[an error occurred while processing this directive] Настройка сервера сетевых политик на компьютере с несколькими серверами

[an error occurred while processing this directive]

При использовании нескольких сетевых плат на сервере, где выполняется сервер политики сети, можно выполнить следующие действия:

  • Включить или отключить отправку и получение RADIUS-трафика сетевыми адаптерами.

  • Отдельно для каждой сетевой платы настроить отслеживание сервером политики сети RADIUS-трафика по протоколу IPv4, по протоколу IPv6 либо одновременно по протоколам IPv4 и IPv6.

  • Настроить номера UDP-портов, по которым будет отправляться и приниматься RADIUS-трафик отдельно для каждого протокола (IPv4 или IPv6) и для каждой сетевой платы.

По умолчанию сервер политики сети прослушивает RADIUS-трафик в портах 1812, 1813, 1645 и 1646 как для протокола IPv6, так и для протокола IPv4 для всех установленных сетевых плат. Поскольку сервер политики сети автоматически использует для RADIUS-трафика все сетевые адаптеры, если требуется исключить какие-либо сетевые адаптеры из обслуживания RADIUS-трафика, необходимо указать адаптеры, которые будут использоваться сервером политики сети для RADIUS-трафика.

Примечание

Если с сетевой платы удален протокол IPv4 или протокол IPv6, сервер политики сети не ведет отслеживание RADIUS-трафика по удаленному протоколу.

На сервере политики сети, на котором установлено несколько сетевых адаптеров, может возникнуть необходимость получения и отправки RADIUS-трафика только с использованием указанного адаптера.

Например, одна из сетевых плат, установленных на сервере политики сети, может обслуживать сегмент сети, который не содержит RADIUS-клиентов, в то время как вторая сетевая плата предоставляет в сервер политики сети сетевой путь к настроенным RADIUS-клиентам. В этом сценарии важно настроить сервер политики сети таким образом, чтобы для всего RADIUS-трафика использовалась только вторая сетевая плата.

В другом примере на сервере политики сети установлено три сетевых адаптера, однако для RADIUS-трафика нужно использовать только два из них, поэтому следует настроить сведения о портах только для двух сетевых адаптеров. В результате исключения конфигурации портов для третьего адаптера сервер политики сети не будет использовать эту плату для RADIUS-трафика.

Использование сетевой платы

Чтобы настроить на сервере политики сети прослушивание и отправку RADIUS-трафика с использованием конкретного сетевого адаптера, воспользуйтесь следующим синтаксисом в диалоговом окне Свойства в консоли Сервер политики сети:

  • Синтаксис для IPv4-трафика: IP-адрес:UDP-порт, где IP-адрес указывает IPv4-адрес, настроенный на сетевой плате, через которую требуется направлять RADIUS-трафик, а UDP-порт указывает номер RADIUS-порта, который будет использоваться для RADIUS-трафика проверки подлинности или учета.

  • Синтаксис для IPv6-трафика: [IPv6-адрес]:UDP-порт, где скобки, в которые заключен параметр IPv6-адрес, являются обязательными; параметр IPv6-адрес определяет IPv6-адрес, настроенный на сетевом адаптере, через который требуется отправлять RADIUS-трафик, а параметр UDP-порт определяет номер RADIUS-порта, который будет использоваться для RADIUS-трафика проверки подлинности или учета.

При настройке сведений об IP-адресе UDP-порте в качестве разделителей могут использоваться следующие знаки:

  • Разделитель адреса и порта: двоеточие (:)

  • Разделитель портов: запятая (,)

  • Разделитель интерфейсов: точка с запятой (;)

Настройка серверов доступа к сети

Убедитесь, что на серверах доступа к сети настроены те же номера UDP-портов для RADIUS-трафика, которые будут указаны на серверах политики сети. Стандартными UDP-портами для RADIUS-трафика, определенными в документах RFC 2865 и RFC 2866, являются порт 1812 для проверки подлинности и 1813 для учета. Однако на некоторых серверах доступа к сети по умолчанию настроено использование UDP-порта 1645 для запросов на проверку подлинности и UDP-порта 1646 для запросов учета.

Важно!

Если не используются номера портов RADIUS по умолчанию, необходимо задать на брандмауэре исключения для локального компьютера, чтобы разрешить трафик RADIUS на новых портах. Дополнительные сведения см. в разделе Сервер политики сети и брандмауэры.

Минимальным требованием для выполнения этой процедуры является членство в группе Domain Admins или наличие эквивалентных прав.

Чтобы указать сетевую плату и UDP-порты, используемые сервером политики сети для RADIUS-трафика
  1. Откройте консоль сервера политики сети.

  2. Щелкните правой кнопкой мыши значение Сервер сетевых политик (NPS) и выберите команду Свойства.

  3. Откройте вкладку Порты и присоедините спереди к номерам существующих портов IP-адрес сетевой платы, которая должна использоваться для RADIUS-трафика. Например, если нужно использовать для запросов на проверку подлинности IP-адрес 192.168.1.2 и RADIUS-порты 1812 и 1645, измените параметры порта с 1812,1645 на 192.168.1.2:1812,1645.

    Если UDP-порты для проверки подлинности RADIUS и RADIUS-учета отличаются от стандартных, измените соответствующим образом параметр портов.

  4. Чтобы использовать несколько параметров порта для запросов на проверку подлинности или учет, разделите номера портов запятыми.

См. также


[an error occurred while processing this directive]