在多宿主计算机上配置 NPS
适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016
可以使用本主题配置具有多个网络适配器的 NPS。
在运行网络策略服务器 (NPS) 的服务器中使用多个网络适配器时,可以配置以下内容:
- 发送和接收以及不发送和接收远程身份验证拨入用户服务 (RADIUS) 流量的网络适配器。
- 在每个网络适配器基础上,NPS 监控 Internet 协议第 4 版 (IPv4)、IPv6,还是同时监视 IPv4 和 IPv6 上的 RADIUS 流量。
- 基于每个协议(IPv4 或 IPv6)、每个网络适配器发送和接收 RADIUS 流量的 UDP 端口号。
默认情况下,NPS 为所有已安装网络适配器的 IPv6 和 IPv4 侦听端口 1812、1813、1645 和 1646 上的 RADIUS 流量。 由于 NPS 自动对 RADIUS 流量使用所有网络适配器,当你希望阻止 NPS 使用特定网络适配器时,只需指定希望 NPS 对 RADIUS 流量使用的网络适配器即可。
注意
如果卸载网络适配器上的 IPv4 或 IPv6,则 NPS 不会监视已卸载协议的 RADIUS 流量。
在已安装多个网络适配器的 NPS 上,你可能需要将 NPS 配置为仅在指定的适配器上发送和接收 RADIUS 流量。
例如,已安装在 NPS 中的一个网络适配器可能导致网段不包含 RADIUS 客户端,而第二个网络适配器为 NPS 提供指向其已配置 RADIUS 客户端的网络路径。 在这种情形中,必须指示 NPS 对所有 RADIUS 流量使用第二个网络适配器。
在其他示例中,如果 NPS 已安装三个网络适配器,但是你只希望 NPS 对 RADIUS 流量使用两个适配器,则可以仅为两个适配器配置端口信息。 通过排除第三个适配器的端口配置,可以阻止 NPS 对 RADIUS 流量使用适配器。
使用网络适配器
若要将 NPS 配置为在网络适配器上侦听和发送 RADIUS 流量,请在 NPS 控制台中网络策略服务器的“属性”对话框中使用以下语法:
- IPv4 流量语法:IPAddress:UDPport,其中 IPAddress 是希望在其上发送 RADIUS 流量的网络适配器上配置的 IPv4 地址,UDPport 是希望用于 RADIUS 身份验证或记帐通讯的 RADIUS 端口号。
- IPv6 流量语法:[IPv6Address] : UDPport,其中 IPv6Address 两边的括号是必需的,IPv6Address 是希望在其上发送 RADIUS 流量的网络适配器上配置的 IPv6 地址,UDPport 是希望用于 RADIUS 身份验证或记帐流量的 RADIUS 端口号。
下列字符可用作配置 IP 地址和 UDP 端口信息的分隔符:
- 地址/端口分隔符:冒号 (:)
- 端口分隔符:逗号 (,)
- 接口分隔符:分号 (;)
配置网络访问服务器
确保网络访问服务器使用与在 NPS 上配置的相同的 RADIUS UDP 端口号配置。 RFC 2865 和 2866 中定义的 RADIUS 标准 UDP 端口是用于身份验证的 1812 和用于记帐的 1813;不过,某些访问服务器默认配置为使用 UDP 端口 1645 处理验证身份请求,使用 UDP 端口 1646 处理计帐请求。
重要
如果不使用 RADIUS 默认端口号,则必须在本地计算机的防火墙上配置例外,以允许在新端口上进行 RADIUS 流量。 有关详细信息,请参阅为 RADIUS 流量配置防火墙。
配置多宿主 NPS
可以使用以下过程来配置多宿主 NPS。
若要完成该过程,必须至少具有 Domain Admins 的成员资格或同等权限。
指定 NPS 用于 RADIUS 流量的网络适配器和 UDP 端口
在服务器管理器中,单击“工具”,然后单击“网络策略服务器”以打开 NPS 控制台。
右键单击“网络策略服务器”,然后单击“属性”。
单击“端口”选项卡,预先考虑希望将 RADIUS 流量用于现有端口号的网络适配器的 IP 地址。 例如,如果希望使用 IP 地址 192.168.1.2 和用于身份验证请求的 RADIUS 端口 1812 和 1645,请将端口设置从 1812,1645 更改为 192.168.1.2:1812,1645。 如果 RADIUS 身份验证和 RADIUS 记帐 UDP 端口与默认值不同,请相应更改端口设置。
若要为身份验证或记帐请求使用多个端口设置,请用逗号分隔端口号。
有关 NPS UDP 端口的详细信息,请参阅配置 NPS UDP 端口信息
有关 NPS 的详细信息,请参阅网络策略服务器