Firewalls können so konfiguriert werden, dass bestimmter IP-Datenverkehr zum und vom Computer oder Gerät, auf dem die Firewall ausgeführt wird, zugelassen oder blockiert wird. Wenn Firewalls nicht ordnungsgemäß konfiguriert sind, um RADIUS-Datenverkehr zwischen RADIUS-Clients, RADIUS-Proxys und RADIUS-Servern zuzulassen, kann die Authentifizierung des Netzwerkzugriffs nicht ausgeführt werden und die Benutzer haben deshalb keinen Zugriff auf Netzwerkressourcen.

Möglicherweise müssen zwei Arten von Firewalls konfiguriert werden, um RADIUS-Datenverkehr zuzulassen:

  • Windows-Firewall auf dem lokalen Server mit Netzwerkrichtlinienserver (Network Policy Server, NPS).

  • Firewalls, die auf anderen Computern oder Hardwaregeräten ausgeführt werden.

Windows-Firewall auf dem lokalen Netzwerkrichtlinienserver

Standardmäßig sendet und empfängt der Netzwerkrichtlinienserver RADIUS-Datenverkehr über die UDP-Ports (User Datagram-Protokoll) 1812, 1813, 1645 und 1646. Für die Windows-Firewall auf dem Netzwerkrichtlinienserver werden während der Installation des Netzwerkrichtlinienservers automatisch Ausnahmen konfiguriert, um diesen RADIUS-Datenverkehr senden und empfangen zu können.

Wenn Sie die standardmäßigen UDP-Ports verwenden, müssen Sie daher die Konfiguration der Windows-Firewall nicht ändern, um RADIUS-Datenverkehr zu und von Netzwerkrichtlinienservern zuzulassen.

In einigen Fällen sollten Sie die Ports ändern, die NPS für RADIUS-Datenverkehr verwendet. Wenn Sie für NPS und die Netzwerkzugriffsserver festlegen, dass RADIUS-Datenverkehr nicht über die Standardports gesendet und empfangen werden soll, führen Sie die folgenden Schritte aus:

  • Entfernen Sie die Ausnahmen, die RADIUS-Datenverkehr über die Standardports zulassen.

  • Erstellen Sie neue Ausnahmen, die RADIUS-Datenverkehr über die neuen Ports zulassen.

Weitere Informationen finden Sie unter Konfigurieren der NPS-UDP-Portinformationen.

Andere Firewalls

In der gängigsten Konfiguration ist die Firewall mit dem Internet verbunden, und der Netzwerkrichtlinienserver ist eine Intranetressource, die mit dem Umkreisnetzwerk verbunden ist.

Möglicherweise weist der Netzwerkrichtlinienserver Folgendes auf, um den Domänencontroller im Intranet zu erreichen:

  • Eine Schnittstelle zum Umkreisnetzwerk und eine Schnittstelle zum Intranet (IP-Routing ist nicht aktiviert).

  • Eine einzige Schnittstelle zum Umkreisnetzwerk. Bei dieser Konfiguration kommuniziert der Netzwerkrichtlinienserver mit Domänencontrollern über eine andere Firewall, die das Umkreisnetzwerk mit dem Intranet verbindet.

Konfigurieren der Internetfirewall

Für die mit dem Internet verbundene Firewall müssen Eingabe- und Ausgabefilter für die Internetschnittstelle (und optional für die Umkreisnetzwerkschnittstelle) konfiguriert werden, damit RADIUS-Meldungen zwischen dem Netzwerkrichtlinienserver und RADIUS-Clients oder -Proxys im Internet weitergeleitet werden können. Weitere Filter ermöglichen die Übergabe von Datenverkehr an Webserver, VPN-Server und andere Arten von Servern im Umkreisnetzwerk.

Separate Eingabe- und Ausgabepaketfilter können für die Internetschnittstelle und die Umkreisnetzwerkschnittstelle konfiguriert werden.

