Freigeben über

Verbindungsanforderungsrichtlinien

Über dieses Thema erfahren Sie, wie Sie NPS-Verbindungsanforderungsrichtlinien verwenden, um den NPS als RADIUS-Server, RADIUS-Proxy oder beides zu konfigurieren.

Hinweis

Zusätzlich zu diesem Thema ist die folgende Dokumentation zu Richtlinien für Verbindungsanforderungen verfügbar.

Verbindungsanforderungsrichtlinien sind Gruppen von Bedingungen und Einstellungen, mit denen Netzwerkadministrator*innen festlegen können, welche RADIUS-Server (Remote Authentication Dial-In User Service) die Authentifizierung und Autorisierung von Verbindungsanforderungen ausführen, die der Server mit Netzwerkrichtlinienserver (Network Policy Server, NPS) von RADIUS-Clients empfängt. Es kann in Verbindungsanforderungsrichtlinien konfiguriert werden, welche RADIUS-Server für die RADIUS-Ressourcenerfassung verwendet werden.

Sie können Verbindungsanforderungsrichtlinien so erstellen, dass einige von RADIUS-Clients gesendete RADIUS-Anforderungsnachrichten lokal verarbeitet (NPS als RADIUS-Server) und andere Arten von Nachrichten an einen anderen RADIUS-Server weitergeleitet werden (NPS als RADIUS-Proxy).

Mit Verbindungsanforderungsrichtlinien können Sie den NPS als RADIUS-Server oder RADIUS-Proxy verwenden. Dazu werden Faktoren wie die folgenden herangezogen:

  • Tageszeit und Wochentag
  • Bereichsname in der Verbindungsanforderung
  • Typ der angeforderten Verbindung
  • IP-Adresse des RADIUS-Clients

RADIUS-Access-Request-Nachrichten werden vom NPS nur dann verarbeitet oder weitergeleitet, wenn die Einstellungen der eingehenden Nachricht mit mindestens einer der auf dem NPS konfigurierten Verbindungsanforderungsrichtlinien übereinstimmen.

Wenn die Richtlinieneinstellungen übereinstimmen und der NPS die Nachricht laut der Richtlinie verarbeiten soll, fungiert der NPS als RADIUS-Server, der die Verbindungsanforderung authentifiziert und autorisiert. Wenn die Richtlinieneinstellungen übereinstimmen und der NPS die Nachricht laut der Richtlinie weiterleiten soll, fungiert der NPS als RADIUS-Proxy, der die Verbindungsanforderung zur Verarbeitung an einen RADIUS-Remoteserver weiterleitet.

Wenn die Einstellungen einer eingehenden RADIUS-Access-Request-Nachricht nicht mit mindestens einer der Verbindungsanforderungsrichtlinien übereinstimmen, wird eine Access-Reject-Nachricht an den RADIUS-Client gesendet, und dem oder der Benutzer*in oder dem Computer, der die Verbindung mit dem Netzwerk angefordert hat, wird der Zugriff verweigert.

Konfigurationsbeispiele

Die folgenden Konfigurationsbeispiele veranschaulichen die Verwendung von Verbindungsanforderungsrichtlinien.

NPS als RADIUS-Server

Die Standardrichtlinie für Verbindungsanforderungen ist die einzige konfigurierte Richtlinie. In diesem Beispiel ist der NPS als RADIUS-Server konfiguriert, und alle Verbindungsanforderungen werden vom lokalen NPS verarbeitet. Der Netzwerkrichtlinienserver kann Benutzer*innen authentifizieren und autorisieren, deren Konten sich in der Domäne des NPS und in vertrauenswürdigen Domänen befinden.

NPS als RADIUS-Proxy

Die Standardrichtlinie für Verbindungsanforderungen wird gelöscht, und es werden zwei neue Verbindungsanforderungsrichtlinien erstellt, um Anforderungen an zwei unterschiedliche Domänen weiterzuleiten. In diesem Beispiel ist der NPS als RADIUS-Proxy konfiguriert. Der NPS verarbeitet keine Verbindungsanforderungen auf dem lokalen Server. Stattdessen werden Verbindungsanforderungen an den NPS oder andere RADIUS-Server weitergeleitet, die als Mitglieder von RADIUS-Remoteservergruppen konfiguriert sind.

