Freigeben über

Planen eines NPS als RADIUS-Proxy

Wenn Sie Netzwerkrichtlinienserver (Network Policy Server, NPS) als RADIUS-Proxy (Remote Authentication Dial-In User Service) bereitstellen, empfängt der NPS Verbindungsanforderungen von RADIUS-Clients, z. B. Netzwerkzugriffsservern oder anderen RADIUS-Proxys, und leitet diese Verbindungsanforderungen dann an Server weiter, auf denen NPS oder andere RADIUS-Server ausgeführt werden. Mithilfe dieser Planungsanleitungen können Sie Ihre RADIUS-Bereitstellung vereinfachen.

Diese Planungsanleitungen behandeln keine Szenarios, in denen Sie NPS als RADIUS-Server bereitstellen. Wenn Sie NPS als RADIUS-Server bereitstellen, führt NPS die Authentifizierung, Autorisierung und Erfassung von Verbindungsanforderungen für die lokale Domäne und für Domänen aus, die der lokalen Domäne vertrauen.

Bevor Sie NPS als RADIUS-Proxy in Ihrem Netzwerk bereitstellen, sollten Sie Ihre Bereitstellung mithilfe der folgenden Anleitungen planen.

  • Planen der NPS-Konfiguration.

  • Planen von RADIUS-Clients.

  • Planen von RADIUS-Remoteservergruppen.

  • Planen von Regeln zur Attributbearbeitung für die Nachrichtenweiterleitung.

  • Planen von Verbindungsanforderungsrichtlinien.

  • Planen der NPS-Ressourcenerfassung.

Planen der NPS-Konfiguration

Wenn Sie NPS als RADIUS-Proxy verwenden, leitet NPS Verbindungsanforderungen zur Verarbeitung an einen NPS- oder anderen RADIUS-Server weiter. Aus diesem Grund ist die Domänenmitgliedschaft des NPS-Proxys irrelevant. Der Proxy muss nicht in Active Directory Domain Services (AD DS) registriert werden, da er keinen Zugriff auf die Einwahleigenschaften von Benutzerkonten benötigt. Darüber hinaus müssen Sie keine Netzwerkrichtlinien für einen NPS-Proxy konfigurieren, da der Proxy keine Autorisierung für Verbindungsanforderungen ausführt. Der NPS-Proxy kann ein Domänenmitglied oder ein eigenständiger Server ohne Domänenmitgliedschaft sein.

NPS muss für die Kommunikation mit RADIUS-Clients (auch Netzwerkzugriffsserver genannt) mithilfe des RADIUS-Protokolls konfiguriert werden. Darüber hinaus können Sie die Ereignistypen konfigurieren, die NPS im Ereignisprotokoll aufzeichnet, und eine Beschreibung für den Server eingeben.

Wichtigste Schritte

Bei der Planung der NPS-Proxykonfiguration können Sie sich an den folgenden Schritten orientieren.

  • Bestimmen Sie die RADIUS-Ports, die der NPS-Proxy zum Empfangen von RADIUS-Nachrichten von RADIUS-Clients und zum Senden von RADIUS-Nachrichten an Mitglieder von RADIUS-Remoteservergruppen verwendet. Die standardmäßigen UDP-Ports (User Datagram Protocol, User Datagram-Protokoll) sind 1812 und 1645 für RADIUS-Authentifizierungsmeldungen und die UDP-Ports 1813 und 1646 für RADIUS-Ressourcenerfassungsmeldungen.

  • Wenn der NPS-Proxy mit mehreren Netzwerkadaptern konfiguriert ist, legen Sie die Adapter fest, über die RADIUS-Datenverkehr zugelassen werden soll.

  • Legen Sie die Ereignistypen fest, die NPS im Ereignisprotokoll aufzeichnen soll. Sie können abgelehnte Verbindungsanforderungen, erfolgreiche Verbindungsanforderungen oder beides protokollieren.

  • Legen Sie fest, ob Sie mehrere NPS-Proxys bereitstellen. Verwenden Sie mindestens zwei NPS-Proxys, um Fehlertoleranz bereitzustellen. Ein NPS-Proxy wird als primärer RADIUS-Proxy und der andere als Sicherung verwendet. Jeder RADIUS-Client wird dann auf beiden NPS-Proxys konfiguriert. Wenn der primäre NPS-Proxy ausfällt, senden RADIUS-Clients Access-Request-Nachrichten an den alternativen NPS-Proxy.

