在运行网络策略服务器 (NPS) 的服务器中使用多个网络适配器时,可以配置以下内容:
-
发送和接收以及不发送和接收远程身份验证拨入用户服务 (RADIUS) 流量的网络适配器。
-
在每个网络适配器基础上,NPS 监控 Internet 协议第 4 版 (IPv4)、IPv6,还是同时监视 IPv4 和 IPv6 上的 RADIUS 流量。
-
UDP 端口号,通过该端口号在每个协议(IPv4 或 IPv6)、每个网络适配器基础上发送和接收 RADIUS 流量。
默认情况下,NPS 针对用于所有已安装网络适配器的 IPv6 和 IPv4 侦听端口 1812、1813、1645 和 1646 上的 RADIUS 流量。由于 NPS 自动对 RADIUS 流量使用所有网络适配器,当您希望阻止 NPS 使用特定网络适配器时,只需指定希望 NPS 对 RADIUS 流量使用的网络适配器即可。
注意 | |
如果卸载网络适配器上的 IPv4 或 IPv6,则 NPS 不会监视已卸载协议的 RADIUS 流量。 |
在已安装多个网络适配器的 NPS 服务器上,您可能希望将 NPS 配置为仅在指定的适配器上发送和接收 RADIUS 流量。
例如,已安装在 NPS 服务器中的一个网络适配器可能导致网段不包含 RADIUS 客户端,而第二个网络适配器为 NPS 提供指向其已配置 RADIUS 客户端的网络路径。在这种情形中,重要的是引导 NPS 对所有 RADIUS 流量使用第二个网络适配器。
在其他示例中,如果 NPS 服务器已安装三个网络适配器,但是您只希望 NPS 对 RADIUS 流量使用两个适配器,则仅为两个适配器配置端口信息。通过排除第三个适配器的端口配置,阻止 NPS 对 RADIUS 流量使用适配器。
使用网络适配器
若要将 NPS 配置为侦听和发送网络适配器上的 RADIUS 流量,请在 NPS 控制台中网络策略服务器的“属性”对话框中使用以下语法:
- IPv4 流量语法:IPAddress:UDPport,其中 IPAddress 是希望在其上发送 RADIUS 流量的网络适配器上配置的 IPv4 地址,UDPport 是希望用于 RADIUS 身份验证或记帐通讯的 RADIUS 端口号。
- IPv6 流量语法:[IPv6Address]:UDPport,其中 IPv6Address 两边的括号是必需的,IPv6Address 是希望在其上发送 RADIUS 流量的网络适配器上配置的 IPv6 地址,UDPport 是希望用于 RADIUS 身份验证或记帐流量的 RADIUS 端口号。
下列字符可用作配置 IP 地址和 UDP 端口信息的分隔符:
-
地址/端口分隔符:冒号 (:)
-
端口分隔符:逗号 (,)
-
接口分隔符:分号 (;)
配置网络访问服务器
确保网络访问服务器使用与在 NPS 服务器上配置的相同的 RADIUS UDP 端口号配置。RFC 2865 和 2866 中定义的 RADIUS 标准 UDP 端口是用于身份验证的 1812 和用于记帐的 1813;然而,默认情况下某些访问服务器配置为使用用于身份验证请求的 UDP 端口 1645 和用于记帐请求的 UDP 端口 1646。
重要 | |
如果不使用 RADIUS 默认端口号,则必须在本地计算机的防火墙上配置例外,以允许在新端口上进行 RADIUS 流量。有关详细信息,请参阅 NPS 和防火墙。 |
若要完成此过程,至少要具有 Domain Admins 成员身份或同等身份。
指定 NPS 用于 RADIUS 流量的网络适配器和 UDP 端口的步骤 |
打开 NPS 控制台。
右键单击“网络策略服务器”,然后单击“属性”。
单击“端口”选项卡,预先考虑希望将 RADIUS 流量用于现有端口号的网络适配器的 IP 地址。例如,如果希望使用 IP 地址 192.168.1.2 和用于身份验证请求的 RADIUS 端口 1812 和 1645,请将端口设置从 1812,1645 更改为 192.168.1.2:1812,1645。
如果 RADIUS 身份验证和 RADIUS 记帐 UDP 端口与默认值不同,请相应更改端口设置。
若要为身份验证或记帐请求使用多个端口设置,请用逗号分隔端口号。