NPS sowohl als RADIUS-Server als auch als RADIUS-Proxy

Zusätzlich zur Standardrichtlinie für Verbindungsanforderungen wird eine neue Richtlinie für Verbindungsanforderungen erstellt, mit der diese an einen NPS oder einen anderen RADIUS-Server in einer nicht vertrauenswürdigen Domäne weitergeleitet werden. In diesem Beispiel wird die Proxyrichtlinie in der sortierten Liste der Richtlinien an erster Stelle angezeigt. Wenn die Verbindungsanforderung der Proxyrichtlinie entspricht, wird die Verbindungsanforderung an den RADIUS-Server in der RADIUS-Remoteservergruppe weitergeleitet. Wenn die Verbindungsanforderung nicht der Proxyrichtlinie, aber der Standardrichtlinie für Verbindungsanforderungen entspricht, verarbeitet der NPS die Verbindungsanforderung auf dem lokalen Server. Wenn die Verbindungsanforderung keiner der beiden Richtlinien entspricht, wird sie verworfen.

NPS als RADIUS-Server mit Remoteservern für die Ressourcenerfassung

In diesem Beispiel ist der lokale Netzwerkrichtlinienserver nicht für die Ressourcenerfassung konfiguriert, und die Standardrichtlinie für Verbindungsanforderungen wird so geändert, dass Meldungen zur RADIUS-Ressourcenerfassung an den NPS oder einen anderen RADIUS-Server in einer RADIUS-Remoteservergruppe weitergeleitet werden. Obwohl Meldungen zur Ressourcenerfassung weitergeleitet werden, gilt dies nicht für Meldungen zu Authentifizierung und Autorisierung. Der lokale Netzwerkrichtlinienserver übernimmt diese Funktionen für die lokale Domäne und alle vertrauenswürdigen Domänen.

NPS mit Benutzerzuordnung zwischen RADIUS-Remoteserver und Windows

In diesem Beispiel fungiert der NPS sowohl als RADIUS-Server als auch als RADIUS-Proxy für jede einzelne Verbindungsanforderung, indem er Authentifizierungsanforderungen an einen RADIUS-Remoteserver weiterleitet und gleichzeitig ein lokales Windows-Benutzerkonto für die Autorisierung verwendet. Diese Konfiguration wird implementiert, indem das Attribut „Remote-RADIUS-zu-Windows-Benutzerzuordnung“ als Bedingung der Verbindungsanforderungsrichtlinie verwendet wird. (Außerdem muss lokal ein Benutzerkonto erstellt werden, das denselben Namen trägt wie das Remotebenutzerkonto, mit dem die Authentifizierung über den RADIUS-Remoteserver durchgeführt wird.)

Bedingungen für Verbindungsanforderungsrichtlinien

Bedingungen für Verbindungsanforderungsrichtlinien sind RADIUS-Attribute, die mit den Attributen der eingehenden RADIUS-Access-Request-Nachricht verglichen werden. Wenn mehrere Bedingungen vorhanden sind, müssen alle Bedingungen in der Verbindungsanforderungsnachricht mit denen in der Verbindungsanforderungsrichtlinie übereinstimmen, damit die Richtlinie vom NPS erzwungen wird.

Im Folgenden finden Sie die verfügbaren Bedingungsattribute, die Sie in Verbindungsanforderungsrichtlinien konfigurieren können.

Attributgruppe „Verbindungseigenschaften“

Die Attributgruppe „Verbindungseigenschaften“ enthält die folgenden Attribute.

  • Frameprotokoll. Wird zum Festlegen des Typs der Frameerstellung für eingehende Pakete verwendet. Beispiele sind PPP (Point-to-Point Protocol), SLIP (Serial Line Internet Protocol), Frame Relay und X.25.
  • Diensttyp. Wird zum Festlegen des Typs des angeforderten Diensts verwendet. Beispiele hierfür sind Frame (z. B. PPP-Verbindungen) und Anmeldung (z. B. Telnet-Verbindungen). Weitere Informationen zu RADIUS-Diensttypen finden Sie in RFC 2865, „Remote Authentication Dial-in User Service (RADIUS)“.
  • Tunneltyp. Wird verwendet, um den Typ des Tunnels festzulegen, der vom anfordernden Client erstellt wird. Tunneltypen umfassen PPTP (Point-to-Point Tunneling Protocol) und L2TP (Layer Two Tunneling Protocol).

