Bei Verbindungsanforderungsrichtlinien handelt es sich um Bedingungen und Einstellungen, mit denen Netzwerkadministratoren die RADIUS-Server (Remote Authentication Dial-In User Service) festlegen können, mit denen die Authentifizierung und Autorisierung von Verbindungsanforderungen, die der Netzwerkrichtlinienserver (Network Policy Server, NPS) von RADIUS-Clients empfängt, ausgeführt werden. Für Verbindungsanforderungsrichtlinien kann festgelegt werden, welche RADIUS-Server für die RADIUS-Kontoführung verwendet werden.

Wichtig

Wenn Sie den Netzwerkzugriffsschutz (Network Access Protection, NAP) mithilfe der VPN- (Virtual Private Network, virtuelles privates Netzwerk) oder 802.1X-Erzwingungsmethoden mit der PEAP-Authentifizierung (Protected Extensible Authentication-Protokoll) bereitstellen, müssen Sie die PEAP-Authentifizierung in Verbindungsanforderungsrichtlinien konfigurieren, selbst wenn Verbindungsanforderungen lokal verarbeitet werden.

Sie können Verbindungsanforderungsrichtlinien erstellen, sodass manche von RADIUS-Clients gesendete RADIUS-Anforderungsnachrichten lokal verarbeitet werden (NPS wird als RADIUS-Server verwendet), während andere Typen von Nachrichten an einen anderen RADIUS-Server weitergeleitet werden (NPS wird als RADIUS-Proxy verwendet).

Mit Verbindungsanforderungsrichtlinien können Sie den Netzwerkrichtlinienserver auf der Grundlage der folgenden Faktoren als RADIUS-Server oder RADIUS-Proxy verwenden:

  • Uhrzeit und Wochentag

  • Bereichsname in der Verbindungsanforderung

  • Typ der angeforderten Verbindung

  • IP-Adresse des RADIUS-Clients

Access-Request-RADIUS-Meldungen werden von NPS nur verarbeitet oder weitergeleitet, wenn die Einstellungen der eingehenden Nachricht mit mindestens einer der auf dem Netzwerkrichtlinienserver konfigurierten Verbindungsanforderungsrichtlinien übereinstimmt. Falls die Richtlinieneinstellungen übereinstimmen und die Nachricht laut Richtlinie vom Netzwerkrichtlinienserver verarbeitet werden muss, dient NPS als RADIUS-Server und authentifiziert und autorisiert die Verbindungsanforderung. Falls die Richtlinieneinstellungen übereinstimmen und die Nachricht laut Richtlinie vom Netzwerkrichtlinienserver weitergeleitet werden muss, dient NPS als RADIUS-Proxy und leitet die Verbindungsanforderung an einen Remote-RADIUS-Server zur Verarbeitung weiter.

Falls die Einstellungen einer eingehenden Access-Request-RADIUS-Meldung nicht mit mindestens einer Verbindungsanforderungsrichtlinie übereinstimmen, wird eine Access-Reject-Nachricht an den RADIUS-Client gesendet, und dem Benutzer oder Computer, der mit dem Netzwerk eine Verbindung herstellen möchte, wird der Zugriff verweigert.

Konfigurationsbeispiele

Die folgenden Konfigurationsbeispiele veranschaulichen die Verwendung von Verbindungsanforderungsrichtlinien.

  • NPS als RADIUS-Server

    Die standardmäßige Verbindungsanforderungsrichtlinie ist die einzige konfigurierte Richtlinie. In diesem Beispiel wird NPS als RADIUS-Server konfiguriert, und alle Verbindungsanforderungen werden vom lokalen Netzwerkrichtlinienserver verarbeitet. Der Netzwerkrichtlinienserver kann Benutzer authentifizieren und autorisieren, deren Konten der Domäne des Netzwerkrichtlinienservers sowie vertrauenswürdigen Domänen angehören.

