Netzwerkrichtlinienserver (NPS)

  • Artikel
  • 10 Minuten Lesedauer

Gilt für: Windows Server 2022, Windows Server 2016, Windows Server 2019

Sie können dieses Thema für eine Übersicht über den Netzwerkrichtlinienserver in Windows Server 2016 und Windows Server 2019 verwenden. NPS wird installiert, wenn Sie die Netzwerkrichtlinie und Access Services (NPAS)-Funktion in Windows Server 2016 und Server 2019 installieren.

Hinweis

Zusätzlich zu diesem Thema ist die folgende NPS-Dokumentation verfügbar.

Mit Netzwerkrichtlinienserver (NPS) können Sie organisationsweite Netzwerkzugriffsrichtlinien für die Verbindungsanforderungsauthentifizierung und Autorisierung erstellen und erzwingen.

Sie können NPS auch als Remoteauthentifizierungs-User Service (RADIUS)-Proxy konfigurieren, um Verbindungsanforderungen an einen Remote-NPS- oder anderen RADIUS-Server weiterzuleiten, damit Sie Verbindungsanforderungen laden und an die richtige Domäne für Authentifizierung und Autorisierung weiterleiten können.

NPS ermöglicht Es Ihnen, die Netzwerkzugriffsauthentifizierung, Autorisierung und Buchhaltung zentral zu konfigurieren und zu verwalten mit den folgenden Features:

  • RADIUS-Server. NPS führt zentrale Authentifizierung, Autorisierung und Abrechnung für drahtlose, Authentifizierungsschalter, Remotezugriffswählverbindungen und virtuelles privates Netzwerk (VPN) durch. Wenn Sie NPS als RADIUS-Server verwenden, konfigurieren Sie Netzwerkzugriffsserver, z. B. drahtlose Zugriffspunkte und VPN-Server, als RADIUS-Clients in NPS. Sie können auch Netzwerkrichtlinien konfigurieren, mit denen NPS Verbindungsanforderungen autorisiert, und Sie können die RADIUS-Kontoführung so konfigurieren, dass NPS Kontoführungsinformationen in Protokolldateien auf der lokalen Festplatte oder in einer Microsoft SQL Server-Datenbank protokolliert. Weitere Informationen finden Sie unter RADIUS-Server.
  • RADIUS-Proxy. Wenn Sie NPS als RADIUS-Proxy verwenden, konfigurieren Sie Verbindungsanforderungsrichtlinien, die den NPS mitteilen, welche Verbindungsanforderungen an andere RADIUS-Server weitergeleitet werden sollen und welche RADIUS-Server Sie Verbindungsanforderungen weiterleiten möchten. Sie können NPS auch so konfigurieren, dass Kontoführungsdaten weitergeleitet und von einem oder mehreren Computern in einer RADIUS-Remoteservergruppe protokolliert werden. Informationen zum Konfigurieren von NPS als RADIUS-Proxyserver finden Sie in den folgenden Themen. Weitere Informationen finden Sie unter RADIUS-Proxy.
  • RADIUS-Buchhaltung. Sie können NPS so konfigurieren, dass Ereignisse in einer lokalen Protokolldatei oder in einer lokalen oder Remoteinstanz von Microsoft SQL Server protokolliert werden. Weitere Informationen finden Sie unter NPS-Protokollierung.

Wichtig

Netzwerkzugriffsschutz (NAP), Integritätsregistrierungsstelle (HRA) und Host Credential Authorization Protocol (HCAP) wurden in Windows Server 2012 R2 veraltet und sind in Windows Server 2016 nicht verfügbar. Wenn Sie über eine NAP-Bereitstellung mit Betriebssystemen vor Windows Server 2016 verfügen, können Sie Ihre NAP-Bereitstellung nicht zu Windows Server 2016 migrieren.

Sie können NPS mit einer beliebigen Kombination dieser Features konfigurieren. Sie können z. B. einen NPS als RADIUS-Server für VPN-Verbindungen und als RADIUS-Proxy konfigurieren, um einige Verbindungsanforderungen an Mitglieder einer Remote-RADIUS-Servergruppe für die Authentifizierung und Autorisierung in einer anderen Domäne weiterzuleiten.

Windows Server-Editionen und NPS

NPS bietet je nach Edition von Windows Server, die Sie installieren, verschiedene Funktionen.

