- 08/07/2020
- 6 Minuten zu lesen
-
- J
- e
- j
Gilt für: Windows Server (Semi-Annual Channel), Windows Server 2016
Sie können dieses Thema verwenden, um Netzwerkzugangsserver als RADIUS-Clients in NPS zu konfigurieren.
Wenn Sie einen neuen Netzwerkzugangsserver (VPN-Server, drahtlosen Zugangspunkt, authentifizierenden Switch oder Einwahlserver) zu Ihrem Netzwerk hinzufügen, müssen Sie den Server als RADIUS-Client in NPS hinzufügen und dann den RADIUS-Client für die Kommunikation mit dem NPS konfigurieren.
Wichtig
Client-Computer und -Geräte, wie Laptops, Tablets, Telefone und andere Computer mit Client-Betriebssystemen, sind keine RADIUS-Clients. RADIUS-Clients sind Netzwerkzugangsserver – wie drahtlose Zugangspunkte, 802.1X-fähige Switches, VPN-Server (Virtual Private Network) und Einwahlserver -, da sie das RADIUS-Protokoll zur Kommunikation mit RADIUS-Servern, wie z. B. NPS-Servern (Network Policy Server), verwenden.
Dieser Schritt ist auch erforderlich, wenn Ihr NPS Mitglied einer Remote-RADIUS-Servergruppe ist, die auf einem NPS-Proxy konfiguriert ist. In diesem Fall müssen Sie zusätzlich zu den Schritten in dieser Aufgabe auf dem NPS-Proxy Folgendes tun:
- Konfigurieren Sie auf dem NPS-Proxy eine Remote-RADIUS-Servergruppe, die den NPS enthält.
- Konfigurieren Sie auf dem Remote-NPS den NPS-Proxy als RADIUS-Client.
Um die Verfahren in diesem Thema durchzuführen, muss mindestens ein Netzwerkzugangsserver (VPN-Server, Wireless Access Point, Authentifizierungs-Switch oder Einwahlserver) oder NPS-Proxy physisch in Ihrem Netzwerk installiert sein.
- Konfigurieren Sie den Netzwerkzugangsserver
- So konfigurieren Sie den Netzwerkzugangsserver
- Netzwerkzugangsserver als RADIUS-Client in NPS hinzufügen
- So fügen Sie einen Netzwerkzugangsserver als RADIUS-Client in NPS hinzu
- Konfigurieren Sie RADIUS-Clients nach IP-Adressbereich in Windows Server 2016 Datacenter
- So richten Sie RADIUS-Clients nach IP-Adressbereich ein
Konfigurieren Sie den Netzwerkzugangsserver
Mit diesem Verfahren konfigurieren Sie Netzwerkzugangsserver für die Verwendung mit NPS. Wenn Sie Netzwerkzugriffsserver (NAS) als RADIUS-Clients bereitstellen, müssen Sie die Clients so konfigurieren, dass sie mit den NPS kommunizieren, bei denen die NAS als Clients konfiguriert sind.
Dieses Verfahren enthält allgemeine Richtlinien zu den Einstellungen, die Sie für die Konfiguration Ihrer NAS verwenden sollten; spezifische Anweisungen zur Konfiguration des Geräts, das Sie in Ihrem Netzwerk bereitstellen, finden Sie in der NAS-Produktdokumentation.
So konfigurieren Sie den Netzwerkzugangsserver
- Wählen Sie auf dem NAS in den RADIUS-Einstellungen die RADIUS-Authentifizierung am UDP-Port 1812 (User Datagram Protocol) und die RADIUS-Abrechnung am UDP-Port 1813.
- Geben Sie unter Authentifizierungsserver oder RADIUS-Server je nach den Anforderungen des NAS Ihren NPS über die IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) an.
- Geben Sie unter Geheim oder Gemeinsames Geheimnis ein sicheres Kennwort ein. Wenn Sie den NAS als RADIUS-Client in NPS konfigurieren, verwenden Sie dasselbe Passwort, vergessen Sie es also nicht.
- Wenn Sie PEAP oder EAP als Authentifizierungsmethode verwenden, konfigurieren Sie den NAS für die EAP-Authentifizierung.
- Wenn Sie einen drahtlosen Zugangspunkt konfigurieren, geben Sie unter SSID einen Service Set Identifier (SSID) an, eine alphanumerische Zeichenfolge, die als Netzwerkname dient. Dieser Name wird von Zugriffspunkten an Wireless-Clients gesendet und ist für Benutzer an Ihren Wireless Fidelity (Wi-Fi)-Hotspots sichtbar.
- Wenn Sie einen Wireless-Zugriffspunkt konfigurieren, aktivieren Sie unter 802.1X und WPA die IEEE 802.1X-Authentifizierung, wenn Sie PEAP-MS-CHAP v2, PEAP-TLS oder EAP-TLS einsetzen möchten.
Netzwerkzugangsserver als RADIUS-Client in NPS hinzufügen
Verwenden Sie dieses Verfahren, um einen Netzwerkzugangsserver als RADIUS-Client in NPS hinzuzufügen. Sie können dieses Verfahren verwenden, um einen NAS über die NPS-Konsole als RADIUS-Client zu konfigurieren.
Um dieses Verfahren durchzuführen, müssen Sie Mitglied der Gruppe Administratoren sein.
So fügen Sie einen Netzwerkzugangsserver als RADIUS-Client in NPS hinzu
- Klicken Sie auf dem NPS im Server-Manager auf Extras und dann auf Netzwerkrichtlinienserver. Die NPS-Konsole wird geöffnet.
- Doppelklicken Sie in der NPS-Konsole auf RADIUS-Clients und -Server. Klicken Sie mit der rechten Maustaste auf RADIUS-Clients und dann auf Neuer RADIUS-Client.