  • NPS als RADIUS-Proxy

    Die standardmäßige Verbindungsanforderungsrichtlinie wird gelöscht, und zwei neue Verbindungsanforderungsrichtlinien werden erstellt, um Anforderungen an zwei unterschiedliche Domänen weiterzuleiten. In diesem Beispiel wird NPS als RADIUS-Proxy konfiguriert. Verbindungsanforderungen auf dem lokalen Server werden von NPS nicht verarbeitet. Stattdessen werden Verbindungsanforderungen an NPS oder andere RADIUS-Server weitergeleitet, die als Mitglieder von Remote-RADIUS-Servergruppen konfiguriert sind.

  • NPS als RADIUS-Server und RADIUS-Proxy

    Zusätzlich zur standardmäßigen Verbindungsanforderungsrichtlinie wird eine neue Verbindungsanforderungsrichtlinie erstellt, die Verbindungsanforderungen an einen NPS oder einen anderen RADIUS-Server in einer nicht vertrauenswürdigen Domäne weiterleitet. In diesem Beispiel wird die Proxyrichtlinie ganz oben in der sortierten Richtlinienliste angezeigt. Falls die Verbindungsanforderung mit der Proxyrichtlinie übereinstimmt, wird die Verbindungsanforderung an den RADIUS-Server in der Remote-RADIUS-Servergruppe weitergeleitet. Falls die Verbindungsanforderung nicht mit der Proxyrichtlinie, aber mit der standardmäßigen Verbindungsanforderungsrichtlinie übereinstimmt, verarbeitet NPS die Verbindungsanforderung auf dem lokalen Server. Falls die Verbindungsanforderung mit keiner Richtlinie übereinstimmt, wird sie verworfen.

  • NPS als RADIUS-Server mit Remotekontoführungsservern

    In diesem Beispiel wird für den lokalen NPS die Ausführung der Kontoführung nicht konfiguriert. Und die standardmäßige Verbindungsanforderungsrichtlinie wird überarbeitet, damit RADIUS-Kontoführungsnachrichten an NPS oder einen anderen RADIUS-Server in einer Remote-RADIUS-Servergruppe weitergeleitet werden. Kontoführungsmeldungen werden weitergeleitet, Authentifizierungs- und Autorisierungsmeldungen dagegen nicht. Der lokale Netzwerkrichtlinienserver führt diese Funktionen für die lokale Domäne und alle vertrauenswürdigen Domänen aus.

  • NPS mit Remote-RADIUS-zu-Windows-Benutzerzuordnung

    In diesem Beispiel fungiert NPS sowohl als RADIUS-Server als auch als RADIUS-Proxy für jede Verbindungsanforderung, indem die Authentifizierungsanforderung an einen Remote-RADIUS-Server weitergeleitet wird und ein lokales Windows-Benutzerkonto für die Autorisierung verwendet wird. Für die Implementierung dieser Konfiguration wird das Remote-RADIUS-zu-Windows-Benutzerzuordnung-Attribut als Bedingung der Verbindungsanforderungsrichtlinie konfiguriert. (Darüber hinaus muss ein Benutzerkonto lokal erstellt werden, das denselben Namen wie das Remotebenutzerkonto hat, mit dem die Authentifizierung vom Remote-RADIUS-Server ausgeführt wird.)

Bedingungen

Bei Bedingungen einer Verbindungsanforderungsrichtlinie handelt es sich um mindestens ein RADIUS-Attribut, das mit den Attributen der eingehenden Access-Request-RADIUS-Meldung verglichen wird. Falls mehrere Bedingungen vorhanden sind, müssen alle Bedingungen in der Verbindungsanforderungsnachricht und in der Verbindungsanforderungsrichtlinie übereinstimmen, damit die Richtlinie von NPS erzwungen wird.

Im Folgenden finden Sie die verfügbaren Bedingungsattribute, die Sie in der Verbindungsanforderungsrichtlinien konfigurieren können.

Die Attributgruppe Verbindungseigenschaften enthält die folgenden Attribute.

