NPS (Servidor de Políticas de Rede)

Use este tópico para obter uma visão geral do Servidor de Políticas de Rede no Windows Server 2016 e no Windows Server 2019. O NPS é instalado junto com a instalação do recurso NPAS (Serviços de Acesso e Política de Rede) no Windows Server 2016 e no Server 2019.

O Servidor de Políticas de Rede (NPS) permite que você crie e aplique políticas de acesso de rede em toda a organização para autenticação e autorização de solicitações de conexão.

Você também pode configurar o NPS como um proxy RADIUS (Remote Authentication Dial-In User Service) para encaminhar solicitações de conexão para um NPS remoto ou outro servidor RADIUS para balancear a carga das solicitações de conexão e encaminhá-las ao domínio correto para autenticação e autorização.

O NPS permite a configuração e a gestão centralizada da autenticação, autorização e contabilização dos acessos à rede usando os recursos:

  • Servidor RADIUS. O NPS executa processos centralizados de autenticação, autorização e contabilização para conexões sem fio, alternância de autenticação, acesso remoto por conexão discada e conexões VPN (Rede Privada Virtual). Ao usar o NPS como servidor RADIUS, você configura servidores de acesso à rede (como pontos de acesso sem fio e servidores VPN) como clientes RADIUS no NPS. Você também configura as políticas de rede que o NPS usa para autorizar solicitações de conexão. Você pode configurar a contabilização RADIUS para que o NPS registre as informações de contabilização em arquivos de log no disco rígido local ou em um banco de dados do Microsoft SQL Server. Para obter mais informações, confira Servidor RADIUS.
  • Proxy RADIUS. Ao usar o NPS como um proxy RADIUS, você configura políticas de solicitação de conexão que informam ao servidor NPS quais solicitações de conexão devem ser encaminhadas a outros servidores RADIUS e vice-versa. Também é possível configurar o NPS para que encaminhe dados contábeis a serem registrados por um ou mais computadores de um grupo de servidores RADIUS remotos. Para configurar o NPS como um servidor proxy RADIUS, veja os próximos tópicos. Para obter mais informações, confira Servidor RADIUS.
  • Contabilização RADIUS. Você pode configurar o NPS para registrar eventos em um arquivo de log local ou em uma instância local ou remota do Microsoft SQL Server. Para obter mais informações, confira Registro de NPS.

Importante

A NAP (Proteção de Acesso à Rede), a HRA (Autoridade de Registro de Integridade) e o HCAP (Protocolo de Autorização de Credencial de Host) foram descontinuados no Windows Server 2012 R2 e não estão disponíveis no Windows Server 2016. Se você possui uma implantação NAP que usa sistemas operacionais anteriores ao Windows Server 2016, não pode migrar sua implantação NAP para Windows Server 2016.

Configure o NPS usando qualquer combinação desses recursos. Por exemplo, você pode configurar um NPS como um servidor RADIUS para conexões VPN e também como um proxy RADIUS para encaminhar solicitações de conexão para membros de um grupo de servidores RADIUS remoto para autenticação e autorização em outro domínio.

Edições do Windows Server e NPS

O NPS oferece funcionalidades diferentes de acordo com a edição do Windows Server instalado.

Windows Server 2016 ou Windows Server 2019 Edição Standard/Datacenter

Com o NPS no Windows Server 2016 Standard ou Datacenter, é possível configurar um número ilimitado de clientes RADIUS e de grupos de servidores RADIUS remotos. Além disso, você pode configurar clientes RADIUS especificando um intervalo de endereços IP.

Observação

O recurso Política de Rede e Serviços de Acesso do WIndows não está disponível em sistemas que foram instalados com a opção Server Core.

As seções a seguir fornecem informações mais detalhadas sobre o NPS como um servidor e um proxy RADIUS.

Servidor e proxy RADIUS

É possível usar o NPS como um servidor RADIUS, um proxy RADIUS ou ambos.

Servidor RADIUS

O NPS é a implementação da Microsoft do padrão RADIUS especificado pela IETF (Internet Engineering Task Force) nas RFCs 2865 e 2866. Se o NPS for configurado como um servidor RADIUS, ele executa autenticação, autorização e contabilização de conexão centralizadas para muitos tipos de acesso à rede (incluindo conexões sem fio), alternância de autenticação, acesso remoto por conexão discada e VPN (Rede Privada Virtual), e conexões de roteador para roteador.

