Integrieren Sie Ihre Remotedesktopgateway-Infrastruktur mit der Netzwerkrichtlinienserver-Erweiterung (Network Policy Server, NPS) und Azure ADIntegrate your Remote Desktop Gateway infrastructure using the Network Policy Server (NPS) extension and Azure AD

Dieser Artikel bietet nähere Informationen zur Integration Ihrer Remotedesktopgateway-Infrastruktur in Azure Multi-Factor Authentication (MFA) mit der Netzwerkrichtlinienserver-Erweiterung (Network Policy Server, NPS) für Microsoft Azure.This article provides details for integrating your Remote Desktop Gateway infrastructure with Azure Multi-Factor Authentication (MFA) using the Network Policy Server (NPS) extension for Microsoft Azure.

Die Netzwerkrichtlinienserver-Erweiterung (NPS) für Azure ermöglicht Kunden, ihre RADIUS-Clientauthentifizierung (Remote Authentication Dial-in User Service) mit cloudbasierter Multi-Factor Authentication (MFA) von Azure zu schützen.The Network Policy Server (NPS) extension for Azure allows customers to safeguard Remote Authentication Dial-In User Service (RADIUS) client authentication using Azure’s cloud-based Multi-Factor Authentication (MFA). Diese Lösung ermöglicht die zweistufige Überprüfung, um eine zweite Sicherheitsebene für Benutzeranmeldungen und Transaktionen hinzuzufügen.This solution provides two-step verification for adding a second layer of security to user sign-ins and transactions.

Dieser Artikel enthält schrittweise Anleitungen zum Integrieren der NPS-Infrastruktur in Azure MFA mithilfe der NPS-Erweiterung für Azure.This article provides step-by-step instructions for integrating the NPS infrastructure with Azure MFA using the NPS extension for Azure. Dies ermöglicht eine sichere Überprüfung von Benutzern, die sich bei einem Remotedesktopgateway anmelden.This enables secure verification for users attempting to sign in to a Remote Desktop Gateway.

Hinweis

Dieser Artikel sollte nicht für Bereitstellungen von MFA Server verwendet werden, sondern nur für (cloudbasierte) Azure MFA-Bereitstellungen.This article should not be used with MFA Server deployments and should only be used with Azure MFA (Cloud-based) deployments.

Die Netzwerkrichtlinien- und Zugriffsdienste (Network Policy and Access Services, NPS) bieten Organisationen folgende Möglichkeiten:The Network Policy and Access Services (NPS) gives organizations the ability to do the following:

  • Definieren zentraler Orte für die Verwaltung und Steuerung von Netzwerkanforderungen, um Folgendes anzugeben: wer eine Verbindung herstellen kann, zu welchen Tageszeiten Verbindungen zugelassen sind, die Dauer der Verbindungen und die Sicherheitsstufe, die Clients verwenden müssen, um eine Verbindung herstellen zu können usw.Define central locations for the management and control of network requests by specifying who can connect, what times of day connections are allowed, the duration of connections, and the level of security that clients must use to connect, and so on. Anstatt diese Richtlinien auf jedem VPN oder Remotedesktopgateway-Server (RD) anzugeben, können diese Richtlinien einmal an einem zentralen Ort angegeben werden.Rather than specifying these policies on each VPN or Remote Desktop (RD) Gateway server, these policies can be specified once in a central location. Das RADIUS-Protokoll ermöglicht die zentralisierte Authentifizierung, Autorisierung und Ressourcenerfassung (Authentication, Authorization, Accounting – AAA).The RADIUS protocol provides the centralized Authentication, Authorization, and Accounting (AAA).
  • Richten Sie Netzwerkzugriffsschutz-Clientintegritätsrichtlinien (Network Access Protection, NAP) ein, die bestimmen, ob Geräten uneingeschränkter oder eingeschränkter Zugriff auf Netzwerkressourcen gewährt wird, und erzwingen Sie deren Durchsetzung.Establish and enforce Network Access Protection (NAP) client health policies that determine whether devices are granted unrestricted or restricted access to network resources.
  • Bieten Sie eine Möglichkeit zum Erzwingen der Authentifizierung und Autorisierung für den Zugriff auf 802.1x-fähige Drahtloszugriffspunkte und Ethernet-Switches.Provide a means to enforce authentication and authorization for access to 802.1x-capable wireless access points and Ethernet switches.

In der Regel verwenden Organisationen NPS (RADIUS) zur Vereinfachung und Zentralisierung der Verwaltung von VPN-Richtlinien.Typically, organizations use NPS (RADIUS) to simplify and centralize the management of VPN policies. Viele Organisationen verwenden NPS jedoch auch zur Vereinfachung und Zentralisierung der Verwaltung der RD-Verbindungsautorisierungsrichtlinien (RD-CAPs, Remote Desktop Connection Authorization Policies).However, many organizations also use NPS to simplify and centralize the management of RD Desktop Connection Authorization Policies (RD CAPs).

Organisationen können NPS auch in Azure MFA integrieren, um die Sicherheit zu erhöhen und ein hohes Maß an Kompatibilität bereitzustellen.Organizations can also integrate NPS with Azure MFA to enhance security and provide a high level of compliance. Dadurch wird sichergestellt, dass Benutzer die zweistufige Überprüfung zur Anmeldung beim Remotedesktopgateway einrichten.This helps ensure that users establish two-step verification to sign in to the Remote Desktop Gateway. Damit Benutzern Zugriff gewährt wird, müssen sie die von ihnen festgelegte Kombination aus Benutzername und Kennwort angeben.For users to be granted access, they must provide their username/password combination along with information that the user has in their control. Diese Informationen müssen vertrauenswürdig und dürfen nicht problemlos duplizierbar sein, z.B. eine Mobiltelefonnummer, Festnetznummer, Anwendung auf einem mobilen Gerät usw.This information must be trusted and not easily duplicated, such as a cell phone number, landline number, application on a mobile device, and so on. RDG unterstützt derzeit Telefonanruf- und Pushbenachrichtigungen von Microsoft Authenticator-App-Methoden für die zweistufige Authentifizierung (2FA).RDG currently supports phone call and push notifications from Microsoft authenticator app methods for 2FA. Weitere Informationen zu unterstützten Authentifizierungsmethoden finden Sie im Abschnitt Bestimmen Sie die Authentifizierungsmethoden, die Ihre Benutzer verwenden können.For more information about supported authentication methods see the section Determine which authentication methods your users can use.

