Você está na página 1de 10

03/09/2019 Instruções do curso – Bernardes Treinamentos

INSTRUTOR
CARLOS FINET

NPS – Conceito e instalação


Nesta você aprenderá sobre:

O que é um servidor de politica de rede


O que é um servidor, cliente e proxy Radius
Demonstração de como criar politicas para VPN
Contabilização de acesso

70-741 nps
de Bernardes Treinamentos

UNIDADE ANTERIOR

SEGUIR PARA O QUESTIONÁRIO


28:40

https://www.bernardes.com.br/course-status/ 1/10
03/09/2019 Instruções do curso – Bernardes Treinamentos

Servidor de política de rede (NPS)


Servidor de política de rede (NPS) permite que você criar e aplicar políticas de acesso de rede em toda a organização para autenticação de solicitação de
conexão e autorização.

Você também pode configurar o NPS como um proxy de autenticação discagem usuário serviço RADIUS (Remote) para encaminhar as solicitações de
conexão para um NPS remoto ou outro servidor RADIUS para que você pode carregar o saldo solicitações de conexão e encaminhá-las ao domínio correto
para autenticação e autorização.

NPS permite que você centralmente a configurar e gerenciar autenticação de acesso de rede, autorização e contabilidade com os seguintes recursos:

Servidor RADIUS. NPS realiza autenticação centralizada, autorização e estatísticas para sem fio, autenticação switch, acesso remoto dial-up e
conexões de rede virtual privada (VPN).Quando você usa o NPS como um servidor RADIUS, configurar servidores de acesso à rede, como pontos de
acesso sem fio e servidores VPN, como clientes RADIUS no NPS. Você também configurar políticas de rede NPS usa para autorizar solicitações de
conexão, e você pode configurar estatísticas RADIUS para que o NPS registra informações de estatísticas para registrar arquivos no disco rígido local
ou em um banco de dados do Microsoft SQL Server.
Proxy RADIUS. Quando você usa o NPS como um proxy RADIUS, você pode configurar políticas de solicitação de conexão que informam ao servidor
NPS qual conexão solicita para encaminhar para outros servidores RADIUS e quais servidores RADIUS você deseja encaminhar as solicitações de
conexão. Você também pode configurar o NPS para encaminhar os dados contábeis deve ser registrada por um ou mais computadores em um grupo de
servidores remotos RADIUS.
Estatísticas RADIUS. Você pode configurar o NPS para registrar eventos para um arquivo de log local ou para uma instância local ou remota do
Microsoft SQL Server.

Importante
Rede proteção de acesso à (NAP), (HRA) autoridade de registro de saúde e protocolo de autorização de credencial Host (HCAP) foram preteridas no
Windows Server 2012 R2 e não estão disponíveis no Windows Server 2016. Se você tiver uma implantação NAP usando sistemas operacionais
anteriores ao Windows Server 2016, você não pode migrar sua implantação NAP para Windows Server 2016.

UNIDADE ANTERIOR
Você pode configurar o NPS com qualquer combinação desses recursos. Por exemplo, você pode configurar um servidor NPS como um servidor RADIUS
para conexões VPN e também como um proxy RADIUS para encaminhar algumas solicitações
SEGUIRde conexão
PARA para membros de um grupo de servidores
O QUESTIONÁRIO
remotos RADIUS para autenticação e autorização em outro domínio.

https://www.bernardes.com.br/course-status/ 2/10
03/09/2019 Instruções do curso – Bernardes Treinamentos

NPS e as edições do Windows Server

NPS fornece uma funcionalidade diferente dependendo da edição do Windows Server que você instalar.

Windows Server 2016 Datacenter Edition


Com o NPS no Windows Server 2016 Datacenter, você pode configurar um número ilimitado de clientes RADIUS e grupos de servidores remotos
RADIUS. Além disso, você pode configurar clientes RADIUS especificando um intervalo de endereços IP.

