi NPS untuk mengabaikan properti dial-in akun pengguna. Jika permintaan koneksi cocok dengan kebijakan jaringan tempat kotak centang ini dipilih, NPS tidak menggunakan properti dial-in akun pengguna untuk menentukan apakah pengguna atau komputer berwenang untuk mengakses jaringan; hanya pengaturan dalam kebijakan jaringan yang digunakan untuk menentukan otorisasi.
Keanggotaan di Administrator, atau yang setara, adalah minimum yang diperlukan untuk menyelesaikan prosedur ini.
Pada NPS, di Manajer Server, klik Alat, lalu klik Server Kebijakan Jaringan. Konsol NPS terbuka.
Klik ganda Kebijakan, klik Kebijakan Jaringan, lalu di panel detail klik ganda kebijakan yang ingin Anda konfigurasi.
Dalam kotak dialog Properti kebijakan, pada tab Gambaran Umum, di Izin Akses, pilih kotak centang Abaikan properti dial-in akun pengguna, lalu klik OK.
Untuk mengonfigurasi NPS untuk mengabaikan properti dial-in akun pengguna
Mengonfigurasi NPS untuk VLAN
Dengan menggunakan server akses jaringan yang sadar VLAN dan NPS di Windows Server 2016, Anda dapat memberi grup pengguna akses hanya ke sumber daya jaringan yang sesuai untuk izin keamanan mereka. Misalnya, Anda dapat memberi pengunjung akses nirkabel ke Internet tanpa mengizinkan mereka mengakses jaringan organisasi Anda.
Selain itu, VLAN memungkinkan Anda mengelompokkan sumber daya jaringan secara logis yang ada di lokasi fisik yang berbeda atau pada subnet fisik yang berbeda. Misalnya, anggota departemen penjualan Anda dan sumber daya jaringan mereka, seperti komputer klien, server, dan printer, mungkin terletak di beberapa bangunan berbeda di organisasi Anda, tetapi Anda dapat menempatkan semua sumber daya ini pada satu VLAN yang menggunakan rentang alamat IP yang sama. VLAN kemudian berfungsi, dari perspektif pengguna akhir, sebagai subnet tunggal.
Anda juga dapat menggunakan VLAN saat ingin memisahkan jaringan antara grup pengguna yang berbeda. Setelah menentukan bagaimana Anda ingin menentukan grup, Anda dapat membuat grup keamanan di snap-in Pengguna direktori aktif dan Komputer, lalu menambahkan anggota ke grup.
Mengonfigurasi Kebijakan Jaringan untuk VLAN
Anda dapat menggunakan prosedur ini untuk mengonfigurasi kebijakan jaringan yang menetapkan pengguna ke VLAN. Saat Anda menggunakan perangkat keras jaringan yang sadar VLAN, seperti router, sakelar, dan pengontrol akses, Anda dapat mengonfigurasi kebijakan jaringan untuk menginstruksikan server akses untuk menempatkan anggota grup Direktori Aktif tertentu pada VLAN tertentu. Kemampuan untuk mengelompokkan sumber daya jaringan secara logis dengan VLAN memberikan fleksibilitas saat merancang dan menerapkan solusi jaringan.
Saat mengonfigurasi pengaturan kebijakan jaringan NPS untuk digunakan dengan VLAN, Anda harus mengonfigurasi atribut Tunnel-Medium-Type, Tunnel-Pvt-Group-ID, Tunnel-Type, dan Tunnel-Tag.
Prosedur ini disediakan sebagai pedoman; konfigurasi jaringan Anda mungkin memerlukan pengaturan yang berbeda dari yang dijelaskan di bawah ini.
Keanggotaan di Administrator, atau yang setara, adalah minimum yang diperlukan untuk menyelesaikan prosedur ini.
Untuk mengonfigurasi kebijakan jaringan untuk VLAN
Pada NPS, di Manajer Server, klik Alat, lalu klik Server Kebijakan Jaringan. Konsol NPS terbuka.
Klik ganda Kebijakan, klik Kebijakan Jaringan, lalu di panel detail klik ganda kebijakan yang ingin Anda konfigurasi.
Dalam kotak dialog Properti kebijakan, klik tab Pengaturan.
Dalam Properti kebijakan, di Pengaturan, di Atribut RADIUS, pastikan bahwa Standar dipilih.