Vor der Verfügbarkeit der NPS-Erweiterung für Azure mussten Kunden, die die zweistufige Überprüfung für integrierte NPS- und Azure MFA-Umgebungen implementieren wollten, einen separaten MFA-Server in der lokalen Umgebung konfigurieren und verwalten, wie in Remotedesktopgateway und Azure Multi-Factor Authentication-Server mithilfe von RADIUS dokumentiert.Prior to the availability of the NPS extension for Azure, customers who wished to implement two-step verification for integrated NPS and Azure MFA environments had to configure and maintain a separate MFA Server in the on-premises environment as documented in Remote Desktop Gateway and Azure Multi-Factor Authentication Server using RADIUS.

Die Verfügbarkeit der NPS-Erweiterung für Azure bietet Organisationen jetzt die Möglichkeit, entweder eine lokal basierte oder eine cloudbasierte MFA-Lösung zum Schützen der RADIUS-Clientauthentifizierung bereitzustellen.The availability of the NPS extension for Azure now gives organizations the choice to deploy either an on-premises based MFA solution or a cloud-based MFA solution to secure RADIUS client authentication.

AuthentifizierungsablaufAuthentication Flow

Damit Benutzern der Zugriff auf Netzwerkressourcen über ein Remotedesktopgateway erteilt wird, müssen sie die in einer Remotedesktop-Verbindungsautorisierungsrichtlinie (RD-CAP) und einer Remotedesktop-Ressourcenautorisierungsrichtlinie (RD Resource Authorization Policy, RD-RAP) angegebenen Bedingungen erfüllen.For users to be granted access to network resources through a Remote Desktop Gateway, they must meet the conditions specified in one RD Connection Authorization Policy (RD CAP) and one RD Resource Authorization Policy (RD RAP). RD-CAPs geben an, wer zum Herstellen einer Verbindung mit RD-Gateways autorisiert ist.RD CAPs specify who is authorized to connect to RD Gateways. RD-RAPs geben die Netzwerkressourcen an, wie z.B. Remotedesktops oder Remote-Apps, mit denen der Benutzer über das RD-Gateway eine Verbindung mit zulässig ist.RD RAPs specify the network resources, such as remote desktops or remote apps, that the user is allowed to connect to through the RD Gateway.

Ein RD-Gateway kann konfiguriert werden, um einen zentralen Richtlinienspeicher für RD-CAPs zu verwenden.An RD Gateway can be configured to use a central policy store for RD CAPs. RD-RAPs können keine zentrale Richtlinie verwenden, da sie auf dem RD-Gateway verarbeitet werden.RD RAPs cannot use a central policy, as they are processed on the RD Gateway. Ein Beispiel eines RD-Gateways, das zur Verwendung eines zentralen Richtlinienspeichers für RD-CAPs konfiguriert ist, ist ein RADIUS-Client einer anderen NPS-Serverinstanz, die als zentraler Richtlinienspeicher dient.An example of an RD Gateway configured to use a central policy store for RD CAPs is a RADIUS client to another NPS server that serves as the central policy store.

Wenn die NPS-Erweiterung für Azure in NPS und Remotedesktopgateway integriert ist, lautet der erfolgreiche Authentifizierungsablauf wie folgt:When the NPS extension for Azure is integrated with the NPS and Remote Desktop Gateway, the successful authentication flow is as follows:

  1. Der Remotedesktopgateway-Server empfängt eine Authentifizierungsanforderung von einem Remotedesktop-Benutzer zum Herstellen der Verbindung mit einer Ressource, z.B. einer Remotedesktopsitzung.The Remote Desktop Gateway server receives an authentication request from a remote desktop user to connect to a resource, such as a Remote Desktop session. Als RADIUS-Client fungierend konvertiert der Remotedesktopgateway-Server die Anforderung in eine RADIUS-Zugriffsanforderungsnachricht und sendet die Nachricht an den RADIUS-Server (NPS), auf dem die NPS-Erweiterung installiert ist.Acting as a RADIUS client, the Remote Desktop Gateway server converts the request to a RADIUS Access-Request message and sends the message to the RADIUS (NPS) server where the NPS extension is installed.
  2. Die Kombination aus Benutzername und Kennwort wird in Active Directory überprüft, und der Benutzer ist authentifiziert.The username and password combination is verified in Active Directory and the user is authenticated.
  3. Wenn alle Bedingungen entsprechend den Angaben in der NPS-Verbindungsanforderung und den Netzwerkrichtlinien erfüllt sind (z.B. Uhrzeit- oder Gruppenmitgliedschaftseinschränkungen), löst die NPS-Erweiterung eine Anforderung der sekundären Authentifizierung mit Azure MFA aus.If all the conditions as specified in the NPS Connection Request and the Network Policies are met (for example, time of day or group membership restrictions), the NPS extension triggers a request for secondary authentication with Azure MFA.
  4. Azure MFA kommuniziert mit Azure AD, ruft die Details des Benutzers ab und führt die sekundäre Authentifizierung mit unterstützten Methoden aus.Azure MFA communicates with Azure AD, retrieves the user’s details, and performs the secondary authentication using supported methods.
  5. Bei erfolgreicher Authentifizierung durch MFA kommuniziert Azure MFA das Ergebnis an die NPS-Erweiterung.Upon success of the MFA challenge, Azure MFA communicates the result to the NPS extension.
  6. Der NPS-Server, auf dem die Erweiterung installiert ist, sendet eine RADIUS-Zugriffsakzeptierungsnachricht für die RD-CAP-Richtlinie an den Remotedesktopgateway-Server.The NPS server, where the extension is installed, sends a RADIUS Access-Accept message for the RD CAP policy to the Remote Desktop Gateway server.
  7. Der Benutzer erhält über das RD-Gateway Zugriff auf die angeforderte Netzwerkressource.The user is granted access to the requested network resource through the RD Gateway.

