Verarbeitung von Verbindungsanforderungen

• Gilt für::

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Azure Local, versions 23H2 and 22H2

In diesem Thema erfahren Sie mehr über die Verarbeitung von Verbindungsanfragen im Netzwerkrichtlinienserver in Windows Server 2016.

Hinweis

Zusätzlich zu diesem Thema ist die folgende Dokumentation zur Bearbeitung von Verbindungsanfragen verfügbar.

• Verbindungsanforderungsrichtlinien
• Bereichsnamen
• Remote RADIUS-Servergruppen

Mit der Verarbeitung von Verbindungsanfragen können Sie festlegen, wo die Authentifizierung von Verbindungsanfragen durchgeführt werden soll; auf dem lokalen Computer oder auf einem Remote RADIUS-Server, der Mitglied einer Remote RADIUS-Servergruppe ist.

Wenn Sie möchten, dass der lokale Server, auf dem Netzwerkrichtlinienserver (Network Policy Server, NPS) läuft, die Authentifizierung für Verbindungsanfragen durchführt, können Sie die Standardrichtlinie für Verbindungsanfragen ohne zusätzliche Konfiguration verwenden. Auf der Grundlage der Standardrichtlinie authentifiziert der NPS Benutzer und Computer, die ein Konto in der lokalen Domäne und in vertrauenswürdigen Domänen haben.

Wenn Sie Verbindungsanfragen an einen entfernten NPS oder einen anderen RADIUS-Server weiterleiten möchten, erstellen Sie eine Remote RADIUS-Servergruppe und konfigurieren dann eine Richtlinie für Verbindungsanfragen, die Anfragen an diese Remote RADIUS-Servergruppe weiterleitet. Mit dieser Konfiguration kann der NPS Authentifizierungsanfragen an jeden RADIUS-Server weiterleiten, und Benutzer mit Konten in nicht vertrauenswürdigen Domänen können authentifiziert werden.

Die folgende Abbildung zeigt den Weg einer Access-Request-Nachricht von einem Netzwerkzugriffsserver zu einem RADIUS-Proxy und dann weiter zu einem RADIUS-Server in einer Remote RADIUS-Servergruppe. Auf dem RADIUS-Proxy ist der Netzwerkzugriffsserver als RADIUS-Client konfiguriert, und auf jedem RADIUS-Server ist der RADIUS-Proxy als RADIUS-Client konfiguriert.

Hinweis

Bei den Netzwerkzugriffsservern, die Sie mit NPS verwenden, kann es sich um Gateway-Geräte handeln, die mit dem RADIUS-Protokoll kompatibel sind, wie 802.1X Wireless Access Points und authentifizierende Switches, Server, auf denen Remote Access läuft und die als VPN- oder Einwahlserver konfiguriert sind, oder andere RADIUS-kompatible Geräte.

Wenn Sie möchten, dass NPS einige Authentifizierungsanfragen lokal verarbeitet und andere Anfragen an eine Remote RADIUS-Servergruppe weiterleitet, konfigurieren Sie mehr als eine Richtlinie für Verbindungsanfragen.

Wie Sie eine Richtlinie für Verbindungsanfragen konfigurieren, die festlegt, welche NPS- oder RADIUS-Servergruppe Authentifizierungsanfragen bearbeitet, erfahren Sie unter Richtlinien für Verbindungsanfragen.

Wie Sie NPS- oder andere RADIUS-Server festlegen, an die Authentifizierungsanfragen weitergeleitet werden, erfahren Sie unter Remote RADIUS-Servergruppen.

NPS als Verbindungsanforderungsverarbeitung für den RADIUS-Server

Wenn Sie NPS als RADIUS-Server verwenden, sorgen RADIUS-Nachrichten auf folgende Weise für die Authentifizierung, Autorisierung und Ressourcenerfassung von Netzwerkzugangsverbindungen:

1. Zugriffsserver, wie z.B. Einwahlserver, VPN-Server und drahtlose Zugangspunkte, erhalten Verbindungsanfragen von Zugangsclients.

2. Der Zugriffsserver, der für die Verwendung von RADIUS als Authentifizierung, Autorisierung und Ressourcenerfassungsprotokoll konfiguriert ist, erstellt eine Access-Request-Nachricht und sendet sie an den NPS.

3. Der NPS wertet die Access-Request-Nachricht aus.

4. Falls erforderlich, sendet der NPS eine Access-Captcha-Nachricht an den Zugriffsserver. Der Zugriffsserver verarbeitet das Captcha und sendet eine aktualisierte Access-Request an den NPS.

