Konfigurieren von Firewalls für den RADIUS-Datenverkehr
Firewalls können so konfiguriert werden, dass bestimmte Arten von IP-Datenverkehr von und zum Computer oder Gerät, auf dem die Firewall aktiv ist, zugelassen oder blockiert werden. Wenn Firewalls nicht ordnungsgemäß so konfiguriert sind, dass sie RADIUS-Datenverkehr zwischen RADIUS-Clients, RADIUS-Proxys und RADIUS-Servern zulassen, kann die Authentifizierung des Netzwerkzugriffs fehlschlagen, sodass Benutzer nicht auf Netzwerkressourcen zugreifen können.
Möglicherweise müssen Sie zwei Typen von Firewalls konfigurieren, um RADIUS-Datenverkehr zuzulassen:
- Windows Defender-Firewall mit erweiterter Sicherheit auf dem lokalen Server, auf dem der Netzwerkrichtlinienserver (Network Policy Server, NPS) ausgeführt wird
- Firewalls, die auf anderen Computern oder Hardwaregeräten ausgeführt werden
Windows-Firewall auf dem lokalen NPS
Standardmäßig sendet und empfängt NPS RADIUS-Datenverkehr über die UDP-Ports (User Datagram Protocol) 1812, 1813, 1645 und 1646. Die Windows Defender-Firewall auf dem NPS sollte während der Installation des NPS automatisch mit Ausnahmen konfiguriert werden, damit dieser RADIUS-Datenverkehr gesendet und empfangen werden kann.
Unter Windows Server 2019 erfordert diese Firewallausnahme eine Änderung des Sicherheitsbezeichners des Dienstkontos, um RADIUS-Datenverkehr effektiv zu erkennen und zuzulassen. Wenn diese Änderung des Sicherheitsbezeichners nicht erfolgt, wird RADIUS-Datenverkehr von der Firewall gelöscht. Führen Sie an einer Eingabeaufforderung mit erhöhten Rechten den Befehl sc sidtype IAS unrestricted
aus. Mit diesem Befehl wird der IAS-Dienst (RADIUS) so geändert, dass er eine eindeutige SID verwendet, anstatt die SID anderen Netzwerkdiensten gemeinsam zu nutzen.
Wenn Sie also die UDP-Standardports verwenden, müssen Sie die Konfiguration der Windows Defender-Firewall nicht ändern, um RADIUS-Datenverkehr zu und von Netzwerkrichtlinienservern zuzulassen.
In einigen Fällen möchten Sie möglicherweise die Ports ändern, die der NPS für RADIUS-Datenverkehr verwendet. Wenn Sie den NPS und Ihre Netzwerkzugriffsserver so konfigurieren, dass sie RADIUS-Datenverkehr an anderen Ports als den Standardports senden und empfangen, müssen Sie wie folgt vorgehen:
- Entfernen Sie die Ausnahmen, die RADIUS-Datenverkehr an den Standardports zulassen.
- Erstellen Sie neue Ausnahmen, die RADIUS-Datenverkehr an den neuen Ports zulassen.
Weitere Informationen finden Sie unter Konfigurieren von UDP-Portinformationen für den NPS.
Andere Firewalls
In der gängigsten Konfiguration ist die Firewall mit dem Internet verbunden, und der NPS ist eine mit dem Umkreisnetzwerk verbundene Intranetressource.
Um den Domänencontroller innerhalb des Intranets zu erreichen, verfügt der NPS möglicherweise über Folgendes:
- Eine Schnittstelle mit dem Umkreisnetzwerk und Intranet (IP-Routing ist nicht aktiviert).
- Eine einzelne Schnittstelle mit dem Umkreisnetzwerk. Bei dieser Konfiguration kommuniziert NPS mit Domänencontrollern über eine andere Firewall, die das Umkreisnetzwerk mit dem Intranet verbindet.
Konfigurieren der Internetfirewall
Die mit dem Internet verbundene Firewall muss mit Ein- und Ausgabefiltern an ihrer Internetschnittstelle (und optional an ihrer Schnittstelle mit dem Umkreisnetzwerk) konfiguriert werden, um die Weiterleitung von RADIUS-Nachrichten zwischen dem NPS und RADIUS-Clients oder -Proxys im Internet zu ermöglichen. Zusätzliche Filter können verwendet werden, um die Durchleitung von Datenverkehr zu Webservern, VPN-Servern und anderen Servertypen im Umkreisnetzwerk zuzulassen.
Für die Schnittstelle mit dem Internet und Umkreisnetzwerk können getrennte Ein- und Ausgabepaketfilter konfiguriert werden.
Konfigurieren von Eingabefiltern für die Internetschnittstelle
Konfigurieren Sie die folgenden Eingabepaketfilter für die Internetschnittstelle der Firewall, um die folgenden Arten von Datenverkehr zuzulassen:
- Ziel-IP-Adresse der Schnittstelle mit dem Umkreisnetzwerk und UDP-Zielport 1812 (0x714) des NPS. Dieser Filter lässt Datenverkehr zur RADIUS-Authentifizierung von internetbasierten RADIUS-Clients zum NPS zu. Dies ist gemäß Definition in RFC 2865 der vom NPS verwendete UDP-Standardort. Wenn Sie einen anderen Port verwenden, ersetzen Sie diese Portnummer durch 1812.
