Netzwerkrichtlinienserver (NPS)

  • Artikel

Gilt für: Windows Server 2022, Windows Server 2016, Windows Server 2019

Das vorliegende Thema bietet Ihnen einen Überblick über den Netzwerkrichtlinienserver (NPS) in Windows Server 2016 und Windows Server 2019. Der NPS wird installiert, wenn Sie das Feature „Netzwerkrichtlinien- und Zugriffsdienste“ in Windows Server 2016 und Windows Server 2019 installieren.

Hinweis

Zusätzlich zu diesem Thema ist die folgende NPS-Dokumentation verfügbar:

Netzwerkrichtlinienserver (NPS) ermöglicht es Ihnen, unternehmensweite Netzwerkzugriffsrichtlinien für die Authentifizierung und Autorisierung von Verbindungsanforderungen zu erstellen und zu erzwingen.

Sie können den NPS auch als RADIUS-Proxy (Remote Authentication Dial-In User Service) konfigurieren, um Verbindungsanforderungen an einen Remote-NPS oder einen anderen RADIUS-Server weiterzuleiten, damit Sie einen Lastenausgleich zwischen den Verbindungsanforderungen vornehmen und die Anforderungen zur Authentifizierung und Autorisierung an die richtige Domäne weiterleiten können.

Durch den NPS können Sie die Authentifizierung, Autorisierung und Erfassung des Netzwerkzugriffs mithilfe der folgenden Features zentral konfigurieren und verwalten:

  • RADIUS-Server: Der NPS sorgt für eine zentrale Authentifizierung, Autorisierung und Erfassung von WLAN-Verbindungen, Verbindungen mit dem Authentifizierungsswitch, DFÜ- und VPN-Remoteverbindungen. Wenn Sie NPS als RADIUS-Server verwenden, konfigurieren Sie Netzwerkzugriffsserver, z. B. drahtlose Zugriffspunkte und VPN-Server, als RADIUS-Clients in NPS. Sie können auch Netzwerkrichtlinien konfigurieren, mit denen NPS Verbindungsanforderungen autorisiert, und Sie können die RADIUS-Kontoführung so konfigurieren, dass NPS Kontoführungsinformationen in Protokolldateien auf der lokalen Festplatte oder in einer Microsoft SQL Server-Datenbank protokolliert. Weitere Informationen finden Sie unter RADIUS-Server.
  • RADIUS-Proxy: Wenn Sie den NPS als RADIUS-Proxy verwenden, konfigurieren Sie Verbindungsanforderungsrichtlinien, die dem Netzwerkrichtlinienserver mitteilen, welche Verbindungsanforderungen an andere RADIUS-Server weitergeleitet werden sollen und an welche RADIUS-Server die Verbindungsanforderungen weitergeleitet werden sollen. Sie können NPS auch so konfigurieren, dass Kontoführungsdaten weitergeleitet und von einem oder mehreren Computern in einer RADIUS-Remoteservergruppe protokolliert werden. Informationen zum Konfigurieren des NPS als RADIUS-Proxyserver finden Sie in den folgenden Themen. Weitere Informationen finden Sie unter RADIUS-Proxy.
  • RADIUS-Ressourcenerfassung: Sie können den NPS so konfigurieren, dass Ereignisse in einer lokalen Protokolldatei oder in einer lokalen Instanz oder einer Remote-Instanz von Microsoft SQL Server protokolliert werden. Weitere Informationen finden Sie unter NPS-Protokollierung.

Wichtig

Network Access Protection (NAP), Health Registration Authority (HRA) und Host Credential Authorization Protocol (HCAP) wurden in Windows Server 2012 R2 als veraltet eingestuft und sind in Windows Server 2016 nicht mehr verfügbar. Wenn Sie eine NAP-Bereitstellung mit einem Betriebssystem vor Windows Server 2016 verwenden, können Sie Ihre NAP-Bereitstellung nicht zu Windows Server 2016 migrieren.