Observação

Para obter informações sobre como implantar o NPS como um servidor RADIUS, confira Implantar Servidor de Política de Rede.

O NPS permite o uso de um conjunto heterogêneo de rede sem fio, comutador, acesso remoto ou equipamento VPN. É possível usar o NPS com o serviço Acesso Remoto, que está disponível no Windows Server 2016.

O NPS usa um domínio AD DS (Active Directory Domain Services ) ou o banco de dados de contas de usuário local do SAM (Gerenciador de Contas de Segurança) para autenticar as credenciais do usuário nas tentativas de conexão. Quando um servidor que executa o NPS é membro de um domínio do AD DS, o NPS usa o serviço de diretório como o banco de dados de conta dos usuários. Isso faz parte da solução de logon único. O mesmo conjunto de credenciais é usado para o controle de acesso à rede (autenticação e autorização de acesso a uma rede) e para fazer logon em um domínio do AD DS.

Observação

Para autorizar a conexão, o NPS usa as propriedades de discagem da conta do usuário e as políticas de rede.

Os ISPs (Provedores de serviços de Internet) e as organizações que mantêm os acessos à rede têm a difícil tarefa de gerenciar todos os acessos à rede (tipos de acesso e equipamentos) usando um único ponto central de administração. O padrão RADIUS suporta essa funcionalidade em ambientes homogêneos e heterogêneos. O RADIUS é um protocolo cliente-servidor que permite que equipamentos que acessam a rede (usados como clientes RADIUS) enviem solicitações de autenticação e contabilização a um servidor RADIUS.

O servidor RADIUS tem acesso às informações de contas de usuários e pode verificar as credenciais de autenticação de acesso à rede. Se as credenciais do usuário forem autenticadas e a tentativa de conexão for autorizada, o servidor RADIUS autorizará o acesso do usuário com base nas condições especificadas e registrará a conexão de acesso à rede em um log de contabilização. O uso do RADIUS permite que os dados de autenticação, autorização e contabilização de acesso à rede dos usuários sejam coletados e mantidos em um local central, e não em cada servidor de acesso.

Utilização do NPS como um servidor RADIUS

É possível usar o NPS como um servidor RADIUS quando:

  • Você usa um domínio do AD DS ou o banco de dados de contas de usuários do SAM local como seu banco de dados de conta de usuários para acessar os clientes.
  • Você usa o Acesso Remoto em vários servidores por conexão discada, servidores VPN ou roteadores de conexão por demandada e quer centralizar a configuração de políticas de rede e o registro e a contabilização das conexões.
  • Você usa um provedor de serviços para terceirizar seu acesso sem fio, por conexão discada ou VPN. Os servidores de acesso usam RADIUS para autenticar e autorizar conexões feitas por membros da sua organização.
  • Você quer centralizar a autenticação, a autorização e a contabilização de um conjunto heterogêneo de servidores de acesso.

A ilustração mostra o NPS como um servidor RADIUS para vários clientes de acesso.

NPS como um servidor RADIUS

Proxy RADIUS

Se o NPS estiver configurado como um proxy RADIUS, ele encaminhará as mensagens de autenticação e contabilização para o NPS e para outros servidores RADIUS. É possível usar o NPS como um proxy RADIUS para fazer o roteamento de mensagens RADIUS entre clientes RADIUS (também chamados de servidores de acesso à rede) e servidores RADIUS que executarão a autenticação, a autorização e a contabilização do usuário na tentativa de conexão.

Se o NPS for usado como um proxy RADIUS, ele será o ponto central de alternância ou roteamento, o meio pelo qual as mensagens de acesso e de contabilização do RADIUS fluirão. O NPS registrará as informações das mensagens encaminhadas em um log de contabilização.

