Konfigurieren von Netzwerkrichtlinien
Sie können dieses Thema verwenden, um Netzwerkrichtlinien in NPS zu konfigurieren.
Hinzufügen einer Netzwerkrichtlinie
Der Netzwerkrichtlinienserver (NPS) verwendet Netzwerkrichtlinien und die Einwahleigenschaften von Benutzerkonten, um zu ermitteln, ob eine Verbindungsanforderung für die Verbindung mit dem Netzwerk autorisiert ist.
Mit diesem Verfahren können Sie eine neue Netzwerkrichtlinie entweder in der NPS-Konsole oder in der Remotezugriffskonsole konfigurieren.
Durchführen der Autorisierung
Wenn NPS die Autorisierung einer Verbindungsanforderung durchführt, vergleicht er die Anforderung mit jeder Netzwerkrichtlinie in der sortierten Liste der konfigurierten Richtlinien – beginnend mit der ersten Richtlinie und dann in absteigender Reihenfolge. Wenn NPS eine Richtlinie findet, deren Bedingungen mit der Verbindungsanforderung übereinstimmen, verwendet NPS die übereinstimmende Richtlinie und die Einwähleigenschaften des Benutzerkontos zum Durchführen der Autorisierung. Wenn die Einwähleigenschaften des Benutzerkontos konfiguriert wurden, um den Zugriff über die Netzwerkrichtlinie zu gewähren oder zu steuern, und die Verbindungsanforderung autorisiert ist, wendet der NPS die in der Netzwerkrichtlinie konfigurierten Einstellungen auf die Verbindung an.
Findet NPS keine Netzwerkrichtlinie, die der Verbindungsanforderung entspricht, wird die Verbindungsanforderung abgelehnt, es sei denn, die Einwahleigenschaften des Benutzerkontos sind so festgelegt, dass der Zugriff gewährt wird.
Wenn die Einwähleigenschaften des Benutzerkontos so festgelegt sind, dass der Zugriff verweigert wird, wird die Verbindungsanforderung von NPS abgelehnt.
Schlüsseleinstellungen
Wenn Sie den Assistenten für neue Netzwerkrichtlinien verwenden, um eine Netzwerkrichtlinie zu erstellen, wird der von Ihnen in Netzwerkverbindungsmethode angegebene Wert verwendet, um die Bedingung Richtlinientyp automatisch zu konfigurieren:
- Wenn Sie den Standardwert „Nicht angegeben“ beibehalten, wird die von Ihnen erstellte Netzwerkrichtlinie von NPS für alle Netzwerkverbindungstypen ausgewertet, die eine beliebige Art von Netzwerkzugriffsserver (NAS) verwenden.
- Wenn Sie eine Netzwerkverbindungsmethode angeben, wertet NPS die Netzwerkrichtlinie nur aus, wenn die Verbindungsanforderung von dem Typ des Netzwerkzugriffsservers stammt, den Sie festgelegt haben.
Auf der Seite Zugriffsberechtigung müssen Sie Zugriff gewährt auswählen, wenn die Richtlinie Benutzern das Herstellen einer Verbindung mit Ihrem Netzwerk ermöglichen soll. Wenn die Richtlinie verhindern soll, dass Benutzer eine Verbindung mit Ihrem Netzwerk herstellen, wählen Sie Zugriff verweigert aus.
Wenn die Zugriffsberechtigung durch Einwähleigenschaften des Benutzerkontos in Active Directory® Domain Services (AD DS) bestimmt werden soll, können Sie das Kontrollkästchen Zugriff auf Basis der Eigenschaften für Benutzereinwahl erteilen aktivieren.
Zum Durchführen dieses Verfahrens ist mindestens die Mitgliedschaft in Domänen-Admins oder eine entsprechende Berechtigung erforderlich.
So fügen Sie eine Netzwerkrichtlinie hinzu
Öffnen Sie die NPS-Konsole, und doppelklicken Sie dann auf Richtlinien.
Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Netzwerkrichtlinien, und klicken Sie auf Neu. Der Assistent für neue Netzwerkrichtlinien wird geöffnet.
Verwenden Sie den Assistenten für neue Netzwerkrichtlinien, um eine Richtlinie zu erstellen.
Erstellen von Netzwerkrichtlinien für die Einwahl oder VPN mit einem Assistenten
Mit diesem Verfahren können Sie die Verbindungsanforderungsrichtlinien und Netzwerkrichtlinien erstellen, die zum Bereitstellen von Einwahlservern oder VPN-Servern (Virtual Private Network) als REMOTE Authentication Dial-In User Service (RADIUS)-Clients auf dem NPS RADIUS-Server erforderlich sind.