- Ziel-IP-Adresse der Schnittstelle mit dem Umkreisnetzwerk und UDP-Zielport 1813 (0x715) des NPS. Dieser Filter lässt Datenverkehr zur RADIUS-Ressourcenerfassung von internetbasierten RADIUS-Clients zum NPS zu. Dies ist gemäß Definition in RFC 2866 der vom NPS verwendete UDP-Standardort. Wenn Sie einen anderen Port verwenden, ersetzen Sie diese Portnummer durch 1813.
- (Optional) Ziel-IP-Adresse der Schnittstelle mit dem Umkreisnetzwerk und UDP-Zielport 1645 (0x66D) des NPS. Dieser Filter lässt Datenverkehr zur RADIUS-Authentifizierung von internetbasierten RADIUS-Clients zum NPS zu. Dies ist der von älteren RADIUS-Clients verwendete UDP-Port.
- (Optional) Ziel-IP-Adresse der Schnittstelle mit dem Umkreisnetzwerk und UDP-Zielport 1646 (0x66E) des NPS. Dieser Filter lässt Datenverkehr zur RADIUS-Ressourcenerfassung von internetbasierten RADIUS-Clients zum NPS zu. Dies ist der von älteren RADIUS-Clients verwendete UDP-Port.
Konfigurieren von Ausgabefiltern für die Internetschnittstelle
Konfigurieren Sie die folgenden Ausgabepaketfilter für die Internetschnittstelle der Firewall, um die folgenden Arten von Datenverkehr zuzulassen:
- Quell-IP-Adresse der Schnittstelle mit dem Umkreisnetzwerk und UDP-Quellport 1812 (0x714) des NPS. Dieser Filter lässt Datenverkehr zur RADIUS-Authentifizierung vom NPS zu internetbasierten RADIUS-Clients zu. Dies ist gemäß Definition in RFC 2865 der vom NPS verwendete UDP-Standardort. Wenn Sie einen anderen Port verwenden, ersetzen Sie diese Portnummer durch 1812.
- Quell-IP-Adresse der Schnittstelle mit dem Umkreisnetzwerk und UDP-Quellport 1813 (0x715) des NPS. Dieser Filter lässt Datenverkehr zur RADIUS-Ressourcenerfassung vom NPS zu internetbasierten RADIUS-Clients zu. Dies ist gemäß Definition in RFC 2866 der vom NPS verwendete UDP-Standardort. Wenn Sie einen anderen Port verwenden, ersetzen Sie diese Portnummer durch 1813.
- (Optional) Quell-IP-Adresse der Schnittstelle mit dem Umkreisnetzwerk und UDP-Quellport 1645 (0x66D) des NPS. Dieser Filter lässt Datenverkehr zur RADIUS-Authentifizierung vom NPS zu internetbasierten RADIUS-Clients zu. Dies ist der von älteren RADIUS-Clients verwendete UDP-Port.
- (Optional) Quell-IP-Adresse der Schnittstelle mit dem Umkreisnetzwerk und UDP-Quellport 1646 (0x66E) des NPS. Dieser Filter lässt Datenverkehr zur RADIUS-Ressourcenerfassung vom NPS zu internetbasierten RADIUS-Clients zu. Dies ist der von älteren RADIUS-Clients verwendete UDP-Port.
Konfigurieren von Eingabefiltern für die Schnittstelle mit dem Umkreisnetzwerk
Konfigurieren Sie die folgenden Eingabefilter für die Schnittstelle mit dem Umkreisnetzwerk der Firewall, um die folgenden Arten von Datenverkehr zuzulassen:
- Quell-IP-Adresse der Schnittstelle mit dem Umkreisnetzwerk und UDP-Quellport 1812 (0x714) des NPS. Dieser Filter lässt Datenverkehr zur RADIUS-Authentifizierung vom NPS zu internetbasierten RADIUS-Clients zu. Dies ist gemäß Definition in RFC 2865 der vom NPS verwendete UDP-Standardort. Wenn Sie einen anderen Port verwenden, ersetzen Sie diese Portnummer durch 1812.
- Quell-IP-Adresse der Schnittstelle mit dem Umkreisnetzwerk und UDP-Quellport 1813 (0x715) des NPS. Dieser Filter lässt Datenverkehr zur RADIUS-Ressourcenerfassung vom NPS zu internetbasierten RADIUS-Clients zu. Dies ist gemäß Definition in RFC 2866 der vom NPS verwendete UDP-Standardort. Wenn Sie einen anderen Port verwenden, ersetzen Sie diese Portnummer durch 1813.
