Configurar políticas de rede
É possível usar este tópico para configurar políticas de rede no NPS.
Adicionar uma política de rede
O NPS (Servidor de Políticas de Rede) usa as políticas de rede e as propriedades de discagem de contas de usuário para determinar se uma solicitação de conexão está autorizada a se conectar à rede.
Você pode usar esse procedimento para configurar uma nova política de rede no console do NPS ou no console de Acesso Remoto.
Execução de autorização
Quando o NPS executa a autorização da solicitação de conexão, ele compara a solicitação a cada política de rede na lista ordenada de políticas, começando pela primeira política e depois passando adiante para a lista de políticas configuradas. Se o NPS encontrar uma política cujas condições correspondam à solicitação de conexão, ele usa a política correspondente e as propriedades de discagem da conta de usuário para autorizar a solicitação. Se as propriedades de discagem da conta de usuário estão configuradas para conceder acesso ou controlar o acesso por meio da política e a solicitação de conexão for autorizada, o NPS aplica as configurações definidas na política de rede para a conexão.
Se o NPS não encontrar uma política de rede correspondente à solicitação de conexão ela será rejeitada, a menos que as propriedades de discagem na conta de usuário sejam definidas para conceder acesso.
Se as propriedades de discagem da conta de usuário estiverem definidas para negar acesso, a solicitação de conexão será rejeitada pelo NPS.
Configurações de chave
Ao usar o assistente de Nova Política de Rede para criar uma política de rede, o valor especificado no método de conexão de rede é usado para configurar automaticamente a condição Tipo de Política:
- Quando você mantem o valor padrão de Não especificado, a política de rede criada é avaliada pelo NPS em todos os tipos de conexão de rede que estão usando qualquer tipo de NAS (servidor de acesso à rede).
- Ao especificar um método de conexão de rede, o NPS avalia a política de rede somente se a solicitação de conexão tiver origem no tipo de servidor de acesso à rede especificado por você.
Na página Permissão de acesso, você deve selecionar Acesso concedido se desejar que a política permita que os usuários se conectem à sua rede. Se desejar que a política impeça que os usuários se conectem à sua rede, selecione Acesso negado.
Se desejar que a permissão de acesso seja determinada pelas propriedades de discagem da conta de usuário no AD DS (Active Directory® Domain Services), marque a caixa de seleção Acesso determinado pelas propriedades de discagem do usuário.
A associação no Admins. do Domínio ou equivalente é o requisito mínimo exigido para concluir este procedimento.
Para adicionar uma política de rede
Abra o console do NPS e clique duas vezes em Políticas.
Na árvore de console, clique com o botão direito do mouse em Políticas de Rede e clique em Novo. O assistente Nova Diretiva de Rede é exibido.
Use o assistente de Nova Política de Rede para criar uma política.
Criar políticas de rede para discagem ou VPN com um assistente
Você pode usar esse procedimento para criar as políticas de solicitação de conexão e as políticas de rede necessárias para implantar servidores de discagem e servidores de VPN (rede virtual privada) como clientes RADIUS (Remote Authentication Dial-In User Service) no servidor RADIUS do NPS.
Observação
Computadores cliente, como laptops sem fio e outros computadores que executam sistemas operacionais cliente, não são clientes RADIUS. Os clientes RADIUS são servidores de acesso à rede, assim como os pontos de acesso sem fio, os comutadores de autenticação 802.1 X, os servidores de VPN e servidores de discagem, porque usam o protocolo RADIUS para se comunicar com servidores RADIUS, como o NPSs.
Este procedimento explica como abrir o assistente de Nova Discagem ou de Conexões de Rede Virtual Privada no NPS.
Depois de executar o assistente, as seguintes políticas são criadas:
- Uma política de solicitação de conexão
- Uma política de rede
Você pode executar o assistente de Nova Discagem ou de Conexões de Rede Virtual Privada sempre que precisar criar novas políticas para servidores de discagem e servidores VPN.