Sie können den NPS mit einer beliebigen Kombination dieser Features konfigurieren. So können Sie beispielsweise einen Netzwerkrichtlinienserver gleichzeitig als RADIUS-Server für VPN-Verbindungen und als RADIUS-Proxy konfigurieren, um einige Verbindungsanforderungen zur Authentifizierung und Autorisierung an Mitglieder einer RADIUS-Remoteservergruppe in einer anderen Domäne weiterzuleiten.

Windows Server-Editionen und NPS

Der NPS bietet je nach installierter Windows Server-Edition unterschiedliche Funktionen.

Windows Server 2016 oder Windows Server 2019 Standard/Datacenter Edition

Mit dem NPS in Windows Server 2016 Standard oder Datacenter können Sie eine unbegrenzte Anzahl von RADIUS-Clients und RADIUS-Remoteservergruppen konfigurieren. Außerdem können Sie RADIUS-Clients konfigurieren, indem Sie einen IP-Adressbereich angeben.

Hinweis

Das Feature „Netzwerkrichtlinien- und Zugriffsdienste“ ist nicht auf Systemen verfügbar, auf denen eine Server Core-Option installiert ist.

Die folgenden Abschnitte enthalten ausführlichere Informationen zum NPS als RADIUS-Server und -Proxy.

RADIUS-Server und -Proxy

Sie können den NPS als RADIUS-Server, RADIUS-Proxy oder sowohl als RADIUS-Server als auch als RADIUS-Proxy verwenden.

RADIUS-Server

Der NPS ist die Microsoft-Implementierung des RADIUS-Standards, der von der Internet Engineering Task Force (IETF) in RFC 2865 und RFC 2866 definiert wurde. Als RADIUS-Server sorgt der NPS für die zentrale Authentifizierung, Autorisierung und Erfassung zahlreicher Netzwerkzugriffsarten, darunter z. B. WLAN-Verbindungen, Verbindungen mit dem Authentifizierungsswitch, DFÜ- und VPN-Remotezugriff sowie Router-zu-Router-Verbindungen.

Hinweis

Informationen zum Bereitstellen des NPS als RADIUS-Server finden Sie unter Bereitstellen eines Netzwerkrichtlinienservers.

NPS ermöglicht die Verwendung einer heterogenen Gruppe von Geräten: drahtlos, Switch, Remotezugriff oder VPN. Sie können den NPS mit dem RAS-Dienst verwenden, der in Windows Server 2016 verfügbar ist.

Der NPS verwendet eine Active Directory Domain Services-Domäne (AD DS) oder die lokale SAM-Benutzerkontodatenbank (Security Accounts Manager), um Benutzeranmeldeinformationen für Verbindungsversuche zu authentifizieren. Wenn ein Server, auf dem der NPS ausgeführt wird, Mitglied einer AD DS-Domäne ist, verwendet der NPS den Verzeichnisdienst als Benutzerkontodatenbank und ist Teil einer Lösung für einmaliges Anmelden, (Single Sign-On, SSO). Derselbe Satz an Anmeldeinformationen wird für die Netzwerkzugriffssteuerung (Authentifizierung und Autorisierung des Zugriffs auf ein Netzwerk) und für die Anmeldung bei einer AD DS-Domäne verwendet.

Hinweis

Der NPS verwendet die Einwahleigenschaften des Benutzerkontos und die Netzwerkrichtlinien, um eine Verbindung zu autorisieren.

Für Internetdienstanbieter und Organisationen, die den Netzwerkzugriff verwalten, wird es immer schwieriger, sämtliche Netzwerkzugriffsarten von einem einzigen Verwaltungspunkt aus zu verwalten, unabhängig von der Art der verwendeten Netzwerkzugriffsgeräte. Der RADIUS-Standard unterstützt diese Funktionalität sowohl in homogenen als auch in heterogenen Umgebungen. RADIUS ist ein Client-Server-Protokoll, das es Netzwerkzugriffsgeräten (die als RADIUS-Clients verwendet werden) ermöglicht, Authentifizierungs- und Erfassungsanforderungen an einen RADIUS-Server zu senden.

