Jeśli na serwerze zasad sieciowych (NPS, Network Policy Server) jest używana duża liczba kart sieciowych, można skonfigurować następujące ustawienia:
-
możliwość wysyłania i odbierania ruchu usługi RADIUS (Remote Authentication Dial-In User Service) przez poszczególne karty sieciowe;
-
protokół odpowiedzialny za monitorowanie ruchu usługi RADIUS na serwerze NPS na poszczególnych kartach sieciowych (może to być protokół IP w wersji 4, IPv4, protokół IPv6 lub oba te protokoły);
-
numery portów UDP, przez które ruch usługi RADIUS jest wysyłany oraz odbierany - na poziomie protokołu (IPv4 lub IPv6) i na poziomie karty sieciowej.
Domyślnie serwer NPS nasłuchuje ruchu usługi RADIUS na portach 1812, 1813, 1645 i 1646 dla protokołów IPv6 i IPv4 dla wszystkich zainstalowanych kart sieciowych. Ruch usługi RADIUS na serwerze NPS jest automatycznie obsługiwany przy użyciu wszystkich kart sieciowych, dlatego karty sieciowe, za pomocą których ma być obsługiwany ruch usługi RADIUS, należy określić tylko wtedy, gdy istnieje karta sieciowa, której serwer NPS ma nie używać w tym celu.
 | Uwaga |
|
Odinstalowanie protokołu IPv4 lub IPv6 dla danej karty sieciowej spowoduje zatrzymanie monitorowania ruchu usługi RADIUS na serwerze NPS dla odinstalowanego protokołu. |
Serwer NPS, na którym zainstalowano wiele kart sieciowych, warto skonfigurować tak, aby ruch usługi RADIUS był wysyłany i odbierany tylko przy użyciu określonych kart sieciowych.
Jedna karta zainstalowana na serwerze NPS może na przykład prowadzić do segmentu sieci, w którym nie ma klientów usługi RADIUS, a druga karta sieciowa może prowadzić do ścieżki sieciowej ze skonfigurowanymi klientami usługi RADIUS. Ważnym elementem tego scenariusza jest kierowanie całego ruchu usługi RADIUS na serwerze NPS do drugiej karty sieciowej.
Jeśli z kolei na serwerze NPS zainstalowano trzy karty sieciowe, lecz do obsługi ruchu usługi RADIUS mają być używane tylko dwie z nich, informacje o portach należy skonfigurować tylko dla tych dwóch kart. Wykluczenie konfiguracji portów dla trzeciej karty sieciowej uniemożliwia obsługę ruchu usługi RADIUS przy użyciu tej karty.
Korzystanie z karty sieciowej
Aby skonfigurować serwer NPS w celu nasłuchiwania i wysyłania ruchu usługi RADIUS przy użyciu danej karty sieciowej, należy użyć następującej składni w oknie dialogowym Właściwości serwera zasad sieciowych w konsoli serwera NPS:
- Składnia ruchu protokołu IPv4: adres_IP:port_UDP, gdzie parametr adres_IP odpowiada adresowi IPv4 skonfigurowanemu dla karty sieciowej, przy użyciu której ma być wysyłany ruch usługi RADIUS, a parametr port_UDP odpowiada numerowi portu usługi RADIUS, który ma być używany do uwierzytelniania usługi RADIUS lub ewidencjonowania aktywności ruchu.
- Składnia ruchu protokołu IPv6: [adres_IPv6]:port_UDP, gdzie nawiasy kwadratowe, w które ujęto parametr adres_IPv6, są wymagane, parametr adres_IPv6 odpowiada adresowi IPv6 skonfigurowanemu dla karty sieciowej, przy użyciu której ma być wysyłany ruch usługi RADIUS, a parametr port_UDP odpowiada numerowi portu usługi RADIUS, który ma być używany do uwierzytelniania usługi RADIUS lub ewidencjonowania aktywności ruchu.
Podczas konfiguracji adresu IP oraz informacji o portach UDP jako ograniczników można używać następujących znaków:
-
Ogranicznik adresów/portów: dwukropek (:)
-
Ogranicznik portów: przecinek (,)
-
Ogranicznik interfejsów: średnik (;)
Konfigurowanie serwerów dostępu do sieci
Na serwerach dostępu do sieci należy skonfigurować takie same numery portów UDP usługi RADIUS co na serwerach NPS. Standardowe porty UDP zdefiniowane dla usługi RADIUS w dokumentach RFC 2865 i 2866 mają numery 1812 dla uwierzytelniania oraz 1813 dla ewidencjonowania aktywności. Jednak na niektórych serwerach dostępu do sieci domyślnie skonfigurowane porty UDP mają numery 1645 dla żądań uwierzytelniania oraz 1646 dla żądań ewidencjonowania aktywności.
 | Ważne |
|
Jeśli nie są używane domyślne numery portów usługi RADIUS, w zaporze należy skonfigurować wyjątki dotyczące komputera lokalnego w celu zezwolenia na ruch usługi RADIUS na nowych portach. Aby uzyskać więcej informacji, zobacz temat Serwer zasad sieciowych i zapory. |
Minimalnym wymaganiem do wykonania tej procedury jest członkostwo w grupie Administratorzy domeny lub równoważnej.
 | Aby określić kartę sieciową i porty UDP używane do obsługi ruchu usługi RADIUS na serwerze NPS |
Otwórz konsolę serwera NPS.
Kliknij prawym przyciskiem myszy pozycję Serwer zasad sieciowych, a następnie kliknij polecenie Właściwości.
Kliknij kartę Porty i przed istniejącymi numerami portów wpisz adres IP karty sieciowej, przy użyciu której ma być obsługiwany ruch usługi RADIUS. Jeśli na przykład ma być używany adres IP 192.168.1.2 i porty usługi RADIUS o numerach 1812 i 1645 dla żądań uwierzytelniania, należy zmienić ustawienie portu z wartości 1812,1645 na wartość 192.168.1.2:1812,1645.
Jeśli porty UDP dotyczące uwierzytelniania usługi RADIUS i ewidencjonowania aktywności usługi RADIUS różnią się od wartości domyślnych, należy zmienić odpowiednio ustawienia portów.
Aby dla żądań uwierzytelniania lub ewidencjonowania aktywności użyć wielu ustawień portów, należy oddzielić numery portów przecinkami.