Executar o assistente de Nova Discagem ou de Conexões de Rede Virtual Privada não é a única etapa necessária para implantar servidores de discagem ou de VPN como clientes RADIUS no NPS. Os dois métodos de acesso à rede exigem que você implante componentes adicionais de hardware e software.
A associação no Admins. do Domínio ou equivalente é o requisito mínimo exigido para concluir este procedimento.
Para criar políticas para discagem ou VPN com um assistente
Abra o console do NPS. Se ainda não estiver selecionado, clique em NPS (local). Se desejar criar políticas em um NPS remoto, selecione o servidor.
Em Introdução e Configuração Padrão, selecione Servidor RADIUS para Conexões de discagem ou VPN. O texto e os vínculos sob o texto mudam como consequência da sua seleção.
Clique em Configurar VPN ou Discagem com um assistente. O assistente de Conexões de Rede Virtual Privada ou Nova Discagem é aberto.
Siga as instruções no assistente para concluir a criação de suas novas políticas.
Criar políticas de rede para 802.1X com fio ou sem fio com um assistente
Você pode usar esse procedimento para criar a política de solicitação de conexão e a política de rede necessárias para implantar os comutadores de autenticação 802.1X ou pontos de acesso sem fio compatíveis com 802.1X como clientes RADIUS no servidor RADIUS do NPS.
Este procedimento explica como iniciar o assistente de Novas Conexões Seguras com fio e sem fio de IEEE 802.1X no NPS.
Depois de executar o assistente, as seguintes políticas são criadas:
- Uma política de solicitação de conexão
- Uma política de rede
Você pode executar o assistente Novas Conexões Com Fio e Sem Fio Seguras IEEE 802.1X sempre que precisar criar novas políticas para acesso 802.1X.
Executar o assistente de Novas Conexões Seguras com fio e sem fio de IEEE 802.1X não é a única etapa necessária para implantar os comutadores de autenticação 802.1X e pontos de acesso sem fio como clientes RADIUS no NPS. Os dois métodos de acesso à rede exigem que você implante componentes adicionais de hardware e software.
A associação no Admins. do Domínio ou equivalente é o requisito mínimo exigido para concluir este procedimento.
Para criar políticas para 802.1X com fio ou sem fio com um assistente
No NPS, no Gerenciador do Servidor, clique em Ferramentas e em Servidor de Políticas de Rede. O console do NPS é aberto.
Se ainda não estiver selecionado, clique em NPS (local). Se desejar criar políticas em um NPS remoto, selecione o servidor.
Em Introdução e Configuração Padrão, selecione Servidor RADIUS para Conexões sem fio ou com fio 802.1X. O texto e os vínculos sob o texto mudam como consequência da sua seleção.
Clique em Configurar 802.1X usando um assistente. O assistente de Novas Conexões Seguras com fio e sem fio de IEEE 802.1X é aberto.
Siga as instruções no assistente para concluir a criação de suas novas políticas.
Configurar o NPS para ignorar as propriedades de discagem da conta de usuário
Use este procedimento para configurar uma política de rede NPS para ignorar as propriedades de discagem de contas de usuário no Active Directory durante o processo de autorização. As contas de usuário nos Usuários e Computadores do Active Directory têm propriedades de discagem avaliadas pelo NPS durante o processo de autorização, a menos que a propriedade Permissão de acesso à rede da conta de usuário seja definida como Controlar o acesso por meio da política de rede do NPS.
Há duas circunstâncias nas quais você pode querer configurar o NPS para ignorar as propriedades de discagem das contas de usuário no Active Directory:
Quando você deseja simplificar a autorização do NPS usando a política de rede, mas nem todas as suas contas de usuário têm a propriedade Permissão de acesso à rede definida como Controlar o acesso por meio da política de rede do NPS. Por exemplo, algumas contas de usuário podem ter a propriedade Permissão de acesso à rede da conta de usuário definida como Negar acesso ou Permitir acesso.