Attributgruppe „Tag- und Uhrzeiteinschränkungen“

Die Attributgruppe „Tag- und Uhrzeiteinschränkungen“ enthält das Attribut für „Tag- und Uhrzeiteinschränkungen“. Mit diesem Attribut können Sie den Wochentag und die Tageszeit des Verbindungsversuchs festlegen. Der Tag und die Uhrzeit sind relativ zu dem Tag und der Uhrzeit des NPS.

Attributegruppe „Gateway“

Die Attributgruppe „Gateway“ enthält die folgenden Attribute.

  • ID der aufgerufenen Station. Wird zum Angeben der Telefonnummer des Netzwerkzugriffsservers verwendet. Dieses Attribut hat die Form einer Zeichenfolge. Sie können die Musterabgleichssyntax verwenden, um Ortsvorwahlen anzugeben.
  • NAS-Bezeichner. Wird zum Festlegen des Namens des Netzwerkzugriffsservers verwendet. Dieses Attribut hat die Form einer Zeichenfolge. Sie können für NAS-Bezeichner die Mustervergleichssyntax verwenden.
  • NAS-IPv4-Adresse. Wird zum Festlegen der IPv4-Adresse (Internet Protocol Version 4) des Netzwerkzugriffsservers (RADIUS-Client) verwendet. Dieses Attribut hat die Form einer Zeichenfolge. Sie können für IP-Netzwerke die Mustervergleichssyntax verwenden.
  • NAS-IPv6-Adresse. Wird zum Festlegen der IPv6-Adresse (Internet Protocol Version 6) des Netzwerkzugriffsservers (RADIUS-Client) verwendet. Dieses Attribut hat die Form einer Zeichenfolge. Sie können für IP-Netzwerke die Mustervergleichssyntax verwenden.
  • NAS-Porttyp. Wird zum Festlegen des vom Zugriffsclient verwendeten Medientyps verwendet. Beispiele sind analoge Telefonleitungen (als „asynchron“ bezeichnet), ISDN (Integrated Services Digital Network), Tunnel oder private virtuelle Netzwerke (VPNs), drahtlose Verbindungen gemäß IEEE 802.11 und Ethernet-Switches.

Attributgruppe „Computeridentität“

Die Attributgruppe „Computeridentität“ enthält das Attribut „Computeridentität“. Mithilfe dieses Attributs können Sie die Methode angeben, mit der Clients in der Richtlinie identifiziert werden.

Attributgruppe „Eigenschaften des RADIUS-Clients“

Die Attributgruppe „Eigenschaften des RADIUS-Clients“ enthält die folgenden Attribute.

  • ID der aufrufenden Station. Wird zum Festlegen der Telefonnummer des Anrufers (Zugriffsclient) verwendet. Dieses Attribut hat die Form einer Zeichenfolge. Sie können die Musterabgleichssyntax verwenden, um Ortsvorwahlen anzugeben. Bei 802.1x-Authentifizierungen ist die MAC-Adresse normalerweise angegeben und kann beim Client abgeglichen werden. Dieses Feld wird in der Regel für Szenarien mit MAC-Adressvermeidung verwendet, wenn die Verbindungsanforderungsrichtlinie für die Authentifizierung von Benutzer*innen ohne Überprüfung der Anmeldeinformationen konfiguriert ist.
  • Anzeigename des Clients. Wird zum Festlegen des Namens des RADIUS-Clientcomputers, der die Authentifizierung anfordert, verwendet. Dieses Attribut hat die Form einer Zeichenfolge. Sie können für Clientnamen die Mustervergleichssyntax verwenden.
  • Client-IPv4-Adresse. Wird zum Festlegen der IPv4-Adresse des Netzwerkzugriffsservers (RADIUS-Client) verwendet. Dieses Attribut hat die Form einer Zeichenfolge. Sie können für IP-Netzwerke die Mustervergleichssyntax verwenden.
  • Client-IPv6-Adresse. Wird zum Festlegen der IPv6-Adresse des Netzwerkzugriffsservers (RADIUS-Client) verwendet. Dieses Attribut hat die Form einer Zeichenfolge. Sie können für IP-Netzwerke die Mustervergleichssyntax verwenden.
  • Clientanbieter. Wird zum Festlegen des Anbieters des Netzwerkzugriffsservers, der die Authentifizierung anfordert, verwendet. Bei einem Computer, auf dem der Routing- und RAS-Dienst ausgeführt wird, ist das der Microsoft-NAS-Hersteller. Sie können mit diesem Attribut separate Richtlinien für verschiedene NAS-Hersteller konfigurieren. Dieses Attribut hat die Form einer Zeichenfolge. Sie können die Mustervergleichssyntax verwenden.

