Wenn Sie mehrere Netzwerkadapter auf einem Server mit Netzwerkrichtlinienserver (Network Policy Server, NPS) verwenden, können Sie Folgendes konfigurieren:
-
Die Netzwerkadapter, die RADIUS-Datenverkehr (Remote Authentication Dial-In User Service) senden und empfangen bzw. nicht senden und empfangen.
-
Pro Netzwerkadapter, ob NPS den RADIUS-Datenverkehr auf IPv4 (Internet Protocol Version 4) und/oder IPv6 überwacht.
-
Die UDP-Portnummern, über die RADIUS-Datenverkehr auf der Basis des Protokolls (IPv4 oder IPv6) und dem Netzwerkadapter gesendet und empfangen wird.
Standardmäßig überwacht NPS RADIUS-Datenverkehr auf den Ports 1812, 1813, 1645 und 1646 für IPv6 und IPv4 für alle installierten Netzwerkadapter. Vom Netzwerkrichtlinienserver werden automatisch alle Netzwerkadapter für RADIUS-Datenverkehr verwendet. Deshalb müssen Sie nur dann die Netzwerkadapter angeben, die vom Netzwerkrichtlinienserver für RADIUS-Datenverkehr verwendet werden sollen, wenn ein bestimmter Netzwerkadapter vom Netzwerkrichtlinienserver nicht für RADIUS-Datenverkehr verwendet werden soll.
 | Hinweis |
|
Wenn Sie IPv4 oder IPv6 auf einem Netzwerkadapter deinstallieren, wird der RADIUS-Datenverkehr für das deinstallierte Protokoll nicht von NPS überwacht. |
Auf einem Netzwerkrichtlinienserver mit mehreren installierten Netzwerkadaptern können Sie den Netzwerkrichtlinienserver so konfigurieren, dass RADIUS-Datenverkehr nur auf von Ihnen angegebenen Netzwerkadaptern gesendet und empfangen wird.
Beispielsweise kann ein auf dem Netzwerkrichtlinienserver installierter Netzwerkadapter zu einem Netzwerksegment führen, das keine RADIUS-Clients aufweist, während ein zweiter Netzwerkadapter einen Netzwerkpfad zu den konfigurierten RADIUS-Clients für NPS bereitstellt. In diesem Szenario muss NPS unbedingt angewiesen werden, den zweiten Netzwerkadapter für den gesamten RADIUS-Datenverkehr zu verwenden.
Wenn in einem anderen Beispiel auf dem Netzwerkrichtlinienserver drei Netzwerkadapter installiert sind, von denen aber nur zwei für RADIUS-Datenverkehr verwendet werden sollen, sollten Sie nur für diese beiden Netzwerkadapter Portinformationen konfigurieren. Durch das Ausschließen der Portkonfiguration für den dritten Netzwerkadapter verhindern Sie, dass NPS diesen Netzwerkadapter für RADIUS-Datenverkehr verwendet.
Verwenden eines Netzwerkadapter
Verwenden Sie die folgende Syntax im Dialogfeld Eigenschaften des Netzwerkrichtlinienservers in der NPS-Konsole, um den Netzwerkrichtlinienserver für das Abhören und Senden von RADIUS-Datenverkehr auf einem Netzwerkadapter zu konfigurieren:
- Syntax für IPv4-Datenverkehr: IPAddress:UDPport. Datei steht IPAddress für die IPv4-Adresse, die auf dem Netzwerkadapter konfiguriert ist, über die Sie RADIUS-Datenverkehr senden möchten. Und UDPport steht für die RADIUS-Portnummer, die Sie für RADIUS-Datenverkehr zur Authentifizierung oder Kontoführung verwenden möchten.
- Syntax für IPv6-Datenverkehr: [IPv6-Adresse]:UDP-Port. Dabei sind die Klammern um IPv6-Adresse erforderlich. IPv6-Adresse steht für die IPv6-Adresse, die auf dem Netzwerkadapter konfiguriert ist, über den Sie RADIUS-Datenverkehr senden möchten. UDP-Port steht für die RADIUS-Portnummer, die Sie für RADIUS-Authentifizierungs- oder -Kontoführungs-Datenverkehr verwenden möchten.
Die folgenden Zeichen können als Trennzeichen zum Konfigurieren der Informationen für IP-Adresse und UDP-Port verwendet werden:
-
Trennzeichen für Adresse/Port: Doppelpunkt (:)
-
Trennzeichen für Port: Komma (,)
-
Trennzeichen für Schnittstelle: Semikolon (;)
Konfigurieren von Netzwerkzugriffsservern
Stellen Sie sicher, dass für die Netzwerkzugriffsserver die gleichen RADIUS-UDP-Portnummern wie auf den Netzwerkrichtlinienservern konfiguriert sind. Die in RFC 2865 und 2866 definierten standardmäßigen RADIUS-UDP-Ports sind 1812 für die Authentifizierung und 1813 für die Kontoführung. Für manche Zugriffsserver ist jedoch standardmäßig der UDP-Port 1645 für Authentifizierungsanforderungen und der UDP-Port 1646 für Kontoführungsanforderungen konfiguriert.
 | Wichtig |
|
Wenn Sie nicht die standardmäßigen RADIUS-Portnummern verwenden, müssen Sie Ausnahmen auf der Firewall für den lokalen Computer konfigurieren, um RADIUS-Datenverkehr an den neuen Ports zuzulassen. Weitere Informationen finden Sie unter Netzwerkrichtlinienserver und Firewalls. |
Sie müssen mindestens Mitglied der Gruppe Domain Admins oder einer entsprechenden Gruppe sein, um dieses Verfahren ausführen zu können.
 | So geben Sie den Netzwerkadapter und UDP-Ports an, die NPS für RADIUS-Datenverkehr verwendet |
Öffnen Sie die Netzwerkrichtlinienserver-Konsole (Network Policy Server, NPS).
Klicken Sie mit der rechten Maustaste auf Netzwerkrichtlinienserver, und klicken Sie dann auf Eigenschaften.
Klicken Sie auf die Registerkarte Ports, und stellen Sie den vorhandenen Portnummern die IP-Adresse für den Netzwerkadapter voran, die Sie für RADIUS-Datenverkehr verwenden möchten. Wenn Sie z. B. die IP-Adresse 192.168.1.2 und die RADIUS-Ports 1812 und 1645 für Authentifizierungsanforderungen verwenden möchten, ändern Sie die Porteinstellung von 1812,1645 in 192.168.1.2:1812,1645.
Wenn die RADIUS-UDP-Ports zur Authentifizierung und Kontoführung von den Standardwerten abweichen, ändern Sie die Porteinstellungen entsprechend.
Trennen Sie die Portnummern durch Kommas, um mehrere Porteinstellungen für Authentifizierungs- oder Kontoführungsanforderungen zu verwenden.