RADIUS-Remoteservergruppen
Wenn Sie Netzwerkrichtlinienserver (Network Policy Server, NPS) als RADIUS-Proxy (Remote Authentication Dial-In User Service) konfigurieren, verwenden Sie NPS, um Verbindungsanfragen an RADIUS-Server weiterzuleiten, die in der Lage sind, die Verbindungsanfragen zu verarbeiten, weil sie die Authentifizierung und Autorisierung in der Domäne durchführen können, in der sich das Benutzer- oder Computerkonto befindet. Wenn Sie beispielsweise Verbindungsanfragen an einen oder mehrere RADIUS-Server in nicht vertrauenswürdigen Domänen weiterleiten möchten, können Sie NPS als RADIUS-Proxy konfigurieren, der die Anfragen an die Remote RADIUS-Server in der nicht vertrauenswürdigen Domäne weiterleitet.
Hinweis
Remote RADIUS-Server-Gruppen haben nichts mit Windows-Gruppen zu tun und sind von diesen getrennt.
Um NPS als RADIUS-Proxy zu konfigurieren, müssen Sie eine Richtlinie für Verbindungsanfragen erstellen, die alle Informationen enthält, die NPS benötigt, um zu ermitteln, welche Nachrichten weitergeleitet werden sollen und wohin die Nachrichten zu senden sind.
Wenn Sie eine Remote RADIUS-Servergruppe in NPS konfigurieren und eine Richtlinie für Verbindungsanfragen mit der Gruppe konfigurieren, legen Sie den Ort fest, an den NPS Verbindungsanfragen weiterleiten soll.
Konfigurieren von RADIUS-Servern für eine Gruppe
Eine Remote RADIUS-Servergruppe ist eine benannte Gruppe, die einen oder mehrere RADIUS-Server enthält. Wenn Sie mehr als einen Server konfigurieren, können Sie Einstellungen für den Lastausgleich festlegen, um entweder die Reihenfolge zu bestimmen, in der die Server vom Proxy verwendet werden, oder um den Fluss der RADIUS-Nachrichten auf alle Server in der Gruppe zu verteilen, um eine Überlastung eines oder mehrerer Server mit zu vielen Verbindungsanfragen zu verhindern.
Jeder Server in der Gruppe verfügt über die folgenden Einstellungen.
Name oder Adresse. Jedes Gruppenmitglied muss einen einmaligen Namen innerhalb der Gruppe haben. Der Name kann eine IP-Adresse oder ein Name sein, der in seine IP-Adresse aufgelöst werden kann.
Authentifizierung und Kontoführung (Accounting). Sie können Authentifizierungsanfragen, Accounting-Anfragen oder beides an jedes Mitglied der RADIUS-Servergruppe weiterleiten.
Lastenausgleich: Eine Prioritätseinstellung wird verwendet, um anzugeben, welches Mitglied der Gruppe der primäre Server ist (die Priorität ist auf 1 gesetzt). Bei Gruppenmitgliedern, die die gleiche Priorität haben, wird eine Gewichtungseinstellung verwendet, um zu berechnen, wie oft RADIUS-Nachrichten an die einzelnen Server gesendet werden. Sie können zusätzliche Einstellungen verwenden, um zu konfigurieren, wie der NPS erkennt, wann ein Gruppenmitglied zum ersten Mal nicht verfügbar ist und wann es verfügbar wird, nachdem es als nicht verfügbar eingestuft wurde.
Nachdem Sie eine Remote RADIUS-Servergruppe konfiguriert haben, können Sie die Gruppe in den Authentifizierungs- und Accounting-Einstellungen einer Richtlinie für Verbindungsanfragen angeben. Aus diesem Grund können Sie zuerst eine Remote RADIUS-Servergruppe konfigurieren. Als nächstes können Sie die Richtlinie für Verbindungsanfragen so konfigurieren, dass sie die neu konfigurierte Remote RADIUS-Servergruppe verwendet. Alternativ können Sie auch den Assistenten für neue Verbindungsanforderungsrichtlinien verwenden, um eine neue Remote RADIUS-Servergruppe zu erstellen, während Sie die Verbindungsanforderungsrichtlinie erstellen.
Weitere Informationen zum NPS finden Sie unter Netzwerkrichtlinienserver (Network Policy Server, NPS).