Attributgruppe „Benutzername“

Die Attributgruppe „Benutzername“ enthält das Attribut „Benutzername“. Mithilfe dieses Attributs können Sie den Benutzernamen oder einen Teil des Benutzernamens festlegen, der mit dem vom Zugriffsclient in der RADIUS-Nachricht angegebenen Benutzernamen übereinstimmen muss. Dieses Attribut hat die Form einer Zeichenfolge, die in der Regel einen Bereichsnamen und einen Benutzerkontonamen enthält. Sie können für Benutzernamen die Mustervergleichssyntax verwenden.

Einstellungen für Verbindungsanforderungsrichtlinien

Einstellungen für Verbindungsanforderungsrichtlinien sind Eigenschaften, die auf eine eingehende RADIUS-Nachricht angewandt werden. Die Einstellungen setzen sich aus den folgenden Gruppen von Eigenschaften zusammen.

  • Authentifizierung
  • Buchhaltung
  • Attributbearbeitung
  • Weiterleitungsanforderung
  • Erweitert

In den folgenden Abschnitten finden Sie weitere Details zu diesen Einstellungen.

Authentifizierung

Mit dieser Einstellung können Sie die konfigurierten Authentifizierungseinstellungen in allen Netzwerkrichtlinien außer Kraft setzen, und Sie können die erforderlichen Authentifizierungsmethoden und -typen für die Verbindung mit Ihrem Netzwerk festlegen.

Wichtig

Wenn Sie in der Verbindungsanforderungsrichtlinie eine Authentifizierungsmethode konfigurieren, die weniger sicher ist als die in der Netzwerkrichtlinie konfigurierte, wird die sicherere Authentifizierungsmethode in der Netzwerkrichtlinie außer Kraft gesetzt. Wenn beispielsweise in einer Netzwerkrichtlinie die Verwendung von PEAP-MS-CHAP v2 (Protected Extensible Authentication Protocol – Microsoft – Challenge Handshake Authentication Protocol, Version 2) erforderlich ist, eine kennwortbasierte Authentifizierungsmethode für sichere Drahtlosverbindungen, und Sie außerdem eine Verbindungsanforderungsrichtlinie konfigurieren, die nicht authentifizierten Zugriff zulässt, ist das Ergebnis, dass Clients sich nicht mehr mithilfe von PEAP-MS-CHAP v2 authentifizieren müssen. In diesem Beispiel wird allen Clients, die eine Verbindung mit Ihrem Netzwerk herstellen, Zugriff ohne Authentifizierung gewährt.

Buchhaltung

Mithilfe dieser Einstellung können Sie die Verbindungsanforderungsrichtlinie so konfigurieren, dass Ressourcenerfassungsinformationen an einen NPS oder einen anderen RADIUS-Server in einer RADIUS-Remoteservergruppe weitergeleitet werden, sodass die RADIUS-Remoteservergruppe die Ressourcenerfassung ausführt.

