Als u met NPS (Network Policy Server) inbel- of VPN-verbindingen (Virtual Private Network) implementeert als een RADIUS-server, moet u de volgende stappen uitvoeren:

  • Installeer en configureer netwerktoegangsservers (NAS) als RADIUS-clients.

  • Implementeer onderdelen voor verificatiemethoden.

  • Configureer NPS als een RADIUS-server.

Netwerktoegangsservers (RADIUS-clients) installeren en configureren

Voor de implementatie van inbeltoegang moet u Routering en RAS installeren en configureren als een inbelserver. Voor de implementatie van VPN-toegang moet u Routering en RAS installeren en configureren als een VPN-server.

Belangrijk

Clientcomputers zoals draadloze draagbare computers en andere computers met een clientbesturingssysteem, zijn geen RADIUS-clients. RADIUS-clients zijn netwerktoegangsservers, zoals draadloze toegangspunten, 802.1X-switches, VPN-servers (Virtual Private Network), en inbelservers, omdat deze gebruikmaken van het RADIUS-protocol om met RADIUS-servers zoals NPS-servers (Network Policy Server) te communiceren.

U kunt Routering en RAS installeren op de lokale NPS-server of op een externe computer.

Onderdelen voor verificatiemethoden implementeren

Voor VPN kunt u de volgende verificatiemethoden gebruiken:

  • EAP (Extensible Authentication Protocol) met TLS (Transport Layer Security), ook wel EAP-TLS genoemd.

  • PEAP (Protected EAP) met MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol versie 2), ook wel PEAP-MS-CHAP v2 genoemd.

  • PEAP met TLS (Transport Layer Security), ook wel PEAP-TLS genoemd.

Voor EAP-TLS en PEAP-TLS moet u een openbare-sleutelinfrastructuur (PKI) implementeren door Active Directory® Certificate Services (AD CS) te installeren en configureren voor het verstrekken van certificaten aan clientcomputers en NPS-servers in het domein. Deze certificaten worden tijdens het verificatieproces als bewijs van identiteit gebruikt door zowel clients als NPS-servers. Indien gewenst, kunt u in plaats van clientcomputercertificaten te gebruiken ook smartcards implementeren. In dat geval moet u de werknemers binnen uw organisatie voorzien van smartcards en smartcardlezers.

Voor PEAP-MS-CHAP v2 kunt u uw eigen certificeringsinstantie (CA) implementeren met AD CS om certificaten te verstrekken aan NPS-servers, of u kunt servercertificaten aanschaffen bij een openbaar vertrouwde basis-CA, zoals VeriSign.

Zie EAP - overzicht en PEAP - overzicht voor meer informatie.

NPS configureren als een RADIUS-server

Wanneer u NPS configureert als een RADIUS-server, moet u RADIUS-clients, een netwerkbeleid en RADIUS-accounting configureren.

RADIUS-clients configureren

De configuratie van RADIUS-clients bestaat uit twee fasen:

  • Configureer de fysieke RADIUS-client, bijvoorbeeld de VPN-server of de inbelserver, met gegevens waardoor de netwerktoegangsserver kan communiceren met NPS-servers. Hiervoor moet u het IP-adres van de NPS-server en het gedeelde geheim configureren in de gebruikersinterface van de VPS-server of de inbelserver.

  • Voeg in NPS een nieuwe RADIUS-client toe. Voeg op de NPS-server elke VPN-server of inbelserver toe als RADIUS-client. U kunt voor elke RADIUS-client niet alleen een beschrijvende naam opgeven, maar ook het IP-adres en het gedeelde geheim.

Zie Een nieuwe RADIUS-client toevoegen voor meer informatie.

Een netwerkbeleid configureren

Een netwerkbeleid is een set voorwaarden, beperkingen en instellingen waarmee u kunt bepalen wie verbinding mag maken met het netwerk, en de omstandigheden waarin verbinding kan worden gemaakt.

Zie Netwerkbeleid voor meer informatie.

RADIUS-accounting configureren

Met RADIUS-accounting kunt u aanvragen voor gebruikersverificatie en accounting vastleggen in een lokaal logboekbestand of een Microsoft® SQL Server®-database op de lokale of een externe computer.

Inhoudsopgave