  • Eingerahmtes Protokoll. Hiermit wird der Framing-Typ für eingehende Pakete festgelegt. Beispiele sind PPP (Point-to-Point-Protokoll), SLIP (Serial Line Internet-Protokoll), Frame Relay und X.25.

  • Diensttyp. Hiermit wird der angeforderte Diensttyp festgelegt. Beispiele sind "Eingerahmt" (z. B. PPP-Verbindungen) und "Anmeldung" (z. B. Telnet-Verbindungen). Weitere Informationen zu RADIUS-Diensttypen finden Sie in RFC 2865, "Remote Authentication Dial-in User Service (RADIUS)".

  • Tunneltyp. Hiermit wird der Tunneltyp festgelegt, der vom anfordernden Client erstellt wird. Zu den Tunneltypen gehören PPTP (Point-to-Point-Tunneling-Protokoll) und L2TP (Layer Two Tunneling-Protokoll).

Die Attributgruppe Tag- und Uhrzeiteinschränkungen enthält das Tag- und Uhrzeiteinschränkungen-Attribut. Mit diesem Attribut können Sie den Wochentag und die Uhrzeit des Verbindungsversuchs festlegen. Der Wochentag und die Uhrzeit ist relativ zum Wochentag und zur Uhrzeit des Netzwerkrichtlinienservers.

Die Attributgruppe Gateway enthält die folgenden Attribute.

  • Empfangs-ID. Hiermit wird die Telefonnummer des Netzwerkzugriffsservers festgelegt. Bei diesem Attribut handelt es sich um eine Zeichenfolge. Mithilfe der Musterübereinstimmungssyntax können Sie Ortskennzahlen angeben.

  • NAS-Bezeichner. Hiermit wird der Name des Netzwerkzugriffsservers festgelegt. Bei diesem Attribut handelt es sich um eine Zeichenfolge. Mithilfe der Musterübereinstimmungssyntax können Sie NAS-Bezeichner angeben.

  • NAS IPv4-Adresse. Hiermit wird die IPv4-Adresse (Internet Protocol Version 4) des Netzwerkzugriffsservers (der RADIUS-Client) festgelegt. Bei diesem Attribut handelt es sich um eine Zeichenfolge. Mithilfe der Musterübereinstimmungssyntax können Sie IP-Netzwerke angeben.

  • NAS IPv6-Adresse. Hiermit wird die IPv6-Adresse (Internet Protocol Version 6) des Netzwerkzugriffsservers (der RADIUS-Client) festgelegt. Bei diesem Attribut handelt es sich um eine Zeichenfolge. Mithilfe der Musterübereinstimmungssyntax können Sie IP-Netzwerke angeben.

  • NAS-Porttyp. Hiermit wird der vom Zugriffsclient verwendete Medientyp festgelegt. Beispiele sind analoge Telefonleitungen (wird als asynchron bezeichnet), ISDN, Tunnel oder VPNs, IEEE 802.11 drahtlos und Ethernet-Switches.

Die Attributgruppe Computeridentität enthält das Computeridentität-Attribut. Mit diesem Attribut können Sie die Methode angeben, mit der Clients in der Richtlinie identifiziert werden.

Die Attributgruppe RADIUS-Clienteigenschaften enthält die folgenden Attribute.

  • Anrufer-ID. Hiermit wird die vom Anrufer (der Zugriffsclient) verwendete Telefonnummer festgelegt. Bei diesem Attribut handelt es sich um eine Zeichenfolge. Mithilfe der Musterübereinstimmungssyntax können Sie Ortskennzahlen angeben.

  • Clientanzeigename. Hiermit wird der Name des RADIUS-Clientcomputers festgelegt, der die Authentifizierung anfordert. Bei diesem Attribut handelt es sich um eine Zeichenfolge. Mithilfe der Musterübereinstimmungssyntax können Sie Clientnamen angeben.

  • Client-IPv4-Adresse. Hiermit wird die IPv4-Adresse des Netzwerkzugriffsservers (der RADIUS-Client) festgelegt. Bei diesem Attribut handelt es sich um eine Zeichenfolge. Mithilfe der Musterübereinstimmungssyntax können Sie IP-Netzwerke angeben.