  • Planen Sie das Skript, das zum Kopieren einer NPS-Proxykonfiguration in andere NPS-Proxys verwendet wird, um Verwaltungsaufwand zu sparen und die Fehlkonfiguration eines Servers zu verhindern. Für NPS können Netsh-Befehle verwendet werden, um eine NPS-Proxykonfiguration ganz oder teilweise für den Import in einen anderen NPS-Proxy zu kopieren. Sie können die Befehle manuell über die Netsh-Eingabeaufforderung ausführen. Wenn Sie Ihre Befehlssequenz jedoch als Skript speichern, können Sie das Skript zu einem späteren Zeitpunkt ausführen, wenn Sie die Proxykonfigurationen ändern möchten.

Planen von RADIUS-Clients

RADIUS-Clients sind Netzwerkzugriffsserver, z. B. Funkzugriffspunkte, VPN-Server (Virtual Private Network), 802.1X-fähige Switches und DFÜ-Server. RADIUS-Proxys, die Verbindungsanforderungsmeldungen an RADIUS-Server weiterleiten, sind ebenfalls RADIUS-Clients. NPS unterstützt alle Netzwerkzugriffsserver und RADIUS-Proxys, die dem RADIUS-Protokoll entsprechen. Ausführliche Informationen finden Sie in der RFC 2865, „Remote Authentication Dial-in User Service (RADIUS)“, und in der RFC 2866, „RADIUS Accounting“ (RADIUS-Ressourcenerfassung).

Darüber hinaus müssen sowohl drahtlose Zugriffspunkte als auch Switches die 802.1X-Authentifizierung unterstützen. Wenn Sie das EAP (Extensible Authentication Protocol) oder PEAP (Protected Extensible Authentication Protocol) bereitstellen möchten, müssen Zugriffspunkte und Switches die Verwendung von EAP unterstützen.

Um die grundlegende Interoperabilität mit PPP-Verbindungen für Funkzugriffspunkte zu testen, konfigurieren Sie den Zugriffspunkt und den Zugriffsclient für die Verwendung des PAP (Password Authentication Protocol). Verwenden Sie zusätzliche PPP-basierte Authentifizierungsprotokolle, z. B. PEAP, bis Sie die Protokolle getestet haben, die Sie für den Netzwerkzugriff verwenden möchten.

Wichtigste Schritte

Bei der Planung der RADIUS-Clients können Sie sich an den folgenden Schritten orientieren.

  • Dokumentieren Sie die anbieterspezifischen Attribute (VSAs), die Sie auf dem NPS konfigurieren müssen. Wenn Ihre NAS VSAs erfordern, protokollieren Sie die VSA-Informationen zur späteren Verwendung, wenn Sie Ihre Netzwerkrichtlinien auf dem NPS konfigurieren.

  • Dokumentieren Sie die IP-Adressen Ihrer RADIUS-Clients und Ihres NPS-Proxys, um die Konfiguration aller Geräte zu vereinfachen. Wenn Sie Ihre RADIUS-Clients bereitstellen, müssen Sie sie für die Verwendung des RADIUS-Protokolls konfigurieren, wobei die NPS-Proxy-IP-Adresse als Authentifizierungsserver eingegeben wird. Wenn Sie NPS für die Kommunikation mit Ihren RADIUS-Clients konfigurieren, müssen Sie zudem die RADIUS-Client-IP-Adressen in das NPS-Snap-In eingeben.

  • Erstellen Sie freigegebene Geheimnisse für die Konfiguration auf den RADIUS-Clients und im NPS-Snap-In. Sie müssen RADIUS-Clients mit einem freigegebenen Geheimnis oder Kennwort konfigurieren, das Sie beim Konfigurieren der RADIUS-Clients auf dem NPS auch in das NPS-Snap-In eingeben.

Planen von RADIUS-Remoteservergruppen

Wenn Sie eine RADIUS-Remoteservergruppe auf einem NPS-Proxy konfigurieren, geben Sie dem NPS-Proxy an, wohin einige oder alle Verbindungsanforderungsmeldungen gesendet werden sollen, die er von Netzwerkzugriffsservern und NPS-Proxys oder anderen RADIUS-Proxys empfängt.

Sie können NPS als RADIUS-Proxy verwenden, um Verbindungsanforderungen an eine oder mehrere RADIUS-Remoteservergruppen weiterzuleiten, und jede Gruppe kann einen oder mehrere RADIUS-Server enthalten. Wenn der NPS-Proxy Meldungen an mehrere Gruppen weiterleiten soll, konfigurieren Sie eine Verbindungsanforderungsrichtlinie pro Gruppe. Die Verbindungsanforderungsrichtlinie enthält zusätzliche Informationen, z. B. Regeln zur Attributbearbeitung, die dem NPS-Proxy mitteilen, welche Meldungen an die in der Richtlinie angegebene RADIUS-Remoteservergruppe gesendet werden sollen.

