Als u met NPS (Network Policy Server) inbel- of VPN-verbindingen (Virtual Private Network) implementeert als een RADIUS-server, moet u de volgende stappen uitvoeren:
-
Installeer en configureer netwerktoegangsservers (NAS) als RADIUS-clients.
-
Implementeer onderdelen voor verificatiemethoden.
-
Configureer NPS als een RADIUS-server.
Netwerktoegangsservers (RADIUS-clients) installeren en configureren
Voor de implementatie van inbeltoegang moet u Routering en RAS installeren en configureren als een inbelserver. Voor de implementatie van VPN-toegang moet u Routering en RAS installeren en configureren als een VPN-server.
Belangrijk | |
Clientcomputers zoals draadloze draagbare computers en andere computers met een clientbesturingssysteem, zijn geen RADIUS-clients. RADIUS-clients zijn netwerktoegangsservers, zoals draadloze toegangspunten, 802.1X-switches, VPN-servers (Virtual Private Network), en inbelservers, omdat deze gebruikmaken van het RADIUS-protocol om met RADIUS-servers zoals NPS-servers (Network Policy Server) te communiceren. |
U kunt Routering en RAS installeren op de lokale NPS-server of op een externe computer.
Onderdelen voor verificatiemethoden implementeren
Voor VPN kunt u de volgende verificatiemethoden gebruiken:
-
EAP (Extensible Authentication Protocol) met TLS (Transport Layer Security), ook wel EAP-TLS genoemd.
-
PEAP (Protected EAP) met MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol versie 2), ook wel PEAP-MS-CHAP v2 genoemd.
-
PEAP met TLS (Transport Layer Security), ook wel PEAP-TLS genoemd.
Voor EAP-TLS en PEAP-TLS moet u een openbare-sleutelinfrastructuur (PKI) implementeren door Active Directory® Certificate Services (AD CS) te installeren en configureren voor het verstrekken van certificaten aan clientcomputers en NPS-servers in het domein. Deze certificaten worden tijdens het verificatieproces als bewijs van identiteit gebruikt door zowel clients als NPS-servers. Indien gewenst, kunt u in plaats van clientcomputercertificaten te gebruiken ook smartcards implementeren. In dat geval moet u de werknemers binnen uw organisatie voorzien van smartcards en smartcardlezers.
Voor PEAP-MS-CHAP v2 kunt u uw eigen certificeringsinstantie (CA) implementeren met AD CS om certificaten te verstrekken aan NPS-servers, of u kunt servercertificaten aanschaffen bij een openbaar vertrouwde basis-CA, zoals VeriSign.
Zie EAP - overzicht en PEAP - overzicht voor meer informatie.
NPS configureren als een RADIUS-server
Wanneer u NPS configureert als een RADIUS-server, moet u RADIUS-clients, een netwerkbeleid en RADIUS-accounting configureren.
RADIUS-clients configureren
De configuratie van RADIUS-clients bestaat uit twee fasen:
-
Configureer de fysieke RADIUS-client, bijvoorbeeld de VPN-server of de inbelserver, met gegevens waardoor de netwerktoegangsserver kan communiceren met NPS-servers. Hiervoor moet u het IP-adres van de NPS-server en het gedeelde geheim configureren in de gebruikersinterface van de VPS-server of de inbelserver.
-
Voeg in NPS een nieuwe RADIUS-client toe. Voeg op de NPS-server elke VPN-server of inbelserver toe als RADIUS-client. U kunt voor elke RADIUS-client niet alleen een beschrijvende naam opgeven, maar ook het IP-adres en het gedeelde geheim.
Zie Een nieuwe RADIUS-client toevoegen voor meer informatie.
Een netwerkbeleid configureren
Een netwerkbeleid is een set voorwaarden, beperkingen en instellingen waarmee u kunt bepalen wie verbinding mag maken met het netwerk, en de omstandigheden waarin verbinding kan worden gemaakt.
Zie Netwerkbeleid voor meer informatie.
RADIUS-accounting configureren
Met RADIUS-accounting kunt u aanvragen voor gebruikersverificatie en accounting vastleggen in een lokaal logboekbestand of een Microsoft® SQL Server®-database op de lokale of een externe computer.