Elaborazione richiesta di connessione

È possibile usare questo argomento per informazioni sull'elaborazione delle richieste di connessione in Server dei criteri di rete in Windows Server 2016.

È possibile utilizzare l'elaborazione delle richieste di connessione per specificare dove viene eseguita l'autenticazione delle richieste di connessione, nel computer locale o in un server RADIUS remoto membro di un gruppo di server RADIUS remoto.

Se si vuole che il server locale che esegue Server dei criteri di rete (NPS) esegua l'autenticazione per le richieste di connessione, è possibile usare i criteri di richiesta di connessione predefiniti senza ulteriori configurazioni. In base ai criteri predefiniti, NPS autentica gli utenti e i computer che dispongono di un account nel dominio locale e nei domini attendibili.

Se si desidera inoltrare le richieste di connessione a un server NPS remoto o a un altro server RADIUS, creare un gruppo di server RADIUS remoto e quindi configurare un criterio di richiesta di connessione che inoltra le richieste a tale gruppo di server RADIUS remoto. Con questa configurazione, NPS può inoltrare le richieste di autenticazione a qualsiasi server RADIUS e gli utenti con account in domini non attendibili possono essere autenticati.

Nella figura seguente viene illustrato il percorso di un messaggio di richiesta di accesso da un server di accesso di rete a un proxy RADIUS e quindi su un server RADIUS in un gruppo di server RADIUS remoto. Nel proxy RADIUS il server di accesso alla rete è configurato come client RADIUS; e in ogni server RADIUS, il proxy RADIUS viene configurato come client RADIUS.

Se si vuole che NPS elabori alcune richieste di autenticazione in locale durante l'inoltro di altre richieste a un gruppo di server RADIUS remoto, configurare più criteri di richiesta di connessione.

Per configurare criteri di richiesta di connessione che specificano gli NPS o i gruppi di server RADIUS che elaborano le richieste di autenticazione, vedere Connessione criteri di richiesta.

Per specificare l'NPS o altri server RADIUS a cui vengono inoltrate le richieste di autenticazione, vedere Gruppi di server RADIUS remoti.

Elaborazione delle richieste di connessione server RADIUS come server NPS

Quando si usa NPS come server RADIUS, i messaggi RADIUS forniscono l'autenticazione, l'autorizzazione e la contabilità delle connessioni di accesso alla rete nel modo seguente:

1. Accedere ai server, ad esempio server di accesso alla rete remota, server VPN e punti di accesso wireless, ricevere richieste di connessione dai client di accesso.

2. Il server di accesso, configurato per l'uso di RADIUS come protocollo di autenticazione, autorizzazione e accounting, crea un messaggio di richiesta di accesso e lo invia a NPS.

3. NPS valuta il messaggio di richiesta di accesso.

4. Se necessario, NPS invia un messaggio Access-Challenge al server di accesso. Il server di accesso elabora la richiesta di verifica e invia una richiesta di accesso aggiornata a NPS.

5. Le credenziali utente vengono controllate e le proprietà di accesso esterno dell'account utente vengono ottenute usando una connessione sicura a un controller di dominio.

6. Il tentativo di connessione è autorizzato sia con le proprietà di accesso esterno dell'account utente che con i criteri di rete.

7. Se il tentativo di connessione è sia autenticato che autorizzato, il server dei criteri di rete invia un messaggio Access-Accept al server di accesso. Se il tentativo di connessione non è autenticato o non è autorizzato, il server dei criteri di rete invia un messaggio access-Reject al server di accesso.

8. Il server di accesso completa il processo di connessione con il client di accesso e invia un messaggio Accounting-Request a NPS, in cui viene registrato il messaggio.

9. NPS invia una risposta accounting al server di accesso.

Elaborazione delle richieste di connessione proxy RADIUS come server NPS

Quando server dei criteri di rete viene usato come proxy RADIUS tra un client RADIUS e un server RADIUS, i messaggi RADIUS per i tentativi di connessione di accesso alla rete vengono inoltrati nel modo seguente:

1. I server di accesso, ad esempio i server di accesso remoto alla rete, i server VPN (Virtual Private Network) e i punti di accesso wireless, ricevono richieste di connessione dai client di accesso.

2. Il server di accesso, configurato per l'uso di RADIUS come protocollo di autenticazione, autorizzazione e accounting, crea un messaggio di richiesta di accesso e lo invia al server dei criteri di rete usato come proxy RADIUS NPS.

3. Il proxy RADIUS NPS riceve il messaggio Access-Request e, in base ai criteri di richiesta di connessione configurati in locale, determina dove inoltrare il messaggio Di richiesta di accesso.

4. Il proxy RADIUS NPS inoltra il messaggio Access-Request al server RADIUS appropriato.

5. Il server RADIUS valuta il messaggio Access-Request.

6. Se necessario, il server RADIUS invia un messaggio Access-Challenge al proxy RADIUS NPS, in cui viene inoltrato al server di accesso. Il server di accesso elabora la richiesta di verifica con il client di accesso e invia una richiesta di accesso aggiornata al proxy RADIUS NPS, in cui viene inoltrata al server RADIUS.

7. Il server RADIUS autentica e autorizza il tentativo di connessione.

8. Se il tentativo di connessione è autenticato e autorizzato, il server RADIUS invia un messaggio di accettazione dell'accesso al proxy RADIUS NPS, dove viene inoltrato al server di accesso. Se il tentativo di connessione non è autenticato o non è autorizzato, il server RADIUS invia un messaggio access-Reject al proxy RADIUS NPS, in cui viene inoltrato al server di accesso.

9. Il server di accesso completa il processo di connessione con il client di accesso e invia un messaggio Accounting-Request al proxy RADIUS NPS. Il proxy RADIUS NPS registra i dati contabili e inoltra il messaggio al server RADIUS.

10. Il server RADIUS invia un oggetto Accounting-Response al proxy RADIUS NPS, in cui viene inoltrato al server di accesso.

Per maggiori informazioni su NPS, consultare la sezione Server dei criteri di rete (NPS).