Partilhar via

Visão geral do Servidor de Políticas de Rede

Este artigo fornece uma visão geral do NPS (Servidor de Diretivas de Rede) no Windows Server. Você pode usar o NPS para criar e impor políticas de acesso à rede em toda a organização para autenticação e autorização de solicitação de conexão. Você também pode configurar o NPS como um proxy RADIUS (Remote Authentication Dial-In User Service). Quando você usa o NPS como um proxy RADIUS, o NPS encaminha solicitações de conexão para um servidor remoto NPS RADIUS ou outros servidores RADIUS. Você pode usar a configuração de proxy para balancear a carga de solicitações de conexão e encaminhá-las para o domínio correto para autenticação e autorização. O NPS é instalado quando você instala a função NPAS (Serviços de Acesso e Diretiva de Rede) no Windows Server.

NPS features

Você pode usar o NPS para configurar e gerenciar centralmente a autenticação, autorização e contabilidade de acesso à rede. O NPS oferece os seguintes recursos para essa finalidade:

  • RADIUS server. O NPS executa autenticação, autorização e contabilização centralizadas para conexões sem fio, switch de autenticação, dial-up de acesso remoto e VPN (rede virtual privada). Ao usar o NPS como um servidor RADIUS, você configura os seguintes componentes:

    • Servidores de acesso à rede, como pontos de acesso sem fio e servidores VPN. Você os configura como clientes RADIUS no NPS.
    • Diretivas de rede que o NPS usa para autorizar solicitações de conexão.
    • RADIUS accounting. Este componente é opcional. Se você configurá-lo, o NPS registrará informações de contabilidade em arquivos de log no disco rígido local ou em um banco de dados do Microsoft SQL Server.

    For more information, see RADIUS server.

  • RADIUS proxy. Ao usar o NPS como um proxy RADIUS, você configura diretivas de solicitação de conexão que informam ao NPS:

    • Especifique quais solicitações de conexão devem ser encaminhadas para outros servidores RADIUS.
      • Defina os servidores RADIUS de destino para os quais essas solicitações de conexão são encaminhadas.

    Além disso, você pode configurar o NPS para encaminhar dados de contabilidade para fins de registro em log para um ou mais computadores dentro de um grupo de servidores remotos RADIUS. Para configurar o NPS como um servidor proxy RADIUS, consulte os seguintes recursos:

  • RADIUS accounting. Você pode configurar o NPS para registrar eventos em um arquivo de log local ou em uma instância local ou remota do SQL Server. For more information, see NPS logging.

Você pode configurar o NPS com qualquer combinação desses recursos. Por exemplo, você pode configurar uma implantação NPS como um servidor RADIUS para conexões VPN. Você também pode configurar essa mesma implantação como um proxy RADIUS para encaminhar determinadas solicitações de conexão. Especificamente, ele pode encaminhar algumas solicitações para membros de um grupo de servidores remotos RADIUS para autenticação e autorização em outro domínio.

Important

Em versões anteriores do Windows Server, o NPAS incluía NAP (Proteção de Acesso à Rede), HRA (Autoridade de Registro de Integridade) e HCAP (Host Credential Authorization Protocol). NAP, HRA e HCAP foram preteridos no Windows Server 2012 R2 e não estão disponíveis no Windows Server 2016 ou posterior. Se você tiver uma implantação NAP que usa sistemas operacionais anteriores ao Windows Server 2016, não poderá migrar sua implantação NAP para o Windows Server 2016 ou posterior.

Opções de instalação do Windows Server e NPS

A disponibilidade da funcionalidade NPS depende das opções selecionadas ao instalar o Windows Server:

  • Quando você usa a opção de instalação Servidor com Experiência Desktop, a função NPAS está disponível no Windows Server. A função está disponível nas edições Standard e Datacenter.
  • Quando você usa a opção de instalação Server Core, a função NPAS não está disponível.

Servidor RADIUS e proxy

Você pode usar o NPS como um servidor RADIUS, um proxy RADIUS ou ambos. As seções a seguir fornecem informações detalhadas sobre esses usos.

RADIUS server

NPS is the Microsoft implementation of the RADIUS standard specified by the Internet Engineering Task Force (IETF) in Request for Comments (RFCs) 2865 and 2866. Como um servidor RADIUS, o NPS executa autenticação, autorização e contabilização de conexão centralizada para muitos tipos de acesso à rede. Exemplos de tipos de acesso à rede incluem wireless, comutador de autenticação, acesso remoto dial-up e VPN e conexões roteador-a-roteador.

Note

Para obter informações sobre como implantar o NPS como um servidor RADIUS, consulte Implantar o servidor de diretivas de rede.