- (Optional) Quell-IP-Adresse der Schnittstelle mit dem Umkreisnetzwerk und UDP-Quellport 1645 (0x66D) des NPS. Dieser Filter lässt Datenverkehr zur RADIUS-Authentifizierung vom NPS zu internetbasierten RADIUS-Clients zu. Dies ist der von älteren RADIUS-Clients verwendete UDP-Port.
- (Optional) Quell-IP-Adresse der Schnittstelle mit dem Umkreisnetzwerk und UDP-Quellport 1646 (0x66E) des NPS. Dieser Filter lässt Datenverkehr zur RADIUS-Ressourcenerfassung vom NPS zu internetbasierten RADIUS-Clients zu. Dies ist der von älteren RADIUS-Clients verwendete UDP-Port.
Konfigurieren von Ausgabefiltern für die Schnittstelle mit dem Umkreisnetzwerk
Konfigurieren Sie die folgenden Ausgabepaketfilter für die Schnittstelle mit dem Umkreisnetzwerk der Firewall, um die folgenden Arten von Datenverkehr zuzulassen:
- Ziel-IP-Adresse der Schnittstelle mit dem Umkreisnetzwerk und UDP-Zielport 1812 (0x714) des NPS. Dieser Filter lässt Datenverkehr zur RADIUS-Authentifizierung von internetbasierten RADIUS-Clients zum NPS zu. Dies ist gemäß Definition in RFC 2865 der vom NPS verwendete UDP-Standardort. Wenn Sie einen anderen Port verwenden, ersetzen Sie diese Portnummer durch 1812.
- Ziel-IP-Adresse der Schnittstelle mit dem Umkreisnetzwerk und UDP-Zielport 1813 (0x715) des NPS. Dieser Filter lässt Datenverkehr zur RADIUS-Ressourcenerfassung von internetbasierten RADIUS-Clients zum NPS zu. Dies ist gemäß Definition in RFC 2866 der vom NPS verwendete UDP-Standardort. Wenn Sie einen anderen Port verwenden, ersetzen Sie diese Portnummer durch 1813.
- (Optional) Ziel-IP-Adresse der Schnittstelle mit dem Umkreisnetzwerk und UDP-Zielport 1645 (0x66D) des NPS. Dieser Filter lässt Datenverkehr zur RADIUS-Authentifizierung von internetbasierten RADIUS-Clients zum NPS zu. Dies ist der von älteren RADIUS-Clients verwendete UDP-Port.
- (Optional) Ziel-IP-Adresse der Schnittstelle mit dem Umkreisnetzwerk und UDP-Zielport 1646 (0x66E) des NPS. Dieser Filter lässt Datenverkehr zur RADIUS-Ressourcenerfassung von internetbasierten RADIUS-Clients zum NPS zu. Dies ist der von älteren RADIUS-Clients verwendete UDP-Port.
Für zusätzliche Sicherheit können Sie anhand der IP-Adressen der einzelnen RADIUS-Clients, die die Pakete durch die Firewall senden, Filter für den Datenverkehr zwischen dem Client und der IP-Adresse des NPS im Umkreisnetzwerk einrichten.
Filter für die Schnittstelle mit dem Umkreisnetzwerk
Konfigurieren Sie die folgenden Eingabepaketfilter für die Schnittstelle mit dem Umkreisnetzwerk der Intranetfirewall, um die folgenden Arten von Datenverkehr zuzulassen:
- Quell-IP-Adresse der Schnittstelle mit dem Umkreisnetzwerk des NPS. Dieser Filter lässt Datenverkehr vom NPS im Umkreisnetzwerk zu.
Konfigurieren Sie die folgenden Ausgabefilter für die Schnittstelle mit dem Umkreisnetzwerk der Intranetfirewall, um die folgenden Arten von Datenverkehr zuzulassen:
- Ziel-IP-Adresse der Schnittstelle mit dem Umkreisnetzwerk des NPS. Dieser Filter lässt Datenverkehr zum NPS im Umkreisnetzwerk zu.
Filter für die Intranetschnittstelle
Konfigurieren Sie die folgenden Eingabefilter für die Intranetschnittstelle der Firewall, um die folgenden Arten von Datenverkehr zuzulassen:
- Ziel-IP-Adresse der Schnittstelle mit dem Umkreisnetzwerk des NPS. Dieser Filter lässt Datenverkehr zum NPS im Umkreisnetzwerk zu.
Konfigurieren Sie die folgenden Ausgabepaketfilter für die Intranetschnittstelle der Firewall, um die folgenden Arten von Datenverkehr zuzulassen:
- Quell-IP-Adresse der Schnittstelle mit dem Umkreisnetzwerk des NPS. Dieser Filter lässt Datenverkehr vom NPS im Umkreisnetzwerk zu.
Weitere Informationen zum Verwalten des NPS finden Sie unter Verwalten des Netzwerkrichtlinienservers.
Weitere Informationen zum Netzwerkrichtlinienserver finden Sie unter Netzwerkrichtlinienserver (Network Policy Server, NPS).