Windows Server 2016 oder Windows Server 2019 Standard/Datacenter Edition

Mit NPS in Windows Server 2016 Standard oder Datacenter können Sie eine unbegrenzte Anzahl von RADIUS-Clients und Remote-RADIUS-Servergruppen konfigurieren. Außerdem können Sie RADIUS-Clients konfigurieren, indem Sie einen IP-Adressbereich angeben.

Hinweis

Die WIndows-Netzwerkrichtlinie und Access Services-Funktion ist auf Systemen, die mit einer Server Core-Installationsoption installiert sind, nicht verfügbar.

In den folgenden Abschnitten finden Sie ausführlichere Informationen zu NPS als RADIUS-Server und Proxy.

RADIUS-Server und Proxy

Sie können NPS als RADIUS-Server, einen RADIUS-Proxy oder beides verwenden.

RADIUS-Server

NPS ist die Microsoft-Implementierung des VON der Internet Engineering Task Force (IETF) in RFCs 2865 und 2866 angegebenen RADIUS-Standard. Als RADIUS-Server führt NPS zentrale Verbindungsauthentifizierung, Autorisierung und Abrechnung für viele Arten des Netzwerkzugriffs durch, einschließlich Drahtloser, Authentifizierungsschalter, Einwahl- und virtuelles privates Netzwerk (VPN)-Remotezugriff und Router-zu-Router-Verbindungen.

Hinweis

Informationen zum Bereitstellen von NPS als RADIUS-Server finden Sie unter Bereitstellen von Netzwerkrichtlinienservern.

NPS ermöglicht die Verwendung einer heterogenen Gruppe von Geräten: drahtlos, Switch, Remotezugriff oder VPN. Sie können NPS mit dem Remotezugriffsdienst verwenden, der in Windows Server 2016 verfügbar ist.

NPS verwendet eine Active Directory Domain Services (AD DS)-Domäne oder die lokale Datenbank für Sicherheitskonten (SAM) zum Authentifizieren von Benutzeranmeldeinformationen für Verbindungsversuche. Wenn ein Server, auf dem NPS ausgeführt wird, mitglied einer AD DS-Domäne ist, verwendet NPS den Verzeichnisdienst als Benutzerkontodatenbank und ist Teil einer einzelnen Anmeldelösung. Die gleiche Gruppe von Anmeldeinformationen wird für die Netzwerkzugriffskontrolle (Authentifizierung und Autorisierung des Zugriffs auf ein Netzwerk) und zum Anmelden bei einer AD DS-Domäne verwendet.

Hinweis

NPS verwendet die Einwahleigenschaften des Benutzerkontos und der Netzwerkrichtlinien, um eine Verbindung zu autorisieren.

Internetdienstanbieter (ISPs) und Organisationen, die den Netzwerkzugriff beibehalten, haben die größere Herausforderung, alle Arten des Netzwerkzugriffs von einem einzigen Verwaltungspunkt zu verwalten, unabhängig von der Art der verwendeten Netzwerkzugriffsgeräte. Der RADIUS-Standard unterstützt diese Funktionalität sowohl in homogenen als auch heterogenen Umgebungen. RADIUS ist ein Clientserverprotokoll, mit dem Netzwerkzugriffsgeräte (als RADIUS-Clients verwendet) Authentifizierungs- und Buchhaltungsanforderungen an einen RADIUS-Server übermitteln können.

Ein RADIUS-Server hat Zugriff auf Benutzerkontoinformationen und kann netzwerkzugriffsauthentifizierungsanmeldeinformationen überprüfen. Wenn Benutzeranmeldeinformationen authentifiziert werden und der Verbindungsversuch autorisiert wird, autorisiert der RADIUS-Server den Benutzerzugriff anhand der angegebenen Bedingungen, und protokolliert dann die Netzwerkzugriffsverbindung in einem Buchhaltungsprotokoll. Mithilfe von RADIUS können Benutzerauthentifizierungs-, Autorisierungs- und Buchhaltungsdaten an einem zentralen Ort erfasst und verwaltet werden, anstatt auf jedem Zugriffsserver.

Verwenden von NPS als RADIUS-Server

Sie können NPS als RADIUS-Server verwenden, wenn:

  • Sie verwenden eine AD DS-Domäne oder die lokale SAM-Benutzerkontendatenbank als Benutzerkontodatenbank für Zugriffsclients.
  • Sie verwenden Remotezugriff auf mehreren Einwahlservern, VPN-Servern oder Bedarfswählroutern und möchten sowohl die Konfiguration von Netzwerkrichtlinien als auch die Verbindungsprotokollierung und die Buchhaltung zentralisieren.
  • Sie outsourcingn Ihren Einwahl-, VPN- oder drahtlosen Zugriff auf einen Dienstanbieter. Die Zugriffsserver verwenden RADIUS, um Verbindungen zu authentifizieren und zu autorisieren, die von Mitgliedern Ihrer Organisation vorgenommen werden.
  • Sie möchten Authentifizierung, Autorisierung und Abrechnung für eine heterogene Gruppe von Zugriffsservern zentralisieren.

