Konfigurieren von RADIUS-Clients

In diesem Thema erfahren Sie, wie Sie Netzwerkzugriffsserver als RADIUS Clients im Netzwerkrichtlinienserver (Network Policy Server, NPS) konfigurieren können.

Wenn Sie Ihrem Netzwerk einen neuen Netzwerkzugriffsserver (VPN-Server, Funkzugriffspunkt, Authentifizierungsswitch oder DFÜ-Server) hinzufügen, müssen Sie den Server im NPS als RADIUS-Client hinzufügen und dann den RADIUS-Client für die Kommunikation mit dem NPS konfigurieren.

Dieser Schritt ist auch erforderlich, wenn Ihr NPS Mitglied einer RADIUS-Remoteservergruppe ist, die auf einem NPS-Proxy konfiguriert ist. In diesem Fall müssen Sie zusätzlich zum Ausführen der Schritte in dieser Aufgabe auf dem NPS-Proxy die folgenden Schritte ausführen:

• Konfigurieren Sie auf dem NPS-Proxy eine RADIUS-Remoteservergruppe, die den NPS enthält.
• Konfigurieren Sie auf dem Remote-NPS den NPS-Proxy als RADIUS-Client.

Zum Ausführen der Verfahren in diesem Thema muss mindestens ein Netzwerkzugriffsserver (VPN-Server, Funkzugriffspunkt, Authentifizierungsswitch oder DFÜ-Server) oder NPS-Proxy physisch in Ihrem Netzwerk installiert sein.

Konfigurieren des Netzwerkzugriffsservers

Führen Sie diese Schritte aus, um Netzwerkzugriffsserver für die Verwendung mit dem NPS zu konfigurieren. Wenn Sie Netzwerkzugriffsserver (Network Access Server, NAS) als RADIUS-Clients bereitstellen, müssen Sie die Clients so konfigurieren, dass sie mit den NPS-Servern kommunizieren, bei denen die NAS-Server als Clients konfiguriert sind.

Dieses Verfahren enthält allgemeine Richtlinien zu den Einstellungen, die Sie zum Konfigurieren Ihrer NAS-Instanzen verwenden sollten. Spezifische Anweisungen zum Konfigurieren des Geräts, das Sie in Ihrem Netzwerk bereitstellen, finden Sie in ihrer NAS-Produktdokumentation.

So konfigurieren Sie den Netzwerkzugriffsserver

1. Wählen Sie im NAS in RADIUS-Einstellungendie RADIUS-Authentifizierung für den UDP-Port 1812 (User Datagram Protocol) und RADIUS-Buchhaltung am UDP-Port 1813 aus.
2. Geben Sie auf dem Authentifizierungsserver oder RADIUS-Server Ihren NPS je nach DEN Anforderungen des NAS nach IP-Adresse oder vollqualifiziertem Domänennamen (Fully Qualified Domain Name, FQDN) an.
3. Geben Sie im geheimen oder freigegebenen geheimen Schlüssel ein sicheres Kennwort ein. Wenn Sie den NAS als RADIUS Client im NPS konfigurieren, müssen Sie das gleiche Kennwort verwenden, das Sie daher nicht vergessen sollten.
4. Wenn Sie als Authentifizierungsmethode PEAP oder EAP verwenden, konfigurieren Sie den NAS für die EAP-Authentifizierung.
5. Wenn Sie einen drahtlosen Zugriffspunkt konfigurieren, geben Sie in SSID einen Dienstsatzbezeichner (Service Set Identifier, SSID) an, bei dem es sich um eine alphanumerische Zeichenfolge handelt, die als Netzwerkname dient. Dieser Name wird von Zugriffspunkten auf Funkclients übertragen und ist für Benutzer an Ihren WLAN-Hotspots sichtbar.
6. Wenn Sie einen Funkzugriffspunkt konfigurieren, aktivieren Sie in 802.1X und WPA die Option IEEE 802.1X-Authentifizierung, wenn Sie PEAP-MS-CHAP v2, PEAP-TLS oder EAP-TLS bereitstellen möchten.

Hinzufügen des Netzwerkzugriffsservers als RADIUS-Client im NPS

Führen Sie diese Schritte aus, um einen Netzwerkzugriffsserver als RADIUS-Client im NPS hinzuzufügen. Sie können einen NAS auch mithilfe der NPS-Konsole als RADIUS-Client konfigurieren.

Um dieses Verfahren abzuschließen, müssen Sie Mitglied der Gruppe "Administratoren " sein.

