Articles

Konfigurer RADIUS-klienter

admin0
  • 08/07/2020
  • 6 minutter at læse
    • J
    • e
    • j

Gælder for: Windows Server (Semi-Annual Channel), Windows Server 2016

Du kan bruge dette emne til at konfigurere netværksadgangsservere som RADIUS-klienter i NPS.

Når du tilføjer en ny netværksadgangsserver (VPN-server, trådløst adgangspunkt, godkendelsesswitch eller opkaldsserver) til dit netværk, skal du tilføje serveren som en RADIUS-klient i NPS og derefter konfigurere RADIUS-klienten til at kommunikere med NPS.

Vigtigt

Clientcomputere og -enheder, f.eks. bærbare computere, tablets, telefoner og andre computere, der kører klientstyresystemer, er ikke RADIUS-klienter. RADIUS-klienter er netværksadgangsservere – f.eks. trådløse adgangspunkter, 802.1X-kompatible switche, VPN-servere (Virtual Private Network) og opkaldsservere – fordi de bruger RADIUS-protokollen til at kommunikere med RADIUS-servere, f.eks. NPS-servere (Network Policy Server).

Dette trin er også nødvendigt, når din NPS er medlem af en ekstern RADIUS-servergruppe, der er konfigureret på en NPS-proxy. I dette tilfælde skal du ud over at udføre trinene i denne opgave på NPS-proxyen også gøre følgende:

  • Konfigurer en ekstern RADIUS-servergruppe, der indeholder NPS, på NPS-proxyen.
  • Konfigurer NPS-proxyen som en RADIUS-klient på den eksterne NPS.

For at kunne udføre procedurerne i dette emne skal du have mindst én netværksadgangsserver (VPN-server, trådløst adgangspunkt, godkendelsesswitch eller opkaldsserver) eller NPS-proxy fysisk installeret på netværket.

Konfigurer netværksadgangsserveren

Brug denne procedure til at konfigurere netværksadgangsservere til brug med NPS. Når du implementerer netværksadgangsservere (NAS’er) som RADIUS-klienter, skal du konfigurere klienterne til at kommunikere med de NPS’er, hvor NAS’erne er konfigureret som klienter.

Denne procedure indeholder generelle retningslinjer for de indstillinger, du skal bruge til at konfigurere dine NAS’er. Du kan finde specifikke instruktioner om, hvordan du konfigurerer den enhed, du implementerer på dit netværk, i dokumentationen til dit NAS-produkt.

For at konfigurere netværksadgangsserveren

  1. Vælg RADIUS-godkendelse på UDP-port (User Datagram Protocol) 1812 og RADIUS-regnskab på UDP-port 1813 på NAS’en i RADIUS-indstillingerne.
  2. I Autentificeringsserver eller RADIUS-server skal du angive din NPS ved IP-adresse eller fuldt kvalificeret domænenavn (FQDN), afhængigt af NAS’ens krav.
  3. In Secret eller Shared secret skal du indtaste en stærk adgangskode. Når du konfigurerer NAS’en som en RADIUS-klient i NPS, skal du bruge den samme adgangskode, så du må ikke glemme den.
  4. Hvis du bruger PEAP eller EAP som godkendelsesmetode, skal du konfigurere NAS’en til at bruge EAP-godkendelse.
  5. Hvis du konfigurerer et trådløst adgangspunkt, skal du i SSID angive et SSID (Service Set Identifier), som er en alfanumerisk streng, der fungerer som netværksnavn. Dette navn udsendes af adgangspunkterne til trådløse klienter og er synligt for brugere på dine Wi-Fi (wireless fidelity)-hotspots.
  6. Hvis du konfigurerer et trådløst adgangspunkt, skal du i 802.1X og WPA aktivere IEEE 802.1X-godkendelse, hvis du vil implementere PEAP-MS-CHAP v2, PEAP-TLS eller EAP-TLS.

Tilføj netværksadgangsserveren som en RADIUS-klient i NPS

Anvend denne procedure for at tilføje en netværksadgangsserver som en RADIUS-klient i NPS. Du kan bruge denne procedure til at konfigurere en NAS som en RADIUS-klient ved hjælp af NPS-konsollen.

For at gennemføre denne procedure skal du være medlem af gruppen Administratorer.