Die folgende Abbildung zeigt NPS als RADIUS-Server für eine Vielzahl von Zugriffsclients.

NPS as a RADIUS Server

RADIUS-Proxy

Als RADIUS-Proxy leitet NPS Authentifizierungs- und Buchhaltungsnachrichten an NPS und andere RADIUS-Server weiter. Sie können NPS als RADIUS-Proxy verwenden, um das Routing von RADIUS-Nachrichten zwischen RADIUS-Clients (auch als Netzwerkzugriffsserver bezeichnet) und RADIUS-Servern bereitzustellen, die Benutzerauthentifizierung, Autorisierung und Abrechnung für den Verbindungsversuch ausführen.

Bei Verwendung als RADIUS-Proxy ist NPS ein zentraler Umschalt- oder Routingpunkt, über den RADIUS-Zugriff und Buchhaltungsnachrichten ablaufen. NPS erfasst Informationen in einem Buchhaltungsprotokoll über die Nachrichten, die weitergeleitet werden.

Verwenden von NPS als RADIUS-Proxy

Sie können NPS als RADIUS-Proxy verwenden, wenn:

  • Sie sind ein Dienstanbieter, der ausgelagerte Einwahl-, VPN- oder Wlan-Netzwerkzugriffsdienste für mehrere Kunden anbietet. Ihre NASs senden Verbindungsanforderungen an den NPS-RADIUS-Proxy. Basierend auf dem Bereichsteil des Benutzernamens in der Verbindungsanforderung leitet der NPS-RADIUS-Proxy die Verbindungsanforderung an einen RADIUS-Server weiter, der vom Kunden verwaltet wird, und kann den Verbindungsversuch authentifizieren und autorisieren.
  • Sie möchten Authentifizierung und Autorisierung für Benutzerkonten bereitstellen, die keine Mitglieder der Domäne sind, in der die NPS ein Mitglied oder eine andere Domäne ist, die über eine zweiseitige Vertrauenswürdigkeit mit der Domäne verfügt, in der die NPS mitglied ist. Dies umfasst Konten in nicht vertrauenswürdigen Domänen, vertrauenswürdigen Domänen und anderen Gesamtstrukturen. Anstatt Ihre Zugriffsserver zu konfigurieren, um ihre Verbindungsanforderungen an einen NPS-RADIUS-Server zu senden, können Sie sie so konfigurieren, dass sie ihre Verbindungsanforderungen an einen NPS-RADIUS-Proxy senden. Der NPS-RADIUS-Proxy verwendet den Bereichsnamenteil des Benutzernamens und leitet die Anforderung an eine NPS in der richtigen Domäne oder Gesamtstruktur weiter. Verbindungsversuche für Benutzerkonten in einer Domäne oder Gesamtstruktur können für NASs in einer anderen Domäne oder Gesamtstruktur authentifiziert werden.
  • Sie möchten Authentifizierung und Autorisierung mithilfe einer Datenbank ausführen, die keine Windows Kontodatenbank ist. In diesem Fall werden Verbindungsanforderungen, die einem angegebenen Bereichsnamen entsprechen, an einen RADIUS-Server weitergeleitet, der Zugriff auf eine andere Datenbank von Benutzerkonten und Autorisierungsdaten hat. Beispiele für andere Benutzerdatenbanken umfassen Novell Directory Services (NDS) und strukturierte Abfragesprache (SQL) Datenbanken.
  • Sie möchten eine große Anzahl von Verbindungsanforderungen verarbeiten. In diesem Fall können Sie anstatt Ihre RADIUS-Clients so konfigurieren, dass sie ihre Verbindungs- und Buchhaltungsanforderungen auf mehreren RADIUS-Servern ausgleichen können, um ihre Verbindungs- und Buchhaltungsanforderungen an einen NPS-RADIUS-Proxy zu senden. Der NPS-RADIUS-Proxy glich dynamisch die Last der Verbindungs- und Buchhaltungsanforderungen auf mehreren RADIUS-Servern aus und erhöht die Verarbeitung großer Anzahl von RADIUS-Clients und Authentifizierungen pro Sekunde.
  • Sie möchten DIE RADIUS-Authentifizierung und Autorisierung für ausgelagerte Dienstanbieter bereitstellen und die Intranet-Firewallkonfiguration minimieren. Eine Intranet-Firewall befindet sich zwischen Ihrem Umkreisnetzwerk (dem Netzwerk zwischen Ihrem Intranet und dem Internet) und Intranet. Durch Das Platzieren eines NPS im Umkreisnetzwerk muss die Firewall zwischen Ihrem Umkreisnetzwerk und Intranet den Datenverkehr zwischen dem NPS und mehreren Domänencontrollern ermöglichen. Durch Ersetzen der NPS durch einen NPS-Proxy muss die Firewall nur RADIUS-Datenverkehr zulassen, der zwischen dem NPS-Proxy und einem oder mehreren NPS in Ihrem Intranet fließt.

