Wenn Sie verkabelten 802.1X-Zugriff oder 802.1X-Drahtloszugriff mit dem Netzwerkrichtlinienserver (Network Policy Server, NPS) als RADIUS-Server (Remote Authentication Dial-In User Service) bereitstellen, müssen Sie die folgenden Schritte ausführen:

  • Installieren und konfigurieren Sie Netzwerkzugriffsserver (Network Access Servers, NASs) als RADIUS-Clients.

  • Stellen Sie Komponenten für Authentifizierungsmethoden bereit.

  • Konfigurieren Sie NPS als RADIUS-Server.

Installieren und Konfigurieren von Netzwerkzugriffsservern (RADIUS-Clients)

Für die Bereitstellung von 802.1X-Drahtlosverbindungen müssen Sie Drahtloszugriffspunkte installieren und konfigurieren. Für die Bereitstellung von 802.1X-Kabelverbindungen müssen Sie 802.1X-Authentifizierungsswitches installieren und konfigurieren.

Wichtig

Clientcomputer wie drahtlose tragbare und andere Computer, auf denen Clientbetriebssysteme ausgeführt werden, sind keine RADIUS-Clients. RADIUS-Clients sind Netzwerkzugriffsserver (drahtlose Zugriffspunkte, 802.1X-fähige Switches, VPN-Server (Virtual Private Network) und Einwählserver), da sie über das RADIUS-Protokoll mit RADIUS-Servern wie NPS-Servern (Network Policy Server) kommunizieren.

In beiden Fällen müssen diese Netzwerkzugriffsserver die folgenden Anforderungen erfüllen:

  • Unterstützung der 802.1X-Authentifizierung nach IEEE-Standard (Institute of Electrical and Electronics Engineers)

  • Unterstützung der RADIUS-Authentifizierung und -Kontoführung

Falls Sie Fakturierungs- oder Kontoführungsanwendungen verwenden, die die Sitzungskorrelation erfordern, ist Folgendes erforderlich:

  • Unterstützung des Class-Attributs gemäß der Definition der Internet Engineering Task Force (IETF) in RFC 2865, "Remote Authentication Dial-In User Service (RADIUS)", um die Sitzungskorrelation für RADIUS-Authentifizierungs- und Kontoführungseinträge zu ermöglichen. Wenn Sie die RADIUS-Kontoführung auf dem Netzwerkrichtlinienserver oder Proxy konfigurieren, müssen Sie für die Sitzungskorrelation alle Kontoführungsdaten protokollieren, mit denen Anwendungen (z. B. Fakturierungsanwendungen) die Datenbank abfragen, verwandte Felder korrelieren und eine zusammenhängende Darstellung jeder Sitzung in den Abfrageergebnissen zurückgeben können. Für die Sitzungskorrelation müssen Sie mindestens die folgenden NPS-Kontoführungsdaten protokollieren: NAS-IP-Address, NAS-Identifier (Sie benötigen NAS-IP-Address und NAS-Identifier, da der Zugriffsserver beide Attribute senden kann), Class, Acct-Session-Id, Acct-Multi-Session-Id, Packet-Type, Acct-Status-Type, Acct-Interim-Interval, NAS-Port und Event-Timestamp.

  • Unterstützung zwischenzeitlicher Kontoführungsanforderungen, die von manchen Netzwerkzugriffsservern (Network Access Servers, NASs) regelmäßig während einer Benutzersitzung gesendet werden und die protokolliert werden können. Dieser Anforderungstyp kann verwendet werden, wenn das Acct-Interim-Interval-RADIUS-Attribut konfiguriert ist, um regelmäßige Abfragen im Remotezugriffsprofil auf dem Netzwerkrichtlinienserver zu unterstützen. Der Netzwerkzugriffsserver muss die Verwendung zwischenzeitlicher Kontoführungsanforderungen unterstützen, wenn diese auf dem Netzwerkrichtlinienserver protokolliert werden sollen.

Falls Sie virtuelle lokale Netzwerke (Virtual Local Area Networks, VLANs) verwenden, müssen die Netzwerkzugriffsserver VLANs unterstützen.

Für WAN-Umgebungen (Wide Area Network) sollten Netzwerkzugriffsserver Folgendes bieten:

  • Unterstützung von dynamischer RTO-Festlegung (Retransmit Timeout) oder von exponentiellem Backoff, um Staus und Verzögerungen in einer WAN-Umgebung zu verarbeiten.

Darüber hinaus sollten die Netzwerkzugriffsserver Filterfeatures unterstützen, um die Sicherheit des Netzwerks zu optimieren. Zu diesen Filteroptionen zählen:

  • DHCP-Filterung. Die Netzwerkzugriffsserver müssen nach IP-Ports filtern, um die Übertragung von DHCP-Broadcastmeldungen (Dynamic Host Configuration-Protokoll) zu verhindern, wenn der Client ein DHCP-Server ist. Die Netzwerkzugriffsserver müssen den Client daran hindern, IP-Pakete von Port 68 an das Netzwerk zu senden.