VoraussetzungenPrerequisites

In diesem Abschnitt werden die erforderlichen Voraussetzungen zur Integration von Azure MFA in das Remotedesktopgateway erörtert.This section details the prerequisites necessary before integrating Azure MFA with the Remote Desktop Gateway. Bevor Sie beginnen, müssen folgende Voraussetzungen erfüllt sein:Before you begin, you must have the following prerequisites in place.

  • Remotedesktopdienste-Infrastruktur (Remote Desktop Services, RDS)Remote Desktop Services (RDS) infrastructure
  • Azure MFA-LizenzAzure MFA License
  • Windows Server-SoftwareWindows Server software
  • Netzwerkrichtlinien- und Zugriffsdienste-Rolle (Network Policy and Access Services, NPS)Network Policy and Access Services (NPS) role
  • Azure Active Directory synchronisiert mit der lokalen Active Directory-InstanzAzure Active Directory synched with on-premises Active Directory
  • GUID-ID von Azure Active DirectoryAzure Active Directory GUID ID

Remotedesktopdienste-Infrastruktur (Remote Desktop Services, RDS)Remote Desktop Services (RDS) infrastructure

Eine funktionsfähige Remotedesktopdienste-Infrastruktur (RDS) muss vorhanden sein.You must have a working Remote Desktop Services (RDS) infrastructure in place. Wenn dies nicht der Fall ist, können Sie diese Infrastruktur mithilfe der folgenden Schnellstartvorlage schnell in Azure erstellen: Erstellen der Bereitstellung einer Remotedesktopsitzungs-Sammlung.If you do not, then you can quickly create this infrastructure in Azure using the following quickstart template: Create Remote Desktop Session Collection deployment.

Wenn Sie eine lokale RDS-Infrastruktur schnell manuell zu Testzwecken erstellen möchten, führen Sie die Schritte zu deren Bereitstellung aus.If you wish to manually create an on-premises RDS infrastructure quickly for testing purposes, follow the steps to deploy one. Weitere Informationen: Nahtlose RDS-Bereitstellung mit ARM und Azure Marketplace und Bereitstellen Ihrer Remotedesktopumgebung.Learn more: Deploy RDS with Azure quickstart and Basic RDS infrastructure deployment.

Azure MFA-LizenzAzure MFA License

Es wird eine Lizenz für Azure MFA benötigt, die über Azure AD Premium oder andere Pakete, die sie enthalten, verfügbar ist.Required is a license for Azure MFA, which is available through Azure AD Premium or other bundles that include it. Verbrauchsbasierte Lizenzen für Azure MFA, z.B. pro Benutzer oder pro Authentifizierungslizenz, sind mit der NPS-Erweiterung nicht kompatibel.Consumption-based licenses for Azure MFA, such as per user or per authentication licenses, are not compatible with the NPS extension. Weitere Informationen finden Sie unter Beziehen von Azure Multi-Factor Authentication.For more information, see How to get Azure Multi-Factor Authentication. Zu Testzwecken können Sie ein Testabonnement verwenden.For testing purposes, you can use a trial subscription.

Windows Server-SoftwareWindows Server software

Die NPS-Erweiterung erfordert Windows Server 2008 R2 SP1 oder höher mit installiertem NPS-Rollendienst.The NPS extension requires Windows Server 2008 R2 SP1 or above with the NPS role service installed. Alle Schritte in diesem Abschnitt wurden mit Windows Server 2016 ausgeführt.All the steps in this section were performed using Windows Server 2016.

Netzwerkrichtlinien- und Zugriffsdienste-Rolle (Network Policy and Access Services, NPS)Network Policy and Access Services (NPS) role

Der NPS-Rollendienst bietet sowohl die RADIUS-Server- und -Clientfunktionalität als auch den Netzwerkzugriffsrichtlinien-Integritätsdienst.The NPS role service provides the RADIUS server and client functionality as well as Network Access Policy health service. Diese Rolle muss auf mindestens zwei Computern in Ihrer Infrastruktur installiert werden: Das Remotedesktopgateway und ein weiterer Mitgliedsserver oder Domänencontroller.This role must be installed on at least two computers in your infrastructure: The Remote Desktop Gateway and another member server or domain controller. Standardmäßig ist die Rolle bereits auf dem Computer vorhanden, der als Remotedesktopgateway konfiguriert ist.By default, the role is already present on the computer configured as the Remote Desktop Gateway. Sie müssen auch die NPS-Rolle auf mindestens einem anderen Computer installieren, z.B. einen Domänencontroller oder Mitgliedsserver.You must also install the NPS role on at least on another computer, such as a domain controller or member server.

Informationen zum Installieren des NPS-Rollendiensts für Windows Server 2012 oder älter finden Sie unter Install a NAP Health Policy Server (Installieren eines NAP-Integritätsrichtlinienservers).For information on installing the NPS role service Windows Server 2012 or older, see Install a NAP Health Policy Server. Eine Beschreibung der bewährten Methoden für NPS einschließlich der Empfehlung zum Installieren von NPS auf einem Domänencontroller finden Sie unter Best Practices for NPS (Bewährte Methoden für NPS).For a description of best practices for NPS, including the recommendation to install NPS on a domain controller, see Best Practices for NPS.

Azure Active Directory synchronisiert mit der lokalen Active Directory-InstanzAzure Active Directory synched with on-premises Active Directory

Um die NPS-Erweiterung zu verwenden, müssen lokale Benutzer mit Azure AD synchronisiert und für MFA aktiviert werden.To use the NPS extension, on-premises users must be synced with Azure AD and enabled for MFA. Dieser Abschnitt setzt voraus, dass lokale Benutzer mithilfe von AD Connect mit Azure AD synchronisiert werden.This section assumes that on-premises users are synched with Azure AD using AD Connect. Informationen zu Azure AD Connect finden Sie unter Integrieren Ihrer lokalen Identitäten in Azure Active Directory.For information on Azure AD connect, see Integrate your on-premises directories with Azure Active Directory.