  • Client-IPv6-Adresse. Hiermit wird die IPv6-Adresse des Netzwerkzugriffsservers (der RADIUS-Client) festgelegt. Bei diesem Attribut handelt es sich um eine Zeichenfolge. Mithilfe der Musterübereinstimmungssyntax können Sie IP-Netzwerke angeben.

  • Clienthersteller. Hiermit wird der Hersteller des Netzwerkzugriffsservers festgelegt, der die Authentifizierung anfordert. Ein Computer mit dem Routing- und RAS-Dienst ist der Microsoft NAS-Hersteller. Mit diesem Attribut können Sie separate Richtlinien für verschiedene NAS-Hersteller konfigurieren. Bei diesem Attribut handelt es sich um eine Zeichenfolge. Sie können Musterübereinstimmungssyntax verwenden.

Die Attributgruppe Benutzername enthält das Benutzername-Attribut. Mit diesem Attribut können Sie den Benutzernamen oder einen Teil des Benutzernamens festlegen, der mit dem Benutzernamen übereinstimmen muss, der vom Zugriffsclient in der RADIUS-Meldung gesendet wird. Bei diesem Attribut handelt es sich um eine Zeichenfolge, die in der Regel einen Bereichsnamen und einen Benutzerkontonamen enthält. Mithilfe der Musterübereinstimmungssyntax können Sie Benutzernamen angeben.

Einstellungen

Bei den Einstellungen einer Verbindungsanforderungsrichtlinie handelt es sich um Eigenschaften, die auf eine eingehende RADIUS-Meldung angewendet werden. Die Einstellungen bestehen aus den folgenden Eigenschaftsgruppen:

  • Authentifizierung

  • Kontoführung

  • Attributmanipulation

  • Erweitert

Authentifizierung

Mit dieser Einstellung können Sie die Authentifizierungseinstellungen außer Kraft setzen, die in allen Netzwerkrichtlinien konfiguriert sind, und die Authentifizierungsmethoden und -typen angeben, die zum Herstellen einer Verbindung mit dem Netzwerk erforderlich sind.

Wichtig

Wenn Sie eine Authentifizierungsmethode in einer Verbindungsanforderungsrichtlinie konfigurieren, die nicht so sicher wie die in der Netzwerkrichtlinie konfigurierte Authentifizierungsmethode ist, wird die von Ihnen in der Netzwerkrichtlinie konfigurierte sichere Authentifizierungsmethode außer Kraft gesetzt. Wenn beispielsweise eine Netzwerkrichtlinie vorhanden ist, die die Verwendung von PEAP-MS-CHAP v2 (Protected Extensible Authentication-Protokoll-Microsoft Challenge Handshake Authentication-Protokoll, Version 2) erfordert (eine kennwortbasierte Authentifizierungsmethode für sichere Drahtlosverbindungen), und wenn Sie außerdem für eine Verbindungsanforderungsrichtlinie festlegen, dass der nicht authentifizierte Zugriff zulässig ist, müssen die Clients keine Authentifizierung mit PEAP-MS-CHAP v2 ausführen. In diesem Beispiel wird allen Clients, die eine Verbindung mit dem Netzwerk herstellen, der nicht authentifizierte Zugriff erteilt.

Kontoführung

Mit dieser Einstellung können Sie für eine Verbindungsanforderungsrichtlinie festlegen, dass Kontoführungsinformationen an einen Netzwerkrichtlinienserver oder einen anderen RADIUS-Server in einer RADIUS-Remoteservergruppe weitergeleitet werden, damit die RADIUS-Remoteservergruppe die Kontoführung ausführt.