Quando outras propriedades discadas de contas de usuário não são aplicáveis ao tipo de conexão configurado na política de rede. Por exemplo, propriedades diferentes de configuração de Permissão de acesso à rede são aplicáveis apenas a conexões de discagem ou VPN, mas a política de rede que você está criando é para conexões sem fio ou de comutadores de autenticação.
Você pode usar esse procedimento para configurar o NPS para ignorar as propriedades de discagem da conta de usuário. Se uma solicitação de conexão corresponder à política de rede em que essa caixa de seleção está selecionada, o NPS não usará as propriedades de discagem da conta de usuário para determinar se o usuário ou o computador está autorizado a acessar a rede, somente as configurações na política de rede são usadas para determinar a autorização.
Associação em Administradores, ou equivalente, é o mínimo necessário para concluir esse procedimento.
No NPS, no Gerenciador do Servidor, clique em Ferramentas e em Servidor de Políticas de Rede. O console do NPS é aberto.
Clique duas vezes em Políticas, clique em Políticas de rede e, no painel de detalhes, clique duas vezes na política que você deseja configurar.
Na caixa de diálogo Propriedades da política, na guia Visão geral, em Permissão de acesso, marque a caixa de seleção Ignorar propriedades de discagem da conta de usuário e clique em OK.
Para configurar o NPS para ignorar as propriedades de discagem da conta de usuário
Configurar NPS para VLANs
Usando servidores de acesso à rede com reconhecimento de VLAN e NPS no Windows Server 2016, você pode fornecer aos grupos de usuários acesso somente aos recursos de rede apropriados as permissões de segurança deles. Por exemplo, você pode fornecer aos visitantes acesso sem fio à Internet sem permitir que eles acessem a rede da sua organização.
Além disso, os VLANs permitem agrupar logicamente os recursos de rede existentes em locais físicos diferentes ou em sub-redes físicas diferentes. Por exemplo, os membros do departamento de vendas e os recursos de rede deles, como computadores cliente, servidores e impressoras, podem estar localizados em vários edifícios diferentes em sua organização, mas você pode posicionar todos esses recursos em uma VLAN que usa o mesmo intervalo de endereços IP. Em seguida, a VLAN funciona, da perspectiva do usuário final, como uma única sub-rede.
Você também pode usar VLANs quando desejar separar uma rede entre diferentes grupos de usuários. Depois de determinar como deseja definir seus grupos, você pode criar grupos de segurança no snap-in de Usuários e Computadores do Active Directory e, em seguida, adicionar membros aos grupos.
Configurar uma política de rede para VLANs
Você pode usar esse procedimento para configurar uma política de rede que atribui usuários a uma VLAN. Ao usar hardware de rede com reconhecimento de VLAN, como roteadores, comutadores e controladores de acesso, você pode configurar a política de rede para instruir os servidores de acesso a colocar membros de grupos específicos do Active Directory em VLANs específicas. Essa capacidade de agrupar recursos de rede logicamente com VLANs fornece flexibilidade ao projetar e implementar soluções de rede.
Ao definir as configurações de uma política de rede NPS para uso com VLANs, você deve definir os atributos Tunnel-Medium-Type, Tunnel-Pvt-Group-ID, Tunnel-Type e Tunnel-Tag.
Este procedimento é fornecido como uma diretriz e sua configuração de rede pode exigir configurações diferentes daquelas descritas abaixo.
Associação em Administradores, ou equivalente, é o mínimo necessário para concluir esse procedimento.
Para configurar uma política de rede para VLANs
No NPS, no Gerenciador do Servidor, clique em Ferramentas e em Servidor de Políticas de Rede. O console do NPS é aberto.
Clique duas vezes em Políticas, clique em Políticas de rede e, no painel de detalhes, clique duas vezes na política que você deseja configurar.
Na caixa de diálogo de Propriedades da política, clique na guia Configurações.
Em Propriedades da política, em Configurações, em Atributos RADIUS, verifique se Padrão está selecionado.