Windows Server 2016 Standard Edition


Com o NPS no Windows Server 2016 Standard, você pode configurar um máximo, 50 clientes RADIUS e 2 grupos de servidores remotos RADIUS. Você
pode definir um cliente RADIUS usando um nome de domínio totalmente qualificado ou um endereço IP, mas não é possível definir grupos de clientes
RADIUS especificando um intervalo de endereços IP. Se o nome de domínio totalmente qualificado de um cliente RADIUS é resolvido para vários
endereços IP, o servidor NPS usa o primeiro endereço IP retornado na consulta de sistema de nome de domínio (DNS).

As seções a seguir fornecem informações mais detalhadas sobre NPS como um servidor e proxy RADIUS.

Servidor e proxy RADIUS

Você pode usar o NPS como um servidor RADIUS, um proxy RADIUS ou ambos.

Servidor RADIUS
NPS é a implementação Microsoft do RAIO padrão especificada pela (IETF) a Internet Engineering Task Force no RFCs 2865 e 2866. Como um servidor
RADIUS, o NPS realiza autenticação de conexão centralizada, autorização e estatísticas para muitos tipos de acesso à rede, incluindo acesso sem fio,
chave, dial-up de autenticação e acesso remoto de (VPN) de rede virtual privada e conexões de roteador para roteador.

NPS permite o uso de um conjunto heterogêneo de acesso sem fio, switch, acesso remoto ou equipamento de VPN. Você pode usar o NPS com o serviço
de acesso remoto, que está disponível no Windows Server 2016.

NPS usa um domínio do Active Directory Domain Services (AD DS) ou tentativas de Gerenciador de contas de segurança (SAM) usuário contas banco de
dados local para autenticar as credenciais do usuário para conexão. Quando um servidor NPSUNIDADE ANTERIOR
é um membro de um domínio do AD DS, o NPS usa o
serviço de diretório como seu banco de dados de conta de usuário e faz parte de uma solução. O mesmo conjunto de credenciais é usado para o controle
de acesso de rede \ (autenticar e autorizar o acesso a uma rede ) e para fazer logon em SEGUIR
um domínio
PARAdo
O AD DS.
QUESTIONÁRIO

https://www.bernardes.com.br/course-status/ 3/10
03/09/2019 Instruções do curso – Bernardes Treinamentos

Observação
NPS usa as propriedades de discagem rápida das políticas de rede e de conta de usuário para autorizar uma conexão.

Internet serviço provedores (ISPs) e as organizações que mantêm o acesso à rede têm o maior desafio de gerenciamento de todos os tipos de acesso à
rede de um único ponto de administração, independentemente do tipo de equipamento de acesso de rede usado. O padrão RADIUS dá suporte a essa
funcionalidade em ambientes homogêneas e heterogêneos. RADIUS é um protocolo de cliente-servidor que permite que o equipamento de acesso de rede
(usado como clientes RADIUS) para enviar solicitações de autenticação e estatísticas para um servidor RADIUS.

Um servidor RADIUS tem acesso às informações de conta de usuário e pode verificar as credenciais de autenticação de acesso de rede. Se as credenciais
do usuário são autenticadas, e está autorizada a tentativa de conexão, o servidor RADIUS autoriza o acesso de usuário com base nas condições
especificadas e, em seguida, registra a conexão de acesso de rede em um log de contabilidade. O uso de RAIO permite a autenticação do usuário de
acesso de rede, autorização e dados de contabilidade para ser coletadas e mantidas em um local central, em vez de em cada servidor de acesso.

Usando o NPS como um servidor RADIUS


Você pode usar o NPS como um servidor RADIUS quando:

Você está usando um domínio do AD DS ou o banco de dados de contas de usuário SAM local como seu banco de dados de conta de usuário para
clientes de acesso.
Você estiver usando o acesso remoto em vários servidores de dial-up, servidores VPN, ou roteadores de discagem e você quer centralizar a
configuração de políticas de rede e conexão log e estatísticas.
Você está terceirizando seu dial-up, VPN ou acesso sem fio a um provedor de serviços. Os servidores de acesso usam RADIUS para autenticar e
autorizar conexões feitas por membros de sua organização.
Você quer centralizar a autenticação, autorização e estatísticas para um conjunto heterogênea de servidores de acesso.