Filter für die Internetschnittstelle

Konfigurieren Sie die folgenden Eingabepaketfilter für die Internetschnittstelle der Firewall, um folgenden Datenverkehr zuzulassen:

  • Ziel-IP-Adresse der Umkreisnetzwerkschnittstelle und UDP-Zielport 1812 (0x714) des Netzwerkrichtlinienservers.

    Dieser Filter ermöglicht RADIUS-Authentifizierungsdatenverkehr von internetbasierten RADIUS-Clients an den Netzwerkrichtlinienserver. Dies ist gemäß der Definition in RFC 2865 der Standard-UDP-Port, der von NPS verwendet wird. Wenn Sie einen anderen Port verwenden, ersetzen Sie 1812 durch die entsprechende Portnummer.

  • Ziel-IP-Adresse der Umkreisnetzwerkschnittstelle und UDP-Zielport 1813 (0x715) des Netzwerkrichtlinienservers.

    Dieser Filter ermöglicht RADIUS-Kontoführungsdatenverkehr von internetbasierten RADIUS-Clients an den Netzwerkrichtlinienserver. Dies ist gemäß der Definition in RFC 2866 der Standard-UDP-Port, der von NPS verwendet wird. Wenn Sie einen anderen Port verwenden, ersetzen Sie 1813 durch die entsprechende Portnummer.

  • (Optional) Ziel-IP-Adresse der Umkreisnetzwerkschnittstelle und UDP-Zielport 1645 (0x66D) des Netzwerkrichtlinienservers.

    Dieser Filter ermöglicht RADIUS-Authentifizierungsdatenverkehr von internetbasierten RADIUS-Clients an den Netzwerkrichtlinienserver. Dieser UDP-Port wird von älteren RADIUS-Clients verwendet.

  • (Optional) Ziel-IP-Adresse der Umkreisnetzwerkschnittstelle und UDP-Zielport 1646 (0x66E) des Netzwerkrichtlinienservers.

    Dieser Filter ermöglicht RADIUS-Kontoführungsdatenverkehr von internetbasierten RADIUS-Clients an den Netzwerkrichtlinienserver. Dieser UDP-Port wird von älteren RADIUS-Clients verwendet.

Konfigurieren Sie die folgenden Ausgabefilter für die Internetschnittstelle der Firewall, um folgenden Datenverkehr zuzulassen:

  • Quell-IP-Adresse der Umkreisnetzwerkschnittstelle und UDP-Quellport 1812 (0x714) des Netzwerkrichtlinienservers.

    Dieser Filter ermöglicht RADIUS-Authentifizierungsdatenverkehr vom Netzwerkrichtlinienserver an internetbasierte RADIUS-Clients. Dies ist gemäß der Definition in RFC 2865 der UDP-Standardport, der vom Netzwerkrichtlinienserver verwendet wird. Wenn Sie einen anderen Port verwenden, ersetzen Sie 1812 durch die entsprechende Portnummer.

  • Quell-IP-Adresse der Umkreisnetzwerkschnittstelle und UDP-Quellport 1813 (0x715) des Netzwerkrichtlinienservers.

    Dieser Filter ermöglicht RADIUS-Kontoführungsdatenverkehr vom Netzwerkrichtlinienserver an internetbasierte RADIUS-Clients. Dies ist gemäß der Definition in RFC 2866 der UDP-Standardport, der vom Netzwerkrichtlinienserver verwendet wird. Wenn Sie einen anderen Port verwenden, ersetzen Sie 1813 durch die entsprechende Portnummer.

  • (Optional) Quell-IP-Adresse der Umkreisnetzwerkschnittstelle und UDP-Quellport 1645 (0x66D) des Netzwerkrichtlinienservers.

    Dieser Filter ermöglicht RADIUS-Authentifizierungsdatenverkehr vom Netzwerkrichtlinienserver an internetbasierte RADIUS-Clients. Dieser UDP-Port wird von älteren RADIUS-Clients verwendet.