Hinweis
Clientcomputer, z. B. drahtlose Laptops und andere Computer, auf denen Clientbetriebssysteme ausgeführt werden, sind keine RADIUS-Clients. RADIUS-Clients sind Netzwerkzugriffsserver – z. B. Funkzugriffspunkte, 802.1X-Authentifizierungsswitches, VPN-Server (Virtual Private Network) und Einwahlserver –, da diese Geräte für die Kommunikation mit RADIUS-Servern wie z. B. NPS das RADIUS-Protokoll verwenden.
In diesem Verfahren wird erläutert, wie Sie den Assistenten für „Neue Einwahl- oder VPN-Verbindungen“ in NPS öffnen.
Nachdem Sie den Assistenten ausgeführt haben, werden die folgenden Richtlinien erstellt:
- Eine Verbindungsanforderungsrichtlinie
- Eine Netzwerkrichtlinie
Sie können den Assistenten für „Neue Einwahl- oder VPN-Verbindungen“ jedes Mal ausführen, wenn Sie neue Richtlinien für Einwahlserver und VPN-Server erstellen müssen.
Das Ausführen des Assistenten für „Neue Einwahl- oder VPN-Verbindungen“ ist nicht der einzige Schritt, der zum Bereitstellen von Einwahl- oder VPN-Servern als RADIUS-Clients für NPS erforderlich ist. Beide Netzwerkzugriffsmethoden erfordern, dass Sie zusätzliche Hardware- und Softwarekomponenten bereitstellen.
Zum Durchführen dieses Verfahrens ist mindestens die Mitgliedschaft in Domänen-Admins oder eine entsprechende Berechtigung erforderlich.
So erstellen Sie Richtlinien für die Einwahl oder VPN mit einem Assistenten
Öffnen Sie die NPS-Konsole. Wenn diese Option nicht bereits ausgewählt wurde, klicken Sie auf NPS (Lokal). Wenn Sie Richtlinien auf einem Remote-NPS erstellen möchten, wählen Sie den Server aus.
Unter Erste Schritte und Standardkonfiguration, wählen Sie RADIUS-Server für DFÜ- oder VPN-Verbindungen aus. Der Text und die Links unter dem Text ändern sich, um Ihre Auswahl widerzuspiegeln.
Klicken Sie auf VPN konfigurieren oder Einwahl mit einem Assistenten. Der Assistent für „Neue Einwahl- oder VPN-Verbindungen“ wird geöffnet.
Folgen Sie den Anweisungen im Assistenten, um die Erstellung Ihrer neuen Richtlinien abzuschließen.
Erstellen von Netzwerkrichtlinien für drahtlose oder verkabelte 802.1X-Verbindungen mit einem Assistenten
Mit diesem Verfahren können Sie die Verbindungsanforderungsrichtlinie und die Netzwerkrichtlinie erstellen, die erforderlich sind, um entweder 802.1X-Authentifizierungsschalter oder 802.1X-Drahtloszugriffspunkte als Remote Authentication Dial-In User Service (RADIUS)-Clients auf dem NPS RADIUS-Server bereitzustellen.
In diesem Verfahren wird erläutert, wie Sie den Assistenten für „Neue sichere verkabelte und drahtlose IEEE 802.1X-Verbindungen“ in NPS starten.
Nachdem Sie den Assistenten ausgeführt haben, werden die folgenden Richtlinien erstellt:
- Eine Verbindungsanforderungsrichtlinie
- Eine Netzwerkrichtlinie
Sie können den Assistenten für „Neue sichere verkabelte und drahtlose IEEE 802.1X-Verbindungen“ jedes Mal ausführen, wenn Sie neue Richtlinien für den 802.1X-Zugriff erstellen müssen.
Das Ausführen des Assistenten für „Neue sichere verkabelte und drahtlose IEEE 802.1X-Verbindungen“ ist nicht der einzige Schritt, der zum Bereitstellen von 802.1X-Authentifizierungsschaltern und drahtlosen Zugriffspunkten als RADIUS-Clients für NPS erforderlich ist. Beide Netzwerkzugriffsmethoden erfordern, dass Sie zusätzliche Hardware- und Softwarekomponenten bereitstellen.
Zum Durchführen dieses Verfahrens ist mindestens die Mitgliedschaft in Domänen-Admins oder eine entsprechende Berechtigung erforderlich.
So erstellen Sie Richtlinien für verkabelte und drahtlose 802.1X-Verbindungen mit einem Assistenten
Klicken Sie auf dem Netzwerkrichtlinienserver unter „Server-Manager“ auf Tools und dann auf Netzwerkrichtlinienserver. Die NPS-Konsole wird geöffnet.