Di panel detail, di Atribut, atribut Jenis Layanan dikonfigurasi dengan nilai default Framed. Secara default, untuk kebijakan dengan metode akses VPN dan dial-up, atribut Framed-Protocol dikonfigurasi dengan nilai PPP. Untuk menentukan atribut koneksi tambahan yang diperlukan untuk VLAN, klik Tambahkan. Kotak dialog Tambahkan Atribut RADIUS Standar terbuka.
Di Tambahkan Atribut RADIUS Standar, di Atribut, gulir ke bawah ke dan tambahkan atribut berikut:
Tunnel-Medium-Type. Pilih nilai yang sesuai dengan pilihan sebelumnya yang telah Anda buat untuk kebijakan tersebut. Misalnya, jika kebijakan jaringan yang Anda konfigurasi adalah kebijakan nirkabel, pilih Nilai: 802 (Termasuk semua media 802 ditambah format kanonis Ethernet).
Tunnel-Pvt-Group-ID. Masukkan bilangan bulat yang mewakili nomor VLAN tempat anggota grup akan ditetapkan.
Jenis Terowongan. Pilih LAN Virtual (VLAN).
Di Tambahkan Atribut RADIUS Standar, klik Tutup.
Jika server akses jaringan (NAS) Anda memerlukan penggunaan atribut Tunnel-Tag , gunakan langkah-langkah berikut untuk menambahkan atribut Tunnel-Tag ke kebijakan jaringan. Jika dokumentasi NAS Anda tidak menyebutkan atribut ini, jangan tambahkan ke kebijakan. Jika diperlukan, tambahkan atribut sebagai berikut:
Di Properti kebijakan, di Pengaturan, di Atribut RADIUS, klik Spesifik Vendor.
Di panel detail, klik Tambahkan. Kotak dialog Tambahkan Atribut Khusus Vendor terbuka.
Di Atribut, gulir ke bawah ke dan pilih Tunnel-Tag, lalu klik Tambahkan. Kotak dialog Informasi Atribut terbuka.
Di Nilai atribut, ketik nilai yang Anda peroleh dari dokumentasi perangkat keras Anda.
Mengonfigurasi Ukuran Payload EAP
Dalam beberapa kasus, router atau firewall menghilangkan paket karena dikonfigurasi untuk membuang paket yang memerlukan fragmentasi.
Saat Anda menyebarkan NPS dengan kebijakan jaringan yang menggunakan Extensible Authentication Protocol (EAP) dengan Transport Layer Security (TLS), atau EAP-TLS, sebagai metode autentikasi, unit transmisi maksimum default (MTU) yang digunakan NPS untuk payload EAP adalah 1500 byte.
Ukuran maksimum untuk payload EAP ini dapat membuat pesan RADIUS yang memerlukan fragmentasi oleh router atau firewall antara NPS dan klien RADIUS. Jika demikian, router atau firewall yang diposisikan antara klien RADIUS dan NPS mungkin secara diam-diam membuang beberapa fragmen, yang mengakibatkan kegagalan autentikasi dan ketidakmampuan klien akses untuk terhubung ke jaringan.
Gunakan prosedur berikut untuk menurunkan ukuran maksimum yang digunakan NPS untuk payload EAP dengan menyesuaikan atribut Framed-MTU dalam kebijakan jaringan dengan nilai yang tidak lebih besar dari 1344.
Keanggotaan di Administrator, atau yang setara, adalah minimum yang diperlukan untuk menyelesaikan prosedur ini.
Untuk mengonfigurasi atribut Framed-MTU
Pada NPS, di Manajer Server, klik Alat, lalu klik Server Kebijakan Jaringan. Konsol NPS terbuka.
Klik ganda Kebijakan, klik Kebijakan Jaringan, lalu di panel detail klik ganda kebijakan yang ingin Anda konfigurasi.
Dalam kotak dialog Properti kebijakan, klik tab Pengaturan.
Di Pengaturan, di Atribut RADIUS, klik Standar. Di panel detail, klik Tambahkan. Kotak dialog Tambahkan Atribut RADIUS Standar terbuka.
Di Atribut, gulir ke bawah ke dan klik Framed-MTU, lalu klik Tambahkan. Kotak dialog Informasi Atribut terbuka.
Di Nilai Atribut, ketik nilai yang sama dengan atau kurang dari 1344. Klik OK, klik Tutup, lalu klik OK.
Untuk informasi selengkapnya tentang kebijakan jaringan, lihat Kebijakan Jaringan.
Untuk contoh sintaks pencocokan pola untuk menentukan atribut kebijakan jaringan, lihat Menggunakan Ekspresi Reguler di NPS.
Untuk informasi selengkapnya tentang NPS, lihat Server Kebijakan Jaringan (NPS).