Sie können RADIUS-Remoteservergruppen mithilfe der Netsh-Befehle für NPS konfigurieren, indem Sie Gruppen direkt im NPS-Snap-In unter RADIUS-Remoteservergruppen konfigurieren oder den Assistenten für neue Verbindungsanforderungsrichtlinien ausführen.

Wichtigste Schritte

Während der Planung für RADIUS-Remoteservergruppen können Sie die folgenden Schritte ausführen.

  • Bestimmen Sie die Domänen, die die RADIUS-Server enthalten, an die der NPS-Proxy Verbindungsanforderungen weiterleiten soll. Diese Domänen enthalten die Benutzerkonten für Benutzer, die über die von Ihnen bereitgestellten RADIUS-Clients eine Verbindung mit dem Netzwerk herstellen.

  • Ermitteln Sie, ob Sie neue RADIUS-Server in Domänen hinzufügen müssen, in denen RADIUS noch nicht bereitgestellt wurde.

  • Dokumentieren Sie die IP-Adressen von RADIUS-Servern, die Sie RADIUS-Remoteservergruppen hinzufügen möchten.

  • Bestimmen Sie fest, wie viele RADIUS-Remoteservergruppen Sie erstellen müssen. In einigen Fällen empfiehlt es sich, eine RADIUS-Remoteservergruppe pro Domäne zu erstellen und dann die RADIUS-Server für die Domäne der Gruppe hinzuzufügen. Es kann jedoch vorkommen, dass eine Domäne eine große Anzahl von Ressourcen enthält, darunter eine große Anzahl von Benutzern mit Benutzerkonten in der Domäne, eine große Anzahl von Domänencontrollern und eine große Anzahl von RADIUS-Servern. Vielleicht deckt Ihre Domäne einen großen geografischen Bereich ab, sodass Netzwerkzugriffsserver und RADIUS-Server an voneinander entfernten Standorten erforderlich sind. In diesen und möglicherweise anderen Fällen können Sie mehrere RADIUS-Remoteservergruppen pro Domäne erstellen.

  • Erstellen Sie freigegebene Geheimnisse für die Konfiguration auf dem NPS-Proxy und auf den RADIUS-Remoteservern.

Planen von Regeln zur Attributbearbeitung für die Nachrichtenweiterleitung

Mithilfe von Attributbearbeitungsregeln, die in Verbindungsanforderungsrichtlinien konfiguriert sind, können Sie die Access-Request-Nachrichten identifizieren, die Sie an eine bestimmte RADIUS-Remoteservergruppe weiterleiten möchten.

Sie können NPS so konfigurieren, dass alle Verbindungsanforderungen ohne Attributbearbeitungsregeln an eine RADIUS-Remoteservergruppe weitergeleitet werden.

Wenn Sie jedoch mehrere Standorte haben, an die Sie Verbindungsanforderungen weiterleiten möchten, müssen Sie für jeden Standort eine Verbindungsanforderungsrichtlinie erstellen und die Richtlinie dann mit der RADIUS-Remoteservergruppe konfigurieren, an die Sie Meldungen weiterleiten möchten, sowie mit den Regeln zur Attributbearbeitung, die NPS mitteilen, welche Meldungen weitergeleitet werden sollen.

Sie können Regeln für die folgenden Attribute erstellen.

  • Called-Station-ID. Die Telefonnummer des Netzwerkzugriffsservers (Network Access Server, NAS). Der Wert dieses Attributs ist eine Zeichenfolge. Sie können die Musterabgleichssyntax verwenden, um Ortsvorwahlen anzugeben.

  • Calling-Station-ID. Die vom Anrufer verwendete Telefonnummer. Der Wert dieses Attributs ist eine Zeichenfolge. Sie können die Musterabgleichssyntax verwenden, um Ortsvorwahlen anzugeben.

  • User-Name. Der Benutzername, der vom Zugriffsclient bereitgestellt wird und von NAS in die RADIUS-Access-Request-Meldung einbezogen wird. Der Wert dieses Attributs ist eine Zeichenfolge, die in der Regel einen Bereichsnamen und einen Benutzerkontonamen enthält.

Um Bereichsnamen im Benutzernamen einer Verbindungsanforderung ordnungsgemäß zu ersetzen oder zu konvertieren, müssen Sie Attributbearbeitungsregeln für das Attribut User-Name in der entsprechenden Verbindungsanforderungsrichtlinie konfigurieren.

