Konfigurieren von RADIUS-Clients
In diesem Thema erfahren Sie, wie Sie Netzwerkzugriffsserver als RADIUS Clients im Netzwerkrichtlinienserver (Network Policy Server, NPS) konfigurieren können.
Wenn Sie Ihrem Netzwerk einen neuen Netzwerkzugriffsserver (VPN-Server, Funkzugriffspunkt, Authentifizierungsswitch oder DFÜ-Server) hinzufügen, müssen Sie den Server im NPS als RADIUS-Client hinzufügen und dann den RADIUS-Client für die Kommunikation mit dem NPS konfigurieren.
Wichtig
Clientcomputer und -geräte, z. B. Laptops, Computer, Tablets, Smartphones und andere Computer, auf denen Clientbetriebssysteme ausgeführt werden, sind keine RADIUS-Clients. RADIUS-Clients sind Netzwerkzugriffsserver – z. B. Funkzugriffspunkte, 802.1X-fähige Switches, VPN-Server (virtuelles privates Netzwerk) und DFÜ-Server –, da sie für die Kommunikation mit RADIUS-Servern, z. B. NPS-Servern (Network Policy Server, Netzwerkrichtlinienserver), das RADIUS-Protokoll verwenden.
Dieser Schritt ist auch erforderlich, wenn Ihr NPS Mitglied einer RADIUS-Remoteservergruppe ist, die auf einem NPS-Proxy konfiguriert ist. In diesem Fall müssen Sie zusätzlich zum Ausführen der Schritte in dieser Aufgabe auf dem NPS-Proxy die folgenden Schritte ausführen:
- Konfigurieren Sie auf dem NPS-Proxy eine RADIUS-Remoteservergruppe, die den NPS enthält.
- Konfigurieren Sie auf dem Remote-NPS den NPS-Proxy als RADIUS-Client.
Zum Ausführen der Verfahren in diesem Thema muss mindestens ein Netzwerkzugriffsserver (VPN-Server, Funkzugriffspunkt, Authentifizierungsswitch oder DFÜ-Server) oder NPS-Proxy physisch in Ihrem Netzwerk installiert sein.
Konfigurieren des Netzwerkzugriffsservers
Führen Sie diese Schritte aus, um Netzwerkzugriffsserver für die Verwendung mit dem NPS zu konfigurieren. Wenn Sie Netzwerkzugriffsserver (Network Access Server, NAS) als RADIUS-Clients bereitstellen, müssen Sie die Clients so konfigurieren, dass sie mit den NPS-Servern kommunizieren, bei denen die NAS-Server als Clients konfiguriert sind.
Dieses Verfahren enthält allgemeine Richtlinien zu den Einstellungen, die Sie zum Konfigurieren Ihrer NAS-Instanzen verwenden sollten. Spezifische Anweisungen zum Konfigurieren des Geräts, das Sie in Ihrem Netzwerk bereitstellen, finden Sie in ihrer NAS-Produktdokumentation.
So konfigurieren Sie den Netzwerkzugriffsserver
- Wählen Sie auf dem NAS unter RADIUS-Einstellungen die Option RADIUS-Authentifizierung an UDP-Port (User Datagram Protocol) 1812 und RADIUS-Ressourcenerfassung an UDP-Port 1813 aus.
- Geben Sie unter Authentifizierungsserver oder RADIUS-Server Ihren NPS je nach Anforderungen des NAS anhand der IP-Adresse oder des vollqualifizierten Domänennamens (Fully Qualified Domain Name, FQDN) an.
- Geben Sie unter Geheimnis oder Gemeinsames Geheimnis ein sicheres Kennwort ein. Wenn Sie den NAS als RADIUS Client im NPS konfigurieren, müssen Sie das gleiche Kennwort verwenden, das Sie daher nicht vergessen sollten.
- Wenn Sie als Authentifizierungsmethode PEAP oder EAP verwenden, konfigurieren Sie den NAS für die EAP-Authentifizierung.
- Wenn Sie einen Funkzugriffspunkt konfigurieren, geben Sie in SSID eine SSID (Service Set Identifier) an, bei der es sich um eine alphanumerische Zeichenfolge handelt, die als Netzwerkname dient. Dieser Name wird von Zugriffspunkten auf Funkclients übertragen und ist für Benutzer an Ihren WLAN-Hotspots sichtbar.
- Wenn Sie einen Funkzugriffspunkt konfigurieren, aktivieren Sie in 802.1X und WPA die Option IEEE 802.1X-Authentifizierung, wenn Sie PEAP-MS-CHAP v2, PEAP-TLS oder EAP-TLS bereitstellen möchten.
Hinzufügen des Netzwerkzugriffsservers als RADIUS-Client im NPS
Führen Sie diese Schritte aus, um einen Netzwerkzugriffsserver als RADIUS-Client im NPS hinzuzufügen. Sie können einen NAS auch mithilfe der NPS-Konsole als RADIUS-Client konfigurieren.
Sie müssen Mitglied der Gruppe Administratoren sein, um diesen Vorgang auszuführen.
So fügen Sie einen Netzwerkzugriffsserver als RADIUS-Client im NPS hinzu
- Klicken Sie im NPS unter „Server-Manager“ auf Extras und dann auf Netzwerkrichtlinienserver. Die NPS-Konsole wird geöffnet.
- Doppelklicken Sie in der NPS-Konsole auf RADIUS-Clients und -Server. Klicken Sie mit der rechten Maustaste auf RADIUS-Clients, und klicken Sie dann auf Neuer RADIUS-Client.
- Vergewissern Sie sich unter Neuer RADIUS-Client, dass das Kontrollkästchen Diesen RADIUS-Client aktivieren aktiviert ist.