  • (Optional) Quell-IP-Adresse der Umkreisnetzwerkschnittstelle und UDP-Quellport 1646 (0x66E) des Netzwerkrichtlinienservers.

    Dieser Filter ermöglicht RADIUS-Kontoführungsdatenverkehr vom Netzwerkrichtlinienserver an internetbasierte RADIUS-Clients. Dieser UDP-Port wird von älteren RADIUS-Clients verwendet.

Filter für die Umkreisnetzwerkschnittstelle

Konfigurieren Sie die folgenden Eingabefilter für die Umkreisnetzwerkschnittstelle der Firewall, um folgenden Datenverkehr zuzulassen:

  • Quell-IP-Adresse der Umkreisnetzwerkschnittstelle und UDP-Quellport 1812 (0x714) des Netzwerkrichtlinienservers.

    Dieser Filter ermöglicht RADIUS-Authentifizierungsdatenverkehr vom Netzwerkrichtlinienserver an internetbasierte RADIUS-Clients. Dies ist gemäß der Definition in RFC 2865 der UDP-Standardport, der vom Netzwerkrichtlinienserver verwendet wird. Wenn Sie einen anderen Port verwenden, ersetzen Sie 1812 durch die entsprechende Portnummer.

  • Quell-IP-Adresse der Umkreisnetzwerkschnittstelle und UDP-Quellport 1813 (0x715) des Netzwerkrichtlinienservers.

    Dieser Filter ermöglicht RADIUS-Kontoführungsdatenverkehr vom Netzwerkrichtlinienserver an internetbasierte RADIUS-Clients. Dies ist gemäß der Definition in RFC 2866 der UDP-Standardport, der vom Netzwerkrichtlinienserver verwendet wird. Wenn Sie einen anderen Port verwenden, ersetzen Sie 1813 durch die entsprechende Portnummer.

  • (Optional) Quell-IP-Adresse der Umkreisnetzwerkschnittstelle und UDP-Quellport 1645 (0x66D) des Netzwerkrichtlinienservers.

    Dieser Filter ermöglicht RADIUS-Authentifizierungsdatenverkehr vom Netzwerkrichtlinienserver an internetbasierte RADIUS-Clients. Dieser UDP-Port wird von älteren RADIUS-Clients verwendet.

  • (Optional) Quell-IP-Adresse der Umkreisnetzwerkschnittstelle und UDP-Quellport 1646 (0x66E) des Netzwerkrichtlinienservers.

    Dieser Filter ermöglicht RADIUS-Kontoführungsdatenverkehr vom Netzwerkrichtlinienserver an internetbasierte RADIUS-Clients. Dieser UDP-Port wird von älteren RADIUS-Clients verwendet.

Konfigurieren Sie die folgenden Ausgabefilter für die Umkreisnetzwerkschnittstelle der Firewall, um folgenden Datenverkehr zuzulassen:

  • Ziel-IP-Adresse der Umkreisnetzwerkschnittstelle und UDP-Zielport 1812 (0x714) des Netzwerkrichtlinienservers.

    Dieser Filter ermöglicht RADIUS-Authentifizierungsdatenverkehr von internetbasierten RADIUS-Clients an den Netzwerkrichtlinienserver. Dies ist gemäß der Definition in RFC 2865 der UDP-Standardport, der vom Netzwerkrichtlinienserver verwendet wird. Wenn Sie einen anderen Port verwenden, ersetzen Sie 1812 durch die entsprechende Portnummer.

  • Ziel-IP-Adresse der Umkreisnetzwerkschnittstelle und UDP-Zielport 1813 (0x715) des Netzwerkrichtlinienservers.

    Dieser Filter ermöglicht RADIUS-Kontoführungsdatenverkehr von internetbasierten RADIUS-Clients an den Netzwerkrichtlinienserver. Dies ist gemäß der Definition in RFC 2866 der UDP-Standardport, der vom Netzwerkrichtlinienserver verwendet wird. Wenn Sie einen anderen Port verwenden, ersetzen Sie 1813 durch die entsprechende Portnummer.