O NPS suporta o uso de um conjunto heterogêneo de equipamentos sem fio, switch, acesso remoto ou VPN. Você pode usar o NPS com o serviço Acesso Remoto, que está disponível no Windows Server.

O NPS usa um domínio dos Serviços de Domínio Ative Directory (AD DS) ou o banco de dados de contas de usuário SAM (Gerenciador de Contas de Segurança) local para autenticar credenciais de usuário para tentativas de conexão. Quando um servidor que executa o NPS é membro de um domínio do AD DS, o NPS usa o serviço de diretório como seu banco de dados de conta de usuário. Nesse caso, o NPS faz parte de uma solução de logon único. O mesmo conjunto de credenciais é usado para controle de acesso à rede (autenticação e autorização de acesso a uma rede) e para entrar em um domínio AD DS.

Note

O NPS usa as propriedades de discagem da conta de usuário e as diretivas de rede para autorizar uma conexão.

Os provedores de serviços de Internet (ISPs) e as organizações que mantêm o acesso à rede têm um desafio maior. Eles precisam gerenciar todos os tipos de acesso à rede a partir de um único ponto de administração, independentemente do tipo de equipamento de acesso à rede usado. O padrão RADIUS suporta essa funcionalidade em ambientes homogêneos e heterogêneos. O RADIUS é um protocolo cliente-servidor que permite que o equipamento de acesso à rede (usado como clientes RADIUS) envie solicitações de autenticação e contabilização para um servidor RADIUS.

Um servidor RADIUS tem acesso às informações da conta de usuário e pode verificar as credenciais de autenticação de acesso à rede. Se as credenciais do usuário forem autenticadas e a tentativa de conexão for autorizada, o servidor RADIUS autorizará o acesso do usuário com base nas condições especificadas. Em seguida, o servidor RADIUS registra a conexão de acesso à rede em um log de contabilidade. O uso do RADIUS permite que os dados para autenticação, autorização e contabilidade do usuário de acesso à rede sejam coletados e mantidos em um local central, em vez de em cada servidor de acesso.

Usar o NPS como um servidor RADIUS

Você pode usar o NPS como um servidor RADIUS nos seguintes casos:

  • Você está usando um domínio do AD DS ou o banco de dados de contas de usuário SAM local como seu banco de dados de conta de usuário para clientes de acesso.
  • Você está usando o Acesso Remoto em vários servidores dial-up, servidores VPN ou roteadores de discagem por demanda e deseja centralizar a configuração de diretivas de rede e o registro e contabilidade de conexão.
  • Você está terceirizando seu acesso discado, VPN ou sem fio para um provedor de serviços. Os servidores de acesso usam RADIUS para autenticar e autorizar conexões feitas por membros da sua organização.
  • Você deseja centralizar a autenticação, a autorização e a contabilidade para um conjunto heterogêneo de servidores de acesso.

O diagrama a seguir mostra o NPS como um servidor RADIUS para vários clientes de acesso.

Diagrama que mostra o NPS como um servidor RADIUS que se comunica com vários tipos de servidores de acesso, um controlador de domínio e o SQL Server.

RADIUS proxy

Como um proxy RADIUS, o NPS encaminha mensagens de autenticação e contabilização para servidores RADIUS NPS e outros servidores RADIUS. Quando você usa o NPS como um proxy RADIUS, ele roteia mensagens RADIUS entre clientes RADIUS e servidores RADIUS. Os clientes RADIUS também são chamados de servidores de acesso à rede. Os servidores RADIUS executam autenticação, autorização e contabilização do usuário para a tentativa de conexão.

Você pode configurar um número ilimitado de clientes RADIUS e grupos de servidores remotos RADIUS no NPS. Você também pode configurar clientes RADIUS especificando um intervalo de endereços IP.

Quando você usa o NPS como um proxy RADIUS, ele serve como um ponto central de comutação ou roteamento através do qual o acesso RADIUS e as mensagens de contabilidade fluem. O NPS registra informações em um log de contabilidade sobre as mensagens que são encaminhadas.

Usar o NPS como um proxy RADIUS

Você pode usar o NPS como um proxy RADIUS nos seguintes casos:

  • Você é um provedor de serviços que oferece serviços terceirizados de acesso dial-up, VPN ou de rede sem fio para vários clientes. Seus sistemas de armazenamento conectado à rede (NAS) enviam solicitações de conexão para o proxy RADIUS NPS. Com base na parte do domínio do nome de utilizador no pedido de conexão, o proxy RADIUS NPS encaminha o pedido para um servidor RADIUS. O cliente mantém esse servidor, que pode autenticar e autorizar a tentativa de conexão.

