Processamento de solicitações de conexão

Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016

Você pode usar este tópico para saber mais sobre o processamento de solicitação de conexão no Servidor de Políticas de Rede no Windows Server 2016.

Observação

Além deste tópico, estão disponíveis as documentações de processamento de solicitação de conexão abaixo.

• Políticas de solicitação de conexão
• Nomes de realm
• Grupos de servidores RADIUS remotos

Você pode usar o processamento de solicitação de conexão para especificar onde a autenticação de solicitações de conexão é executada: no computador local ou em um servidor RADIUS remoto que é membro de um grupo de servidores RADIUS remoto.

Se você quiser que o servidor local que executa o NPS (Servidor de Política de Rede) execute a autenticação para solicitações de conexão, poderá usar a política de solicitação de conexão padrão sem configuração adicional. Com base na política padrão, o NPS autentica usuários e computadores que têm uma conta no domínio local e em domínios confiáveis.

Se você quiser encaminhar solicitações de conexão a um NPS remoto ou outro servidor RADIUS, crie um grupo de servidores RADIUS remoto e configure uma política de solicitação de conexão que encaminhe solicitações a esse grupo remoto de servidores RADIUS. Com essa configuração, o NPS pode encaminhar solicitações de autenticação a qualquer servidor RADIUS e os usuários com contas em domínios não confiáveis podem ser autenticados.

A ilustração a seguir mostra o caminho de uma mensagem Access-Request de um servidor de acesso à rede para um proxy RADIUS e, em seguida, para um servidor RADIUS em um grupo de servidores RADIUS remoto. No proxy RADIUS, o servidor de acesso à rede é configurado como um cliente RADIUS e, em cada servidor RADIUS, o proxy RADIUS é configurado como um cliente RADIUS.

Observação

Os servidores de acesso à rede que você usa com o NPS podem ser dispositivos de gateway compatíveis com o protocolo RADIUS, como pontos de acesso sem fio 802.1X e comutadores de autenticação, servidores que executam o Acesso Remoto configurados como servidores VPN ou de discagem ou outros dispositivos compatíveis com RADIUS.

Se você quiser que o NPS processe algumas solicitações de autenticação localmente enquanto encaminha outras solicitações a um grupo de servidores RADIUS remoto, configure mais de uma política de solicitação de conexão.

Para configurar uma política de solicitação de conexão que especifica quais grupos de servidores NPS ou RADIUS processam solicitações de autenticação, confira Políticas de Solicitação de Conexão.

Para especificar NPS ou outros servidores RADIUS aos quais as solicitações de autenticação são encaminhadas, confira Grupos de Servidores RADIUS Remotos.

NPS como processamento de solicitação de conexão de servidor RADIUS

Quando você usa o NPS como um servidor RADIUS, as mensagens RADIUS fornecem autenticação, autorização e contabilização a conexões de acesso à rede da seguinte maneira:

1. Servidores de acesso, por exemplo, servidores de acesso à rede discada, servidores VPN e pontos de acesso sem fio recebem solicitações de conexão de clientes de acesso.

2. O servidor de acesso, configurado para usar RADIUS como o protocolo de autenticação, autorização e contabilização, cria uma mensagem Access-Request e a envia ao NPS.

3. O NPS avalia a mensagem Access-Request.

4. Se necessário, o NPS envia uma mensagem Access-Challenge para o servidor de acesso. O servidor de acesso processa o desafio e envia uma Access-Request atualizada para o NPS.

5. As credenciais do usuário são verificadas e as propriedades discadas da conta de usuário são obtidas por meio de uma conexão segura com um controlador de domínio.

6. A tentativa de conexão é autorizada com as propriedades discadas da conta de usuário e das políticas de rede.

7. Se a tentativa de conexão for autenticada e autorizada, o NPS enviará uma mensagem Access-Accept para o servidor de acesso. Se a tentativa de conexão não for autenticada nem autorizada, o NPS enviará uma mensagem Access-Reject para o servidor de acesso.

8. O servidor de acesso conclui o processo de conexão com o cliente de acesso e envia uma mensagem Accounting-Request para o NPS, na qual a mensagem está registrada.

9. O NPS envia uma Accounting-Response para o servidor de acesso.

Observação

O servidor de acesso também envia mensagens Accounting-Request durante o tempo em que a conexão está estabelecida, quando a conexão do cliente de acesso é fechada e quando o servidor de acesso é iniciado e interrompido.

NPS como processamento de solicitação de conexão de proxy RADIUS

Quando o NPS é usado como um proxy RADIUS entre um cliente RADIUS e um servidor RADIUS, as mensagens RADIUS de tentativas de conexão de acesso à rede são encaminhadas da seguinte maneira:

1. Servidores de acesso, por exemplo, servidores de acesso à rede discada, servidores VPN (rede privada virtual) e pontos de acesso sem fio recebem solicitações de conexão de clientes de acesso.

2. O servidor de acesso, configurado para usar RADIUS como o protocolo de autenticação, autorização e contabilização, cria uma mensagem Access-Request e a envia ao NPS que está sendo usado como proxy RADIUS do NPS.

3. O proxy RADIUS do NPS recebe a mensagem Access-Request e, com base nas políticas de solicitação de conexão configuradas localmente, determina para onde encaminhar a mensagem Access-Request.

4. O proxy RADIUS do NPS encaminha a mensagem Access-Request para o servidor RADIUS apropriado.

5. O servidor RADIUS avalia a mensagem Access-Request.

6. Se necessário, o servidor RADIUS envia uma mensagem Access-Challenge para o proxy RADIUS do NPS, no qual ela é encaminhada para o servidor de acesso. O servidor de acesso processa o desafio com o cliente de acesso e envia uma Access-Request atualizada para o proxy RADIUS do NPS, no qual ela é encaminhada para o servidor RADIUS.

7. O servidor RADIUS autentica e autoriza a tentativa de conexão.

8. Se a tentativa de conexão for autenticada e autorizada, o servidor RADIUS enviará uma mensagem Access-Accept para o proxy RADIUS do NPS, no qual ela será encaminhada para o servidor de acesso. Se a tentativa de conexão não for autenticada ou não for autorizada, o servidor RADIUS enviará uma mensagem Access-Accept para o proxy RADIUS do NPS, no qual ela será encaminhada para o servidor de acesso.

9. O servidor de acesso conclui o processo de conexão com o cliente de acesso e envia uma mensagem Accounting-Request para o proxy RADIUS do NPS. O proxy RADIUS do NPS registra em log os dados contábeis e encaminha a mensagem para o servidor RADIUS.

10. O servidor RADIUS envia uma Accounting-Response para o proxy RADIUS do NPS, onde ela é encaminhada para o servidor de acesso.

Para obter mais informações sobre o NPS, confira NPS (Servidor de Políticas de Rede).