GUID-ID von Azure Active DirectoryAzure Active Directory GUID ID

Um die NPS-Erweiterung zu installieren, müssen Sie die GUID von Azure AD kennen.To install NPS extension, you need to know the GUID of the Azure AD. Nachfolgend sind die Anweisungen für die Suche nach der GUID von Azure AD aufgeführt.Instructions for finding the GUID of the Azure AD are provided below.

Konfigurieren der Multi-Factor AuthenticationConfigure Multi-Factor Authentication

Dieser Abschnitt enthält Anweisungen für die Integration von Azure MFA in Remotedesktopgateway.This section provides instructions for integrating Azure MFA with the Remote Desktop Gateway. Als Administrator müssen Sie den Azure MFA-Dienst konfigurieren, bevor Benutzer selbst ihre Multi-Factor-Geräte oder Anwendungen registrieren können.As an administrator, you must configure the Azure MFA service before users can self-register their multi-factor devices or applications.

Führen Sie die Schritte in Erste Schritte mit Azure Multi-Factor Authentication in der Cloud aus, um MFA für Ihre Azure AD-Benutzer zu aktivieren.Follow the steps in Getting started with Azure Multi-Factor Authentication in the cloud to enable MFA for your Azure AD users.

Konfigurieren von Konten für die zweistufige ÜberprüfungConfigure accounts for two-step verification

Nachdem ein Konto für MFA aktiviert wurde, können Sie sich erst dann bei Ressourcen anmelden, die der MFA-Richtlinie unterliegen, wenn Sie erfolgreich ein vertrauenswürdiges Gerät für den zweiten Authentifizierungsfaktor konfiguriert und die Authentifizierung mit der zweistufigen Überprüfung durchgeführt haben.Once an account has been enabled for MFA, you cannot sign in to resources governed by the MFA policy until you have successfully configured a trusted device to use for the second authentication factor and have authenticated using two-step verification.

Führen Sie die Schritte in Was ist Azure Multi-Factor Authentication? aus, um Ihre Geräte ordnungsgemäß mit Ihrem Benutzerkonto für MFA zu konfigurieren.Follow the steps in What does Azure Multi-Factor Authentication mean for me? to understand and properly configure your devices for MFA with your user account.

Installieren und Konfigurieren der NPS-ErweiterungInstall and configure NPS extension

Dieser Abschnitt enthält Anweisungen zum Konfigurieren der RDS-Infrastruktur zur Verwendung der Azure MFA für die Clientauthentifizierung mit dem Remotedesktopgateway.This section provides instructions for configuring RDS infrastructure to use Azure MFA for client authentication with the Remote Desktop Gateway.

Abrufen der GUID-ID von Azure Active DirectoryAcquire Azure Active Directory GUID ID

Im Rahmen der Konfiguration der NPS-Erweiterung müssen Sie Administratoranmeldeinformationen und Azure AD-ID für Ihren Azure AD-Mandanten angeben.As part of the configuration of the NPS extension, you need to supply admin credentials and the Azure AD ID for your Azure AD tenant. Die folgenden Schritte veranschaulichen das Abrufen der Mandanten-ID.The following steps show you how to get the tenant ID.

  1. Melden Sie sich im Azure-Portal als globaler Administrator des Azure-Mandanten an.Sign in to the Azure portal as the global administrator of the Azure tenant.

  2. Wählen Sie im linken Navigationsbereich das Azure Active Directory-Symbol.In the left navigation, select the Azure Active Directory icon.

  3. Wählen Sie Eigenschaften aus.Select Properties.

  4. Klicken Sie auf dem Blatt „Eigenschaften“ neben der Verzeichnis-ID wie unten dargestellt auf das Kopieren-Symbol um die ID in die Zwischenablage kopieren.In the Properties blade, beside the Directory ID, click the Copy icon, as shown below, to copy the ID to clipboard.

    Abrufen der Verzeichnis-ID aus dem Azure-Portal

Installieren der NPS-ErweiterungInstall the NPS extension

Installieren Sie die NPS-Erweiterung auf einem Server, auf dem die Netzwerkrichtlinien- und Zugriffsdienste-Rolle (NPS) installiert ist.Install the NPS extension on a server that has the Network Policy and Access Services (NPS) role installed. Diese fungiert als RADIUS-Server für den Entwurf.This functions as the RADIUS server for your design.

Wichtig

Installieren Sie auf keinen Fall die NPS-Erweiterung auf Ihrem Remotedesktopgateway-Server.Be sure you do not install the NPS extension on your Remote Desktop Gateway server.

  1. Laden Sie die NPS-Erweiterung herunter.Download the NPS extension.
  2. Kopieren Sie die ausführbare Setupdatei (NpsExtnForAzureMfaInstaller.exe) auf den NPS-Server.Copy the setup executable file (NpsExtnForAzureMfaInstaller.exe) to the NPS server.
  3. Doppelklicken Sie auf dem NPS-Server auf NpsExtnForAzureMfaInstaller.exe.On the NPS server, double-click NpsExtnForAzureMfaInstaller.exe. Klicken Sie nach Aufforderung auf Ausführen.If prompted, click Run.
  4. Überprüfen Sie im Dialogfeld der NPS-Erweiterung für das Azure MFA-Setup die Softwarelizenzbedingungen, aktivieren Sie Ich stimme den Lizenzbedingungen zu, und klicken Sie auf Installieren.In the NPS Extension For Azure MFA Setup dialog box, review the software license terms, check I agree to the license terms and conditions, and click Install.
  5. Klicken Sie im Dialogfeld der NPS-Erweiterung für das Azure MFA-Setup auf Schließen.In the NPS Extension For Azure MFA Setup dialog box, click Close.