  • Você deseja fornecer autenticação e autorização para contas de usuário que não são membros de nenhum dos seguintes domínios:

    • O domínio no qual a implantação do NPS é membro.
    • Um domínio que tem uma relação de confiança bidirecional com o domínio no qual a implantação do NPS está inserida.

    Exemplos de contas de utilizador incluem contas em domínios não confiáveis, domínios com confiança unilateral e outras florestas. Em vez de configurar seus servidores de acesso para enviar suas solicitações de conexão para um servidor RADIUS NPS, você pode configurá-los para enviar suas solicitações de conexão para um proxy RADIUS NPS. O proxy RADIUS do NPS usa a parte do nome de domínio do nome de utilizador e encaminha a solicitação para um servidor RADIUS do NPS no domínio ou diretório corretos. As tentativas de conexão para contas de usuário em um domínio ou floresta podem ser autenticadas para sistemas NAS em outro domínio ou floresta.

  • Você deseja executar autenticação e autorização usando um banco de dados que não seja um banco de dados de conta do Windows. Nesse caso, as solicitações de conexão que correspondem a um nome de território especificado são encaminhadas para um servidor RADIUS que tem acesso a um banco de dados diferente de contas de usuário e dados de autorização. Exemplos de outros bancos de dados de usuários incluem NetIQ eDirectory e bancos de dados SQL (Structured Query Language).

  • Você deseja processar um grande número de solicitações de conexão. Nesse caso, em vez de configurar seus clientes RADIUS para tentar equilibrar suas solicitações de conexão e contabilidade em vários servidores RADIUS, você pode configurá-los para enviar suas solicitações de conexão e contabilidade para um proxy RADIUS NPS. O proxy RADIUS NPS equilibra dinamicamente a carga de solicitações de conexão e contabilidade em vários servidores RADIUS e aumenta o processamento de um grande número de clientes RADIUS e autenticações por segundo.

  • Você deseja fornecer autenticação e autorização RADIUS para provedores de serviços terceirizados e minimizar a configuração do firewall da intranet. Um firewall de intranet está entre a intranet e a rede de perímetro (a rede entre a intranet e a Internet). Se você colocar o NPS na rede de perímetro, o firewall entre a rede de perímetro e a intranet deverá permitir que o tráfego flua entre o NPS e vários controladores de domínio. Se você substituir a implantação do NPS por um proxy NPS, o firewall deverá permitir que apenas o tráfego RADIUS flua entre o proxy NPS e uma ou várias implantações do NPS na intranet.

Important

O NPS oferece suporte à autenticação entre florestas sem um proxy RADIUS quando o nível funcional da floresta é Windows Server 2003 ou superior e há uma relação de confiança bidirecional entre florestas. Mas se você usar uma das seguintes estruturas com certificados como método de autenticação, deverá usar um proxy RADIUS para autenticação entre florestas:

  • Autenticação extensível Protocol-Transport segurança de camada (EAP-TLS)
  • Segurança de Camada de Autenticação Extensível Protegida Protocol-Transport (PEAP-TLS)

O diagrama a seguir mostra o NPS como um proxy RADIUS entre clientes RADIUS e servidores RADIUS.

Diagrama que mostra o NPS como um servidor proxy que usa o protocolo RADIUS para se comunicar com servidores de acesso e servidores RADIUS.

Com o NPS, as organizações também podem terceirizar a infraestrutura de acesso remoto para um provedor de serviços, mantendo o controle sobre a autenticação, autorização e contabilidade do usuário.

Você pode criar configurações do NPS para os seguintes cenários:

  • Wireless access
  • Acesso remoto da organização por ligação dial-up ou VPN
  • Acesso discado ou sem fio terceirizado
  • Internet access
  • Acesso autenticado a recursos de extranet para parceiros de negócios

Exemplos de configuração de servidor RADIUS e proxy RADIUS

Os exemplos de configuração a seguir demonstram como você pode configurar o NPS como um servidor RADIUS e um proxy RADIUS.

NPS como um servidor RADIUS

Este exemplo usa a seguinte configuração:

  • O NPS é configurado como um servidor RADIUS.
  • A política de solicitação de conexão padrão é a única política configurada.
  • O servidor NPS RADIUS local processa todas as solicitações de conexão.

O servidor NPS RADIUS pode autenticar e autorizar contas de usuário que estão no domínio do servidor RADIUS NPS e em domínios confiáveis.

NPS como um proxy RADIUS

Neste exemplo, o NPS é configurado como um proxy RADIUS que encaminha solicitações de conexão. As solicitações são encaminhadas para grupos de servidores remotos RADIUS em dois domínios não confiáveis.

A política de solicitação de conexão padrão é excluída. Duas novas políticas de solicitação de conexão são criadas para encaminhar solicitações para cada um dos dois domínios não confiáveis.