Hinweis

Wenn Sie über mehrere RADIUS-Server verfügen und Ressourcenerfassungsinformationen für alle Server in einer zentralen RADIUS-Datenbank gespeichert werden sollen, können Sie über die Ressourcenerfassungseinstellung einer Verbindungsanforderungsrichtlinie auf jedem RADIUS-Server Ressourcenerfassungsdaten von allen Servern an einen NPS oder einen anderen RADIUS-Server weiterleiten, der als Ressourcenerfassungsserver festgelegt ist.

Die Ressourcenerfassungseinstellungen für die Verbindungsanforderungsrichtlinie funktionieren unabhängig von der Ressourcenerfassungskonfiguration des lokalen NPS. Anders ausgedrückt: Wenn Sie den lokalen NPS so konfigurieren, dass RADIUS-Ressourcenerfassungsinformationen in einer lokalen Datei oder einer Microsoft SQL Server-Datenbank protokolliert werden, geschieht dies unabhängig davon, ob Sie eine Verbindungsanforderungsrichtlinie für die Weiterleitung von Ressourcenerfassungsnachrichten an eine RADIUS-Remoteservergruppe konfigurieren.

Wenn Ressourcenerfassungsinformationen remote, aber nicht lokal protokolliert werden sollen, müssen Sie den lokalen NPS so konfigurieren, dass keine Ressourcenerfassung ausgeführt wird, und gleichzeitig die Ressourcenerfassung in einer Verbindungsanforderungsrichtlinie zur Weiterleitung der Ressourcenerfassungsdaten an eine RADIUS-Remoteservergruppe konfigurieren.

Attributbearbeitung

Sie können eine Reihe von Regeln zum Suchen und Ersetzen konfigurieren, die die Textzeichenfolgen eines der folgenden Attribute bearbeiten.

  • Benutzername
  • ID der aufgerufenen Station
  • ID der aufrufenden Station

Die Verarbeitung von Regeln zum Suchen und Ersetzen erfolgt für eines der vorhergehenden Attribute, bevor die Authentifizierungs- und Ressourcenerfassungseinstellungen für die RADIUS-Nachricht angewandt werden. Attributbearbeitungsregeln betreffen nur ein einzelnes Attribut. Sie können Attributbearbeitungsregeln nicht für jedes Attribut konfigurieren. Darüber hinaus ist die Liste der Attribute, die Sie bearbeiten können, eine statische Liste. Sie können die Liste der zur Bearbeitung verfügbaren Attribute nicht erweitern.

Hinweis

Wenn Sie das Authentifizierungsprotokoll MS-CHAP v2 verwenden, können Sie das Attribut „Benutzername“ nicht bearbeiten, wenn die RADIUS-Nachricht über die Verbindungsanforderungsrichtlinie weitergeleitet wird. Die einzige Ausnahme davon ist die Verwendung eines umgekehrten Schrägstrichs (\), wenn die Bearbeitung nur die Informationen links davon beeinflusst. Ein umgekehrter Schrägstrich wird in der Regel verwendet, um einen Domänennamen (die Informationen links vom umgekehrten Schrägstrich) und einen Benutzerkontonamen innerhalb der Domäne (die Informationen rechts vom umgekehrten Schrägstrich) anzugeben. In diesem Fall sind nur Attributbearbeitungsregeln zulässig, die den Domänennamen ändern oder ersetzen.

Beispiele für die Bearbeitung des Bereichsnamens im Attribut „Benutzername“ finden Sie im Abschnitt „Beispiele für die Bearbeitung des Bereichsnamens im Attribut Benutzername“ im Thema Verwenden regulärer Ausdrücke in NPS.

Weiterleitungsanforderung

Sie können für RADIUS-Access-Request-Nachrichten die folgenden Optionen für Weiterleitungsanforderungen festlegen:

  • Anforderungen auf diesem Server authentifizieren. Mithilfe dieser Einstellung verwendet authentifiziert der NPS die Verbindungsanforderung über eine Windows NT 4.0-Domäne, Active Directory oder die lokale SAM-Benutzerkontodatenbank (Security Accounts Manager). Diese Einstellung gibt auch an, dass Verbindungsanforderung vom NPS über die entsprechende konfigurierte Netzwerkrichtlinie gemeinsam mit den Einwahleigenschaften des Benutzerkontos autorisiert werden. In diesem Fall ist der NPS als RADIUS-Server konfiguriert.