Sådan tilføjer du en netværksadgangsserver som en RADIUS-klient i NPS

  1. Klik på Værktøjer i Serverhåndtering på NPS, og klik derefter på Netværkspolitikserver. NPS-konsollen åbnes.
  2. Dobbeltklik på RADIUS-klienter og -servere i NPS-konsollen. Højreklik på RADIUS-klienter, og klik derefter på Ny RADIUS-klient.
  3. I Ny RADIUS-klient skal du kontrollere, at afkrydsningsfeltet Aktiver denne RADIUS-klient er markeret.
  4. I Ny RADIUS-klient skal du skrive et visningsnavn for NAS’en i Venlig navn. I Adresse (IP eller DNS) skal du skrive NAS’ens IP-adresse eller fuldt kvalificeret domænenavn (FQDN). Hvis du indtaster FQDN, skal du klikke på Bekræft, hvis du vil kontrollere, at navnet er korrekt og tilknyttes en gyldig IP-adresse.
  5. I Ny RADIUS-klient skal du angive NAS-producentens navn i Leverandør i Ny RADIUS-klient. Hvis du ikke er sikker på NAS-producentens navn, skal du vælge RADIUS-standard.
  6. Gør en af følgende ting i Ny RADIUS-klient i Delte hemmeligheder:
    • Sørg for, at Manuel er valgt, og skriv derefter i Delte hemmeligheder den stærke adgangskode, der også er indtastet på NAS’en, i Delte hemmeligheder. Skriv den delte hemmelighed igen i Bekræft delt hemmelighed.
    • Vælg Generer, og klik derefter på Generer for automatisk at generere en delt hemmelighed. Gem den genererede delte hemmelighed til konfiguration på NAS’en, så den kan kommunikere med NPS.
  7. I Ny RADIUS-klient, i Yderligere indstillinger, hvis du bruger andre godkendelsesmetoder end EAP og PEAP, og hvis din NAS understøtter brugen af attributten Message Authenticator, skal du vælge Access Request messages must contain the Message Authenticator attribute.
  8. Klik på OK. Din NAS vises på listen over RADIUS-klienter, der er konfigureret på NPS.

Konfigurer RADIUS-klienter efter IP-adresseinterval i Windows Server 2016 Datacenter

Hvis du kører Windows Server 2016 Datacenter, kan du konfigurere RADIUS-klienter i NPS efter IP-adresseinterval. Dette giver dig mulighed for at tilføje et stort antal RADIUS-klienter (f.eks. trådløse adgangspunkter) til NPS-konsollen på én gang i stedet for at tilføje hver enkelt RADIUS-klient individuelt.

Du kan ikke konfigurere RADIUS-klienter efter IP-adresseområde, hvis du kører NPS på Windows Server 2016 Standard.

Brug denne procedure til at tilføje en gruppe af netværksadgangsservere (NAS’er) som RADIUS-klienter, der alle er konfigureret med IP-adresser fra det samme IP-adresseområde.

Alle RADIUS-klienter i området skal bruge den samme konfiguration og delte hemmelighed.

For at gennemføre denne procedure skal du være medlem af gruppen Administratorer.

For at konfigurere RADIUS-klienter efter IP-adresseområde

  1. Klik på Værktøjer i Serverhåndtering på NPS, og klik derefter på Netværkspolitikserver i Serverhåndtering. NPS-konsollen åbnes.
  2. Dobbeltklik på RADIUS-klienter og -servere i NPS-konsollen. Højreklik på RADIUS-klienter, og klik derefter på Ny RADIUS-klient.
  3. I Ny RADIUS-klient skal du i Venlig navn skrive et visningsnavn for samlingen af NAS’er.
  4. I Adresse (IP eller DNS) skal du skrive IP-adresseområdet for RADIUS-klienterne ved hjælp af CIDR-notationen (Classless Inter-Domain Routing). Hvis IP-adresseområdet for NAS’erne f.eks. er 10.10.0.0.0, skal du skrive 10.10.0.0.0/16.
  5. I New RADIUS Client (Ny RADIUS-klient) skal du angive NAS-producentens navn i Vendor (Leverandør). Hvis du ikke er sikker på NAS-producentens navn, skal du vælge RADIUS-standard.
  6. Gør en af følgende ting i Ny RADIUS-klient i Delte hemmeligheder:
    • Sørg for, at Manuel er valgt, og skriv derefter i Delte hemmeligheder den stærke adgangskode, der også er indtastet på NAS’en, i Delte hemmeligheder. Skriv den delte hemmelighed igen i Bekræft delt hemmelighed.
    • Vælg Generer, og klik derefter på Generer for automatisk at generere en delt hemmelighed. Gem den genererede delte hemmelighed til konfiguration på NAS’en, så den kan kommunikere med NPS.
  7. I Ny RADIUS-klient, i Yderligere indstillinger, hvis du bruger andre godkendelsesmetoder end EAP og PEAP, og hvis alle dine NAS’er understøtter brugen af attributten Message Authenticator, skal du vælge Access Request messages must contain the Message Authenticator attribute.
  8. Klik på OK. Dine NAS’er vises på listen over RADIUS-klienter, der er konfigureret på NPS.

For yderligere oplysninger, se RADIUS-klienter.

For yderligere oplysninger om NPS, se Netværkspolitikserver (NPS).

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.