Die folgende Abbildung zeigt NPS als RADIUS-Proxy zwischen RADIUS-Clients und RADIUS-Servern.

NPS as a RADIUS Proxy

Mit NPS können Organisationen auch Remotezugriffsinfrastruktur an einen Dienstanbieter auslagern und gleichzeitig die Kontrolle über die Benutzerauthentifizierung, Autorisierung und Buchhaltung behalten.

NPS-Konfigurationen können für die folgenden Szenarien erstellt werden:

  • Drahtloser Zugriff
  • Remotezugriff für Das Organisations-Dial-up oder virtuelles privates Netzwerk (VPN)
  • Ausgelagerter Einwahlzugriff oder drahtloser Zugriff
  • Zugriff auf das Internet
  • Authentifizierter Zugriff auf Extranetressourcen für Geschäftspartner

RADIUS-Server- und RADIUS-Proxykonfigurationsbeispiele

Die folgenden Konfigurationsbeispiele veranschaulichen, wie Sie NPS als RADIUS-Server und einen RADIUS-Proxy konfigurieren können.

NPS als RADIUS-Server. In diesem Beispiel ist NPS als RADIUS-Server konfiguriert, die Standardverbindungsanforderungsrichtlinie ist die einzige konfigurierte Richtlinie, und alle Verbindungsanforderungen werden von der lokalen NPS verarbeitet. Die NPS kann Benutzer authentifizieren und autorisieren, deren Konten sich in der Domäne des NPS und in vertrauenswürdigen Domänen befinden.

NPS als RADIUS-Proxy. In diesem Beispiel wird der NPS als RADIUS-Proxy konfiguriert, der Verbindungsanforderungen an Remote-RADIUS-Servergruppen in zwei nicht vertrauenswürdigen Domänen weiterleitet. Die Standardverbindungsanforderungsrichtlinie wird gelöscht, und es werden zwei neue Verbindungsanforderungsrichtlinien erstellt, um Anforderungen an jede der beiden nicht vertrauenswürdigen Domänen weiterzuleiten. In diesem Beispiel verarbeitet NPS keine Verbindungsanforderungen auf dem lokalen Server.

NPS als RADIUS-Server und RADIUS-Proxy. Zusätzlich zur Standardrichtlinie für Verbindungsanforderung, die festlegt, dass Verbindungsanforderungen lokal verarbeitet werden, wird eine neue Verbindungsanforderungsrichtlinie erstellt, die Verbindungsanforderungen an einen NPS- oder anderen RADIUS-Server in einer nicht vertrauenswürdigen Domäne weiterleitet. Diese zweite Richtlinie wird als Proxyrichtlinie bezeichnet. In diesem Beispiel wird die Proxyrichtlinie zuerst in der sortierten Liste der Richtlinien angezeigt. Wenn die Verbindungsanforderung der Proxyrichtlinie entspricht, wird die Verbindungsanforderung an den RADIUS-Server in der Remote-RADIUS-Servergruppe weitergeleitet. Wenn die Verbindungsanforderung nicht mit der Proxyrichtlinie übereinstimmt, aber mit der Standardverbindungsanforderungsrichtlinie übereinstimmt, verarbeitet NPS die Verbindungsanforderung auf dem lokalen Server. Wenn die Verbindungsanforderung keiner richtlinie entspricht, wird sie verworfen.

