Netzwerkrichtlinienserver (Übersicht)

Der Netzwerkrichtlinienserver ist Microsofts Implementierung des von der Internet Engineering Task Force (IETF) in den RFCs 2865 und 2866 definierten RADIUS-Standards. Als RADIUS-Server führt der Netzwerkrichtlinienserver zentralisierte Verbindungsauthentifizierung, Autorisierung und Kontoführung für viele Arten von Netzwerkzugriff aus, beispielsweise für Drahtloszugriff, Zugriff über einen Authentifizierungsswitch, DFÜ- und VPN-Remotezugriff (Virtual Private Network, virtuelles privates Netzwerk) und Zugriff über Verbindungen zwischen Routern.

NPS ermöglicht die Verwendung eines heterogenen Satzes von Drahtlos-, Switch-, Remotezugriffs- oder VPN-Geräten. Sie können NPS zusammen mit dem Routing- und RAS-Dienst verwenden, der unter Microsoft Windows 2000, Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise Edition und Windows Server 2003 Datacenter Edition verfügbar ist.

Wenn ein Netzwerkrichtlinienserver Mitglied einer AD DS-Domäne (Active Directory® Domain Services, Active Directory-Domänendienste) ist, verwendet der Netzwerkrichtlinienserver den Verzeichnisdienst als Benutzerkontodatenbank und ist Bestandteil einer Lösung für einmaliges Anmelden. Die gleichen Anmeldeinformationen werden für die Netzwerkzugriffssteuerung (Authentifizierung und Autorisierung des Zugriffs auf ein Netzwerk) und für die Anmeldung an einer AD DS-Domäne verwendet.

Internetdienstanbieter (Internet Service Providers, ISPs) und Organisationen, die den Netzwerkzugriff verwalten, stehen zunehmend vor der Herausforderung, alle Arten des Netzwerkzugriffs zentral zu verwalten, und zwar unabhängig vom Typ der verwendeten Netzwerkzugriffsgeräte. Diese Funktionalität wird vom RADIUS-Standard in homogenen und heterogenen Umgebungen unterstützt. RADIUS ist ein Client-Server-Protokoll, mit dem Netzwerkzugriffsgeräte (die als RADIUS-Clients verwendet werden) Authentifizierungs- und Kontoführungsanforderungen an einen RADIUS-Server senden können.

Ein RADIUS-Server hat Zugriff auf Benutzerkontoinformationen und kann die Authenfizierungsanmeldeinformationen für den Netzwerkzugriff überprüfen. Wenn die Anmeldeinformationen des Benutzers authentifiziert werden und der Verbindungsversuch autorisiert wird, autorisiert der RADIUS-Server den Zugriff des Benutzers auf der Grundlage angegebener Bedingungen und protokolliert die Netzwerkzugriffsverbindung in einem Kontoführungsprotokoll. Durch die Verwendung von RADIUS kann der Netzwerkzugriffsbenutzer Authentifizierungs-, Autorisierungs- und Kontoführungsdaten zentral, anstatt auf jedem einzelnen Zugriffsserver, sammeln und verwalten.

Weitere Informationen finden Sie unter RADIUS-Server.

Als RADIUS-Proxy leitet NPS Authentifizierungs- und Kontoführungsnachrichten an andere RADIUS-Server weiter.

Mit NPS können Organisationen außerdem die RAS-Infrastruktur an einen Dienstanbieter nach außen geben und behalten gleichzeitig die Kontrolle über die Benutzerauthentifizierung, Autorisierung und Kontoführung.

Für die folgenden Szenarien können unterschiedliche NPS-Konfigurationen erstellt werden:

• Drahtloszugriff
  
  
• DFÜ- oder VPN-Remotezugriff in der Organisation
  
  
• Ausgegliederter DFÜ- oder Drahtloszugriff
  
  
• Internetzugang
  
  
• Authentifizierter Zugriff auf Extranetressourcen für Geschäftspartner
  
  

Weitere Informationen finden Sie unter RADIUS-Proxy.

Die folgenden Konfigurationsbeispiele veranschaulichen die Konfiguration von NPS als RADIUS-Server und RADIUS-Proxy.