- Überprüfen Sie in Neuer RADIUS-Client, ob das Kontrollkästchen Diesen RADIUS-Client aktivieren aktiviert ist.
- Geben Sie in Neuer RADIUS-Client unter Freundlicher Name einen Anzeigenamen für den NAS ein. Geben Sie unter Adresse (IP oder DNS) die IP-Adresse des NAS oder den vollqualifizierten Domänennamen (FQDN) ein. Wenn Sie den FQDN eingeben, klicken Sie auf Überprüfen, wenn Sie sicherstellen möchten, dass der Name korrekt ist und einer gültigen IP-Adresse zugeordnet ist.
- Geben Sie in Neuer RADIUS-Client unter Hersteller den Namen des NAS-Herstellers an. Wenn Sie sich des NAS-Herstellernamens nicht sicher sind, wählen Sie RADIUS-Standard.
- Wählen Sie in Neuer RADIUS-Client unter Gemeinsames Geheimnis einen der folgenden Schritte:
- Stellen Sie sicher, dass Manuell ausgewählt ist, und geben Sie dann unter Gemeinsames Geheimnis das sichere Kennwort ein, das auch auf dem NAS eingegeben wird. Geben Sie das gemeinsame Geheimnis unter Gemeinsames Geheimnis bestätigen erneut ein.
- Wählen Sie Generieren, und klicken Sie dann auf Generieren, um automatisch ein gemeinsames Geheimnis zu generieren. Speichern Sie das generierte gemeinsame Geheimnis für die Konfiguration auf dem NAS, damit er mit dem NPS kommunizieren kann.
- Wenn Sie unter Neuer RADIUS-Client unter Zusätzliche Optionen andere Authentifizierungsmethoden als EAP und PEAP verwenden und Ihr NAS die Verwendung des Attributs Message Authenticator unterstützt, wählen Sie Access Request messages must contain the Message Authenticator attribute.
- Klicken Sie auf OK. Ihr NAS wird in der Liste der auf dem NPS konfigurierten RADIUS-Clients angezeigt.
Konfigurieren Sie RADIUS-Clients nach IP-Adressbereich in Windows Server 2016 Datacenter
Wenn Sie Windows Server 2016 Datacenter ausführen, können Sie RADIUS-Clients im NPS nach IP-Adressbereich konfigurieren. Dadurch können Sie der NPS-Konsole eine große Anzahl von RADIUS-Clients (z. B. drahtlose Zugriffspunkte) auf einmal hinzufügen, anstatt jeden RADIUS-Client einzeln hinzuzufügen.
Sie können RADIUS-Clients nicht nach IP-Adressbereich konfigurieren, wenn Sie NPS unter Windows Server 2016 Standard ausführen.
Verwenden Sie dieses Verfahren, um eine Gruppe von Netzwerkzugriffsservern (NAS) als RADIUS-Clients hinzuzufügen, die alle mit IP-Adressen aus demselben IP-Adressbereich konfiguriert sind.
Alle RADIUS-Clients in dem Bereich müssen dieselbe Konfiguration und dasselbe gemeinsame Geheimnis verwenden.
Um dieses Verfahren durchzuführen, müssen Sie Mitglied der Gruppe Administratoren sein.
So richten Sie RADIUS-Clients nach IP-Adressbereich ein
- Klicken Sie auf dem NPS im Server-Manager auf Extras und dann auf Netzwerkrichtlinienserver. Die NPS-Konsole wird geöffnet.
- Doppelklicken Sie in der NPS-Konsole auf RADIUS-Clients und -Server. Klicken Sie mit der rechten Maustaste auf RADIUS-Clients und dann auf Neuer RADIUS-Client.
- Geben Sie in Neuer RADIUS-Client unter Freundlicher Name einen Anzeigenamen für die NAS-Sammlung ein.
- Geben Sie unter Adresse (IP oder DNS) den IP-Adressbereich für die RADIUS-Clients ein, indem Sie die CIDR-Notation (Classless Inter-Domain Routing) verwenden. Wenn der IP-Adressbereich für die NASs beispielsweise 10.10.0.0 lautet, geben Sie 10.10.0.0/16.
- In Neuer RADIUS-Client geben Sie unter Hersteller den Namen des NAS-Herstellers an. Wenn Sie sich des NAS-Herstellernamens nicht sicher sind, wählen Sie RADIUS-Standard.
- Wählen Sie in Neuer RADIUS-Client unter Gemeinsames Geheimnis einen der folgenden Schritte:
- Vergewissern Sie sich, dass Manuell ausgewählt ist, und geben Sie dann unter Gemeinsames Geheimnis das sichere Kennwort ein, das auch auf dem NAS eingegeben wird. Geben Sie das gemeinsame Geheimnis unter Gemeinsames Geheimnis bestätigen erneut ein.
- Wählen Sie Generieren, und klicken Sie dann auf Generieren, um automatisch ein gemeinsames Geheimnis zu generieren. Speichern Sie das generierte gemeinsame Geheimnis für die Konfiguration auf dem NAS, damit dieser mit dem NPS kommunizieren kann.
- Wenn Sie unter Neuer RADIUS-Client unter Zusätzliche Optionen andere Authentifizierungsmethoden als EAP und PEAP verwenden und alle Ihre NAS die Verwendung des Attributs Message Authenticator unterstützen, wählen Sie Zugriffsanforderungsnachrichten müssen das Attribut Message Authenticator enthalten.
- Klicken Sie auf OK. Ihre NAS werden in der Liste der auf dem NPS konfigurierten RADIUS-Clients angezeigt.
Weitere Informationen finden Sie unter RADIUS-Clients.
Weitere Informationen zum NPS finden Sie unter Netzwerkrichtlinienserver (NPS).