Laboratório de Troubleshooting: Configure RADIUS Authentication
Cenários de Diagnóstico
Cenário 1 — Causa Raiz
Uma equipe de rede reporta que usuários de VPN Point-to-Site passaram a receber falha de autenticação após uma janela de manutenção realizada na noite anterior. Durante a manutenção, foram executadas duas atividades: renovação do certificado do gateway de VPN e atualização do sistema operacional do servidor NPS. Antes da manutenção, tudo funcionava normalmente.
O administrador coleta o seguinte evento no servidor NPS:
Log: Security
Source: Microsoft Windows security auditing
Event ID: 6273
Network Policy Server denied access to a user.
Contact the Network Policy Server administrator for more information.
User:
Security ID: CORP\jsilva
Account Name: CORP\jsilva
Client Machine:
Fully Qualified Name: -
Called Station Identifier: -
Authentication Details:
Connection Request Policy Name: VPN RADIUS Policy
Network Policy Name: -
Authentication Type: MS-CHAPv2
EAP Type: -
Account Session Identifier: -
Reason Code: 16
Reason: Authentication failed due to a user credentials mismatch.
Either the user name provided does not map to an existing user account
or the password was incorrect.
O administrador confirma que:
- O usuário
jsilvaexiste no Active Directory e a senha está correta - O serviço NPS está em execução
- O certificado do gateway foi renovado com sucesso e está válido
- A Network Policy associada à Connection Request Policy está ativa e sem alterações
- O servidor NPS não foi reiniciado após a atualização do sistema operacional
Qual é a causa raiz da falha de autenticação?
A) A renovação do certificado do gateway de VPN invalidou o shared secret RADIUS configurado no servidor NPS
B) A atualização do sistema operacional do servidor NPS corrompeu as entradas de usuário no cache de autenticação local
C) O serviço NPS está usando uma versão desatualizada do driver de autenticação após a atualização, exigindo reinicialização
D) Os canais de autenticação MS-CHAPv2 dependem de um componente carregado na inicialização do serviço que não foi recarregado após a atualização do sistema operacional sem reinicialização
Cenário 2 — Decisão de Ação
A equipe de segurança identificou que o shared secret RADIUS configurado entre o Azure VPN Gateway e o servidor NPS está armazenado em texto simples em um script de automação interno que foi acidentalmente commitado em um repositório Git corporativo com acesso amplo. A causa está confirmada e o repositório já foi colocado em modo privado.
O ambiente de produção atende atualmente 340 usuários ativos de VPN. O horário é 14h de uma terça-feira. Não há janela de manutenção programada para hoje. A troca do shared secret requer que o gateway de VPN e o servidor NPS sejam reconfigurados de forma coordenada, e toda autenticação VPN ficará interrompida durante o processo, estimado em 12 minutos.
A equipe de segurança classifica o incidente como alta severidade por exposição de credencial, mas não há evidência de uso malicioso até o momento.
Qual é a ação correta a tomar neste momento?
A) Aguardar a próxima janela de manutenção programada para realizar a troca do shared secret com impacto controlado
B) Iniciar imediatamente a troca do shared secret, aceitando a interrupção de 12 minutos como necessária diante da classificação de alta severidade
C) Revogar o acesso ao repositório Git para todos os usuários que não sejam da equipe de rede, sem alterar o shared secret ainda
D) Notificar o time de gestão de incidentes e aguardar autorização formal antes de qualquer ação técnica
Cenário 3 — Causa Raiz
Um administrador de rede configura um novo servidor NPS para suportar autenticação RADIUS com MFA via extensão NPS para Microsoft Entra ID. Após concluir a instalação e o registro da extensão, o administrador testa com um usuário piloto e observa o seguinte comportamento: a senha é aceita normalmente, mas o processo trava por aproximadamente 30 segundos e então retorna falha, sem que nenhum prompt de MFA seja enviado ao celular do usuário.
O administrador coleta as seguintes informações:
Log: Application and Services Logs > Microsoft > AzureMfa > AuthZ > AuthZOperational
Event ID: 1001
Description: Request for user [email protected] failed.
