Verwenden Sie dieses Verfahren, um einen Netzwerkzugriffsserver im MMC-Snap-In (Microsoft Management Console) Netzwerkrichtlinienserver (Network Policy Server, NPS) als RADIUS-Client (Remote Authentication Dial-In User Service) hinzufügen.

Wenn Sie einen Netzwerkzugriffsserver (Network Access Server, NAS) im Snap-In Netzwerkrichtlinienserver als RADIUS-Client konfigurieren, leitet der RADIUS-Client Verbindungsanforderungen von Zugriffsclients zur Authentifizierung, Autorisierung und Kontoführung an den Netzwerkrichtlinienserver weiter.

Wichtig

Clientcomputer wie drahtlose tragbare und andere Computer, auf denen Clientbetriebssysteme ausgeführt werden, sind keine RADIUS-Clients. RADIUS-Clients sind Netzwerkzugriffsserver (drahtlose Zugriffspunkte, 802.1X-fähige Switches, VPN-Server (Virtual Private Network) und Einwählserver), da sie über das RADIUS-Protokoll mit RADIUS-Servern wie NPS-Servern (Network Policy Server) kommunizieren.

Zusätzlich zum Konfigurieren eines neuen RADIUS-Clients müssen Sie auch den Netzwerkzugriffsserver so konfigurieren, dass er mit NPS kommunizieren kann. Weitere Informationen finden Sie in der Dokumentation des NAS-Herstellers.

Zum Konfigurieren eines neuen RADIUS-Clients in NPS müssen Sie den Assistenten für neuen RADIUS-Client ausführen. Beachten Sie beim Ausführen des Assistenten für neuen RADIUS-Client Folgendes:

  • Wenn der Netzwerkzugriffsserver die Verwendung des Message Authenticator-Attributs unterstützt (wird auch als Signaturattribut bezeichnet), klicken Sie im Assistenten für neue RADIUS-Clients auf Anforderung muss das Attribut "Message Authenticator" enthalten. Wenn das Message Authenticator-Attribut nicht vom Netzwerkzugriffsserver unterstützt wird, wählen Sie diese Einstellung nicht aus. Die Aktivierung des Message Authenticator-Attributs bietet zusätzliche Sicherheit, wenn PAP (Password Authentication-Protokoll), CHAP (Challenge Handshake Authentication-Protokoll), MS-CHAP (Microsoft Challenge Handshake Authentication-Protokoll) und MS-CHAP v2 in Netzwerkrichtlinien als Authentifizierungsmethoden konfiguriert werden. Bei EAP (Extensible Authentication-Protokoll) wird das Message-Authenticator-Attribut standardmäßig verwendet und muss daher nicht aktiviert werden.

  • Wenn Sie NAS-spezifische Netzwerkrichtlinien verwenden (z. B. eine Netzwerkrichtlinie mit herstellerspezifischen Attributen), klicken Sie auf Clienthersteller, und wählen Sie den Namen des NAS-Herstellers aus. Wenn Sie den Namen des NAS-Herstellers nicht kennen oder wenn er nicht aufgeführt ist, wählen Sie RADIUS-Standard aus.

Hinweis

Wenn NPS eine Zugriffsanforderung von einem RADIUS-Proxy empfängt, kann der NAS-Hersteller, von dem die Anforderung stammt, nicht bestimmt werden. Dies kann zu Problemen führen, wenn Sie auf dem Clienthersteller basierende Netzwerkrichtlinienbedingungen verwenden möchten und wenn mindestens ein RADIUS-Client ein RADIUS-Proxy ist. In diesem Fall stimmen Verbindungsanforderungen, die vom RADIUS-Proxy an NPS weitergeleitet werden, möglicherweise mit keiner Netzwerkrichtlinie überein, sodass alle Verbindungsanforderungen abgelehnt werden. Wenn Sie RADIUS-Proxys verwenden, müssen Sie deshalb mindestens eine Netzwerkrichtlinie konfigurieren, die nicht auf NAS-spezifischen Attributen basiert, wie z. B. das herstellerspezifische Attribut.

Sie müssen mindestens Mitglied der Gruppe Domain Admins oder einer entsprechenden Gruppe sein, um dieses Verfahren ausführen zu können.

So fügen Sie einen neuen RADIUS-Client hinzu

  1. Öffnen Sie das NPS-MMC-Snap-In, und doppelklicken Sie auf RADIUS-Clients und -Server.

  2. Klicken Sie mit der rechten Maustaste auf RADIUS-Clients, und klicken Sie dann auf Neuer RADIUS-Client.

  3. Folgen Sie den Schritten des Assistenten für neuen RADIUS-Client.

Inhaltsverzeichnis