Ein RADIUS-Server hat Zugriff auf Benutzerkontoinformationen und kann die Anmeldeinformationen zur Authentifizierung des Netzwerkzugriffs überprüfen. Wenn die Benutzeranmeldeinformationen authentifiziert und der Verbindungsversuch genehmigt wurde, autorisiert der RADIUS-Server den Benutzerzugriff basierend auf den festgelegten Bedingungen und protokolliert dann die Netzwerkzugriffsverbindung in einem Ressourcenerfassungsprotokoll. Mit RADIUS können die Daten zur Benutzerauthentifizierung, Autorisierung und Erfassung des Netzwerkzugriffs an einem zentralen Ort (statt auf jedem einzelnen Zugriffsserver) erfasst und verwaltet werden.

Verwenden des NPS als RADIUS-Server

Sie können den NPS in folgenden Fällen als RADIUS-Server verwenden:

  • Sie verwenden eine AD DS-Domäne oder die lokale SAM-Benutzerkontodatenbank als Ihre Benutzerkontodatenbank für Zugriffsclients.
  • Sie verwenden den Remotezugriff auf mehreren DFÜ-Servern, VPN-Servern oder Routern für Wählen bei Bedarf und möchten sowohl die Konfiguration von Netzwerkrichtlinien als auch die Verbindungsprotokollierung und die Ressourcenerfassung zentralisieren.
  • Sie lagern Ihren DFÜ-, VPN- oder WLAN-Zugriff an einen Dienstanbieter aus. Die Zugriffsserver verwenden RADIUS zur Authentifizierung und Autorisierung von Verbindungen, die von Mitgliedern Ihrer Organisation hergestellt werden.
  • Sie möchten die Authentifizierung, Autorisierung und Ressourcenerfassung für eine heterogene Gruppe von Zugriffsservern zentralisieren.

Die folgende Abbildung zeigt den NPS als RADIUS-Server für eine Vielzahl von Zugriffsclients.

NPS as a RADIUS Server

RADIUS-Proxy

Als RADIUS-Proxy leitet der NPS Meldungen zu Authentifizierung und Ressourcenerfassung an NPS und andere RADIUS-Server weiter. Sie können den NPS als RADIUS-Proxy verwenden, um die Weiterleitung von RADIUS-Meldungen zwischen RADIUS-Clients (auch als Netzwerkzugriffsserver bezeichnet) und RADIUS-Servern zu gewährleisten, die für Benutzerauthentifizierung, Autorisierung und Ressourcenerfassung für den Verbindungsversuch zuständig sind.

Bei Verwendung als RADIUS-Proxy fungiert der NPS als zentraler Schalt- oder Routingpunkt, über den Meldungen im Zusammenhang mit RADIUS-Zugriff und -Ressourcenerfassung gesendet werden. Der NPS zeichnet in einem Ressourcenerfassungsprotokoll Informationen über die weitergeleiteten Meldungen auf.

Verwenden des NPS als RADIUS-Proxy

Sie können den NPS in folgenden Fällen als RADIUS-Proxy verwenden:

  • Sie sind ein Dienstanbieter, der ausgelagerte Dienste für den DFÜ-, VPN- oder WLAN-Zugriff für mehrere Kunden bereitstellt. Ihre Netzwerkzugriffsserver senden Verbindungsanforderungen an den NPS-RADIUS-Proxy. Anhand des Bereichbestandteils des Benutzernamens in der Verbindungsanforderung leitet der NPS RADIUS-Proxy die Verbindungsanforderung an einen RADIUS-Server weiter, der vom Kunden verwaltet wird und den Verbindungsversuch authentifizieren und autorisieren kann.
  • Sie möchten Authentifizierung und Autorisierung für Benutzerkonten bereitstellen, die weder der Domäne angehören, in der der NPS Mitglied ist, noch einer anderen Domäne angehören, die über eine bidirektionale Vertrauensstellung mit der Domäne verfügt, in der der NPS Mitglied ist. Dies schließt Konten in nicht vertrauenswürdigen Domänen, Domänen mit unidirektionaler Vertrauensstellung und anderen Gesamtstrukturen ein. Anstatt Ihre Zugriffsserver so zu konfigurieren, dass Verbindungsanforderungen an einen NPS-RADIUS-Server gesendet werden, können Sie die Verbindungsanforderungen stattdessen auch an einen NPS-RADIUS-Proxy senden. Der NPS-RADIUS-Proxy verwendet den Bereichsbestandteils des Benutzernamens und leitet die Anforderung an einen Netzwerkrichtlinienserver in der richtigen Domäne oder Gesamtstruktur weiter. Verbindungsversuche für Benutzerkonten in einer Domäne oder Gesamtstruktur können für Netzwerkzugriffsserver in einer anderen Domäne oder Gesamtstruktur authentifiziert werden.
  • Sie möchten die Authentifizierung und Autorisierung mithilfe einer Datenbank durchführen, bei der es sich nicht um eine Windows-Kontodatenbank handelt. In diesem Fall werden Verbindungsanforderungen, die einem bestimmten Bereichsnamen entsprechen, an einen RADIUS-Server weitergeleitet, der Zugriff auf eine andere Datenbank mit Benutzerkonten und Autorisierungsdaten hat. Als Beispiele für andere Benutzerdatenbanken seien hier Novell Directory Services- (NDS) und Structured Query Language-Datenbanken (SQL) genannt.
  • Sie möchten eine große Anzahl von Verbindungsanforderungen verarbeiten. In diesem Fall können Sie Ihre RADIUS-Clients so konfigurieren, dass Verbindungs- und Erfassungsanforderungen nicht auf mehrere RADIUS-Server verteilt, sondern an einen NPS-RADIUS-Proxy gesendet werden. Der NPS-RADIUS-Proxy sorgt für einen dynamischen Lastenausgleich, indem er Verbindungs- und Ressourcenerfassungsanforderungen auf mehrere RADIUS-Server verteilt und die Verarbeitung auf eine größere Anzahl von RADIUS-Clients und Authentifizierungen pro Sekunde erhöht.
  • Sie möchten die RADIUS-Authentifizierung und -Autorisierung für ausgelagerte Dienstanbieter bereitstellen und die Konfiguration der Intranetfirewall auf ein Minimum reduzieren. Eine Intranetfirewall befindet sich zwischen Ihrem Umkreisnetzwerk (dem Netzwerk zwischen Ihrem Intranet und dem Internet) und dem Intranet. Wenn Sie einen NPS in Ihrem Umkreisnetzwerk platzieren, muss die Firewall zwischen Ihrem Umkreisnetzwerk und dem Intranet den Datenverkehr zwischen dem NPS und mehreren Domänencontrollern zulassen. Wenn Sie den NPS durch einen NPS-Proxy ersetzen, darf die Firewall nur RADIUS-Datenverkehr zwischen dem NPS-Proxy und einem oder mehreren Netzwerkrichtlinienservern innerhalb Ihres Intranets zulassen.

Wichtig

NPS unterstützt die gesamtstrukturübergreifende Authentifizierung ohne RADIUS-Proxy, wenn die Gesamtstrukturfunktionsebene Windows Server 2003 oder höher ist und eine bidirektionale Vertrauensstellung zwischen Gesamtstrukturen besteht. Wenn Sie jedoch EAP-TLS oder PEAP-TLS mit Zertifikaten als Authentifizierungsmethode nutzen, MÜSSEN Sie einen RADIUS-Proxy für die gesamtstrukturübergreifende Authentifizierung verwenden.

Die folgende Abbildung zeigt den NPS als RADIUS-Proxy zwischen RADIUS-Clients und RADIUS-Servern.

NPS as a RADIUS Proxy

Mit dem NPS können Organisationen auch die Infrastruktur für den Remotezugriff an einen Dienstanbieter auslagern und dabei die Kontrolle über Benutzerauthentifizierung, Autorisierung und Ressourcenerfassung behalten.