Konfigurieren von Zertifikaten für die Verwendung mit der NPS-Erweiterung mithilfe eines PowerShell-SkriptsConfigure certificates for use with the NPS extension using a PowerShell script

Als Nächstes müssen Sie Zertifikate für die Verwendung durch die NPS-Erweiterung konfigurieren, um die sichere Kommunikation zu gewährleisten.Next, you need to configure certificates for use by the NPS extension to ensure secure communications and assurance. Die NPS-Komponenten umfassen ein Windows PowerShell-Skript, das ein selbstsigniertes Zertifikat zur Verwendung mit NPS konfiguriert.The NPS components include a Windows PowerShell script that configures a self-signed certificate for use with NPS.

Dieses Skript führt folgende Aktionen aus:The script performs the following actions:

  • Erstellen eines selbstsignierten ZertifikatsCreates a self-signed certificate
  • Zuordnen des öffentlichen Schlüssels des Zertifikats zum Dienstprinzipal in Azure ADAssociates public key of certificate to service principal on Azure AD
  • Speichern des Zertifikats im Speicher des lokalen ComputersStores the cert in the local machine store
  • Gewähren des Zugriffs auf den privaten Schlüssel des Zertifikats für den NetzwerkbenutzerGrants access to the certificate’s private key to the network user
  • Neustart des Netzwerkrichtlinienserver-DienstsRestarts Network Policy Server service

Wenn Sie Ihre eigenen Zertifikate verwenden möchten, müssen Sie den öffentlichen Schlüssel Ihres Zertifikats dem Dienstprinzipal in Azure AD zuordnen usw.If you want to use your own certificates, you need to associate the public key of your certificate to the service principal on Azure AD, and so on.

Um das Skript zu verwenden, geben Sie die Erweiterung mit Ihren Azure AD-Administratoranmeldeinformationen und die Azure AD-Mandanten-ID ein, die Sie zuvor kopiert haben.To use the script, provide the extension with your Azure AD Admin credentials and the Azure AD tenant ID that you copied earlier. Führen Sie das Skript auf jedem NPS-Server aus, auf dem Sie die NPS-Erweiterung installiert haben.Run the script on each NPS server where you installed the NPS extension. Gehen Sie wie folgt vor:Then do the following:

  1. Öffnen Sie eine administrative Windows PowerShell-Eingabeaufforderung.Open an administrative Windows PowerShell prompt.

  2. Geben Sie an der PowerShell-Eingabeaufforderung cd ‘c:\Program Files\Microsoft\AzureMfa\Config’ ein, und drücken Sie die EINGABETASTE.At the PowerShell prompt, type cd ‘c:\Program Files\Microsoft\AzureMfa\Config’, and press ENTER.

  3. Geben Sie .\AzureMfaNpsExtnConfigSetup.ps1 ein, und drücken Sie die EINGABETASTE.Type .\AzureMfaNpsExtnConfigSetup.ps1, and press ENTER. Das Skript überprüft, ob das Azure Active Directory PowerShell-Modul installiert ist.The script checks to see if the Azure Active Directory PowerShell module is installed. Wenn es nicht installiert ist, installiert das Skript das Modul für Sie.If not installed, the script installs the module for you.

    Ausführen von „AzureMfaNpsExtnConfigSetup.ps1“ in Azure AD PowerShell

  4. Nachdem das Skript die Installation des PowerShell-Moduls überprüft hat, wird das Dialogfeld des Azure Active Directory PowerShell-Moduls angezeigt.After the script verifies the installation of the PowerShell module, it displays the Azure Active Directory PowerShell module dialog box. Geben Sie im Dialogfeld Ihre Azure AD-Administratoranmeldeinformationen und das Kennwort ein, und klicken Sie auf Anmelden.In the dialog box, enter your Azure AD admin credentials and password, and click Sign In.

    Authentifizieren bei Azure AD in PowerShell

  5. Fügen Sie bei entsprechender Aufforderung die Verzeichnis-ID ein, die Sie zuvor in die Zwischenablage kopiert haben, und drücken Sie die EINGABETASTE.When prompted, paste the Directory ID you copied to the clipboard earlier, and press ENTER.

    Eingeben der Verzeichnis-ID in PowerShell

  6. Das Skript erstellt ein selbstsigniertes Zertifikat und führt andere Änderungen an der Konfiguration durch.The script creates a self-signed certificate and performs other configuration changes. Die Ausgabe sollte dem folgenden Bild ähneln.The output should be like the image shown below.

    PowerShell-Ausgabe mit selbstsigniertem Zertifikat

Konfigurieren von NPS-Komponenten auf dem RemotedesktopgatewayConfigure NPS components on Remote Desktop Gateway

In diesem Abschnitt konfigurieren Sie die Verbindungsautorisierungsrichtlinien für das Remotedesktopgateway und andere RADIUS-Clienteinstellungen.In this section, you configure the Remote Desktop Gateway connection authorization policies and other RADIUS settings.

Der Authentifizierungsablauf erfordert, dass RADIUS-Nachrichten zwischen dem Remotedesktopgateway und dem NPS-Server ausgetauscht werden, auf dem die NPS-Erweiterung installiert ist.The authentication flow requires that RADIUS messages be exchanged between the Remote Desktop Gateway and the NPS server where the NPS extension is installed. Dies bedeutet, dass Sie RADIUS-Clienteinstellungen sowohl auf dem Remotedesktopgateway als auch dem NPS-Server, auf dem die NPS-Erweiterung installiert ist, konfigurieren müssen.This means that you must configure RADIUS client settings on both Remote Desktop Gateway and the NPS server where the NPS extension is installed.

Konfigurieren von Verbindungsautorisierungsrichtlinien für das Remotedesktopgateway zur Verwendung im zentralen SpeicherConfigure Remote Desktop Gateway connection authorization policies to use central store

Verbindungsautorisierungsrichtlinien für Remotedesktop (RD-CAPs) geben die Anforderungen für das Herstellen einer Verbindung mit einem Remotedesktopgateway-Server an.Remote Desktop connection authorization policies (RD CAPs) specify the requirements for connecting to a Remote Desktop Gateway server. RD-CAPs können lokal gespeichert werden (Standard) oder in einem zentralen RD-CAP-Speicher, wo NPS ausgeführt wird.RD CAPs can be stored locally (default) or they can be stored in a central RD CAP store that is running NPS. Um die Integration von Azure MFA in RDS zu konfigurieren, müssen Sie die Verwendung eines zentralen Speichers angeben.To configure integration of Azure MFA with RDS, you need to specify the use of a central store.