  • (Optional) Ziel-IP-Adresse der Umkreisnetzwerkschnittstelle und UDP-Zielport 1645 (0x66D) des Netzwerkrichtlinienservers.

    Dieser Filter ermöglicht RADIUS-Authentifizierungsdatenverkehr von internetbasierten RADIUS-Clients an den Netzwerkrichtlinienserver. Dieser UDP-Port wird von älteren RADIUS-Clients verwendet.

  • (Optional) Ziel-IP-Adresse der Umkreisnetzwerkschnittstelle und UDP-Zielport 1646 (0x66E) des Netzwerkrichtlinienservers.

    Dieser Filter ermöglicht RADIUS-Kontoführungsdatenverkehr von internetbasierten RADIUS-Clients an den Netzwerkrichtlinienserver. Dieser UDP-Port wird von älteren RADIUS-Clients verwendet.

Für zusätzliche Sicherheit können Sie mithilfe der IP-Adressen der RADIUS-Clients, die die Pakete über die Firewall senden, Filter für den Datenverkehr zwischen dem Client und der IP-Adresse des Netzwerkrichtlinienservers im Umkreisnetzwerk definieren.

Konfigurieren der Intranetfirewall

Für die mit dem Intranet verbundene Firewall müssen Eingabe- und Ausgabefilter für die Umkreisnetzwerkschnittstelle (und optional für die Intranetschnittstelle) konfiguriert werden, damit RADIUS-Meldungen zwischen dem Netzwerkrichtlinienserver im Umkreisnetzwerk und Domänencontrollern im Intranet weitergeleitet werden können. Weitere Filter ermöglichen die Übergabe von Datenverkehr an Webserver, VPN-Server und andere Arten von Servern im Umkreisnetzwerk.

Separate Eingabe- und Ausgabepaketfilter können für die Umkreisnetzwerkschnittstelle und die Intranetschnittstelle konfiguriert werden.

Filter für die Umkreisnetzwerkschnittstelle

Konfigurieren Sie die folgenden Eingabefilter für die Umkreisnetzwerkschnittstelle der Intranetfirewall, um folgenden Datenverkehr zuzulassen:

  • Quell-IP-Adresse der Umkreisnetzwerkschnittstelle des Netzwerkrichtlinienservers.

    Dieser Filter ermöglicht Datenverkehr vom Netzwerkrichtlinienserver im Umkreisnetzwerk.

Konfigurieren Sie die folgenden Ausgabefilter für die Umkreisnetzwerkschnittstelle der Intranetfirewall, um folgenden Datenverkehr zuzulassen:

  • Ziel-IP-Adresse der Umkreisnetzwerkschnittstelle des Netzwerkrichtlinienservers.

    Dieser Filter ermöglicht Datenverkehr zum Netzwerkrichtlinienserver im Umkreisnetzwerk.

Filter für die Intranetschnittstelle

Konfigurieren Sie die folgenden Eingabefilter für die Intranetschnittstelle der Firewall, um folgenden Datenverkehr zuzulassen:

  • Ziel-IP-Adresse der Umkreisnetzwerkschnittstelle des Netzwerkrichtlinienservers.

    Dieser Filter ermöglicht Datenverkehr zum Netzwerkrichtlinienserver im Umkreisnetzwerk.

Konfigurieren Sie die folgenden Ausgabepaketfilter für die Intranetschnittstelle der Firewall, um folgenden Datenverkehr zuzulassen:

  • Quell-IP-Adresse der Umkreisnetzwerkschnittstelle des Netzwerkrichtlinienservers.

    Dieser Filter ermöglicht Datenverkehr vom Netzwerkrichtlinienserver im Umkreisnetzwerk.

Inhaltsverzeichnis