- Geben Sie unter Neuer RADIUS-Client unter Anzeigename einen Anzeigenamen für den NAS ein. Geben Sie unter Adresse (IP oder DNS) die IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) des NAS ein. Wenn Sie den FQDN eingeben, klicken Sie auf Überprüfen, um zu überprüfen, ob der Name stimmt und einer gültigen IP-Adresse zugeordnet ist.
- Geben Sie unter Neuer RADIUS-Client unter Anbieter den Namen des Herstellers des NAS an. Wenn Sie sich beim Namen des Herstellers des NAS nicht sicher sind, wählen Sie RADIUS-Standard aus.
- Führen Sie unter Neuer RADIUS-Client unter Gemeinsames Geheimnis einen der folgenden Schritte aus:
- Stellen Sie sicher, dass Manuell ausgewählt ist. Geben Sie dann unter Gemeinsames Geheimnis das sichere Kennwort ein, das auch auf dem NAS eingegeben wird. Geben Sie Gemeinsames Geheimnis bestätigen das gemeinsame Geheimnis erneut ein.
- Wählen Sie Generieren aus, und klicken Sie dann auf Generieren, um ein gemeinsames Geheimnis automatisch zu generieren. Speichern Sie das generierte gemeinsame Geheimnis für die Konfiguration auf dem NAS, damit dieser mit dem NPS kommunizieren kann.
- Wenn Sie unter Neuer RADIUS-Client unter Zusätzliche Optionen andere Authentifizierungsmethoden als EAP und PEAP verwenden und Ihr NAS die Verwendung des Attributs „Message-Authenticator“ unterstützt, wählen Sie Access-Request-Meldungen müssen das Attribut Message-Authenticator beinhalten aus.
- Klicken Sie auf OK. Ihr NAS wird in der Liste der RADIUS-Clients angezeigt, die für den NPS konfiguriert sind.
Konfigurieren von RADIUS-Clients anhand des IP-Adressbereichs in Windows Server 2016 Datacenter
Wenn Sie Windows Server 2016 Datacenter ausführen, können Sie RADIUS-Clients in NPS anhand des IP-Adressbereichs konfigurieren. Dadurch können Sie der NPS-Konsole gleichzeitig eine große Anzahl von RADIUS-Clients (z. B. Funkzugriffspunkte) hinzufügen, anstatt jeden RADIUS-Client einzeln hinzuzufügen.
Sie können RADIUS-Clients nicht anhand des IP-Adressbereichs konfigurieren, wenn Sie den NPS unter Windows Server 2016 Standard ausführen.
Verwenden Sie dieses Verfahren, um eine Gruppe von Netzwerkzugriffsservern (NAS) als RADIUS-Clients hinzuzufügen, die alle mit IP-Adressen aus demselben IP-Adressbereich konfiguriert sind.
Alle RADIUS-Clients im Bereich müssen die gleiche Konfiguration und dasselbe gemeinsame Geheimnis aufweisen.
Sie müssen Mitglied der Gruppe Administratoren sein, um diesen Vorgang auszuführen.
So richten Sie RADIUS-Clients anhand des IP-Adressbereichs ein
- Klicken Sie im NPS unter „Server-Manager“ auf Extras und dann auf Netzwerkrichtlinienserver. Die NPS-Konsole wird geöffnet.
- Doppelklicken Sie in der NPS-Konsole auf RADIUS-Clients und -Server. Klicken Sie mit der rechten Maustaste auf RADIUS-Clients, und klicken Sie dann auf Neuer RADIUS-Client.
- Geben Sie unter Neuer RADIUS-Client unter Anzeigename einen Anzeigenamen für die NAS-Sammlung ein.
- Geben Sie unter Adresse (IP oder DNS) den IP-Adressbereich für die RADIUS-Clients in der CIDR-Notation (Classless Inter-Domain Routing) ein. Wenn der IP-Adressbereich für die NAS-Sammlung beispielsweise 10.10.0.0 ist, geben Sie 10.10.0.0/16 ein.
- Geben Sie unter Neuer RADIUS-Client unter Anbieter den Namen des Herstellers des NAS an. Wenn Sie sich beim Namen des Herstellers des NAS nicht sicher sind, wählen Sie RADIUS-Standard aus.
- Führen Sie unter Neuer RADIUS-Client unter Gemeinsames Geheimnis einen der folgenden Schritte aus:
- Stellen Sie sicher, dass Manuell ausgewählt ist. Geben Sie dann unter Gemeinsames Geheimnis das sichere Kennwort ein, das auch auf dem NAS eingegeben wird. Geben Sie Gemeinsames Geheimnis bestätigen das gemeinsame Geheimnis erneut ein.
- Wählen Sie Generieren aus, und klicken Sie dann auf Generieren, um ein gemeinsames Geheimnis automatisch zu generieren. Speichern Sie das generierte gemeinsame Geheimnis für die Konfiguration auf dem NAS, damit dieser mit dem NPS kommunizieren kann.
- Wenn Sie unter Neuer RADIUS-Client unter Zusätzliche Optionen andere Authentifizierungsmethoden als EAP und PEAP verwenden und alle Ihre NAS-Instanzen die Verwendung des Attributs „Message-Authenticator“ unterstützt, wählen Sie Access-Request-Meldungen müssen das Attribut Message-Authenticator beinhalten aus.
- Klicken Sie auf OK. Ihre NAS-Instanzen werden in der Liste der RADIUS-Clients angezeigt, die für den NPS konfiguriert sind.
Weitere Informationen finden Sie unter RADIUS-Clients.
Weitere Informationen zum NPS finden Sie unter Netzwerkrichtlinienserver (Network Policy Server, NPS).