Netzwerkrichtlinienserver

Mit dem Netzwerkrichtlinienserver (Network Policy Server, NPS) können Sie organisationsweite Netzwerkzugriffsrichtlinien für Clientintegrität sowie Authentifizierung und Autorisierung von Verbindungsanforderungen erstellen und erzwingen. Darüber hinaus können Sie den Netzwerkrichtlinienserver als RADIUS-Proxy (Remote Authentication Dial-In User Service) verwenden, um Verbindungsanforderungen an den Netzwerkrichtlinienserver oder andere RADIUS-Server weiterzuleiten, die Sie in RADIUS-Remoteservergruppen konfigurieren.

Mit NPS können Sie mithilfe der folgenden drei Features die Authentifizierung und Autorisierung des Netzwerkzugriffs sowie Clientintegritätsrichtlinien zentral konfigurieren und verwalten:

  • RADIUS server. Der Netzwerkrichtlinienserver führt die zentrale Verbindungsauthentifizierung und -autorisierung sowie die Kontoführung für Verbindungen über Drahtlosnetzwerk, Authentifizierungsswitch, Remotezugriff-DFÜ und VPN aus. Wenn Sie NPS als RADIUS-Server verwenden, konfigurieren Sie Netzwerkzugriffsserver, z. B. Drahtloszugriffspunkte und VPN-Server, als RADIUS-Clients in NPS. Sie können auch Netzwerkrichtlinien konfigurieren, mit denen NPS Verbindungsanforderungen autorisiert, und Sie können die RADIUS-Kontoführung so konfigurieren, dass NPS Kontoführungsinformationen in Protokolldateien auf der lokalen Festplatte oder in einer Microsoft SQL Server-Datenbank protokolliert. Weitere Informationen finden Sie unter RADIUS-Server.

  • RADIUS proxy. Wenn Sie den Netzwerkrichtlinienserver als RADIUS-Proxy verwenden, konfigurieren Sie Verbindungsanforderungsrichtlinien, die dem Netzwerkrichtlinienserver mitteilen, welche Verbindungsanforderungen an andere RADIUS-Server weitergeleitet werden sollen und an welche RADIUS-Server die Verbindungsanforderungen weitergeleitet werden sollen. Sie können NPS auch so konfigurieren, dass Kontoführungsdaten weitergeleitet und von einem oder mehreren Computern in einer Remote-RADIUS-Servergruppe protokolliert werden. Weitere Informationen finden Sie unter RADIUS-Proxy.

  • Network Access Protection (NAP) policy server. Wenn Sie den Netzwerkrichtlinienserver als NAP-Richtlinienserver konfigurieren, wertet der Netzwerkrichtlinienserver SoHs (Statements of Health) aus, die von NAP-fähigen Clientcomputern gesendet wurden, die eine Verbindung mit dem Netzwerk herstellen möchten. NPS dient außerdem als RADIUS-Server, wenn NAP konfiguriert ist, und führt die Authentifizierung und Autorisierung für Verbindungsanforderungen aus. Sie können NAP-Richtlinien und -Einstellungen auf dem Netzwerkrichtlinienserver konfigurieren, wie beispielsweise Systemintegritätsprüfungen (System Health Validators, SHVs), Integritätsrichtlinien und Wartungsservergruppen, mit denen Clientcomputer ihre Konfiguration gemäß den Netzwerkrichtlinien der Organisation aktualisieren können. Weitere Informationen finden Sie unter Netzwerkzugriffsschutz auf dem Netzwerkrichtlinienserver.

Sie können NPS mit einer beliebigen Kombination der vorausgehenden Features kombinieren. Beispielsweise können Sie einen Netzwerkrichtlinienserver mithilfe mindestens einer Erzwingungsmethode als NAP-Richtlinienserver konfigurieren. Gleichzeitig können Sie den gleichen Netzwerkrichtlinienserver als RADIUS-Server für DFÜ-Verbindungen und als RADIUS-Proxy zum Weiterleiten bestimmter Verbindungsanforderungen an Mitglieder einer RADIUS-Remoteservergruppe zur Authentifizierung und Autorisierung in einer anderen Domäne konfigurieren.