  1. Öffnen Sie auf dem RD-Gatewayserver den Server-Manager.On the RD Gateway server, open Server Manager.

  2. Klicken Sie auf der Menüleiste auf Tools, zeigen Sie auf Remotedesktopdienste, und klicken Sie dann auf Remotedesktopgateway-Manager.On the menu, click Tools, point to Remote Desktop Services, and then click Remote Desktop Gateway Manager.

  3. Klicken Sie im RD-Gateway-Manager mit der rechten Maustaste auf [Servername] (Lokal) , und klicken Sie auf Eigenschaften.In the RD Gateway Manager, right-click [Server Name] (Local), and click Properties.

  4. Wählen Sie im Dialogfeld „Eigenschaften“ die Registerkarte RD-CAP-Speicher aus.In the Properties dialog box, select the RD CAP Store tab.

  5. Wählen Sie auf der Registerkarte „RD-CAP-Speicher“ die Option Zentraler NPS-Server.On the RD CAP Store tab, select Central server running NPS.

  6. Geben Sie in das Feld Name oder IP-Adresse für den Server mit NPS eingeben: die IP-Adresse bzw. den Servernamen des Servers ein, auf dem Sie die NPS-Erweiterung installiert haben.In the Enter a name or IP address for the server running NPS field, type the IP address or server name of the server where you installed the NPS extension.

    Den Namen oder die IP-Adresse Ihres NPS-Servers eingeben

  7. Klicken Sie auf Hinzufügen.Click Add.

  8. Geben Sie im Dialogfeld Gemeinsamer geheimer Schlüssel einen gemeinsamen geheimen Schlüssel ein, und klicken Sie dann auf OK.In the Shared Secret dialog box, enter a shared secret, and then click OK. Denken Sie daran, diesen gemeinsamen geheimen Schlüssel zu notieren und die Notiz an einem sicheren Ort aufzubewahren.Ensure you record this shared secret and store the record securely.

    Hinweis

    Mit dem gemeinsamen geheimen Schlüssel wird eine Vertrauensstellung zwischen den RADIUS-Servern und -Clients hergestellt.Shared secret is used to establish trust between the RADIUS servers and clients. Erstellen Sie ein langes und komplexes Geheimnis.Create a long and complex secret.

    Erstellen eines gemeinsamen geheimen Schlüssels zum Herstellen einer Vertrauensstellung

  9. Klicken Sie auf OK, um das Dialogfeld zu schließen.Click OK to close the dialog box.

Konfigurieren des RADIUS-Timeoutwerts für Remotedesktopgateway-NPSConfigure RADIUS timeout value on Remote Desktop Gateway NPS

Um sicherzustellen, dass genügend Zeit zum Überprüfen der Anmeldeinformationen des Benutzers, Ausführen der zweistufigen Überprüfung, Empfangen von Antworten und Antworten auf RADIUS-Nachrichten zur Verfügung steht, müssen Sie den RADIUS-Timeoutwert anpassen.To ensure there is time to validate users’ credentials, perform two-step verification, receive responses, and respond to RADIUS messages, it is necessary to adjust the RADIUS timeout value.

  1. Öffnen Sie auf dem RD-Gatewayserver den Server-Manager.On the RD Gateway server, open Server Manager. Klicken Sie im Menü auf Extras und dann auf Netzwerkrichtlinienserver.On the menu, click Tools, and then click Network Policy Server.

  2. Erweitern Sie in der Konsole NPS (Lokal) RADIUS-Clients und Server, und wählen Sie Remote-RADIUS-Server.In the NPS (Local) console, expand RADIUS Clients and Servers, and select Remote RADIUS Server.

    Fenster der Netzwerkrichtlinienserver-Verwaltungskonsole mit dem Bereich für RADIUS-Remoteservergruppen

  3. Doppelklicken Sie im Detailbereich auf TS-GATEWAYSERVERGRUPPE.In the details pane, double-click TS GATEWAY SERVER GROUP.

    Hinweis

    Diese RADIUS-Server-Gruppe wurde erstellt, als Sie den zentralen Server für die NPS-Richtlinien konfigurierten.This RADIUS Server Group was created when you configured the central server for NPS policies. Das RD-Gateway leitet RADIUS-Nachrichten an diesen Server weiter, bzw. an eine Gruppe von Servern, wenn mehrere Server vorhanden sind.The RD Gateway forwards RADIUS messages to this server or group of servers, if more than one in the group.

  4. Wählen Sie im Dialogfeld TS-GATEWAYSERVERGRUPPEN-Eigenschaften die IP-Adresse oder den Namen des NPS-Servers, den Sie zum Speichern von RD-CAPs konfiguriert haben, und klicken Sie dann auf Bearbeiten.In the TS GATEWAY SERVER GROUP Properties dialog box, select the IP address or name of the NPS server you configured to store RD CAPs, and then click Edit.

    Auswählen der IP-Adresse oder des Namens des zuvor konfigurierten NPS-Servers

  5. Wählen Sie im Dialogfeld RADIUS-Server bearbeiten die Registerkarte Lastenausgleich.In the Edit RADIUS Server dialog box, select the Load Balancing tab.

  6. Ändern Sie in der Registerkarte Lastenausgleich im Feld Sekunden ohne Antwort, bevor eine Anforderung als verworfen gilt den Standardwert von 3 in einen Wert zwischen 30 und 60 Sekunden.In the Load Balancing tab, in the Number of seconds without response before request is considered dropped field, change the default value from 3 to a value between 30 and 60 seconds.

  7. Ändern Sie im Feld Sekunden zwischen Anforderungen, nach denen der Server als nicht verfügbar identifiziert wird den Standardwert von 30 Sekunden in einen Wert, der mindestens so groß ist wie der Wert, den Sie im vorherigen Schritt angegeben haben.In the Number of seconds between requests when server is identified as unavailable field, change the default value of 30 seconds to a value that is equal to or greater than the value you specified in the previous step.