Wichtigste Schritte

Während der Planung von Attributbearbeitungsregeln können Sie die folgenden Schritte ausführen.

  • Planen Sie das Weiterleiten von Meldungen vom NAS über den Proxy an die RADIUS-Remoteserver, um sicherzustellen, dass Sie über einen logischen Pfad verfügen, über den Nachrichten an die RADIUS-Server weitergeleitet werden können.

  • Bestimmen Sie mindestens ein Attribut, das Sie für jede Verbindungsanforderungsrichtlinie verwenden möchten.

  • Dokumentieren Sie die Attributbearbeitungsregeln, die Sie für jede Verbindungsanforderungsrichtlinie verwenden möchten, und ordnen Sie die Regeln der RADIUS-Remoteservergruppe zu, an die Meldungen weitergeleitet werden.

Planen von Verbindungsanforderungsrichtlinien

Die Standardrichtlinie für Verbindungsanforderungen wird für den NPS konfiguriert, wenn er als RADIUS-Server verwendet wird. Zusätzliche Verbindungsanforderungsrichtlinien können verwendet werden, um spezifischere Bedingungen zu definieren, Attributbearbeitungsregeln zu erstellen, die NPS mitteilen, welche Nachrichten an RADIUS-Remoteservergruppen weitergeleitet werden sollen, und um erweiterte Attribute anzugeben. Verwenden Sie den Assistenten für neue Verbindungsanforderungsrichtlinien, um allgemeine oder benutzerdefinierte Verbindungsanforderungsrichtlinien zu erstellen.

Wichtigste Schritte

Während der Planung von Verbindungsanforderungsrichtlinien können Sie die folgenden Schritte ausführen.

  • Löschen Sie die standardmäßige Verbindungsanforderungsrichtlinie auf jedem NPS ausführenden Server, der ausschließlich als RADIUS-Proxy fungiert.

  • Planen Sie zusätzliche Bedingungen und Einstellungen, die für jede Richtlinie erforderlich sind, und kombinieren Sie diese Informationen mit der RADIUS-Remoteservergruppe und den für die Richtlinie geplanten Attributbearbeitungsregeln.

  • Entwerfen Sie den Plan zum Verteilen allgemeiner Verbindungsanforderungsrichtlinien an alle NPS-Proxys. Erstellen Sie gemeinsame Richtlinien für mehrere NPS-Proxys auf einem NPS, und verwenden Sie dann die Netsh-Befehle für NPS, um die Verbindungsanforderungsrichtlinien und die Serverkonfiguration auf alle anderen Proxys zu importieren.

Planen der NPS-Ressourcenerfassung

Wenn Sie NPS als RADIUS-Proxy konfigurieren, können Sie ihn für die RADIUS-Ressourcenerfassung konfigurieren, indem Sie Protokolldateien im NPS-Format, datenbankkompatible Formatprotokolldateien oder NPS-SQL Server-Protokollierung verwenden.

Sie können auch Ressourcenerfassungsnachrichten an eine RADIUS-Remoteservergruppe weiterleiten, die die Ressourcenerfassung mit einem dieser Protokollierungsformate ausführt.

Wichtigste Schritte

Bei der Planung der NPS-Ressourcenerfassung können Sie sich an den folgenden Schritten orientieren.

  • Bestimmen Sie, ob der NPS-Proxy Ressourcenerfassungsdienste ausführen oder Ressourcenerfassungsnachrichten zur Ressourcenerfassung an eine RADIUS-Remoteservergruppe weiterleiten soll.

  • Planen Sie, die lokale NPS-Proxyressourcenerfassung zu deaktivieren, wenn Sie Ressourcenerfassungsnachrichten an andere Server weiterleiten möchten.

  • Planen Sie die Konfigurationsschritte für Verbindungsanforderungsrichtlinien, wenn Sie Ressourcenerfassungsnachrichten an andere Server weiterleiten möchten. Wenn Sie die lokale Ressourcenerfassung für den NPS-Proxy deaktivieren, muss für jede Verbindungsanforderungsrichtlinie, die Sie für diesen Proxy konfigurieren, die Weiterleitung von Ressourcenerfassungsnachrichten aktiviert und ordnungsgemäß konfiguriert sein.

  • Bestimmen Sie das Protokollierungsformat, das Sie verwenden möchten: IAS-Formatprotokolldateien, datenbankkompatible Formatprotokolldateien oder NPS-SQL Server-Protokollierung.

Informationen zum Konfigurieren des Lastenausgleichs für NPS als RADIUS-Proxy finden Sie unter NPS-Proxyserverlastenausgleich.