Error: The request was blocked because it could not connect to the
Microsoft Entra ID MFA service endpoint.
Inner Exception: System.Net.WebException: Unable to connect to the remote server.
O administrador verifica:
- A extensão NPS está registrada com sucesso no locatário do Microsoft Entra ID
- O usuário possui licença Microsoft Entra ID P1 atribuída
- O método de MFA do usuário está configurado como aplicativo autenticador
- O servidor NPS não possui rota de saída para a internet via firewall corporativo
- O servidor NPS consegue resolver DNS para
login.microsoftonline.com
Qual é a causa raiz do comportamento observado?
A) A licença Microsoft Entra ID P1 não é suficiente para habilitar MFA via extensão NPS; é necessária licença P2
B) A resolução DNS bem-sucedida indica que o problema está no certificado TLS usado pela extensão para autenticar com o serviço de MFA
C) A ausência de conectividade de saída impede que a extensão NPS alcance os endpoints do serviço de MFA do Microsoft Entra ID
D) O método de MFA configurado como aplicativo autenticador é incompatível com o fluxo RADIUS e exige substituição por SMS
Cenário 4 — Sequência de Diagnóstico
Um usuário relata que sua conexão VPN P2S falhou após funcionar corretamente por semanas. Nenhuma alteração foi feita na configuração do gateway de VPN ou do servidor NPS. O administrador decide investigar o problema de forma sistemática.
Os seguintes passos de investigação estão disponíveis:
- Verificar o log de eventos do servidor NPS (Event ID 6273) para identificar o código de motivo da falha
- Confirmar que o usuário existe no Active Directory e que a conta não está bloqueada ou expirada
- Testar a conectividade UDP entre o gateway de VPN e o servidor NPS nas portas 1812 e 1813
- Validar que o cliente RADIUS correspondente ao IP do gateway está cadastrado no servidor NPS
- Solicitar ao usuário que tente autenticar novamente e colete o timestamp exato da falha
Qual é a sequência correta de diagnóstico progressivo?
A) 5 → 1 → 2 → 4 → 3
B) 1 → 2 → 3 → 4 → 5
C) 3 → 4 → 1 → 2 → 5
D) 2 → 5 → 1 → 3 → 4
Gabarito e Explicações
Gabarito — Cenário 1
Resposta: D
A pista decisiva no enunciado é que o servidor NPS não foi reiniciado após a atualização do sistema operacional. A extensão NPS para Microsoft Entra ID e componentes críticos do pipeline de autenticação MS-CHAPv2 são carregados na inicialização do serviço ou do sistema. Uma atualização de SO que substitui binários em disco não recarrega automaticamente os módulos já em memória. O resultado é um estado inconsistente onde o serviço continua em execução, mas sem os componentes atualizados necessários para processar a autenticação corretamente, produzindo o Reason Code 16 (credenciais inválidas), que é um sintoma genérico de falha de validação.
A renovação do certificado do gateway (alternativa A) é a informação irrelevante incluída propositalmente. Certificados de gateway não têm relação com o shared secret RADIUS nem com o fluxo de validação de credenciais de usuário. O administrador que foca nessa informação comete o erro de correlacionar temporalidade com causalidade.
A alternativa B descreve um comportamento inexistente: o NPS não mantém cache de autenticação local de usuários do AD. A alternativa C não é tecnicamente precisa; o problema não é de driver, mas de estado de processo em memória.
O distrator mais perigoso é A: um administrador que parte para reconfigurar o shared secret perde tempo investigando algo funcional enquanto o problema real permanece sem solução.
Gabarito — Cenário 2
Resposta: B
O enunciado declara explicitamente a causa (shared secret exposto em repositório com acesso amplo) e classifica o incidente como alta severidade. A variável determinante é que a exposição já ocorreu e o repositório permaneceu acessível por tempo indeterminado. Diante de uma credencial comprometida de alta severidade, o princípio de resposta a incidentes determina que a remediação deve ser imediata, mesmo com impacto operacional.