    Bearbeiten der Timeouteinstellungen im Dialogfeld „RADIUS-Server bearbeiten“ auf der Registerkarte „Lastenausgleich“

  8. Klicken Sie zweimal auf OK, um die Dialogfelder zu schließen.Click OK two times to close the dialog boxes.

Überprüfen der VerbindungsanforderungsrichtlinienVerify Connection Request Policies

Wenn Sie das RD-Gateway zur Verwendung eines zentralen Richtlinienspeichers für Verbindungsautorisierungsrichtlinien konfigurieren, wird standardmäßig das RD-Gateway zum Weiterleiten von CAP-Anforderungen an den NPS-Server konfiguriert.By default, when you configure the RD Gateway to use a central policy store for connection authorization policies, the RD Gateway is configured to forward CAP requests to the NPS server. Der mit der Azure MFA-Erweiterung installierte NPS-Server verarbeitet die RADIUS-Zugriffsanforderung.The NPS server with the Azure MFA extension installed, processes the RADIUS access request. In den folgenden Schritten lernen Sie das Überprüfen der Standard-Verbindungsanforderungsrichtlinie.The following steps show you how to verify the default connection request policy.

  1. Erweitern Sie auf dem RD-Gateway in der Konsole „NPS (Lokal)“ Richtlinien, und wählen Sie Verbindungsanforderungsrichtlinien.On the RD Gateway, in the NPS (Local) console, expand Policies, and select Connection Request Policies.

  2. Doppelklicken Sie auf TS-GATEWAYAUTORISIERUNGSRICHTLINIE.Double-click TS GATEWAY AUTHORIZATION POLICY.

  3. Klicken Sie im Dialogfeld TS-GATEWAYAUTORISIERUNGSRICHTLINIE-Eigenschaften auf die Registerkarte Einstellungen.In the TS GATEWAY AUTHORIZATION POLICY properties dialog box, click the Settings tab.

  4. Klicken Sie auf der Registerkarte Einstellungen unter „Weiterleitungsverbindungsanforderung“ auf Authentifizierung.On Settings tab, under Forwarding Connection Request, click Authentication. Der RADIUS-Client ist zum Weiterleiten von Anforderungen für die Authentifizierung konfiguriert.RADIUS client is configured to forward requests for authentication.

    Konfigurieren der Authentifizierungseinstellungen zum Angeben der Servergruppe

  5. Klicken Sie auf Abbrechen.Click Cancel.

Konfigurieren von NPS auf dem Server, auf dem die NPS-Erweiterung installiert istConfigure NPS on the server where the NPS extension is installed

Der NPS-Server, auf dem die NPS-Erweiterung installiert ist, muss die RADIUS-Nachrichten mit dem NPS-Server auf dem Remotedesktopgateway austauschen können.The NPS server where the NPS extension is installed needs to be able to exchange RADIUS messages with the NPS server on the Remote Desktop Gateway. Um diesen Nachrichtenaustausch zu aktivieren, müssen Sie die NPS-Komponenten auf dem Server konfigurieren, auf dem der NPS-Erweiterungsdienst installiert ist.To enable this message exchange, you need to configure the NPS components on the server where the NPS extension service is installed.

Registrieren des Servers in Active DirectoryRegister Server in Active Directory

Die ordnungsgemäße Funktionsweise des NPS-Servers in diesem Szenario setzt seine Registrierung in Active Directory voraus.To function properly in this scenario, the NPS server needs to be registered in Active Directory.

  1. Öffnen Sie auf dem NPS-Server den Server-Manager.On the NPS server, open Server Manager.

  2. Klicken Sie im Server-Manager auf Tools und dann auf Netzwerkrichtlinienserver.In Server Manager, click Tools, and then click Network Policy Server.

  3. Klicken Sie in der Netzwerkrichtlinienserver-Konsole mit der rechten Maustaste auf NPS (Lokal) , und klicken Sie dann auf Server in Active Directory registrieren.In the Network Policy Server console, right-click NPS (Local), and then click Register server in Active Directory.

  4. Klicken Sie zweimal auf OK.Click OK two times.

    Registrieren des NPS-Servers in Active Directory

  5. Lassen Sie die Konsole für den nächsten Vorgang geöffnet.Leave the console open for the next procedure.

Erstellen und Konfigurieren des RADIUS-ClientsCreate and configure RADIUS client

Das Remotedesktopgateway muss als RADIUS-Client des NPS-Servers konfiguriert werden.The Remote Desktop Gateway needs to be configured as a RADIUS client to the NPS server.

  1. Klicken Sie auf dem NPS-Server, wo die NPS-Erweiterung installiert ist, in der NPS (Lokal) -Konsole mit der rechten Maustaste auf RADIUS-Clients, und klicken Sie auf Neu.On the NPS server where the NPS extension is installed, in the NPS (Local) console, right-click RADIUS Clients and click New.

    Erstellen eines neuen RADIUS-Clients in der NPS-Konsole

  2. Geben Sie im Dialogfeld Neuer RADIUS-Client einen Anzeigenamen wie z.B. Gateway und die IP-Adresse oder den DNS-Namen des Remotedesktopgateway-Servers an.In the New RADIUS Client dialog box, provide a friendly name, such as Gateway, and the IP address or DNS name of the Remote Desktop Gateway server.

  3. Geben Sie in den Feldern Gemeinsamer geheimer Schlüssel und Gemeinsamen geheimen Schlüssel bestätigen: den gleichen geheimen Schlüssel ein, den Sie zuvor verwendet haben.In the Shared secret and the Confirm shared secret fields, enter the same secret that you used before.

    Eingeben eines Anzeigenamens und der IP- oder DNS-Adresse

  4. Klicken Sie auf OK, um das Dialogfeld „Neuer RADIUS-Client“ zu schließen.Click OK to close the New RADIUS Client dialog box.