Utilização do NPS como um proxy RADIUS

É possível usar o NPS como um proxy RADIUS quando:

  • Você é um provedor de serviços que oferece serviços terceirizados de acesso sem fio, por conexão discada ou VPN para vários clientes. Seus NASs enviam solicitações de conexão para o proxy RADIUS do NPS. Com base na parte realm do nome do usuário na solicitação de conexão, o proxy RADIUS do NPS encaminha a solicitação de conexão para um servidor RADIUS mantido pelo cliente e pode autenticar e autorizar a tentativa de conexão.
  • Você quer fornecer autenticação e autorização para contas de usuários que não são membros nem do domínio no qual o NPS é um membro, nem de outro domínio que tem uma relação de confiança bidirecional com o domínio no qual o NPS é membro. Isso inclui contas em domínios não confiáveis, domínios confiáveis unidirecionais e outras florestas. Em vez de configurar seus servidores de acesso para enviar as solicitações de conexão para um servidor RADIUS do NPS, você pode configurá-los para enviar as solicitações de conexão para um proxy RADIUS do NPS. O proxy RADIUS do NPS usa a parte do nome de realm do nome de usuários e encaminha a solicitação para um NPS no domínio ou floresta correto. As tentativas de conexão de contas de usuários em um domínio ou floresta podem ser autenticadas para NASs em outro domínio ou floresta.
  • Você quer executar a autenticação e a autorização usando um banco de dados que não é um banco de dados da conta do Windows. Nesse caso, as solicitações de conexão que correspondem a um nome de realm especificado são encaminhadas para um servidor RADIUS que tem acesso a um outro banco de dados de contas de usuários e dados de autorização. Exemplos de outros bancos de dados de usuário incluem NDS (Novell Directory Services) e bancos de dados SQL (Linguagem de Consulta Estruturada).
  • Você quer processar um grande número de solicitações de conexão. Nesse caso, em vez de configurar seus clientes RADIUS para tentar distribuir as solicitações de conexão e contabilização em vários servidores RADIUS, você pode configurá-los para enviar as solicitações de conexão e contabilização para um proxy RADIUS do NPS. O proxy RADIUS do NPS distribui dinamicamente a carga de solicitações de conexão e contabilização em vários servidores RADIUS e aumenta o processamento por segundo quando há um grande número de clientes e autenticações RADIUS.
  • Você quer oferecer autenticação e autorização RADIUS para provedores de serviços terceirizados e minimizar a configuração do firewall da intranet. O firewall da intranet fica entre a rede de perímetro (a rede entre a intranet e a Internet) e a intranet. Ao colocar um NPS na rede de perímetro, o firewall entre a rede de perímetro e a intranet deve permiteir que o tráfego flua entre o NPS e os vários controladores de domínios. Ao substituir o NPS por um proxy NPS, o firewall deve permitir que apenas o tráfego RADIUS flua entre o proxy NPS e um ou vários NPSs na intranet.

Importante

O NPS dá suporte à autenticação entre florestas sem um proxy RADIUS quando o nível funcional da floresta é Windows Server 2003 ou superior e há uma relação de confiança bidirecional entre as florestas. No entanto, ao usar EAP-TLS ou PEAP-TLS como método de autenticação com os certificados, É NECESSÁRIO usar um proxy RADIUS para a autenticação entre florestas.

A ilustração mostra o NPS como um proxy RADIUS entre os clientes RADIUS e os servidores RADIUS.

NPS como um proxy RADIUS

Com o NPS, as organizações também pode terceirizar a infraestrutura de acesso remoto para um provedor de serviços e manter o controle sobre a autenticação, autorização e contabilização dos usuários.

As configurações do NPS podem ser criadas para os cenários:

  • Acesso sem fio
  • Acesso remoto por conexão discada ou VPN (Rede Virtual Privada) da organização
  • Acesso por conexão discada ou sem fio terceirizado
  • Acesso à Internet
  • Acesso autenticado a recursos extranet para parceiros de negócios

Exemplos de configuração de proxy RADIUS e servidor RADIUS

Os exemplos de configuração a seguir demonstram como você pode configurar o NPS como um servidor RADIUS e um proxy RADIUS.

NPS como um servidor RADIUS. Neste exemplo, o NPS é configurado como um servidor RADIUS, a política de solicitação de conexão padrão é a única política configurada e todas as solicitações de conexão são processadas pelo NPS local. O NPS pode autenticar e autorizar usuários cujas contas estão no domínio do NPS e em domínios de confiança.

NPS como um proxy RADIUS. Neste exemplo, o NPS é configurado como um proxy RADIUS que encaminha solicitações de conexão a grupos de servidores RADIUS remotos em dois domínios não confiáveis. A política padrão de solicitação de conexão é excluída e duas novas políticas de solicitação de conexão são criadas para o encaminhamento de solicitações para dois domínios não confiáveis. No exemplo, o NPS não processa nenhuma solicitação de conexão no servidor local.

