Der Netzwerkrichtlinienserver (Network Policy Server, NPS) kann als RADIUS-Server (Remote Authentication Dial-In User Service) zum Ausführen der Authentifizierung, Autorisierung und Kontoführung für RADIUS-Clients verwendet werden. Ein RADIUS-Client kann ein Zugriffsserver sein, beispielsweise ein DFÜ-Server oder Drahtloszugriffspunkt, oder ein RADIUS-Proxy. Die Verwendung von NPS als RADIUS-Server ermöglicht Folgendes:

  • Einen zentralen Authentifizierungs- und Autorisierungsdienst für alle Zugriffsanforderungen, die von RADIUS-Clients gesendet werden.

    Der Netzwerkrichtlinienserver verwendet zum Authentifizieren der Benutzeranmeldeinformationen für Verbindungsversuche eine Microsoft® Windows NT® Server 4.0-Domäne, eine AD DS-Domäne (Active Directory® Domain Services, Active Directory®-Domänendienste) oder die Benutzerkontendatenbank der lokalen Sicherheitskontenverwaltung (Security Accounts Manager, SAM). NPS verwendet die Einwähleigenschaften des Benutzerkontos und Netzwerkrichtlinien zum Autorisieren einer Verbindung.

  • Einen zentralen Kontoführungsaufzeichnungsdienst für alle Kontoführungsanforderungen, die von RADIUS-Clients gesendet werden.

    Kontoführungsanforderungen werden für die Analyse in einer lokalen Protokolldatei oder einer Microsoft® SQL Server™-Datenbank gespeichert.

Die folgende Abbildung zeigt NPS als RADIUS-Server für eine Reihe von Zugriffsclients sowie einen RADIUS-Proxy. Der Netzwerkrichtlinienserver verwendet eine AD DS-Domäne für die Authentifizierung von Benutzeranmeldeinformationen eingehender Access-Request-RADIUS-Meldungen.

NPS als RADIUS-Server

Wenn NPS als RADIUS-Server verwendet wird, ermöglichen RADIUS-Meldungen wie im Folgenden beschrieben die Authentifizierung, Autorisierung und Kontoführung für Netzwerkzugriffsverbindungen:

  1. Zugriffsserver, wie z. B. DFÜ-Netzwerkzugriffsserver, VPN-Server und Drahtloszugriffspunkte, empfangen Verbindungsanforderungen von Zugriffsclients.

  2. Der Zugriffsserver, für den die Verwendung von RADIUS als Authentifizierungs-, Autorisierungs- und Kontoführungsprotokoll konfiguriert ist, erstellt eine Access-Request-Nachricht und sendet sie an den Netzwerkrichtlinienserver.

  3. Der Netzwerkrichtlinienserver wertet die Access-Request-Nachricht aus.

  4. Der Netzwerkrichtlinienserver sendet ggf. eine Access-Challenge-Nachricht an den Zugriffsserver. Der Zugriffsserver verarbeitet die Abfrage und sendet eine aktualisierte Access-Request-Nachricht an den Netzwerkrichtlinienserver.

  5. Die Benutzeranmeldeinformationen werden überprüft, und die Einwähleigenschaften des Benutzerkontos werden mithilfe einer sicheren Verbindung zu einem Domänencontroller abgerufen.

  6. Der Verbindungsversuch wird mit den Einwähleigenschaften des Benutzerkontos und den Netzwerkrichtlinien autorisiert.

  7. Wenn der Verbindungsversuch authentifiziert und autorisiert ist, sendet der Netzwerkrichtlinienserver eine Access-Accept-Nachricht an den Zugriffsserver.

    Wenn der Verbindungsversuch nicht authentifiziert oder nicht autorisiert ist, sendet der Netzwerkrichtlinienserver eine Access-Reject-Nachricht an den Zugriffsserver.

  8. Der Zugriffsserver schließt den Verbindungsvorgang mit dem Zugriffsclient ab und sendet eine Accounting-Request-Nachricht an den Netzwerkrichtlinienserver, wo die Nachricht protokolliert wird.

  9. Der Netzwerkrichtlinienserver sendet eine Accounting-Response-Nachricht an den Zugriffsserver.

Hinweis

Der Zugriffsserver sendet außerdem Accounting-Request-Nachrichten während die Verbindung hergestellt wird, wenn die Zugriffsclientverbindung geschlossen wird und wenn der Zugriffsserver gestartet und beendet wird.

NPS kann in folgenden Situationen als RADIUS-Server verwendet werden:

  • Sie verwenden als Benutzerkontendatenbank für Zugriffsclients eine Windows NT Server 4.0-Domäne, eine AD DS-Domäne oder die Benutzerkontendatenbank der lokalen Sicherheitskontenverwaltung.

  • Sie verwenden Routing und RAS auf mehreren DFÜ-Servern, VPN-Servern oder Routern für Wählen bei Bedarf und möchten die Konfiguration von Netzwerkrichtlinien und die Verbindungsprotokollierung für die Kontoführung zentral ausführen.

  • Sie outsourcen den DFÜ-, VPN- oder Drahtloszugriff an einen Dienstanbieter. Die Zugriffsserver verwenden RADIUS zum Authentifizieren und Autorisieren von Verbindungen, die von Mitgliedern Ihrer Organisation hergestellt werden.

  • Sie möchten die Authentifizierung, Autorisierung und Kontoführung für einen heterogenen Satz von Zugriffsservern zentral ausführen.

Hinweis

Im Internetauthentifizierungsdienst (Internet Authentication Service, IAS) der Betriebssysteme der Windows Server® 2003-Produktfamilie wurden Netzwerkrichtlinien als RAS-Richtlinien bezeichnet.


Inhaltsverzeichnis