NPS-Konfigurationen können für die folgenden Szenarien erstellt werden:

  • Drahtloser Zugriff
  • DFÜ- oder VPN-Remotezugriff der Organisation
  • Ausgelagerter VPN-, DFÜ- oder WLAN-Zugriff
  • Zugriff auf das Internet
  • Authentifizierter Zugriff auf Extranetressourcen für Geschäftspartner

Konfigurationsbeispiele für RADIUS-Server und RADIUS-Proxy

Die folgenden Konfigurationsbeispiele zeigen, wie Sie den NPS als RADIUS-Server und RADIUS-Proxy konfigurieren können.

NPS als RADIUS-Server: In diesem Beispiel ist der NPS als RADIUS-Server konfiguriert, die Standardrichtlinie für Verbindungsanforderungen ist die einzige konfigurierte Richtlinie, und alle Verbindungsanforderungen werden vom lokalen Netzwerkrichtlinienserver verarbeitet. Der Netzwerkrichtlinienserver kann Benutzer authentifizieren und autorisieren, deren Konten sich in der Domäne des NPS und in vertrauenswürdigen Domänen befinden.

NPS als RADIUS-Proxy: In diesem Beispiel wird der Netzwerkrichtlinienserver als RADIUS-Proxy konfiguriert, der Verbindungsanforderungen an RADIUS-Remoteservergruppen in zwei nicht vertrauenswürdigen Domänen weiterleitet. Die Standardrichtlinie für Verbindungsanforderungen wird gelöscht, und es werden zwei neue Richtlinien für Verbindungsanforderungen erstellt, um Anforderungen an jede der beiden nicht vertrauenswürdigen Domänen weiterzuleiten. In diesem Beispiel verarbeitet der NPS keine Verbindungsanforderungen auf dem lokalen Server.

NPS sowohl als RADIUS-Server als auch als RADIUS-Proxy: Zusätzlich zur Standardrichtlinie für Verbindungsanforderungen, die festlegt, dass Verbindungsanforderungen lokal verarbeitet werden, wird eine neue Richtlinie für Verbindungsanforderungen erstellt, mit der diese an einen NPS oder einen anderen RADIUS-Server in einer nicht vertrauenswürdigen Domäne weitergeleitet werden. Diese zweite Richtlinie wird als Proxyrichtlinie bezeichnet. In diesem Beispiel wird die Proxyrichtlinie in der sortierten Liste der Richtlinien an erster Stelle angezeigt. Wenn die Verbindungsanforderung der Proxyrichtlinie entspricht, wird die Verbindungsanforderung an den RADIUS-Server in der RADIUS-Remoteservergruppe weitergeleitet. Wenn die Verbindungsanforderung nicht der Proxyrichtlinie, aber der Standardrichtlinie für Verbindungsanforderungen entspricht, verarbeitet der NPS die Verbindungsanforderung auf dem lokalen Server. Wenn die Verbindungsanforderung keiner der beiden Richtlinien entspricht, wird sie verworfen.

NPS als RADIUS-Server mit Remoteservern für die Ressourcenerfassung: In diesem Beispiel ist der lokale Netzwerkrichtlinienserver nicht für die Ressourcenerfassung konfiguriert, und die Standardrichtlinie für Verbindungsanforderungen wird so geändert, dass Meldungen zur RADIUS-Ressourcenerfassung an den NPS oder einen anderen RADIUS-Server in einer RADIUS-Remoteservergruppe weitergeleitet werden. Obwohl Meldungen zur Ressourcenerfassung weitergeleitet werden, gilt dies nicht für Meldungen zu Authentifizierung und Autorisierung. Der lokale Netzwerkrichtlinienserver übernimmt diese Funktionen für die lokale Domäne und alle vertrauenswürdigen Domänen.