So fügen Sie einen Netzwerkzugriffsserver als RADIUS-Client im NPS hinzu

1. Klicken Sie im NPS im Server-Manager auf "Extras" und dann auf "Netzwerkrichtlinienserver". Die NPS-Konsole wird geöffnet.
2. Doppelklicken Sie in der NPS-Konsole auf RADIUS-Clients und -Server. Klicken Sie mit der rechten Maustaste auf RADIUS-Clients, und klicken Sie dann auf "Neuer RADIUS-Client".
3. Vergewissern Sie sich unter Neuer RADIUS-Client, dass das Kontrollkästchen Diesen RADIUS-Client aktivieren aktiviert ist.
4. Geben Sie unter Neuer RADIUS-Client unter Anzeigename einen Anzeigenamen für den NAS ein. Geben Sie unter Adresse (IP oder DNS) die IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) des NAS ein. Wenn Sie den FQDN eingeben, klicken Sie auf "Überprüfen ", wenn Sie überprüfen möchten, ob der Name korrekt ist und einer gültigen IP-Adresse zugeordnet ist.
5. Geben Sie unter Neuer RADIUS-Client unter Anbieter den Namen des Herstellers des NAS an. Wenn Sie nicht sicher sind, dass der NAME des NAS-Herstellers vorhanden ist, wählen Sie RADIUS-Standard aus.
6. Führen Sie unter Neuer RADIUS-Client unter Gemeinsames Geheimnis einen der folgenden Schritte aus:
   • Stellen Sie sicher, dass "Manuell" ausgewählt ist, und geben Sie dann im freigegebenen geheimen Schlüssel das sichere Kennwort ein, das auch im NAS eingegeben wird. Geben Sie Gemeinsames Geheimnis bestätigen das gemeinsame Geheimnis erneut ein.
   • Wählen Sie "Generieren" aus, und klicken Sie dann auf " Generieren ", um automatisch einen freigegebenen geheimen Schlüssel zu generieren. Speichern Sie das generierte gemeinsame Geheimnis für die Konfiguration auf dem NAS, damit dieser mit dem NPS kommunizieren kann.
7. Wenn Sie unter Neuer RADIUS-Client unter Zusätzliche Optionen andere Authentifizierungsmethoden als EAP und PEAP verwenden und Ihr NAS die Verwendung des Attributs „Message-Authenticator“ unterstützt, wählen Sie Access-Request-Meldungen müssen das Attribut Message-Authenticator beinhalten aus.
8. Klicke auf OK. Ihr NAS wird in der Liste der RADIUS-Clients angezeigt, die für den NPS konfiguriert sind.

Konfigurieren von RADIUS-Clients anhand des IP-Adressbereichs in Windows Server 2016 Datacenter

Wenn Sie Windows Server 2016 Datacenter ausführen, können Sie RADIUS-Clients in NPS anhand des IP-Adressbereichs konfigurieren. Dadurch können Sie der NPS-Konsole gleichzeitig eine große Anzahl von RADIUS-Clients (z. B. Funkzugriffspunkte) hinzufügen, anstatt jeden RADIUS-Client einzeln hinzuzufügen.

Sie können RADIUS-Clients nicht anhand des IP-Adressbereichs konfigurieren, wenn Sie den NPS unter Windows Server 2016 Standard ausführen.

Verwenden Sie dieses Verfahren, um eine Gruppe von Netzwerkzugriffsservern (NAS) als RADIUS-Clients hinzuzufügen, die alle mit IP-Adressen aus demselben IP-Adressbereich konfiguriert sind.

Alle RADIUS-Clients im Bereich müssen die gleiche Konfiguration und dasselbe gemeinsame Geheimnis aufweisen.

Um dieses Verfahren abzuschließen, müssen Sie Mitglied der Gruppe "Administratoren " sein.

So richten Sie RADIUS-Clients anhand des IP-Adressbereichs ein

1. Klicken Sie im NPS im Server-Manager auf "Extras" und dann auf "Netzwerkrichtlinienserver". Die NPS-Konsole wird geöffnet.
2. Doppelklicken Sie in der NPS-Konsole auf RADIUS-Clients und -Server. Klicken Sie mit der rechten Maustaste auf RADIUS-Clients, und klicken Sie dann auf "Neuer RADIUS-Client".
3. Geben Sie unter Neuer RADIUS-Client unter Anzeigename einen Anzeigenamen für die NAS-Sammlung ein.
4. Geben Sie unter Adresse (IP oder DNS) den IP-Adressbereich für die RADIUS-Clients in der CIDR-Notation (Classless Inter-Domain Routing) ein. Wenn der IP-Adressbereich für die NASs beispielsweise 10.10.0.0 ist, geben Sie 10.10.0.0/16 ein.
5. Geben Sie unter Neuer RADIUS-Client unter Anbieter den Namen des Herstellers des NAS an. Wenn Sie nicht sicher sind, dass der NAME des NAS-Herstellers vorhanden ist, wählen Sie RADIUS-Standard aus.
6. Führen Sie unter Neuer RADIUS-Client unter Gemeinsames Geheimnis einen der folgenden Schritte aus:
   • Stellen Sie sicher, dass "Manuell" ausgewählt ist, und geben Sie dann im freigegebenen geheimen Schlüssel das sichere Kennwort ein, das auch im NAS eingegeben wird. Geben Sie Gemeinsames Geheimnis bestätigen das gemeinsame Geheimnis erneut ein.
   • Wählen Sie "Generieren" aus, und klicken Sie dann auf " Generieren ", um automatisch einen freigegebenen geheimen Schlüssel zu generieren. Speichern Sie das generierte gemeinsame Geheimnis für die Konfiguration auf dem NAS, damit dieser mit dem NPS kommunizieren kann.
7. Wenn Sie unter Neuer RADIUS-Client unter Zusätzliche Optionen andere Authentifizierungsmethoden als EAP und PEAP verwenden und alle Ihre NAS-Instanzen die Verwendung des Attributs „Message-Authenticator“ unterstützt, wählen Sie Access-Request-Meldungen müssen das Attribut Message-Authenticator beinhalten aus.
8. Klicke auf OK. Ihre NAS-Instanzen werden in der Liste der RADIUS-Clients angezeigt, die für den NPS konfiguriert sind.

Weitere Informationen finden Sie unter RADIUS-Clients.

Weitere Informationen zum Netzwerkrichtlinienserver finden Sie unter Netzwerkrichtlinienserver (Network Policy Server, NPS).