En brandvägg kan konfigureras att tillåta eller blockera olika typer av IP-trafik till och från den dator eller enhet som brandväggen körs på. Om brandväggarna inte är korrekt konfigurerade så att RADIUS-trafiken mellan RADIUS-klienter, RADIUS-proxyservrar och RADIUS-servrar tillåts, kan nätverksautentiseringen misslyckas, vilket hindrar användaren från att få åtkomst till nätverksresurser.

Du kan behöva konfigurera två typer av brandväggar för att tillåta RADIUS-trafik:

  • Windows-brandväggen på den lokala servern som kör NPS (Network Policy Server).

  • Brandväggar som körs på andra datorer eller maskinvaruenheter.

Windows-brandväggen på den lokala NPS-servern

Som standard skickas och mottas RADIUS-trafik på NPS-servern via UDP-portarna (User Datagram Protocol) 1812, 1813, 1645 och 1646. När du installerar NPS konfigureras Windows-brandväggen på NPS-servern automatiskt med undantag som gör att den här typen av RADIUS-trafik tillåts.

Om du använder standard-UDP-portarna behöver du med andra ord inte ändra konfigurationen av Windows-brandväggen för att tillåta RADIUS-trafik till och från NPS-servrar.

Ibland kanske du emellertid vill ändra portarna som NPS använder för RADIUS-trafik. Om du konfigurerar NPS och nätverksåtkomstservrarna så att RADIUS-trafiken skickas och mottas via andra portar än standardportarna måste du göra följande:

  • Ta bort undantagen som tillåter RADIUS-trafik via standardportarna.

  • Skapa nya undantag som tillåter RADIUS-trafik via de nya portarna.

Mer information finns i avsnittet Konfigurera portinformation för NPS UDP.

Andra brandväggar

Normalt är brandväggen ansluten till Internet, och NPS-servern är en annan intranätresurs som är ansluten till gränsnätverket.

För att ansluta till domänkontrollanten i intranätet kan NPS-servern ha:

  • Ett gränssnitt för gränsnätverket och ett gränssnitt för intranätet (IP-routning är inte aktiverat).

  • Ett enda gränssnitt för gränsnätverket. I detta fall kommunicerar NPS-servern med domänkontrollanterna via en annan brandvägg som ansluter gränsnätverket till intranätet.

Konfigurera Internetbrandväggen

Brandväggen som är ansluten till Internet måste konfigureras med filter för inkommande och utgående trafik för Internetgränssnittet (och eventuellt för gränsnätverkets gränssnitt) för att RADIUS-meddelanden ska kunna vidarebefordras mellan NPS-servern och RADIUS-klienterna eller RADIUS-proxyservrarna på Internet. Ytterligare filter kan användas för att tillåta trafik till webbservrar, VPN-servrar och andra typer av servrar i gränsnätverket.

Separata paketfilter för inkommande och utgående trafik kan konfigureras för Internetgränssnittet och för gränsnätverkets gränssnitt.

Filter för Internetgränssnittet

Konfigurera följande paketfilter för inkommande trafik för brandväggens Internetgränssnitt om du vill tillåta följande typer av trafik:

  • Mål-IP-adressen för gränsnätverkets gränssnitt och UDP-målporten 1812 (0x714) på NPS-servern.

    Det här filtret tillåter RADIUS-autentiseringstrafik från Internetbaserade RADIUS-klienter till NPS-servern. Det här är den UDP-port som används som standard av NPS, i enlighet med RFC-specifikationen 2865. Om du använder en annan port använder du det portnumret i stället för 1812.

  • Mål-IP-adressen för gränsnätverkets gränssnitt och UDP-målporten 1813 (0x715) på NPS-servern.

    Det här filtret tillåter RADIUS-redovisningstrafik från Internetbaserade RADIUS-klienter till NPS-servern. Det här är den UDP-port som används som standard av NPS, i enlighet med RFC-specifikationen 2866. Om du använder en annan port använder du det portnumret i stället för 1813.