  • DNS-Filterung. Die Netzwerkzugriffsserver müssen nach IP-Ports filtern, um zu verhindern, dass ein Client als DNS-Server fungiert. Die Netzwerkzugriffsserver müssen den Client daran hindern, IP-Pakete von Port 53 an das Netzwerk zu senden.

Wenn Sie Drahtloszugriffspunkte bereitstellen, ist die Unterstützung von WPA (Wi-Fi Protected Access) vorzuziehen. WPA wird von Windows Vista® und Windows XP mit Service Pack 2 unterstützt. Verwenden Sie für die Bereitstellung von WPA auch Drahtlosnetzwerkadaptern mit WPA-Unterstützung.

Bereitstellen von Komponenten für Authentifizierungsmethoden

Für 802.1X-Drahtlosverbindungen und -Kabelverbindungen können Sie die folgenden Authentifizierungsmethoden verwenden:

  • EAP (Extensible Authentication-Protokoll) mit TLS (Transport Layer Security), auch EAP-TLS genannt.

  • Geschütztes EAP (Protected EAP, PEAP) mit MS-CHAP v2 (Microsoft Challenge Handshake Authentication-Protokoll, Version 2), auch PEAP-MS-CHAP v2 genannt.

  • PEAP mit EAP-TLS, auch PEAP-TLS genannt.

Für EAP-TLS und PEAP-TLS müssen Sie eine Public Key-Infrastruktur (Public Key Infrastructure, PKI) bereitstellen, indem Sie Active Directory®-Zertifikatsdienste (Active Directory Certificate Services, AD CS) installieren und konfigurieren, um Zertifikate für Domänenmitglieds-Clientcomputer und Netzwerkrichtlinienserver auszustellen. Diese Zertifikate dienen während des Authentifizierungsvorgangs als Identitätsnachweis durch Clients und Netzwerkrichtlinienserver. Alternativ können Sie anstelle der Verwendung von Clientcomputerzertifikaten auch Smartcards bereitstellen. In diesem Fall müssen Sie Smartcards und Smartcardleser für die Mitarbeiter der Organisation ausstellen.

Für PEAP-MS-CHAP v2 können Sie eine eigene Zertifizierungsstelle (Certification Authority, CA) für AD CS bereitstellen, um Zertifikate für Netzwerkrichtlinienserver auszustellen, oder Sie erwerben Serverzertifikate von einer öffentlichen vertrauenswürdigen Stammzertifizierungsstelle, der von Clients vertraut wird, wie beispielsweise VeriSign.

Weitere Informationen finden Sie unter EAP (Übersicht) und PEAP (Übersicht).

Konfigurieren von NPS als RADIUS-Server

Wenn Sie NPS als RADIUS-Server konfigurieren, müssen Sie RADIUS-Clients, Netzwerkrichtlinien und die RADIUS-Kontoführung konfigurieren.

Konfigurieren von RADIUS-Clients

Das Konfigurieren von RADIUS-Clients besteht aus zwei Phasen:

  • Konfigurieren Sie für den physikalischen RADIUS-Client, wie z. B. den Drahtloszugriffspunkt oder den Authentifizierungsswitch, Informationen, mit denen der Netzwerkzugriffsserver mit Netzwerkrichtlinienservern kommunizieren kann. Hierzu zählt das Konfigurieren der IP-Adresse des Netzwerkrichtlinienservers und des gemeinsamen geheimen Schlüssels im Zugriffspunkt oder in der Switchbenutzeroberfläche.

  • Fügen Sie in NPS einen neuen RADIUS-Client hinzu. Fügen Sie auf dem Netzwerkrichtlinienserver jeden Zugriffspunkt oder Authentifizierungsswitch als RADIUS-Client hinzu. Sie können einen Anzeigenamen für jeden RADIUS-Client sowie die IP-Adresse des RADIUS-Clients und den gemeinsamen geheimen Schlüssel angeben.

Weitere Informationen finden Sie unter Hinzufügen eines neuen RADIUS-Clients.

Konfigurieren von Netzwerkrichtlinien

Bei Netzwerkrichtlinien handelt es sich um Bedingungen, Einschränkungen und Einstellungen, mit deren Hilfe Sie festlegen, welche Benutzer unter welchen Umständen eine Verbindung mit dem Netzwerk herstellen dürfen.

Weitere Informationen finden Sie unter Netzwerkrichtlinien.

Konfigurieren der RADIUS-Kontoführung

Mithilfe der RADIUS-Kontoführung können Sie Benutzerauthentifizierungs- und Kontoführungsanforderungen in einer lokalen Protokolldatei oder in einer Microsoft® SQL Server®-Datenbank auf dem lokalen Computer oder auf einem Remotecomputer aufzeichnen.

Weitere Informationen finden Sie unter RADIUS-Kontoführung.

Siehe auch

Inhaltsverzeichnis