Wenn Sie DFÜ- oder VPN-Verbindungen mit dem Netzwerkrichtlinienserver (Network Policy Server, NPS) als RADIUS-Server bereitstellen, müssen Sie folgende Schritte ausführen:

  • Installieren und konfigurieren Sie Netzwerkzugriffsserver (Network Access Servers, NASs) als RADIUS-Clients.

  • Stellen Sie Komponenten für Authentifizierungsmethoden bereit.

  • Konfigurieren Sie NPS als RADIUS-Server.

Installieren und Konfigurieren von Netzwerkzugriffsservern (RADIUS-Clients)

Für die Bereitstellung des DFÜ-Zugriffs müssen Sie Routing und RAS als DFÜ-Server installieren und konfigurieren. Für die Bereitstellung des VPN-Zugriffs müssen Sie Routing und RAS als VPN-Server installieren und konfigurieren.

Wichtig

Clientcomputer wie drahtlose tragbare und andere Computer, auf denen Clientbetriebssysteme ausgeführt werden, sind keine RADIUS-Clients. RADIUS-Clients sind Netzwerkzugriffsserver (drahtlose Zugriffspunkte, 802.1X-fähige Switches, VPN-Server (Virtual Private Network) und Einwählserver), da sie über das RADIUS-Protokoll mit RADIUS-Servern wie NPS-Servern (Network Policy Server) kommunizieren.

Sie können Routing und RAS auf dem lokalen Netzwerkrichtlinienserver oder auf einem Remotecomputer installieren.

Bereitstellen von Komponenten für Authentifizierungsmethoden

Für VPN können Sie die folgenden Authentifizierungsmethoden verwenden:

  • EAP (Extensible Authentication-Protokoll) mit TLS (Transport Layer Security), auch EAP-TLS genannt.

  • Geschütztes EAP (PEAP) mit MS-CHAP v2 (Microsoft Challenge Handshake Authentication-Protokoll Version 2), auch PEAP-MS-CHAP v2 genannt.

  • PEAP mit TLS (Transport Layer Security), auch PEAP-TLS genannt.

Für EAP-TLS und PEAP-TLS müssen Sie eine Public Key-Infrastruktur (Public Key Infrastructure, PKI) bereitstellen, indem Sie Active Directory®-Zertifikatsdienste (Active Directory Certificate Services, AD CS) installieren und konfigurieren, um Zertifikate für Domänenmitglieds-Clientcomputer und Netzwerkrichtlinienserver auszustellen. Diese Zertifikate dienen während des Authentifizierungsvorgangs als Identitätsnachweis durch Clients und Netzwerkrichtlinienserver. Alternativ können Sie anstelle der Verwendung von Clientcomputerzertifikaten auch Smartcards bereitstellen. In diesem Fall müssen Sie Smartcards und Smartcardleser für die Mitarbeiter der Organisation ausstellen.

Für PEAP-MS-CHAP v2 können Sie eine eigene Zertifizierungsstelle (Certification Authority, CA) für AD CS bereitstellen, um Zertifikate für Netzwerkrichtlinienserver auszustellen, oder Sie erwerben Serverzertifikate von einer öffentlichen vertrauenswürdigen Stammzertifizierungsstelle, der von Clients vertraut wird, wie beispielsweise VeriSign.

Weitere Informationen finden Sie unter EAP (Übersicht) und PEAP (Übersicht).

Konfigurieren von NPS als RADIUS-Server

Wenn Sie NPS als RADIUS-Server konfigurieren, müssen Sie RADIUS-Clients, Netzwerkrichtlinien und die RADIUS-Kontoführung konfigurieren.

Konfigurieren von RADIUS-Clients

Das Konfigurieren von RADIUS-Clients besteht aus zwei Phasen:

  • Konfigurieren Sie für den physikalischen RADIUS-Client, wie beispielsweise den VPN- oder DFÜ-Server, Informationen, mit deren Hilfe der Netzwerkzugriffsserver mit Netzwerkrichtlinienservern kommunizieren kann. Zu diesen Informationen gehört die Konfiguration der IP-Adresse des Netzwerkrichtlinienservers und des gemeinsamen geheimen Schlüssels auf der Benutzeroberfläche des VPN- oder DFÜ-Servers.

  • Fügen Sie in NPS einen neuen RADIUS-Client hinzu. Fügen Sie auf dem Netzwerkrichtlinienserver die einzelnen VPN- oder DFÜ-Server als RADIUS-Clients hinzu. Sie können einen Anzeigenamen für jeden RADIUS-Client sowie die IP-Adresse des RADIUS-Clients und den gemeinsamen geheimen Schlüssel angeben.

Weitere Informationen finden Sie unter Hinzufügen eines neuen RADIUS-Clients.

Konfigurieren von Netzwerkrichtlinien

Bei Netzwerkrichtlinien handelt es sich um Bedingungen, Einschränkungen und Einstellungen, mit deren Hilfe Sie festlegen, welche Benutzer unter welchen Umständen eine Verbindung mit dem Netzwerk herstellen dürfen.

Weitere Informationen finden Sie unter Netzwerkrichtlinien.

Konfigurieren der RADIUS-Kontoführung

Mithilfe der RADIUS-Kontoführung können Sie Benutzerauthentifizierungs- und Kontoführungsanforderungen in einer lokalen Protokolldatei oder in einer Microsoft® SQL Server®-Datenbank auf dem lokalen Computer oder auf einem Remotecomputer aufzeichnen.


Inhaltsverzeichnis