A alternativa A ignora a classificação de severidade e trata um incidente de segurança ativo como uma manutenção rotineira. A alternativa C é insuficiente: tornar o repositório privado não invalida a credencial já exposta para quem teve acesso anterior. A alternativa D representa uma etapa correta do processo de gestão de incidentes, mas não substitui a ação técnica imediata quando a causa e a solução já estão identificadas e o impacto é aceitável (12 minutos).
O distrator mais perigoso é D: aguardar autorização formal em um incidente de alta severidade com remediação simples e de curta duração aumenta desnecessariamente a janela de exposição.
Gabarito — Cenário 3
Resposta: C
O log de evento 1001 com a mensagem Unable to connect to the remote server aponta diretamente para falha de conectividade de rede, não para um problema de configuração lógica. O enunciado confirma que o servidor NPS não possui rota de saída para a internet, o que impede que a extensão NPS alcance os endpoints do Microsoft Entra ID necessários para completar o desafio MFA. A resolução DNS bem-sucedida é a informação irrelevante incluída propositalmente: resolver um nome não implica conectividade TCP/TLS com o endereço resolvido.
A alternativa A é um erro de diagnóstico comum, mas incorreta: a licença P1 é suficiente para MFA via extensão NPS. A exigência de P2 se aplica a funcionalidades como Microsoft Entra Privileged Identity Management ou acesso condicional baseado em risco.
A alternativa B representa o raciocínio incorreto de associar resolução DNS à validade do certificado TLS. A alternativa D é tecnicamente falsa: o aplicativo autenticador é compatível com o fluxo RADIUS via extensão NPS.
O distrator mais perigoso é A: um administrador que parte para trocar licenças perde tempo e recursos sem resolver a causa real.
Gabarito — Cenário 4
Resposta: A
A sequência correta é: 5 → 1 → 2 → 4 → 3.
O raciocínio diagnóstico progressivo deve partir do ponto de menor custo e maior amplitude de informação:
- Passo 5 estabelece o contexto temporal preciso, permitindo correlacionar a falha com eventos do sistema e filtrar logs com eficiência.
- Passo 1 usa o log do NPS para obter o código de motivo exato, que orienta todos os passos seguintes. Sem o código, a investigação é guiada por suposição.
- Passo 2 valida o objeto de autenticação (o usuário), que é o elemento mais provável de ter mudado em um ambiente sem alterações de infraestrutura.
- Passo 4 valida a configuração do cliente RADIUS, que pode ter sido afetada por mudanças de IP ou reconfigurações silenciosas.
- Passo 3 é o passo de maior custo operacional (requer ferramentas de teste de rede) e só é necessário se os passos anteriores não revelarem a causa.
A alternativa B (1 → 2 → 3 → 4 → 5) inverte a lógica ao executar o teste de rede antes de validar o usuário, e coleta o timestamp no final, quando já não serve para filtrar logs. A alternativa C começa pela camada de rede sem contexto algum. A alternativa D começa pela validação de usuário sem antes estabelecer o contexto temporal ou consultar os logs.
Árvore de Troubleshooting: Configure RADIUS Authentication
Legenda de cores:
| Cor | Tipo de nó |
|---|---|
| Azul escuro | Sintoma inicial (raiz) |
| Azul médio | Pergunta de diagnóstico |
| Vermelho | Causa identificada |
| Verde | Ação recomendada ou resolução |
| Laranja | Validação ou verificação intermediária |
Para usar esta árvore diante de um problema real, comece pelo nó raiz identificando que há uma falha de autenticação VPN via RADIUS. A primeira pergunta verifica se o servidor NPS está registrando o Event ID 6273: se sim, o Reason Code do evento direciona imediatamente para o ramo correto (credenciais, cliente desconhecido ou falha de MFA), eliminando hipóteses irrelevantes desde o início. Se o NPS não registra nenhum evento, o problema está na camada de transporte, e o ramo de validação de serviço e conectividade UDP é acionado. Em cada nível, responda apenas à pergunta do nó atual antes de avançar: isso evita ações precipitadas e garante que a causa identificada seja de fato a causa raiz.