NPS as a RADIUS server. In diesem Beispiel wird der Netzwerkrichtlinienserver als RADIUS-Server konfiguriert, die standardmäßige Verbindungsanforderungsrichtlinie ist die einzige konfigurierte Richtlinie, und alle Verbindungsanforderungen werden vom lokalen Netzwerkrichtlinienserver verarbeitet. Der Netzwerkrichtlinienserver kann Benutzer authentifizieren und autorisieren, deren Konten der Domäne des Netzwerkrichtlinienservers sowie vertrauenswürdigen Domänen angehören.

NPS as a RADIUS proxy. In diesem Beispiel wird der Netzwerkrichtlinienserver als RADIUS-Proxy konfiguriert, der Verbindungsanforderungen an RADIUS-Remoteservergruppen in zwei verschiedenen nicht vertrauenswürdigen Domänen weiterleitet. Die standardmäßige Verbindungsanforderungsrichtlinie wird gelöscht, und zwei neue Verbindungsanforderungsrichtlinien werden erstellt, um Anforderungen an die beiden nicht vertrauenswürdigen Domänen weiterzuleiten. In diesem Beispiel werden Verbindungsanforderungen auf dem lokalen Server nicht vom Netzwerkrichtlinienserver verarbeitet.

NPS as both RADIUS server and RADIUS proxy. Zusätzlich zur standardmäßigen Verbindungsanforderungsrichtlinie, die festlegt, dass Verbindungsanforderungen lokal verarbeitet werden, wird eine neue Verbindungsanforderungsrichtlinie erstellt, die Verbindungsanforderungen an einen Netzwerkrichtlinienserver oder einen anderen RADIUS-Server in einer nicht vertrauenswürdigen Domäne weiterleitet. Diese zweite Richtlinie wird als Proxyrichtlinie bezeichnet. In diesem Beispiel wird die Proxyrichtlinie ganz oben in der sortierten Richtlinienliste angezeigt. Falls die Verbindungsanforderung mit der Proxyrichtlinie übereinstimmt, wird die Verbindungsanforderung an den RADIUS-Server in der Remote-RADIUS-Servergruppe weitergeleitet. Falls die Verbindungsanforderung nicht mit der Proxyrichtlinie, aber mit der standardmäßigen Verbindungsanforderungsrichtlinie übereinstimmt, verarbeitet NPS die Verbindungsanforderung auf dem lokalen Server. Falls die Verbindungsanforderung mit keiner Richtlinie übereinstimmt, wird sie verworfen.

NPS as a RADIUS server with remote accounting servers. In diesem Beispiel wird für den lokalen Netzwerkrichtlinienserver die Ausführung der Kontoführung nicht konfiguriert. Die standardmäßige Verbindungsanforderungsrichtlinie wird überarbeitet, damit RADIUS-Kontoführungsmeldungen an Netzwerkrichtlinienserver oder einen anderen RADIUS-Server in einer RADIUS-Remoteservergruppe weitergeleitet werden. Kontoführungsmeldungen werden weitergeleitet, Authentifizierungs- und Autorisierungsmeldungen dagegen nicht. Der lokale Netzwerkrichtlinienserver führt diese Funktionen für die lokale Domäne und alle vertrauenswürdigen Domänen aus.

NPS with remote RADIUS to Windows user mapping. In diesem Beispiel fungiert der Netzwerkrichtlinienserver sowohl als RADIUS-Server als auch als RADIUS-Proxy für die einzelnen Verbindungsanforderungen, indem die Authentifizierungsanforderung an einen RADIUS-Remoteserver weitergeleitet wird, während für die Autorisierung ein lokales Windows-Benutzerkonto verwendet wird. Für die Implementierung dieser Konfiguration wird das Remote-RADIUS-zu-Windows-Benutzerzuordnung-Attribut als Bedingung der Verbindungsanforderungsrichtlinie konfiguriert. (Darüber hinaus muss ein Benutzerkonto lokal auf dem RADIUS-Server erstellt werden, das den gleichen Namen wie das Remotebenutzerkonto hat, mit dem die Authentifizierung vom RADIUS-Remoteserver ausgeführt wird.)