Konfigurieren von NPS auf einem mehrfach vernetzten Computer

  • Artikel

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

Sie können mithilfe dieses Themas einen Netzwerkrichtlinienserver mit mehreren Netzwerkadaptern konfigurieren.

Wenn Sie mehrere Netzwerkadapter in einem Server verwenden, auf dem der Netzwerkrichtlinienserver (NPS) ausgeführt wird, können Sie Folgendes konfigurieren:

  • Die Netzwerkadapter, die RADIUS-Datenverkehr (Remote Authentication Dial-In User Service) senden und empfangen können.
  • Für jeden Netzwerkadapter kann festgelegt werden, ob der NPS den RADIUS-Datenverkehr für IPv4 (Internet Protocol Version 4), IPv6 oder sowohl für IPv4 als auch für IPv6 überwacht.
  • Die UDP-Portnummern, über die RADIUS-Datenverkehr auf Basis des jeweiligen Protokolls (IPv4 oder IPv6) und des betreffenden Netzwerkadapters gesendet und empfangen wird.

Standardmäßig lauscht der NPS auf allen installierten Netzwerkadaptern an den Ports 1812, 1813, 1645 und 1646 sowohl für IPv6 als auch für IPv4 auf RADIUS-Datenverkehr. Da der NPS automatisch alle Netzwerkadapter für den RADIUS-Datenverkehr verwendet, müssen Sie die für den RADIUS-Datenverkehr zu verwendenden Netzwerkadapter nur dann angeben, wenn Sie verhindern möchten, dass der NPS einen bestimmten Netzwerkadapter verwendet.

Hinweis

Wenn Sie entweder IPv4 oder IPv6 für einen Netzwerkadapter deinstallieren, dann wird der RADIUS-Datenverkehr für das deinstallierte Protokoll nicht mehr vom NPS überwacht.

Möglicherweise möchten Sie einen NPS mit mehreren installierten Netzwerkadaptern so konfigurieren, dass er RADIUS-Datenverkehr nur auf den von Ihnen angegebenen Adaptern sendet und empfängt.

So kann beispielsweise ein im NPS installierter Netzwerkadapter zu einem Netzwerksegment führen, das keine RADIUS-Clients enthält, während ein zweiter Netzwerkadapter dem NPS einen Netzwerkpfad zu den konfigurierten RADIUS-Clients bietet. In diesem Szenario ist es wichtig, dass Sie den NPS anweisen, den zweiten Netzwerkadapter für den gesamten RADIUS-Datenverkehr zu verwenden.

Ein weiteres Beispiel: Wenn Ihr NPS drei Netzwerkadapter installiert hat, Sie aber nur zwei der Adapter für den RADIUS-Datenverkehr verwenden möchten, können Sie nur für diese beiden Adapter Portinformationen konfigurieren. Indem Sie die Portkonfiguration für den dritten Adapter ausschließen, verhindern Sie, dass NPS den Adapter für RADIUS-Datenverkehr verwendet.

Verwenden eines Netzwerkadapters

Um den NPS so zu konfigurieren, dass er auf einem Netzwerkadapter auf RADIUS-Datenverkehr lauscht und diesen übertragt, verwenden Sie im Eigenschaftendialog des Netzwerkrichtlinienservers in der NPS-Konsole die folgende Syntax:

  • Syntax für IPv4-Datenverkehr: IPAddress:UDPport. Hierbei steht „IPAddress“ für die auf dem Netzwerkadapter konfigurierte IPv4-Adresse, über die Sie RADIUS-Datenverkehr senden möchten, und „UDPport“ gibt die RADIUS-Portnummer an, die Sie für RADIUS-Datenverkehr zur Authentifizierung oder Erfassung verwenden möchten.
  • Syntax für IPv6-Datenverkehr: [IPv6Address] : UDPport. Hierbei sind die eckigen Klammern um „IPv6Address“ erforderlich, „IPv6Address“ steht für die auf dem Netzwerkadapter konfigurierte IPv6-Adresse, über die Sie RADIUS-Datenverkehr senden möchten, und „UDPport“ gibt die RADIUS-Portnummer an, die Sie für RADIUS-Datenverkehr zur Authentifizierung oder Erfassung verwenden möchten.

Die folgenden Zeichen können als Trennzeichen beim Konfigurieren von IP-Adresse und UDP-Portinformationen verwendet werden:

  • Trennzeichen für Adresse/Port: Doppelpunkt (:)
  • Trennzeichen für Port: Komma (,)
  • Trennzeichen für Schnittstelle: Semikolon (;)

Konfigurieren von Netzwerkzugriffsservern

Stellen Sie sicher, dass Ihre Netzwerkzugriffsserver mit denselben RADIUS-UDP-Portnummern konfiguriert sind wie Ihre Netzwerkrichtlinienserver. Die in den RFCs 2865 und 2866 definierten UDP-Standardports für RADIUS sind 1812 für die Authentifizierung und 1813 für die Erfassung. Einige Zugriffsserver sind jedoch standardmäßig so konfiguriert, dass sie UDP-Port 1645 für Authentifizierungsanforderungen und UDP-Port 1646 für Erfassungsanforderungen verwenden.

Wichtig

Wenn Sie nicht die RADIUS-Standardportnummern verwenden, müssen Sie Ausnahmen für die Firewall des lokalen Computers konfigurieren, um RADIUS-Datenverkehr auf den neuen Ports zuzulassen. Weitere Informationen finden Sie unter Konfigurieren von Firewalls für RADIUS-Datenverkehr.

Konfigurieren des mehrfach vernetzten NPS

Sie können das folgende Verfahren verwenden, um Ihren mehrfach vernetzten NPS zu konfigurieren.

Zum Durchführen dieses Verfahrens ist mindestens die Mitgliedschaft in Domänen-Admins oder eine entsprechende Berechtigung erforderlich.

So geben Sie den Netzwerkadapter und die UDP-Ports an, die der NPS für RADIUS-Datenverkehr verwendet

  1. Klicken Sie im Server-Manager auf Tools und dann auf Netzwerkrichtlinienserver, um die NPS-Konsole zu öffnen.

  2. Klicken Sie mit der rechten Maustaste auf Netzwerkrichtlinienserver, und klicken Sie dann auf Eigenschaften.

  3. Klicken Sie auf die Registerkarte Ports, und stellen Sie den vorhandenen Portnummern die IP-Adresse des Netzwerkadapters voran, den Sie für den RADIUS-Datenverkehr verwenden möchten. Wenn Sie beispielsweise die IP-Adresse 192.168.1.2 und die RADIUS-Ports 1812 und 1645 für Authentifizierungsanforderungen verwenden möchten, ändern Sie die Porteinstellung von 1812,1645 in 192.168.1.2:1812,1645. Wenn Ihre UDP-Ports für RADIUS-Authentifizierung und -Erfassung von den Standardwerten abweichen, ändern Sie die Porteinstellungen entsprechend.

  4. Wenn Sie mehrere Porteinstellungen für Authentifizierungs- oder Erfassungsanforderungen verwenden möchten, trennen Sie die Portnummern durch Kommas.

Weitere Informationen zu den UDP-Ports für einen NPS finden Sie unter Konfigurieren von NPS-UDP-Portinformationen.

Weitere Informationen zum Netzwerkrichtlinienserver finden Sie unter Netzwerkrichtlinienserver (Network Policy Server, NPS).