Hinweis

Wenn mehrere RADIUS-Server vorhanden sind und die Kontoführungsinformationen für alle Server in einer zentralen RADIUS-Kontoführungsdatenbank gespeichert werden sollen, können Sie die Einstellung Kontoführung der Verbindungsanforderungsrichtlinie in einer Richtlinie auf jedem RADIUS-Server verwenden, um Kontoführungsdaten von allen Servern an einen Netzwerkrichtlinienserver oder einen anderen RADIUS-Server weiterzuleiten, der als Kontoführungsserver festgelegt ist.

Die Kontoführungseinstellungen der Verbindungsanforderungsrichtlinie sind unabhängig von der Kontoführungskonfiguration auf dem lokalen Netzwerkrichtlinienserver. Angenommen, Sie legen für den lokalen Netzwerkrichtlinienserver fest, dass RADIUS-Kontoführungsinformationen in einer lokalen Datei oder in einer Microsoft® SQL Server™-Datenbank protokolliert werden. In diesem Fall erfolgt dies unabhängig davon, ob Sie eine Verbindungsanforderungsrichtlinie zum Weiterleiten von Kontoführungsnachrichten an eine Remote-RADIUS-Servergruppe konfigurieren.

Wenn Kontoführungsinformationen remote, aber nicht lokal protokolliert werden sollen, müssen Sie für den lokalen Netzwerkrichtlinienserver die Kontoführung deaktivieren sowie gleichzeitig die Kontoführung in einer Verbindungsanforderungsrichtlinie konfigurieren, um Kontoführungsdaten an eine Remote-RADIUS-Servergruppe weiterzuleiten.

Attributbearbeitung

Sie können eine Reihe von Suchen-und-Ersetzen-Regeln definieren, mit denen die Textzeichenfolgen eines der folgenden Attribute bearbeitet werden:

  • Benutzername

  • Empfangs-ID

  • Anrufer-ID

Die Verarbeitung der Suchen-und-Ersetzen-Regeln wird für die vorausgehenden Attribute ausgeführt, bevor die Authentifizierungs- und Kontoführungseinstellungen auf die RADIUS-Meldung angewendet werden. Attributmanipulationsregeln gelten nur für ein einziges Attribut. Attributmanipulationsregeln können nicht für jedes Attribut konfiguriert werden. Außerdem handelt es sich bei der Attributliste um eine statische Liste, da Sie keine Attribute hinzufügen können.

Hinweis

Falls Sie das MS-CHAP v2-Authentifizierungsprotokoll verwenden, können Sie das Benutzername-Attribut nicht bearbeiten, falls die Verbindungsanforderungsrichtlinie zum Weiterleiten der RADIUS-Meldung verwendet wird. Die einzige Ausnahme tritt auf, wenn ein umgekehrter Schrägstrich (\) verwendet wird und die Bearbeitung nur die Informationen links davon betrifft. Ein umgekehrter Schrägstrich wird in der Regel für einen Domänennamen (die Informationen links des umgekehrten Schrägstrichs) und einen Benutzerkontonamen innerhalb der Domäne (die Informationen rechts des umgekehrten Schrägstrichs) verwendet. In diesem Fall sind nur Attributmanipulationsregeln zulässig, mit denen der Domänenname geändert oder ersetzt wird.

Weiterleitungsanforderung

Sie können die folgenden Weiterleitungsanforderungsoptionen festlegen, die für Access-Request-RADIUS-Meldungen verwendet werden:

Anforderungen auf diesem Server authentifizieren. Mit dieser Einstellung verwendet der Netzwerkrichtlinienserver zum Authentifizieren der Verbindungsanforderung eine Windows NT 4.0-Domäne, Active Directory oder die Benutzerkontendatenbank der lokalen Sicherheitskontenverwaltung (Security Accounts Manager, SAM). Außerdem wird mit dieser Einstellung angegeben, dass die in NPS konfigurierte übereinstimmende Netzwerkrichtlinie zusammen mit den Einwähleigenschaften des Benutzerkontos zum Autorisieren der Verbindungsanforderung verwendet werden. In diesem Fall wird der Netzwerkrichtlinienserver als RADIUS-Server konfiguriert.