  • Anforderungen an die folgende RADIUS-Remoteservergruppe weiterleiten. Mithilfe dieser Einstellung leitet der NPS Verbindungsanforderungen an die angegebene RADIUS-Remoteservergruppe weiter. Wenn der NPS eine gültige Access-Accept-Nachricht empfängt, die der Access-Request-Nachricht entspricht, wird der Verbindungsversuch als authentifiziert und autorisiert angesehen. In diesem Fall fungiert der NPS als RADIUS-Proxy.

  • Benutzer*innen ohne Überprüfung der Anmeldeinformationen akzeptieren. Mit dieser Einstellung überprüft der NPS nicht die Identität der Benutzer*innen, die versuchen, eine Verbindung mit dem Netzwerk herzustellen. Der NPS überprüft auch nicht, ob die Benutzer*innen oder die Computer zum Herstellen einer Verbindung mit dem Netzwerk berechtigt sind. Wenn der NPS zum Zulassen nicht authentifizierten Zugriffs konfiguriert ist und er eine Verbindungsanforderung empfängt, sendet er sofort eine Access-Accept-Nachricht an den RADIUS-Client, und dem Benutzer bzw. der Benutzerin oder dem Computer wird Netzwerkzugriff gewährt. Diese Einstellung wird für einige Arten von obligatorischem Tunneling verwendet, bei denen der Zugriffsclient vor dem Authentifizieren von Benutzeranmeldeinformationen getunnelt wird.

Hinweis

Diese Authentifizierungsoption kann nicht verwendet werden, wenn das Authentifizierungsprotokoll des Zugriffsclients auf MS-CHAP v2 oder EAP-TLS (Extensible Authentication Protocol – Transport Layer Security) festgelegt ist, die beide eine gegenseitige Authentifizierung bieten. Bei der gegenseitigen Authentifizierung belegt der Zugriffsclient gegenüber dem authentifizierenden Server (NPS), dass er ein gültiger Zugriffsclient ist, und der authentifizierende Server belegt gegenüber dem Zugriffsclient, dass er ein gültiger authentifizierenden Server ist. Bei dieser Authentifizierungsoption Access-Accept-Nachricht zurückgegeben. Der Authentifizierungsserver bietet jedoch keine Validierung für den Zugriffsclient, und bei der gegenseitigen Authentifizierung tritt ein Fehler auf.

Beispiele für die Verwendung von regulären Ausdrücken beim Erstellen von Routingregeln, die RADIUS-Nachrichten mit einem angegebenen Bereichsnamen an eine RADIUS-Remoteservergruppe weiterleiten, finden Sie im Abschnitt „Beispiel für die RADIUS-Nachrichtenweiterleitung durch einen Proxyserver“ im Thema Verwenden regulärer Ausdrücke in NPS.

Erweitert

Sie können mithilfe erweiterter Eigenschaften folgende Gruppen von RADIUS-Attributen angeben:

  • Attribute, die der RADIUS-Antwortnachricht hinzugefügt werden, wenn der NPS als RADIUS-Authentifizierungs- oder Ressourcenerfassungsserver verwendet wird. Wenn Attribute sowohl für eine Netzwerkrichtlinie als auch für die Verbindungsanforderungsrichtlinie angegeben wurden, sind die in der RADIUS-Antwortnachricht gesendeten Attribute eine Kombination der beiden Attributgruppen.
  • Attribute, die der RADIUS-Nachricht hinzugefügt werden, wenn der NPS als RADIUS-Authentifizierungs- oder Ressourcenerfassungsproxy verwendet wird. Wenn das Attribut bereits in der weitergeleiteten Nachricht vorhanden ist, wird es durch den Wert des Attributs ersetzt, das in der Verbindungsanforderungsrichtlinie angegeben ist.

Darüber hinaus sind einige Attribute für die Konfiguration auf der Registerkarte Einstellungen für die Verbindungsanforderungsrichtlinie in der Kategorie Erweitert verfügbar, die spezielle Funktionen bieten. Beispielsweise können Sie das Attribut Benutzerzuordnung zwischen RADIUS-Remoteserver und Windows konfigurieren, wenn Sie die Authentifizierung und Autorisierung einer Verbindungsanforderung auf zwei Benutzerkontendatenbanken aufteilen möchten.