NPS mit „Remote-RADIUS-zu-Windows-Benutzerzuordnung“: In diesem Beispiel fungiert der NPS sowohl als RADIUS-Server als auch als RADIUS-Proxy für jede einzelne Verbindungsanforderung, indem er Authentifizierungsanforderungen an einen RADIUS-Remoteserver weiterleitet und gleichzeitig ein lokales Windows-Benutzerkonto für die Autorisierung verwendet. Diese Konfiguration wird implementiert, indem das Attribut „Remote-RADIUS-zu-Windows-Benutzerzuordnung“ als Bedingung der Verbindungsanforderungsrichtlinie verwendet wird. (Außerdem muss lokal auf dem RADIUS-Server ein Benutzerkonto erstellt werden, das denselben Namen trägt wie das Remotebenutzerkonto, mit dem die Authentifizierung über den RADIUS-Remoteserver durchgeführt wird.)

Konfiguration

Um NPS als RADIUS-Server zu konfigurieren, können Sie entweder die Standardkonfiguration oder die erweiterte Konfiguration in der NPS-Konsole oder im Server-Manager verwenden. Um den NPS als RADIUS-Proxy zu konfigurieren, müssen Sie die erweiterte Konfiguration verwenden.

Standardkonfiguration

Bei der Standardkonfiguration können Sie auf Assistenten zurückgreifen, die Sie beim Konfigurieren des NPS für die folgenden Szenarien unterstützen:

  • RADIUS-Server für DFÜ- oder VPN-Verbindungen
  • RADIUS-Server für drahtlose oder verkabelte 802.1X-Verbindungen

Um den NPS mithilfe eines Assistenten zu konfigurieren, öffnen Sie die NPS-Konsole, wählen eines der oben genannten Szenarien aus und klicken dann auf den Link zum Öffnen des Assistenten.

Erweiterte Konfiguration

Wenn Sie die erweiterte Konfiguration verwenden, konfigurieren Sie den NPS manuell als RADIUS-Server oder RADIUS-Proxy.

Um den NPS mithilfe der erweiterten Konfiguration zu konfigurieren, öffnen Sie die NPS-Konsole und klicken dann auf den Pfeil neben Erweiterte Konfiguration, um diesen Abschnitt zu erweitern.

Die folgenden erweiterten Konfigurationselemente werden bereitgestellt.

Konfigurieren des RADIUS-Servers

Um den NPS als RADIUS-Server zu konfigurieren, müssen Sie RADIUS-Clients, Netzwerkrichtlinie und RADIUS-Ressourcenerfassung konfigurieren.

Anweisungen zum Durchführen dieser Konfigurationen finden Sie in den folgenden Themen.

Konfigurieren des RADIUS-Proxys

Um den NPS als RADIUS-Proxy zu konfigurieren, müssen Sie RADIUS-Clients, RADIUS-Remoteservergruppen und Richtlinien für Verbindungsanforderungen konfigurieren.

Anweisungen zum Durchführen dieser Konfigurationen finden Sie in den folgenden Themen.

NPS-Protokollierung

Die NPS-Protokollierung wird auch als RADIUS-Ressourcenerfassung bezeichnet. Konfigurieren Sie die NPS-Protokollierung gemäß Ihren Anforderungen – unabhängig davon, ob NPS als RADIUS-Server, RADIUS-Proxy oder als eine Kombination dieser Konfigurationen genutzt wird.

Beim Konfigurieren der NPS-Protokollierung müssen Sie festlegen, welche Ereignisse protokolliert und in der Ereignisanzeige angezeigt werden sollen. Außerdem müssen Sie angeben, welche weiteren Informationen Sie protokollieren möchten. Darüber hinaus müssen Sie entscheiden, ob Sie Informationen zu Benutzerauthentifizierung und Ressourcenerfassung in Textprotokolldateien auf dem lokalen Computer oder in einer SQL Server-Datenbank auf dem lokalen Computer oder einem Remotecomputer speichern möchten.

Weitere Informationen finden Sie unter Konfigurieren der Ressourcenerfassung für den Netzwerkrichtlinienserver.