Wenn diese Option nicht bereits ausgewählt wurde, klicken Sie auf NPS (Lokal). Wenn Sie Richtlinien auf einem Remote-NPS erstellen möchten, wählen Sie den Server aus.
Unter Erste Schritte und Standardkonfiguration, wählen Sie RADIUS-Server für drahtlose oder verkabelte 802.1X-Verbindungen aus. Der Text und die Links unter dem Text ändern sich, um Ihre Auswahl widerzuspiegeln.
Klicken Sie auf Konfigurieren von 802.1X mithilfe eines Assistenten. Der Assistent für „Neue sichere verkabelte und drahtlose IEEE 802.1X-Verbindungen“ wird geöffnet.
Folgen Sie den Anweisungen im Assistenten, um die Erstellung Ihrer neuen Richtlinien abzuschließen.
Konfigurieren von NPS zum Ignorieren von Benutzerkonto-Einwähleigenschaften
Verwenden Sie dieses Verfahren, um eine NPS-Netzwerkrichtlinie zu konfigurieren, um die Benutzerkonto-Einwähleigenschaften in Active Directory während des Autorisierungsprozesses zu ignorieren. Benutzerkonten in Active Directory-Benutzern und -Computern verfügen über Einwahleigenschaften, die NPS während des Autorisierungsprozesses auswertet, es sei denn, die Eigenschaft Netzwerkzugriffsberechtigung des Benutzerkontos ist auf Zugriff über NPS-Netzwerkrichtlinien steuern festgelegt.
Es gibt zwei Umstände, unter denen es sinnvoll sein könnte, NPS zum Ignorieren von Benutzerkonto-Einwähleigenschaften in Active Directory zu konfigurieren:
Wenn Sie die NPS-Autorisierung mithilfe der Netzwerkrichtlinie vereinfachen möchten, aber nicht für alle Ihre Benutzerkonten die Eigenschaft Netzwerkzugriffsberechtigung auf Zugriff über NPS-Netzwerkrichtlinie steuern festgelegt ist. Bei einigen Benutzerkonten kann beispielsweise die Eigenschaft Netzwerkzugriffsberechtigung des Benutzerkontos auf Zugriff verweigern oder Zugriff zulassen festgelegt sein.
Wenn andere Benutzerkonto-Einwähleigenschaften nicht auf den Verbindungstyp anwendbar sind, der in der Netzwerkrichtlinie konfiguriert ist. Andere Eigenschaften als die Einstellung Netzwerkzugriffsberechtigung gelten beispielsweise nur für Einwahl- oder VPN-Verbindungen, wobei die netzwerkbezogene Richtlinie, die Sie erstellen, für drahtlose oder authentifizierende Switch-Verbindungen gilt.
Mit diesem Verfahren können Sie NPS so konfigurieren, dass die Benutzerkonto-Einwähleigenschaften ignoriert werden. Wenn eine Verbindungsanforderung mit der Netzwerkrichtlinie übereinstimmt, in der dieses Kontrollkästchen aktiviert ist, verwendet NPS nicht die Benutzerkonto-Einwähleigenschaften, um zu ermitteln, ob der Benutzer oder Computer autorisiert ist, auf das Netzwerk zuzugreifen. Nur die Einstellungen in der Netzwerkrichtlinie werden verwendet, um die Autorisierung festzulegen.
Sie müssen mindestens Mitglied der Gruppe Administratoren oder einer entsprechenden Gruppe sein, damit Sie dieses Verfahren durchführen können.
Klicken Sie auf dem Netzwerkrichtlinienserver unter „Server-Manager“ auf Tools und dann auf Netzwerkrichtlinienserver. Die NPS-Konsole wird geöffnet.
Doppelklicken Sie auf Richtlinien, klicken Sie auf Netzwerkrichtlinien, und doppelklicken Sie dann im Detailbereich auf die Richtlinie, die Sie konfigurieren möchten.
Aktivieren Sie im Dialogfeld Richtlinieneigenschaften auf der Registerkarte Übersicht unter Zugriffsberechtigung das Kontrollkästchen Benutzerkonto-Einwähleigenschaften ignorieren, und klicken Sie dann auf OK.
So konfigurieren Sie NPS zum Ignorieren von Benutzerkonto-Einwähleigenschaften
Konfigurieren von NPS für VLANs
Mithilfe von VLAN-fähigen Netzwerkzugriffsservern und NPS in Windows Server 2016 können Sie Benutzergruppen nur Zugriff auf die Netzwerkressourcen bereitstellen, die für ihre Sicherheitsberechtigungen geeignet sind. Beispielsweise können Sie Besuchern drahtlosen Zugriff auf das Internet ermöglichen, ohne ihnen Zugriff auf Ihr Unternehmensnetzwerk zu gewähren.