NPS como servidor RADIUS e proxy RADIUS. Além da política padrão de solicitação de conexão, que define que as solicitações de conexão são processadas localmente, é criada uma nova política de solicitação de conexão que encaminha solicitações de conexão para um NPS ou outro servidor RADIUS em um domínio não confiável. Essa segunda política é chamada de Política de proxy. Neste exemplo, a Política de proxy aparece em primeiro na lista de políticas. Se a solicitação de conexão corresponder à Política de proxy, a solicitação de conexão será encaminhada para o servidor RADIUS no grupo de servidores RADIUS remotos. Se a solicitação de conexão não corresponder à Política de proxy, mas corresponder à política padrão de solicitação de conexão, o NPS processará a solicitação de conexão no servidor local. Se a solicitação de conexão não corresponder a nenhuma das políticas, ela será descartada.

NPS como um servidor RADIUS com servidores de contabilização remotos. Neste exemplo, o NPS local não está configurado para executar a contabilização e a política de solicitação de conexão padrão é revisada para que as mensagens de contabilização RADIUS sejam encaminhadas a um NPS ou outro servidor RADIUS em um grupo de servidores RADIUS remoto. Embora as mensagens de contabilização sejam encaminhadas, as mensagens de autenticação e autorização não são encaminhadas e o NPS local executa essas funções para o domínio local e para todos os domínios confiáveis.

NPS com mapeamento de usuários do Windows para RADIUS remoto. Neste exemplo, o NPS atua como um servidor RADIUS e como um proxy RADIUS para cada solicitação de conexão individual com o encaminhamento da solicitação de autenticação para um servidor RADIUS remoto enquanto usa uma conta de usuário local do Windows para autorização. Essa configuração é implementada com a configuração do atributo RADIUS remoto para mapeamento de usuário do Windows como uma condição da política de solicitação de conexão. (Além disso, é preciso criar uma conta de usuário local com o mesmo nome da conta de usuário remoto na qual a autenticação será executada pelo servidor RADIUS remoto.)

Configuração

Para configurar o NPS como um servidor RADIUS, você pode usar a configuração padrão ou a configuração avançada no console do NPS ou no Gerenciador do Servidor. Para configurar o NPS como um proxy RADIUS, você deve usar a configuração avançada.

Configuração padrão

Com a configuração padrão, é possível usar os assistentes para ajudar a configurar o NPS nos cenários:

  • Servidor RADIUS para conexões VPN ou por conexão discada
  • Servidor RADIUS para conexões 802.1X com ou sem fio

Para configurar o NPS usando um assistente, abra o console do NPS, selecione um dos cenários anteriores e clique no link que abre o assistente.

Configuração avançada

Ao usar a configuração avançada, você configura manualmente o NPS como um servidor RADIUS ou um proxy RADIUS.

Para configurar o NPS usando a configuração avançada, abra o console do NPS e clique na seta ao lado de Configuração Avançada para expandir a seção.

Veja os itens de configuração avançada que serão exibidos.

Configurar servidor RADIUS

Para configurar o NPS como um servidor RADIUS, você deve configurar os clientes RADIUS, a política de rede e a contabilização RADIUS.

Para obter instruções sobre como fazer essas configurações, confira os tópicos abaixo.

Configurar proxy RADIUS

Para configurar o NPS como um proxy RADIUS, você deve configurar os clientes RADIUS, os grupos de servidores RADIUS remotos e as políticas de solicitação de conexão.

Para obter instruções sobre como fazer essas configurações, confira os tópicos abaixo.

Registro em log do NPS

O registro em log do NPS também é chamado de contabilização RADIUS. Configure o registro em log do NPS conforme seus requisitos se o NPS for usado como um servidor e/ou proxy RADIUS.

Para configurar o registro em log do NPS, use o Visualizador de Eventos para definir quais eventos e informações você quer registrar e visualizar. Além disso, você deve definir se quer armazenar esses dados em arquivos de log de texto ou em um banco de dados SQL Server no computador local ou em um computador remoto.

Para obter mais informações, confira Configurar a contabilização do Servidor de Políticas de Rede.