Konfiguration

Zum Konfigurieren des Netzwerkrichtlinienservers als RADIUS-Server oder NAP-Richtlinienserver können Sie die Standardkonfiguration oder die erweiterte Konfiguration in der NPS-Konsole oder im Server-Manager verwenden. Für die Konfiguration von NPS als RADIUS-Proxy müssen Sie die erweiterte Konfiguration verwenden.

Standardkonfiguration

Mit der Standardkonfiguration werden Assistenten bereitgestellt, mit denen Sie NPS für die folgenden Szenarios konfigurieren können:

  • NAP-Richtlinienserver

  • RADIUS-Server für DFÜ- oder VPN-Verbindungen

  • RADIUS-Server für 802.1X-Drahtlosverbindungen oder -Kabelverbindungen

Für die Konfiguration von NPS mithilfe eines Assistenten öffnen Sie die NPS-Konsole, wählen Sie eines der vorherigen Szenarios aus, und klicken Sie dann auf den Link, mit dem der Assistent geöffnet wird.

Erweiterte Konfiguration

Wenn Sie die erweiterte Konfiguration verwenden, konfigurieren Sie den Netzwerkrichtlinienserver manuell als RADIUS-Server, NAP-Richtlinienserver oder RADIUS-Proxy. Bei der Richtlinien- und NAP-Konfiguration werden Assistenten bereitgestellt, die jedoch in der NPS-Ordnerstruktur der NPS-Konsole und nicht im Abschnitt Erste Schritte im Detailbereich der Konsole geöffnet werden.

Öffnen Sie beim Konfigurieren des Netzwerkrichtlinienservers mithilfe der erweiterten Konfiguration die NPS-Konsole, und klicken Sie auf den Pfeil neben Erweiterte Konfiguration, um diesen Abschnitt zu erweitern.

Die folgenden Optionen werden für die erweiterte Konfiguration angeboten.

Konfigurieren des RADIUS-Servers

Sie müssen RADIUS-Clients, Netzwerkrichtlinien und die RADIUS-Kontoführung konfigurieren, um NPS als RADIUS-Server zu konfigurieren.

In den folgenden Hilfeabschnitten finden Sie die erforderlichen Informationen zum Bereitstellen des Netzwerkrichtlinienservers als RADIUS-Server.

Konfigurieren des NAP-Richtlinienservers

Zum Bereitstellen von NAP müssen Sie zusätzlich zu RADIUS-Clients und Netzwerkrichtlinien auch NAP-Komponenten konfigurieren.

In den folgenden Hilfeabschnitten finden Sie die erforderlichen Informationen zum Bereitstellen des Netzwerkrichtlinienservers als NAP-Richtlinienserver.

Konfigurieren des RADIUS-Proxys

Sie müssen RADIUS-Clients, Remote-RADIUS-Servergruppen und Verbindungsanforderungsrichtlinien konfigurieren, um NPS als RADIUS-Proxy zu konfigurieren.

In den folgenden Hilfeabschnitten finden Sie die erforderlichen Informationen zum Bereitstellen des Netzwerkrichtlinienservers als RADIUS-Proxy.

NPS-Protokollierung

Die NPS-Protokollierung wird auch als RADIUS-Kontoführung bezeichnet. Konfigurieren Sie die NPS-Protokollierung gemäß Ihren Anforderungen, das heißt für die Verwendung des Netzwerkrichtlinienservers als RADIUS-Server oder -Proxy, als NAP-Richtlinienserver oder als Kombination der drei Konfigurationen.

Zum Konfigurieren der NPS-Protokollierung müssen Sie konfigurieren, welche Ereignisse protokolliert und mit der Ereignisanzeige angezeigt werden sollen. Anschließend müssen Sie bestimmen, welche weiteren Informationen Sie protokollieren möchten. Darüber hinaus müssen Sie entscheiden, ob Informationen zur Benutzerauthentifizierung und Kontoführung in Textprotokolldateien auf dem lokalen Computer oder in einer SQL Server-Datenbank auf dem lokalen Computer oder einem Remotecomputer protokolliert werden sollen.

In den folgenden Hilfeabschnitten finden Sie die erforderlichen Informationen zum Bereitstellen der RADIUS-Kontoführung:


Inhaltsverzeichnis