Darüber hinaus ermöglichen VLANs es Ihnen, Netzwerkressourcen logisch zu gruppieren, die an verschiedenen physischen Standorten oder in verschiedenen physischen Subnetzen vorhanden sind. Beispielsweise können sich Mitglieder Ihrer Vertriebsabteilung und deren Netzwerkressourcen wie Clientcomputer, Server und Drucker in mehreren verschiedenen Gebäuden in Ihrem Unternehmen befinden, aber Sie können alle diese Ressourcen in einem VLAN platzieren, das denselben IP-Adressbereich verwendet. Das VLAN funktioniert dann aus der Sicht des Endbenutzers als einzelnes Subnetz.
Sie können VLANs auch verwenden, wenn Sie ein Netzwerk zwischen verschiedenen Benutzergruppen trennen möchten. Nachdem Sie festgelegt haben, wie Sie Ihre Gruppen definieren möchten, können Sie Sicherheitsgruppen im Active Directory-Benutzer und -Computer-Snap-In erstellen und dann den Gruppen Mitglieder hinzufügen.
Konfigurieren einer Netzwerkrichtlinie für VLANs
Mit diesem Verfahren können Sie eine Netzwerkrichtlinie konfigurieren, die Benutzer einem VLAN zuweist. Wenn Sie VLAN-fähige Netzwerkhardware wie Router, Switches und Zugriffscontroller verwenden, können Sie die Netzwerkrichtlinie so konfigurieren, dass die Zugriffsserver angewiesen werden, Mitglieder bestimmter Active Directory-Gruppen in bestimmten VLANs zu platzieren. Diese Möglichkeit, Netzwerkressourcen logisch mit VLANs zu gruppieren, bietet Flexibilität beim Entwerfen und Implementieren von Netzwerklösungen.
Wenn Sie die Einstellungen einer NPS-Netzwerkrichtlinie für die Verwendung mit VLANs konfigurieren, müssen Sie die Attribute Tunnel-Medium-Type, Tunnel-Pvt-Group-ID, Tunnel-Type und Tunnel-Tag konfigurieren.
Dieses Verfahren wird als Richtlinie bereitgestellt. Ihre Netzwerkkonfiguration erfordert möglicherweise andere Einstellungen als die unten beschriebenen.
Sie müssen mindestens Mitglied der Gruppe Administratoren oder einer entsprechenden Gruppe sein, damit Sie dieses Verfahren durchführen können.
So konfigurieren Sie eine Netzwerkrichtlinie für VLANs
Klicken Sie auf dem Netzwerkrichtlinienserver unter „Server-Manager“ auf Tools und dann auf Netzwerkrichtlinienserver. Die NPS-Konsole wird geöffnet.
Doppelklicken Sie auf Richtlinien, klicken Sie auf Netzwerkrichtlinien, und doppelklicken Sie dann im Detailbereich auf die Richtlinie, die Sie konfigurieren möchten.
Klicken Sie im Dialogfeld Eigenschaften der Richtlinie auf die Registerkarte Einstellungen.
Vergewissern Sie sich in den Eigenschaften der Richtlinie unter Einstellungen und RADIUS-Attribute, dass Standard ausgewählt ist.
Im Detailbereich unter Attribute wird das Attribut Diensttyp mit dem Standardwert Framed konfiguriert. Standardmäßig wird für Richtlinien mit den Zugriffsmethoden VPN und DFÜ das Attribut Framed-Protocol mit dem Wert PPP konfiguriert. Klicken Sie auf Hinzufügen, um zusätzliche Verbindungsattribute anzugeben, die für VLANs erforderlich sind. Das Dialogfeld Standard-RADIUS-Attribut hinzufügen wird geöffnet.
Scrollen Sie in Standard-RADIUS-Attribut hinzufügen in den Attributen nach unten und fügen Sie die folgenden Attribute hinzu:
Tunnel-Medium-Type. Wählen Sie einen Wert aus, der für die vorangehenden Einstellungen geeignet ist, die Sie für die Richtlinie vorgenommen haben. Wenn es sich bei der von Ihnen konfigurierten Netzwerkrichtlinie beispielsweise um eine Drahtlosrichtlinie handelt, wählen Sie Wert: 802 (Umfasst alle 802 Medien plus kanonisches Ethernet-Format) aus.