A ilustração a seguir mostra o NPS como um servidor RADIUS para uma variedade de clientes de acesso.

UNIDADE ANTERIOR

SEGUIR PARA O QUESTIONÁRIO

https://www.bernardes.com.br/course-status/ 4/10
03/09/2019 Instruções do curso – Bernardes Treinamentos

Proxy RADIUS
Como um proxy RADIUS, o NPS encaminha autenticação e mensagens de contabilização NPS e outros servidores RADIUS. Você pode usar o NPS como
um proxy RADIUS para fornecer o roteamento de RAIO mensagens entre clientes RADIUS \ (também chamado de servers\ de acesso de rede) e
servidores RADIUS que executam a autenticação do usuário, autorização e estatísticas para a tentativa de conexão.

Quando usado como um proxy RADIUS, o NPS é um ponto roteamento pelo qual fluem de mensagens de acesso e estatísticas de RAIO ou a central de
alternância. NPS registra as informações no log de estatísticas sobre as mensagens que são encaminhados.

Usando o NPS como um proxy RADIUS


Você pode usar o NPS como um proxy RADIUS quando:

Você é um provedor de serviço que oferece acesso dial-up terceirizado, VPN ou serviços de acesso de rede sem fio para diversos clientes. Seus NASs
enviam solicitações de conexão para o proxy RADIUS de NPS. Com base na parte do território do nome do usuário na solicitação de conexão, o proxy
RADIUS de NPS encaminha a solicitação de conexão para um servidor RADIUS que é mantido pelo cliente e pode autenticar e autorizar a tentativa de
conexão.
Você deseja fornecer autenticação e autorização para contas de usuário que não sejam membros do domínio no qual o servidor NPS é um membro ou
de outro domínio que tenha uma relação de confiança bidirecional com o domínio em que o servidor NPS é um membro.Isso inclui contas em domínios
não confiáveis, domínios confiáveis unidirecionais e outras florestas. Em vez de configurar os servidores de acesso para enviar suas solicitações de
conexão a um servidor RADIUS de NPS, você pode configurá-los para enviar suas solicitações de conexão para um proxy RADIUS de NPS. O proxy
RADIUS de NPS usa a parte do nome do território do nome do usuário e encaminha a solicitação para um servidor NPS no domínio correto ou
floresta. Tentativas de Conexão de usuário contas em um domínio ou floresta podem ser autenticadas para NASs em outro domínio ou floresta.
Você deseja executar autenticação e autorização usando um banco de dados que não é um banco de dados de conta do Windows. Nesse caso, as
solicitações de conexão que correspondem a um nome de domínio especificado são encaminhadas para um servidor RADIUS, que tem acesso a um
banco de dados diferente de contas de usuário e dados de autorização. Exemplos de outros bancos de dados do usuário incluem bancos de dados de
serviços de diretório Novell (NDS) e linguagem de consulta estruturada (SQL).
Você deseja processar um grande número de solicitações de conexão. Nesse caso, em vez de configurar seus clientes RADIUS para tentar equilibrar
suas solicitações de estatísticas e conexão por diversos servidores RADIUS, você pode configurá-los para enviar suas solicitações de estatísticas e
UNIDADE ANTERIOR
conexão a um proxy RADIUS de NPS. O proxy RADIUS de NPS equilibra a carga de conexão e contabilidade solicitações por diversos servidores
RADIUS e aumenta o processamento de um grande número de clientes RADIUS e autenticações por segundo.
SEGUIR PARA O QUESTIONÁRIO
Você deseja fornecer autenticação e autorização para provedores de serviço terceirizado RADIUS e minimizar a configuração de firewall da intranet. Um
firewall de intranet está entre o perímetro (a rede entre a intranet e a Internet) e da intranet. Colocando um servidor NPS em sua rede de perímetro, o
https://www.bernardes.com.br/course-status/ 5/10
03/09/2019 Instruções do curso – Bernardes Treinamentos