Anforderungen an folgende Remote-RADIUS-Servergruppe zur Authentifizierung weiterleiten. Mit dieser Einstellung werden Verbindungsanforderungen vom Netzwerkrichtlinienserver an die von Ihnen angegebene RADIUS-Remoteservergruppe weitergeleitet. Wenn der Netzwerkrichtlinienserver eine gültige Access-Accept-Nachricht empfängt, die mit der Access-Accept-Nachricht übereinstimmt, gilt der Verbindungsversuch als authentifiziert und autorisiert. In diesem Fall dient der Netzwerkrichtlinienserver als RADIUS-Proxy.

Benutzer ohne Bestätigung der Anmeldeinformationen akzeptieren. Mit dieser Einstellung wird die Identität des Benutzers, der eine Verbindung mit dem Netzwerk herstellen möchte, nicht überprüft, und der Netzwerkrichtlinienserver versucht nicht zu überprüfen, ob der Benutzer oder Computer die Berechtigung zum Herstellen einer Verbindung mit dem Netzwerk hat. Wenn für NPS festgelegt ist, dass der nicht authentifizierte Zugriff zulässig ist, und wenn eine Verbindungsanforderung empfangen wird, sendet NPS sofort eine Access-Accept-Nachricht an den RADIUS-Client und erteilt dem Benutzer oder Computer den Zugriff auf das Netzwerk. Diese Einstellung wird für bestimmte Typen von obligatorischem Tunneln verwendet, bei denen der Zugriffsclient getunnelt wird, bevor die Anmeldeinformationen des Benutzers authentifiziert werden.

Hinweis

Diese Authentifizierungsoption kann nicht verwendet werden, wenn als Authentifizierungsprotokoll des Zugriffsclients MS-CHAP v2 oder EAP-TLS (Extensible Authentication-Protokoll-Transport Layer Security) verwendet wird, die die gegenseitige Authentifizierung ermöglichen. Bei der gegenseitigen Authentifizierung weist der Zugriffsclient dem Authentifizierungsserver (der Netzwerkrichtlinienserver) nach, dass er ein gültiger Zugriffsclient ist, und der Authentifizierungsserver weist dem Zugriffsclient nach, dass er ein gültiger Authentifizierungsserver ist. Wenn diese Authentifizierungsoption verwendet wird, wird die Access-Accept-Nachricht zurückgegeben. Der Authentifizierungsserver überprüft jedoch den Zugriffsclient nicht, und für die gegenseitige Authentifizierung wird ein Fehler gemeldet.

Erweitert

Sie können erweiterte Eigenschaften festlegen, um die RADIUS-Attribute anzugeben, für die Folgendes ausgeführt wird:

  • Sie werden der Antwort auf die RADIUS-Meldung hinzufügt, wenn der Netzwerkrichtlinienserver als RADIUS-Authentifizierungsserver oder -Kontoführungsserver verwendet wird.

    Wenn in der Netzwerkrichtlinie und in der Verbindungsanforderungsrichtlinie Attribute angegeben sind, werden in der Antwort auf die RADIUS-Meldung die beiden kombinierten Attributsätze gesendet.

  • Sie werden der RADIUS-Meldung hinzufügt, wenn der Netzwerkrichtlinienserver als RADIUS-Authentifizierungsproxy oder -Kontoführungsproxy verwendet wird. Falls das Attribut bereits in der weitergeleiteten Nachricht vorhanden ist, wird es durch den Wert des in der Verbindungsanforderungsrichtlinie angegebenen Attributs ersetzt.

Darüber hinaus bieten einige Attribute, die für die Konfiguration auf der Registerkarte Einstellungen in der Kategorie Erweitert der Verbindungsanforderungsrichtlinie verfügbar sind, spezielle Funktionalität. Beispielsweise können Sie das Remote-RADIUS-zu-Windows-Benutzerzuordnung-Attribut konfigurieren, wenn Sie die Authentifizierung und Autorisierung einer Verbindungsanforderung auf zwei Benutzerkontendatenbanken aufteilen möchten.