Neste exemplo, o NPS não processa nenhuma solicitação de conexão no servidor local.

NPS como um servidor RADIUS e um proxy RADIUS

Este exemplo usa duas diretivas de solicitação de conexão:

  • A política de solicitação de conexão padrão, que designa que as solicitações de conexão são processadas localmente.
  • Uma nova política de solicitação de conexão. Ele encaminha solicitações de conexão para um servidor RADIUS NPS ou outro servidor RADIUS em um domínio não confiável.

A segunda política é chamada de política de proxy. Ele aparece em primeiro lugar na lista ordenada de políticas.

  • Se uma solicitação de conexão corresponder à diretiva de proxy, a solicitação de conexão será encaminhada para o servidor RADIUS no grupo de servidores remotos RADIUS.
  • Se a solicitação de conexão não corresponder à diretiva de Proxy, mas corresponder à diretiva de solicitação de conexão padrão, o NPS processará a solicitação de conexão no servidor local.
  • Se a solicitação de conexão não corresponder a nenhuma das políticas, ela será descartada.

NPS como um servidor RADIUS com servidores de contabilidade remotos

Neste exemplo, o servidor RADIUS NPS local não está configurado para executar contabilidade. A diretiva de solicitação de conexão padrão é revisada para que as mensagens de contabilização RADIUS sejam encaminhadas para um servidor RADIUS NPS ou outro servidor RADIUS em um grupo de servidores RADIUS remotos.

Embora as mensagens de contabilização sejam encaminhadas neste exemplo, as mensagens de autenticação e autorização não são encaminhadas. O servidor NPS RADIUS local executa as funções de autenticação e autorização para o domínio local e todos os domínios confiáveis.

NPS com um mapeamento entre usuários remotos do RADIUS e usuários locais do Windows

Neste exemplo, o NPS atua como um servidor RADIUS e como um proxy RADIUS. O NPS lida com cada solicitação de conexão individual da seguinte maneira:

  • A solicitação de autenticação é encaminhada para um servidor RADIUS remoto.
  • Uma conta de usuário local do Windows é usada para autorização.

Para implementar essa configuração, configure o atributo Remote RADIUS to Windows User Mapping como uma condição da diretiva de solicitação de conexão. Você também cria uma conta de usuário localmente no servidor RADIUS. Essa conta deve ter o mesmo nome que a conta de usuário remoto na qual o servidor RADIUS remoto executa a autenticação.

Configuration

Para configurar o NPS como um servidor RADIUS, você pode usar a configuração padrão ou a configuração avançada no console do NPS ou no Gerenciador do Servidor. Para configurar o NPS como um proxy RADIUS, você deve usar a configuração avançada.

Standard configuration

Com a configuração padrão, assistentes são fornecidos para ajudá-lo a configurar o NPS para os seguintes cenários:

  • Servidor RADIUS para conexões dial-up ou VPN
  • Servidor RADIUS para conexões com ou sem fio 802.1X

Para configurar o NPS usando um assistente, abra o console do NPS, selecione um dos cenários anteriores e selecione o link para o assistente.

Advanced configuration

Ao usar a configuração avançada, você configura manualmente o NPS como um servidor RADIUS ou proxy RADIUS.

To configure NPS by using the advanced configuration, open the NPS console, and then expand Advanced Configuration.

As seções a seguir descrevem os itens de configuração avançada fornecidos.

Configurar um servidor RADIUS

Para configurar o NPS como um servidor RADIUS, você deve configurar clientes RADIUS, diretivas de rede e contabilidade RADIUS.

Para obter instruções sobre como fazer essas configurações, consulte os seguintes artigos:

Configurar um proxy RADIUS

Para configurar o NPS como um proxy RADIUS, você deve configurar clientes RADIUS, grupos de servidores remotos RADIUS e diretivas de solicitação de conexão.

Para obter instruções sobre como fazer essas configurações, consulte os seguintes artigos:

NPS logging

O registro em log do NPS também é chamado de contabilidade RADIUS. Você pode configurar o log do NPS para atender às suas necessidades, quer o NPS seja usado como um servidor RADIUS, proxy ou qualquer combinação dessas configurações.

Para configurar o log do NPS, você deve configurar os eventos que deseja registrar e exibir com o Visualizador de Eventos e, em seguida, determinar quais outras informações deseja registrar. Além disso, você deve decidir onde armazenar a autenticação do usuário e os logs de informações contábeis. As seguintes opções estão disponíveis:

  • Arquivos de log de texto armazenados no computador local
  • Um banco de dados do SQL Server no computador local ou remoto

Para obter mais informações, consulte Configurar a contabilidade do Servidor de Políticas de Rede.

Related content