No painel de detalhes, em Atributos, o atributo Tipo de serviço é configurado com um valor padrão de Framed. Por padrão, para políticas com métodos de acesso de VPN e discagem, o atributo Framed-Protocol é configurado com um valor de PPP. Para especificar atributos de conexão adicionais necessários para VLANs, clique em Adicionar. A caixa de diálogo Adicionar Atributo RADIUS Padrão é aberta.
Em Adicionar Atributo RADIUS Padrão, em Atributos, role para baixo e adicione os seguintes atributos:
Tunnel-Medium-Type. Selecione um valor apropriado para as seleções anteriores que você fez para a política. Por exemplo, se a política de rede que você está configurando for uma política sem fio, selecione Valor: 802 (Inclui todas as 802 mídias mais o formato canônico da Ethernet).
Tunnel-Pvt-Group-ID. Insira o inteiro que representa o número da VLAN ao qual os membros do grupo serão atribuídos.
Tunnel-Type. Selecione as LANs virtuais (VLAN).
Em Adicionar Atributo RADIUS Padrão, clique em Fechar.
Se o NAS exigir o uso do atributo Tunnel-Tag, use as etapas a seguir para adicionar o atributo Tunnel-Tag à política de rede. Se a documentação do NAS não mencionar esse atributo, não adicione-o à política. Se necessário, adicione os atributos da seguinte maneira:
Em Propriedades da política, em Configurações, em Atributos RADIUS, clique em Específico do fornecedor.
No painel de detalhes, clique em Adicionar. A caixa de diálogo Adicionar Atributo Específico do Fornecedor é aberta.
Em Atributos, role para baixo e selecione Tunnel-Tag e clique em Adicionar. A caixa de diálogo Informações de Atributo é aberta.
Em Valor do atributo, digite o valor obtido na documentação de hardware.
Configurar o tamanho da carga do EAP
Em alguns casos, roteadores ou firewalls descartam pacotes porque estão configurados para descartar pacotes que exigem fragmentação.
Quando você implanta o NPS com políticas de rede que usam o Protocolo de Autenticação Extensível (EAP) com TLS (protocolo TLS) ou EAP-TLS, como um método de autenticação, a MTU (unidade de transmissão máxima) padrão que o NPS usa para cargas EAP é de 1500 bytes.
Esse tamanho máximo para o conteúdo EAP pode criar mensagens RADIUS que exigem fragmentação por um roteador ou firewall entre o NPS e um cliente RADIUS. Se esse for o caso, um roteador ou firewall posicionado entre o cliente RADIUS e o NPS pode descartar silenciosamente alguns fragmentos, resultando em falha de autenticação e na incapacidade do cliente de acesso de se conectar à rede.
Use o procedimento a seguir para reduzir o tamanho máximo que o NPS usa para cargas EAP ajustando o atributo Framed-MTU em uma política de rede para um valor de até 1344.
Associação em Administradores, ou equivalente, é o mínimo necessário para concluir esse procedimento.
Para configurar o atributo Framed-MTU
No NPS, no Gerenciador do Servidor, clique em Ferramentas e em Servidor de Políticas de Rede. O console do NPS é aberto.
Clique duas vezes em Políticas, clique em Políticas de rede e, no painel de detalhes, clique duas vezes na política que você deseja configurar.
Na caixa de diálogo de Propriedades da política, clique na guia Configurações.
Em Configurações, em Atributos RADIUS, clique em Padrão. No painel de detalhes, clique em Adicionar. A caixa de diálogo Adicionar Atributo RADIUS Padrão é aberta.
Em Atributos, role para baixo e clique em Framed-MTU e clique em Adicionar. A caixa de diálogo Informações de Atributo é aberta.
Em Valor do Atributo, digite um valor igual ou menor que 1344. Clique em OK, em Fechar e, em seguida, clique em OK.
Para obter mais informações sobre políticas de rede, consulte Políticas de rede.
Para obter exemplos de sintaxe de correspondência de padrões para especificar atributos de política de rede, consulte Usar expressões regulares no NPS.
Para obter mais informações sobre o NPS, confira NPS (Servidor de Políticas de Rede).