Das Remote-RADIUS-zu-Windows-Benutzerzuordnung-Attribut gibt an, dass die Windows-Autorisierung für Benutzer ausgeführt wird, die von einem Remote-RADIUS-Server authentifiziert werden. Das heißt, ein Remote-RADIUS-Server führt die Authentifizierung für ein Benutzerkonto in einer Remote-Benutzerkontendatenbank aus, aber der lokale Netzwerkrichtlinienserver autorisiert die Verbindungsanforderung für ein Benutzerkonto in einer lokalen Benutzerkontendatenbank. Dies ist hilfreich, wenn Sie Besuchern den Zugriff auf Ihr Netzwerk erlauben möchten.

Beispielsweise können Besucher von Partnerorganisationen vom RADIUS-Server der eigenen Partnerorganisation authentifiziert werden und dann ein Windows-Benutzerkonto in Ihrer Organisation für den Zugriff auf ein Gast-LAN in Ihrem Netzwerk verwenden.

Die folgenden Attribute bieten spezielle Funktionalität:

  • MS-Quarantine-IPFilter und MS-Quarantine-Session-Timeout. Diese Attribute werden zum Bereitstellen der Quarantänesteuerung für Netzwerkzugriff (Network Access Quarantine Control, NAQC) für Ihre Routing und RAS-VPN-Bereitstellung verwendet.

  • Passport-User-Mapping-UPN-Suffix. Mit diesem Attribut können Sie Verbindungsanforderungen mit Anmeldeinformationen des Windows Live™ ID-Benutzerkontos authentifizieren.

  • Tunnel-Tag. Dieses Attribut gibt die VLAN-ID an, der die Verbindung von NAS zugewiesen werden soll, wenn Sie VLANs bereitstellen.

Standardmäßige Verbindungsanforderungsrichtlinie

Eine standardmäßige Verbindungsanforderungsrichtlinie wird beim Installieren von NPS erstellt. Diese Richtlinie weist folgende Konfiguration auf:

  • Authentifizierung ist nicht konfiguriert.

  • Für Kontoführung ist nicht die Weiterleitung von Kontoführungsinformationen an eine Remote-RADIUS-Servergruppe konfiguriert.

  • Für Attribut ist nicht die Attributmanipulationsregeln konfiguriert, mit denen Verbindungsanforderungen an Remote-RADIUS-Servergruppen weitergeleitet werden.

  • Für Weiterleitungsanforderung ist konfiguriert, dass Verbindungsanforderungen auf dem lokalen Netzwerkrichtlinienserver authentifiziert und autorisiert werden.

  • Erweitert-Attribute sind nicht konfiguriert.

Die standardmäßige Verbindungsanforderungsrichtlinie verwendet NPS als RADIUS-Server. Um einen Netzwerkrichtlinienserver als RADIUS-Proxy zu konfigurieren, müssen Sie auch eine Remote-RADIUS-Servergruppe konfigurieren. Eine neue RADIUS-Remoteservergruppe können Sie erstellen, während Sie eine neue Verbindungsanforderungsrichtlinie mit dem Assistenten für neue Verbindungsanforderungsrichtlinien erstellen. Sie können die standardmäßige Verbindungsanforderungsrichtlinie löschen oder überprüfen, ob es sich dabei um die zuletzt verarbeitete Richtlinie handelt.

Hinweis

Wenn NPS und der Routing- und RAS-Dienst auf demselben Computer installiert sind und wenn für den Routing- und RAS-Dienst die Windows-Authentifizierung und -Kontoführung konfiguriert ist, können Authentifizierungs- und Kontoführungsanforderungen für Routing und RAS an einen RADIUS-Server weitergeleitet werden. Dies ist der Fall, wenn Authentifizierungs- und Kontoführungsanforderungen für Routing und RAS mit einer Verbindungsanforderungsrichtlinie übereinstimmen, für die die Weiterleitung dieser Anforderungen an eine Remote-RADIUS-Servergruppe konfiguriert ist.


Inhaltsverzeichnis