NPS als RADIUS-Server mit Remote buchhaltungsservern. In diesem Beispiel ist der lokale NPS nicht für die Durchführung der Buchhaltung konfiguriert, und die Standardverbindungsanforderungsrichtlinie wird überarbeitet, sodass RADIUS-Buchhaltungsnachrichten an einen NPS- oder anderen RADIUS-Server in einer Remote-RADIUS-Servergruppe weitergeleitet werden. Obwohl Buchhaltungsnachrichten weitergeleitet werden, werden Authentifizierungs- und Autorisierungsnachrichten nicht weitergeleitet, und die lokale NPS führt diese Funktionen für die lokale Domäne und alle vertrauenswürdigen Domänen aus.

NPS mit Remote-RADIUS, um Windows Benutzerzuordnung zu Windows. In diesem Beispiel fungiert NPS sowohl als RADIUS-Server als auch als RADIUS-Proxy für jede einzelne Verbindungsanforderung, indem die Authentifizierungsanforderung an einen Remote-RADIUS-Server weitergeleitet wird, während ein lokales Windows Benutzerkonto zur Autorisierung verwendet wird. Diese Konfiguration wird implementiert, indem sie den RemoteRADIus so konfigurieren, dass Windows Benutzerzuordnungs-Attribut als Bedingung der Verbindungsanforderungsrichtlinie verwendet wird. (Darüber hinaus muss ein Benutzerkonto lokal auf dem RADIUS-Server erstellt werden, der denselben Namen wie das Remotebenutzerkonto hat, mit dem die Authentifizierung vom Remote-RADIUS-Server ausgeführt wird.)

Konfiguration

Um NPS als RADIUS-Server zu konfigurieren, können Sie entweder standardkonfiguration oder erweiterte Konfiguration in der NPS-Konsole oder in Server-Manager verwenden. Um NPS als RADIUS-Proxy zu konfigurieren, müssen Sie die erweiterte Konfiguration verwenden.

Standardkonfiguration

Mit der Standardkonfiguration werden Assistenten bereitgestellt, um NPS für die folgenden Szenarien zu konfigurieren:

  • RADIUS-Server für Einwahl- oder VPN-Verbindungen
  • RADIUS-Server für drahtlose oder verkabelte 802.1X-Verbindungen

Um NPS mithilfe eines Assistenten zu konfigurieren, öffnen Sie die NPS-Konsole, wählen Sie eine der vorherigen Szenarien aus, und klicken Sie dann auf den Link, der den Assistenten öffnet.

Erweiterte Konfiguration

Wenn Sie erweiterte Konfiguration verwenden, konfigurieren Sie NPS manuell als RADIUS-Server oder RADIUS-Proxy.

Um NPS mithilfe erweiterter Konfiguration zu konfigurieren, öffnen Sie die NPS-Konsole, und klicken Sie dann auf den Pfeil neben der erweiterten Konfiguration , um diesen Abschnitt zu erweitern.

Die folgenden erweiterten Konfigurationselemente werden bereitgestellt.

Konfigurieren des RADIUS-Servers

Um NPS als RADIUS-Server zu konfigurieren, müssen Sie RADIUS-Clients, Netzwerkrichtlinien und RADIUS-Buchhaltung konfigurieren.

Anweisungen zum Erstellen dieser Konfigurationen finden Sie in den folgenden Themen.

Konfigurieren des RADIUS-Proxys

Um NPS als RADIUS-Proxy zu konfigurieren, müssen Sie RADIUS-Clients, Remote-RADIUS-Servergruppen und Verbindungsanforderungsrichtlinien konfigurieren.

Anweisungen zum Erstellen dieser Konfigurationen finden Sie in den folgenden Themen.

NPS-Protokollierung

DIE NPS-Protokollierung wird auch ALS RADIUS-Buchhaltung bezeichnet. Konfigurieren Sie die NPS-Protokollierung für Ihre Anforderungen, ob NPS als RADIUS-Server, Proxy oder eine beliebige Kombination dieser Konfigurationen verwendet wird.

Um die NPS-Protokollierung zu konfigurieren, müssen Sie konfigurieren, welche Ereignisse protokolliert und mit Ereignisanzeige angezeigt werden sollen, und ermitteln Sie dann, welche anderen Informationen Sie protokollieren möchten. Darüber hinaus müssen Sie entscheiden, ob Sie Benutzerauthentifizierungs- und Buchhaltungsinformationen an Textdateien protokollieren möchten, die auf dem lokalen Computer oder auf einer SQL Server Datenbank auf dem lokalen Computer oder auf einem Remotecomputer gespeichert sind.

Weitere Informationen finden Sie unter Configure Network Policy Server Accounting.