Tunnel-Pvt-Group-ID. Geben Sie die ganze Zahl ein, die die VLAN-Nummer darstellt, der Gruppenmitglieder zugewiesen werden sollen.
Tunnel-Type. Wählen Sie Virtuelle LANs (VLAN) aus.
Klicken Sie in Standard-RADIUS-Attribut hinzufügen auf Schließen.
Wenn Ihr Netzwerkzugriffsserver (NAS) die Verwendung des Attributs Tunnel-Tag erfordert, führen Sie die folgenden Schritte aus, um der Netzwerkrichtlinie das Attribut Tunnel-Tag hinzuzufügen. Wenn Ihre NAS-Dokumentation dieses Attribut nicht erwähnt, fügen Sie sie der Richtlinie nicht hinzu. Fügen Sie die Attribute bei Bedarf wie folgt hinzu:
Klicken Sie in den Eigenschaften der Richtlinie unter Einstellungen und RADIUS-Attribute auf Herstellerspezifisch.
Klicken Sie im Detailbereich auf Hinzufügen. Das Dialogfeld Herstellerspezifisches Attribut hinzufügen wird geöffnet.
Scrollen Sie unter Attribute nach unten, und wählen Sie Tunnel-Tag aus. Klicken Sie dann auf Hinzufügen. Das Dialogfeld Attributinformationen wird geöffnet.
Geben Sie unter Attributwert den Wert ein, den Sie Ihrer Hardwaredokumentation entnommen haben.
Konfigurieren der EAP-Nutzlastgröße
In einigen Fällen entfernen Router oder Firewalls Pakete, da sie so konfiguriert sind, dass Pakete verworfen werden, die eine Fragmentierung erfordern.
Wenn Sie NPS mit Netzwerkrichtlinien bereitstellen, die das Extensible Authentication Protocol (EAP) mit Transport Layer Security (TLS) oder EAP-TLS als Authentifizierungsmethode verwenden, beträgt die von NPS für EAP-Nutzlasten verwendete maximale Übertragungseinheit (Maximum Transmission Unit, MTU) standardmäßig 1500 Byte.
Diese maximale Größe für die EAP-Nutzlast kann RADIUS-Nachrichten erstellen, die eine Fragmentierung durch einen Router oder eine Firewall zwischen dem NPS- und einem RADIUS-Client erfordern. In diesem Fall könnte ein Router oder eine Firewall zwischen dem RADIUS-Client und dem NPS einige Fragmente stillschweigend verwerfen, was neben Authentifizierungsfehlern dazu führt, dass der Zugriffsclient keine Verbindung mit dem Netzwerk herstellen kann.
Mit dem folgenden Verfahren können Sie die maximale Größe verringern, die NPS für EAP-Nutzlasten verwendet, indem Sie das Attribut „Framed-MTU“ in einer Netzwerkrichtlinie auf einen Wert anpassen, der nicht größer als 1344 ist.
Sie müssen mindestens Mitglied der Gruppe Administratoren oder einer entsprechenden Gruppe sein, damit Sie dieses Verfahren durchführen können.
So konfigurieren Sie das Attribut „Framed-MTU“
Klicken Sie auf dem Netzwerkrichtlinienserver unter „Server-Manager“ auf Tools und dann auf Netzwerkrichtlinienserver. Die NPS-Konsole wird geöffnet.
Doppelklicken Sie auf Richtlinien, klicken Sie auf Netzwerkrichtlinien, und doppelklicken Sie dann im Detailbereich auf die Richtlinie, die Sie konfigurieren möchten.
Klicken Sie im Dialogfeld Eigenschaften der Richtlinie auf die Registerkarte Einstellungen.
Klicken Sie in Einstellungen unter RADIUS-Attribute auf Standard. Klicken Sie im Detailbereich auf Hinzufügen. Das Dialogfeld Standard-RADIUS-Attribut hinzufügen wird geöffnet.
Scrollen Sie in Attribute nach unten, klicken Sie auf Framed-MTU, und klicken Sie dann auf Hinzufügen. Das Dialogfeld Attributinformationen wird geöffnet.
Geben Sie unter Attributwert einen Wert ein, der gleich oder kleiner als 1344 ist. Klicken Sie auf OK, dann auf Schließen, und abschließend auf OK.
Weitere Informationen zu Netzwerkrichtlinien finden Sie unter Netzwerkrichtlinien.
Beispiele für Musterabgleichssyntax zum Angeben von Netzwerkrichtlinienattributen finden Sie unter Verwenden regulärer Ausdrücke in NPS.
Weitere Informationen zum Netzwerkrichtlinienserver finden Sie unter Netzwerkrichtlinienserver (Network Policy Server, NPS).