  • (Valfritt) Mål-IP-adressen för gränsnätverkets gränssnitt och UDP-målporten 1645 (0x66D) på NPS-servern.

    Det här filtret tillåter RADIUS-autentiseringstrafik från Internetbaserade RADIUS-klienter till NPS-servern. Det här är den UDP-port som används av äldre RADIUS-klienter.

  • (Valfritt) Mål-IP-adressen för gränsnätverkets gränssnitt och UDP-målporten 1646 (0x66E) på NPS-servern.

    Det här filtret tillåter RADIUS-redovisningstrafik från Internetbaserade RADIUS-klienter till NPS-servern. Det här är den UDP-port som används av äldre RADIUS-klienter.

Konfigurera följande filter för utgående trafik för brandväggens Internetgränssnitt om du vill tillåta följande typer av trafik:

  • Käll-IP-adressen för gränsnätverkets gränssnitt och UDP-källporten 1812 (0x714) på NPS-servern.

    Det här filtret tillåter RADIUS-autentiseringstrafik från NPS-servern till Internetbaserade RADIUS-klienter. Det här är den UDP-port som används som standard av NPS, i enlighet med RFC-specifikationen 2865. Om du använder en annan port använder du det portnumret i stället för 1812.

  • Käll-IP-adressen för gränsnätverkets gränssnitt och UDP-källporten 1813 (0x715) på NPS-servern.

    Det här filtret tillåter RADIUS-redovisningstrafik från NPS-servern till Internetbaserade RADIUS-klienter. Det här är den UDP-port som används som standard av NPS, i enlighet med RFC-specifikationen 2866. Om du använder en annan port använder du det portnumret i stället för 1813.

  • (Valfritt) Käll-IP-adressen för gränsnätverkets gränssnitt och UDP-källporten 1645 (0x66D) på NPS-servern.

    Det här filtret tillåter RADIUS-autentiseringstrafik från NPS-servern till Internetbaserade RADIUS-klienter. Det här är den UDP-port som används av äldre RADIUS-klienter.

  • (Valfritt) Käll-IP-adressen för gränsnätverkets gränssnitt och UDP-källporten 1646 (0x66E) på NPS-servern.

    Det här filtret tillåter RADIUS-redovisningstrafik från NPS-servern till Internetbaserade RADIUS-klienter. Det här är den UDP-port som används av äldre RADIUS-klienter.

Filter för gränsnätverkets gränssnitt

Konfigurera följande filter för inkommande trafik för gränsnätverkets gränssnitt om du vill tillåta följande typer av trafik:

  • Käll-IP-adressen för gränsnätverkets gränssnitt och UDP-källporten 1812 (0x714) på NPS-servern.

    Det här filtret tillåter RADIUS-autentiseringstrafik från NPS-servern till Internetbaserade RADIUS-klienter. Det här är den UDP-port som används som standard av NPS, i enlighet med RFC-specifikationen 2865. Om du använder en annan port använder du det portnumret i stället för 1812.

  • Käll-IP-adressen för gränsnätverkets gränssnitt och UDP-källporten 1813 (0x715) på NPS-servern.

    Det här filtret tillåter RADIUS-redovisningstrafik från NPS-servern till Internetbaserade RADIUS-klienter. Det här är den UDP-port som används som standard av NPS, i enlighet med RFC-specifikationen 2866. Om du använder en annan port använder du det portnumret i stället för 1813.

  • (Valfritt) Käll-IP-adressen för gränsnätverkets gränssnitt och UDP-källporten 1645 (0x66D) på NPS-servern.

    Det här filtret tillåter RADIUS-autentiseringstrafik från NPS-servern till Internetbaserade RADIUS-klienter. Det här är den UDP-port som används av äldre RADIUS-klienter.

  • (Valfritt) Käll-IP-adressen för gränsnätverkets gränssnitt och UDP-källporten 1646 (0x66E) på NPS-servern.

    Det här filtret tillåter RADIUS-redovisningstrafik från NPS-servern till Internetbaserade RADIUS-klienter. Det här är den UDP-port som används av äldre RADIUS-klienter.