Das Attribut Benutzerzuordnung zwischen RADIUS-Remoteserver und Windows gibt an, dass die Windows-Autorisierung für Benutzer*innen erfolgt, die von einem RADIUS-Remoteserver authentifiziert werden. Anders ausgedrückt: Ein RADIUS-Remoteserver führt die Authentifizierung für ein Benutzerkonto in einer Remotedatenbank mit Benutzerkonten durch, aber der lokale NPS autorisiert die Verbindungsanforderung für ein Benutzerkonto in einer lokalen Benutzerkontendatenbank. Dies ist nützlich, wenn Sie Besucher*innen Zugriff auf Ihr Netzwerk gewähren möchten.

Beispielsweise können Besucher*innen von Partnerorganisationen vom eigenen RADIUS-Server der Partnerorganisation authentifiziert werden und dann über ein Windows-Benutzerkonto in Ihrer Organisation auf ein Gast-LAN (Local Area Network) in Ihrem Netzwerk zugreifen.

Folgende weitere Attribute bieten spezielle Funktionen:

  • MS-Quarantine-IPFilter und MS-Quarantine-Session-Timeout. Diese Attribute werden verwendet, wenn Sie die Netzwerkzugriffs-Quarantänesteuerung (Network Access Quarantine Control, NAQC) mit Ihrem Routing- und RAS-VPN bereitstellen.
  • Passport-User-Mapping-UPN-Suffix. Mit diesem Attribut können Sie Verbindungsanforderungen mit den Anmeldeinformationen des Windows Live™ ID-Benutzerkontos authentifizieren.
  • Tunnel-Tag. Dieses Attribut gibt bei der Bereitstellung von VLANs (Virtual Local Area Networks) die ID des VLAN an, dem die Verbindung vom NAS zugewiesen werden soll.

Standard-Verbindungsanforderungsrichtlinie

Bei der Installation eines NPS wird eine Standard-Verbindungsanforderungsrichtlinie erstellt. Die Richtlinie weist die folgende Konfiguration auf.

  • Es ist keine Authentifizierung konfiguriert.
  • Die Ressourcenerfassung ist nicht für die Weiterleitung von Ressourcenerfassungsinformationen an eine RADIUS-Remoteservergruppe konfiguriert.
  • Das Attribut weist keine Attributbearbeitungsregeln auf, die Verbindungsanforderungen an RADIUS-Remoteservergruppen weiterleiten.
  • Die Weiterleitungsanforderung ist so konfiguriert, dass Verbindungsanforderungen auf dem lokalen NPS authentifiziert und autorisiert werden.
  • Es sind keine erweiterten Attribute konfiguriert.

In der Standardrichtlinie für Verbindungsanforderungen wird der NPS als RADIUS-Server verwendet. Um einen Server mit NPS als RADIUS-Proxy zu konfigurieren, müssen Sie auch eine RADIUS-Remoteservergruppe konfigurieren. Sie können mit dem Assistenten für neue Verbindungsanforderungsrichtlinien beim Erstellen der Verbindungsanforderungsrichtlinie eine neue RADIUS-Remoteservergruppe erstellen. Sie können die Standard-Verbindungsanforderungsrichtlinie entweder löschen oder sicherstellen, dass sie die letzte vom NPS verarbeitete Richtlinie ist, indem Sie sie an die letzte Stelle in der geordneten Liste der Richtlinien platzieren.

Hinweis

Wenn der NPS und der RAS auf demselben Computer installiert sind und der RAS für Windows-Authentifizierung und Ressourcenerfassung konfiguriert ist, können RAS-Authentifizierungs- und -Ressourcenerfassungsanforderungen an einen RADIUS-Server weitergeleitet werden. Dies kann auftreten, wenn RAS-Authentifizierungs- und -Ressourcenerfassungsanforderungen mit einer Verbindungsanforderungsrichtlinie übereinstimmen, die für die Weiterleitung an eine RADIUS-Remoteservergruppe konfiguriert ist.