5. Die Anmeldedaten des Benutzers werden überprüft und die Einwahleigenschaften des Benutzerkontos werden über eine sichere Verbindung zu einem Domänencontroller ermittelt.

6. Der Verbindungsversuch wird sowohl mit den Einwahleigenschaften des Benutzerkontos als auch mit den Netzwerkrichtlinien autorisiert.

7. Wenn der Verbindungsversuch sowohl authentifiziert als auch autorisiert ist, sendet der NPS eine Access-Accept-Nachricht an den Zugriffsserver. Wenn der Verbindungsversuch entweder nicht authentifiziert oder nicht autorisiert ist, sendet der NPS eine Access-Reject-Nachricht an den Zugriffsserver.

8. Der Zugriffsserver schließt den Verbindungsvorgang mit dem Zugriffsclient ab und sendet eine Accounting-Request Nachricht an den NPS, wo die Nachricht protokolliert wird.

9. Der NPS sendet eine Accounting-Response an den Zugriffsserver.

Hinweis

Der Zugriffsserver sendet auch Accounting-Request-Nachrichten während der Zeit, in der die Verbindung hergestellt wird, wenn die Verbindung des Zugriffsclients geschlossen wird und wenn der Zugriffsserver gestartet und beendet wird.

NPS als RADIUS-Proxy-Verarbeitung von Verbindungsanfragen

Wenn NPS als RADIUS-Proxy zwischen einem RADIUS-Client und einem RADIUS-Server eingesetzt wird, werden RADIUS-Nachrichten für Verbindungsversuche zum Netzwerk wie folgt weitergeleitet:

1. Zugriffsserver, wie z. B. Einwahlserver, VPN-Server (Virtual Private Network) und drahtlose Zugangspunkte, erhalten Verbindungsanfragen von Zugangsclients.

2. Der Zugriffsserver, der für die Verwendung von RADIUS als Authentifizierung, Autorisierung und Ressourcenerfassungsprotokoll konfiguriert ist, erstellt eine Access-Request-Nachricht und sendet sie an den NPS, der als NPS-RADIUS-Proxy verwendet wird.

3. Der NPS-RADIUS-Proxy empfängt die Access-Request-Nachricht und bestimmt auf der Grundlage der lokal konfigurierten Richtlinien für Verbindungsanfragen, wohin die Access-Request-Nachricht weitergeleitet werden soll.

4. Der NPS-RADIUS-Proxy leitet die Access-Request-Nachricht an den entsprechenden RADIUS-Server weiter.

5. Der RADIUS-Server wertet die Access-Request Nachrichten aus.

6. Bei Bedarf sendet der RADIUS-Server eine Access-Captcha-Nachricht an den NPS-RADIUS-Proxy, wo sie an den Zugriffsserver weitergeleitet wird. Der Zugriffsserver verarbeitet die Anforderung mit dem Zugriffsclient und sendet eine aktualisierte Access-Request an den NPS-RADIUS-Proxy, wo sie an den RADIUS-Server weitergeleitet wird.

7. Der RADIUS-Server authentifiziert und autorisiert den Verbindungsversuch.

8. Wenn der Verbindungsversuch sowohl authentifiziert als auch autorisiert ist, sendet der RADIUS-Server eine Access-Accept-Nachricht an den NPS-RADIUS-Proxy, wo sie an den Zugriffsserver weitergeleitet wird. Wenn der Verbindungsversuch entweder nicht authentifiziert oder nicht autorisiert ist, sendet der RADIUS-Server eine Access-Reject-Nachricht an den NPS-RADIUS-Proxy, wo sie an den Zugriffsserver weitergeleitet wird.

9. Der Zugriffsserver schließt den Verbindungsprozess mit dem Zugriffsclient ab und sendet eine Accounting-Request-Nachricht an den NPS-RADIUS-Proxy. Der NPS-RADIUS-Proxy protokolliert die Daten der Ressourcenerfassung und leitet die Nachricht an den RADIUS-Server weiter.

10. Der RADIUS-Server sendet eine Antwort zur Ressourcenerfassung an den NPS-RADIUS-Proxy, wo sie an den Zugriffsserver weitergeleitet wird.

Weitere Informationen zum NPS finden Sie unter Netzwerkrichtlinienserver (Network Policy Server, NPS).