Настройка сервера политики сети на компьютере с доступом к нескольким сетям

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016

С помощью этого раздела можно настроить NPS с несколькими сетевыми адаптерами.

При использовании нескольких сетевых адаптеров на сервере, на котором выполняется сервер политики сети (NPS), можно настроить следующие параметры.

  • Сетевые адаптеры, которые выполняют и не отправляют и не получают трафик протокол RADIUS (RADIUS).
  • Для каждого сетевого адаптера, независимо от того, наблюдает ли NPS трафик RADIUS в протоколах IP версии 4 (IPv4), IPv6 или как IPv4, так и IPv6.
  • Номера UDP-портов, по которым трафик RADIUS отправляется и получается по протоколу (IPv4 или IPv6), отдельно для каждого сетевого адаптера.

По умолчанию NPS прослушивает трафик RADIUS на портах 1812, 1813, 1645 и 1646 для IPv6 и IPv4 для всех установленных сетевых адаптеров. Так как NPS автоматически использует все сетевые адаптеры для трафика RADIUS, необходимо указать только те сетевые адаптеры, которые должны использоваться сервером политики сети для трафика RADIUS, если вы хотите запретить серверу политики сети использовать конкретный сетевой адаптер.

Примечание

При удалении IPv4 или IPv6 на сетевом адаптере NPS не отслеживает трафик RADIUS для неустановленного протокола.

На сервере политики сети, где установлено несколько сетевых адаптеров, может потребоваться настроить сервер политики сети для отправки и получения трафика RADIUS только на указанных адаптерах.

Например, один сетевой адаптер, установленный в NPS, может привести к сегменту сети, который не содержит клиентов RADIUS, а второй сетевой адаптер предоставляет NPS с сетевым путем к настроенным клиентам RADIUS. В этом сценарии важно перенаправить NPS для использования второго сетевого адаптера для всего трафика RADIUS.

В другом примере, если на сервере политики сети установлено три сетевых адаптера, но вы хотите, чтобы NPS использовала только два адаптера для трафика RADIUS, можно настроить сведения о портах только для двух адаптеров. За счет исключения конфигурации портов для третьего адаптера NPS не сможет использовать адаптер для трафика RADIUS.

Использование сетевого адаптера

Чтобы настроить NPS для прослушивания и отправки RADIUS-трафика на сетевом адаптере, используйте следующий синтаксис в диалоговом окне Свойства сервера политики сети в консоли NPS:

  • Синтаксис трафика IPv4: IPAddress: Удппорт, где IPAddress — это IPv4-адрес, настроенный на сетевом адаптере, для которого требуется отправить трафик RADIUS, а Удппорт — номер порта RADIUS, который требуется использовать для проверки подлинности RADIUS или трафика учета.
  • Синтаксис IPv6-трафика: [IPv6Address]: Удппорт, где требуются квадратные скобки вокруг IPv6Address, IPv6Address — это IPv6-адрес, настроенный на сетевом адаптере, для которого требуется отправить трафик RADIUS, а Удппорт — номер порта RADIUS, который требуется использовать для проверки подлинности RADIUS или трафика учета.

Следующие символы могут использоваться в качестве разделителей для настройки IP-адреса и порта UDP.

  • Разделитель адресов и портов: двоеточие (:)
  • Разделитель портов: запятая (,)
  • Разделитель интерфейса: точка с запятой (;)

Настройка серверов сетевого доступа

Убедитесь, что серверы сетевого доступа настроены с использованием одинаковых номеров UDP-портов RADIUS, настроенных в НПСС. Стандартные UDP-порты RADIUS, определенные в RFC 2865 и 2866, являются 1812 для проверки подлинности и 1813 для бухгалтерского учета. Однако некоторые серверы доступа настроены по умолчанию для использования UDP-порта 1645 для запросов проверки подлинности и UDP-порта 1646 для запросов учета.

Важно!

Если вы не используете номера портов RADIUS по умолчанию, необходимо настроить на брандмауэре исключения для локального компьютера, чтобы разрешить трафик RADIUS на новых портах. Дополнительные сведения см. в статье Настройка брандмауэров для трафика RADIUS.

Настройка многосетевого сервера политики сети

Для настройки многосетевого сервера политики сети можно использовать следующую процедуру.

Членство в группе Администраторы домена или эквивалентной является минимальным требованием для выполнения данной процедуры.

Указание сетевого адаптера и UDP-портов, используемых NPS для трафика RADIUS

  1. В диспетчере сервера щелкните Сервис, а затем щелкните сервер политики сети , чтобы открыть консоль NPS.

  2. Щелкните правой кнопкой мыши сервер политики сетии выберите пункт свойства.

  3. Перейдите на вкладку порты и в начале IP-адреса сетевого адаптера, который вы хотите использовать для трафика RADIUS, к существующим номерам портов. Например, если вы хотите использовать IP-адрес 192.168.1.2 и порты RADIUS 1812 и 1645 для запросов проверки подлинности, измените параметр порта с 1812, 1645 на 192.168.1.2:1812, 1645. Если проверка подлинности RADIUS и UDP-порты учета RADIUS отличаются от значений по умолчанию, измените параметры порта соответствующим образом.

  4. Чтобы использовать несколько параметров портов для проверки подлинности или запросов учета, разделяйте номера портов запятыми.

Дополнительные сведения о UDP-портах NPS см. в разделе Настройка сведений о UDP-портах NPS.

Дополнительные сведения о NPS см. в разделе сервер политики сети .