firewall entre a rede do perímetro e a intranet deve permitir o tráfego a fluir entre o servidor NPS e vários controladores de domínio. Substituindo o
servidor NPS por um proxy de NPS, o firewall deve permitir que apenas o tráfego RADIUS flua entre o proxy NPS e um ou vários servidores NPS dentro
de sua intranet.

A ilustração a seguir mostra o NPS como um proxy RADIUS entre clientes RADIUS e servidores RADIUS.

Com o NPS, as organizações podem também terceirizar infraestrutura de acesso remoto a um provedor de serviço, mantendo o controle sobre a
autenticação do usuário, autorização e estatísticas.

Configurações de NPS podem ser criadas para os seguintes cenários:


UNIDADE ANTERIOR
Acesso sem fio
Acesso remoto de dial-up ou VPN (rede privada) de organização
Terceirizado dial-up ou acesso sem fio SEGUIR PARA O QUESTIONÁRIO
Acesso à Internet
https://www.bernardes.com.br/course-status/ 6/10
03/09/2019 Instruções do curso – Bernardes Treinamentos

Acesso autenticado aos recursos extranet para parceiros de negócios

Servidor RADIUS e exemplos de configuração de proxy RADIUS


Os exemplos de configuração a seguir demonstram como você pode configurar o NPS como um servidor RADIUS e um proxy RADIUS.

NPS como um servidor RADIUS. Neste exemplo, NPS está configurado como um servidor RADIUS, a política de solicitação de conexão padrão é a única
diretiva configurada e todas as solicitações de conexão são processadas pelo servidor NPS local. O servidor NPS pode autenticar e autorizar usuários
cujas contas estão no domínio do servidor NPS e em domínios confiáveis.

NPS como um proxy RADIUS. Neste exemplo, o servidor NPS está configurado como um proxy RADIUS que encaminha as solicitações de conexão para
grupos de servidores remotos RADIUS em dois domínios não confiáveis. A diretiva de solicitação de conexão padrão é excluída e duas novas políticas de
solicitação de conexão são criadas para encaminhar as solicitações para cada um dos dois domínios não confiáveis. Neste exemplo, o NPS não processa
todas as solicitações de conexão no servidor local.

NPS como servidor RADIUS e proxy RADIUS. Além da política de solicitação de conexão padrão, que designa que as solicitações de conexão são
processadas localmente, uma nova política de solicitação de conexão é criada para encaminhar as solicitações de conexão para um NPS ou outro servidor
RADIUS em um domínio não confiável. Essa segunda diretiva é chamada a política de Proxy. Neste exemplo, a política de Proxy será exibida primeira na
lista ordenada de políticas. Se a solicitação de conexão corresponder a política de Proxy, a solicitação de conexão é encaminhada para o servidor RADIUS
no grupo de servidores remotos RADIUS. Se a solicitação de conexão não coincide com a política de Proxy, mas coincide com a política de solicitação de
conexão padrão, o NPS processará a solicitação de conexão no servidor local. Se a solicitação de conexão não coincide com qualquer política, ele será
descartado.

NPS como um servidor RADIUS com servidores remotos de contabilidade. Neste exemplo, o servidor NPS local não está configurado para realizar as
estatísticas e a diretiva de solicitação de conexão padrão é revisada para que as mensagens de contabilização de RADIUS são encaminhadas para um
servidor NPS ou outro servidor RADIUS em um grupo de servidores remotos RADIUS.Embora as mensagens de contabilidade são encaminhadas, as
mensagens de autenticação e autorização não são encaminhadas e o servidor NPS local executa essas funções para o domínio local e todos os domínios
confiáveis.