Konfigurera följande paketfilter för utgående trafik för brandväggens gränssnitt för gränsnätverket om du vill tillåta följande typer av trafik:

  • Mål-IP-adressen för gränsnätverkets gränssnitt och UDP-målporten 1812 (0x714) på NPS-servern.

    Det här filtret tillåter RADIUS-autentiseringstrafik från Internetbaserade RADIUS-klienter till NPS-servern. Det här är den UDP-port som används som standard av NPS, i enlighet med RFC-specifikationen 2865. Om du använder en annan port använder du det portnumret i stället för 1812.

  • Mål-IP-adressen för gränsnätverkets gränssnitt och UDP-målporten 1813 (0x715) på NPS-servern.

    Det här filtret tillåter RADIUS-redovisningstrafik från Internetbaserade RADIUS-klienter till NPS-servern. Det här är den UDP-port som används som standard av NPS, i enlighet med RFC-specifikationen 2866. Om du använder en annan port använder du det portnumret i stället för 1813.

  • (Valfritt) Mål-IP-adressen för gränsnätverkets gränssnitt och UDP-målporten 1645 (0x66D) på NPS-servern.

    Det här filtret tillåter RADIUS-autentiseringstrafik från Internetbaserade RADIUS-klienter till NPS-servern. Det här är den UDP-port som används av äldre RADIUS-klienter.

  • (Valfritt) Mål-IP-adressen för gränsnätverkets gränssnitt och UDP-målporten 1646 (0x66E) på NPS-servern.

    Det här filtret tillåter RADIUS-redovisningstrafik från Internetbaserade RADIUS-klienter till NPS-servern. Det här är den UDP-port som används av äldre RADIUS-klienter.

Du kan öka säkerheten genom att använda IP-adresserna för de RADIUS-klienter som skickar paketen via brandväggen för att skapa filter för trafiken mellan klienten och IP-adressen för NPS-servern i gränsnätverket.

Konfigurera intranätbrandväggen

Brandväggen som är ansluten till intranätet måste konfigureras med filter för inkommande och utgående trafik på gränsnätverkets gränssnitt (och eventuellt på intranätgränssnittet) om RADIUS-meddelanden ska kunna vidarebefordras mellan NPS-servern i gränsnätverket och domänkontrollanterna i intranätet. Ytterligare filter kan användas för att tillåta trafik till webbservrar, VPN-servrar och andra typer av servrar i gränsnätverket.

Separata paketfilter för inkommande och utgående trafik kan konfigureras för gränsnätverkets gränssnitt och för intranätgränssnittet.

Filter för gränsnätverkets gränssnitt

Konfigurera följande paketfilter för inkommande trafik för intranätbrandväggens gränssnitt för gränsnätverket om du vill tillåta följande typer av trafik:

  • Käll-IP-adressen för gränsnätverkets gränssnitt på NPS-servern.

    Det här filtret tillåter trafik från NPS-servern i gränsnätverket.

Konfigurera följande filter för utgående trafik för intranätbrandväggens gränssnitt för gränsnätverket om du vill tillåta följande typer av trafik:

  • Mål-IP-adressen för gränsnätverkets gränssnitt på NPS-servern.

    Det här filtret tillåter trafik till NPS-servern i gränsnätverket.

Filter för intranätgränssnittet

Konfigurera följande filter för inkommande trafik för brandväggens intranätgränssnitt om du vill tillåta följande typer av trafik:

  • Mål-IP-adressen för gränsnätverkets gränssnitt på NPS-servern.

    Det här filtret tillåter trafik till NPS-servern i gränsnätverket.

Konfigurera följande paketfilter för utgående trafik för brandväggens intranätgränssnitt om du vill tillåta följande typer av trafik:

  • Käll-IP-adressen för gränsnätverkets gränssnitt på NPS-servern.

    Det här filtret tillåter trafik från NPS-servern i gränsnätverket.


Innehåll