NPS com RADIUS remoto para mapeamento de usuário do Windows. Neste exemplo, o NPS atua como um servidor RADIUS e como um proxy de
RAIO para cada solicitação de conexão individuais, encaminhando a solicitação de autenticação para um servidor remoto RADIUS enquanto estiver usando
uma conta de usuário do Windows local para autorização. Essa configuração é implementada Configurando o RAIO remoto ao atributo de mapeamento de
usuário do Windows como uma condição da diretiva de solicitação de conexão. \ (Além disso, uma conta de usuário deve ser criada localmente no servidor
RADIUS que tem o mesmo nome que a conta de usuário remoto em relação ao qual a autenticação é realizada pelo servidor RADIUS remoto. )

UNIDADE ANTERIOR

Práticas recomendadas de servidor de política de rede


SEGUIR PARA O QUESTIONÁRIO

C t bilid d
https://www.bernardes.com.br/course-status/ 7/10
03/09/2019 Instruções do curso – Bernardes Treinamentos

Contabilidade
A seguir está as práticas recomendadas para registro em log NPS.

Existem dois tipos de contabilidade ou fazer logon, NPS:

Log de eventos do NPS. Você pode usar o log de eventos para registrar eventos NPS nos logs de eventos do sistema e segurança. Isso é usado
principalmente para auditoria e solucionar problemas de tentativas de conexão.
Log de autenticação do usuário e solicitações de contabilidade. Você pode fazer logon solicitações de autenticação e estatísticas do usuário para
arquivos de log no formato de texto ou banco de dados, ou você pode fazer logon em um procedimento armazenado em um banco de dados do SQL
Server 2000. Solicitação de registro em log é usado principalmente para fins de faturamento e análise de conexão e também é útil como uma ferramenta
de investigação de segurança, oferecendo um método de rastrear a atividade de um invasor.

Autenticação
A seguir está as práticas recomendadas para autenticação.

Use métodos de autenticação baseada em certificado como Protected Extensible Authentication Protocol (PEAP) e Extensible Authentication Protocol
(EAP) para autenticação forte. Não use métodos de autenticação somente de senha porque eles são vulneráveis a uma variedade de ataques e não
são seguros. Para autenticação segura de sem fio, usando PEAP-MS-CHAP v2 é recomendável, porque o servidor NPS comprova sua identidade
para clientes sem fio usando um certificado de servidor, enquanto os usuários provam sua identidade com seu nome de usuário e senha.
Implantar sua própria autoridade de certificação (CA) com o Active Directory® (AD CS) os serviços de certificado quando você usa métodos de
autenticação forte baseada em certificado, como PEAP e EAP, que exigem o uso de um certificado de servidor em servidores NPS. Você também
pode usar a autoridade de certificação para registrar certificados de computador e certificados de usuário.

Usando NPS em grandes organizações


A seguir está as práticas recomendadas para usar o NPS em grandes organizações.

Se você estiver usando políticas de rede para restringir o acesso apenas determinados grupos, crie um grupo universal para todos os usuários
para o qual você deseja permitir o acesso e, em seguida, criar uma política de rede que conceda acesso a esse grupo universal. Não coloque
todos os seus usuários diretamente no grupo universal, especialmente se você tiver um grande número de itens em sua rede. Em vez disso, crie
grupos separados que são membros do grupo universal e adicione os usuários a esses grupos.
Use um nome de entidade de usuário para se referir aos usuários sempre que possível. Um usuário pode ter o mesmo nome principal do usuário,
independentemente de associação ao domínio. Essa prática oferece escalabilidade que talvezANTERIOR
UNIDADE seja necessário em organizações com um grande
número de domínios.
Se você instalou o servidor de política de rede (NPS) em um computador que não seja um controlador de domínio e o servidor NPS está
SEGUIR PARA O QUESTIONÁRIO
recebendo um grande número de solicitações de autenticação por segundo, você pode melhorar o desempenho de NPS, aumentando o número
de autenticações simultâneas permitido entre o servidor NPS e o controlador de domínio. Para obter mais informações, consulte
https://www.bernardes.com.br/course-status/ 8/10
03/09/2019 Instruções do curso – Bernardes Treinamentos
de aute t cações s u tâ eas pe t do e t e o se do S e o co t o ado de do o a a obte as o ações, co su te

Problemas de segurança
A seguir está as práticas recomendadas para reduzir problemas de segurança.

Quando você estiver administrando um servidor NPS remotamente, não envie dados importantes ou confidenciais (por exemplo, senhas ou segredos
compartilhados) pela rede em texto sem formatação. Há dois métodos recomendados para administração remota de servidores NPS:

Use serviços de área de trabalho remota para acessar o servidor NPS. Quando você usa os serviços de área de trabalho remota, os dados não
são enviados entre cliente e servidor.Apenas a interface do usuário do servidor (por exemplo, o sistema operacional de desktop e a imagem do
console NPS) é enviada para o cliente de serviços de área de trabalho remota, que é chamado de Conexão de área de trabalho remota no
Windows® 10. O cliente envia teclado e mouse de entrada, que são processadas localmente pelo servidor com serviços de área de trabalho
remota habilitado. Quando os usuários de serviços de área de trabalho remota logon, eles podem exibir somente as sessões de cliente
individuais, que são gerenciadas pelo servidor e são independentes umas das outras. Além disso, a Conexão de área de trabalho remota fornece
criptografia de 128 bits entre cliente e servidor.
Use o protocolo IPSec (IPsec) para criptografar dados confidenciais. Você pode usar IPsec para criptografar a comunicação entre o servidor NPS
e o computador cliente remoto que você está usando para administrar NPS.

Utilize a área de comentários para expor as suas dúvidas.

DISCUSSION UNIDADE ANTERIOR

SEGUIR PARA O QUESTIONÁRIO


Daniel David Jeronimo Chiesa Boa Tarde.
Seguindo a parte prática a risca! me aparece o seguinte erro na hora de conectar na VPN “A conexão foi encerrada pelo computador remoto” já
https://www.bernardes.com.br/course-status/ 9/10
03/09/2019 Instruções do curso – Bernardes Treinamentos
Seguindo a parte prática a risca! me aparece o seguinte erro na hora de conectar na VPN A conexão foi encerrada pelo computador remoto , já
fui nas propriedades do usuário Administrador discagem mudei para Nps é mesmo assim o problema continua.

REPLY

Carlos Finet Olá Daniel, verifique a condição de horário de logon, se você não estiver dentro do dia e horário definidos a vpn não
será liberada.

REPLY

Daniel David Jeronimo Chiesa Obrigado Professor! Porém eu consegui ver aonde eu estava errando, o meu erro
era no grupo de usuários do NPS, além de colocar em grupos de usuários eu coloquei no grupo de computadores.
Depois que fiz essa modificação funcionou!

REPLY

Carlos Finet Que bom que conseguiu Daniel, bons estudos pra você.

REPLY

Erik Jacob Boa noite Professor.


No “Quiz 70-411 quarta semana” tem uma pergunta que não aceita nenhuma resposta como certa.
A pergunta é essa: Sua empresa tem 5000 funcionários que trabalham remotamente. Você tem 40 servidores VPN que hospedam as conexões
remotas para os usuários. Você planeja implantar uma solução RADIUS que contenha cinco servidores RADIUS. Você precisa garantir que as
solicitações de autenticação do cliente sejam distribuídas uniformemente entre os cinco servidores RADIUS.

REPLY

ASK QUESTION

UNIDADE ANTERIOR

SEGUIR PARA O QUESTIONÁRIO

https://www.bernardes.com.br/course-status/ 10/10