Konfigurieren der NetzwerkrichtlinieConfigure Network Policy

Denken Sie daran, dass der NPS-Server mit der Azure MFA-Erweiterung der angegebene zentrale Richtlinienspeicher für die Verbindungsautorisierungsrichtlinie (CAP) ist.Recall that the NPS server with the Azure MFA extension is the designated central policy store for the Connection Authorization Policy (CAP). Aus diesem Grund müssen Sie auf dem NPS-Server eine CAP zum Autorisieren gültiger Verbindungsanforderungen implementieren.Therefore, you need to implement a CAP on the NPS server to authorize valid connections requests.

  1. Öffnen Sie auf dem NPS-Server die Konsole „NPS (Lokal)“, erweitern Sie Richtlinien, und klicken Sie auf Netzwerkrichtlinien.On the NPS Server, open the NPS (Local) console, expand Policies, and click Network Policies.

  2. Klicken Sie mit der rechten Maustaste auf Verbindungen mit anderen Zugriffsservern, und klicken Sie auf Duplizieren der Richtlinie.Right-click Connections to other access servers, and click Duplicate Policy.

    Richtlinie „Verbindungen mit anderen Zugriffsservern“ duplizieren

  3. Klicken Sie mit der rechten Maustaste auf Kopie von Verbindungen mit anderen Zugriffsservern, und klicken Sie auf Eigenschaften.Right-click Copy of Connections to other access servers, and click Properties.

  4. Geben Sie im Dialogfeld Kopie der Verbindungen mit anderen Zugriffsservern unter Richtlinienname einen geeigneten Namen ein, z.B. RDG_CAP.In the Copy of Connections to other access servers dialog box, in Policy name, enter a suitable name, such as RDG_CAP. Aktivieren Sie Richtlinie aktiviert, und wählen Sie Zugriff gewähren aus.Check Policy enabled, and select Grant access. Wählen Sie optional unter Typ des Netzwerkzugriffs die Option Remotedesktopgateway aus, oder behalten Sie Nicht angegeben bei.Optionally, in Type of network access server, select Remote Desktop Gateway, or you can leave it as Unspecified.

    Richtliniennamen eingeben, „Richtlinie aktiviert“ aktivieren und „Zugriff gewähren“ auswählen

  5. Klicken Sie auf die Registerkarte Einschränkungen, und aktivieren Sie Clientverbindungen ohne Aushandlung einer Authentifizierungsmethode zulassen.Click the Constraints tab, and check Allow clients to connect without negotiating an authentication method.

    Ändern der Authentifizierungsmethoden zum Zulassen von Clientverbindungen

  6. Klicken Sie optional auf die Registerkarte Bedingungen, und fügen Sie Bedingungen hinzu, die für die Autorisierung der Verbindung erfüllt werden müssen, z.B. die Mitgliedschaft in einer bestimmten Windows-Gruppe.Optionally, click the Conditions tab and add conditions that must be met for the connection to be authorized, for example, membership in a specific Windows group.

    Optional Verbindungsbedingungen angeben

  7. Klicken Sie auf OK.Click OK. Wenn Sie gefragt werden, ob Sie das entsprechende Hilfethema anzeigen möchten, klicken Sie auf Nein.When prompted to view the corresponding Help topic, click No.

  8. Stellen Sie sicher, dass Ihre neue Richtlinie am oberen Rand der Liste angezeigt wird, dass die Richtlinie aktiviert ist und Zugriff gewährt.Ensure that your new policy is at the top of the list, that the policy is enabled, and that it grants access.

    Richtlinie an den Anfang der Liste verschieben

Überprüfen der KonfigurationVerify configuration

Um die Konfiguration zu überprüfen, müssen Sie sich mit einem geeigneten RDP-Client beim Remotedesktopgateway anmelden.To verify the configuration, you need to sign in to the Remote Desktop Gateway with a suitable RDP client. Achten Sie darauf,, ein Konto zu verwenden, das von Ihren Verbindungsautorisierungsrichtlinien zugelassen und für Azure MFA aktiviert ist.Be sure to use an account that is allowed by your Connection Authorization Policies and is enabled for Azure MFA.

Wie im folgenden Bild gezeigt, können Sie die Seite Web Access für Remotedesktop verwenden.As show in the image below, you can use the Remote Desktop Web Access page.

Überprüfung in Web Access für Remotedesktop

Nach erfolgreicher Eingabe Ihrer Anmeldeinformationen für die primäre Authentifizierung zeigt das Dialogfeld „Remotedesktopverbindung“ wie unten dargestellt den Status „Remoteverbindung wird initiiert“ an.Upon successfully entering your credentials for primary authentication, the Remote Desktop Connect dialog box shows a status of Initiating remote connection, as shown below.

Nach Ihrer erfolgreichen Authentifizierung mit der sekundären Authentifizierungsmethode, die Sie zuvor in Azure MFA konfiguriert haben, werden Sie mit der Ressource verbunden.If you successfully authenticate with the secondary authentication method you previously configured in Azure MFA, you are connected to the resource. Wenn die sekundäre Authentifizierung jedoch nicht erfolgreich ist, wird Ihnen der Zugriff auf die Ressource verweigert.However, if the secondary authentication is not successful, you are denied access to the resource.

Remotedesktopverbindung: Remoteverbindung wird initiiert

Im folgenden Beispiel wird die Authenticator-App auf einem Windows Phone verwendet, um die sekundäre Authentifizierung bereitzustellen.In the example below, the Authenticator app on a Windows phone is used to provide the secondary authentication.

Beispiel: Option „Überprüfen“ in Windows Phone-Authenticator-App

Nachdem Sie erfolgreich mit der sekundären Authentifizierungsmethode authentifiziert wurden, werden Sie wie gewohnt beim Remotedesktopgateway angemeldet.Once you have successfully authenticated using the secondary authentication method, you are logged into the Remote Desktop Gateway as normal. Weil Sie eine sekundäre Authentifizierungsmethode mit einer mobilen App auf einem vertrauenswürdigen Gerät verwenden müssen, ist der Anmeldeprozess jedoch sicherer als sonst.However, because you are required to use a secondary authentication method using a mobile app on a trusted device, the sign in process is more secure than it would be otherwise.

Anzeigen der Protokolle der Ereignisanzeige für erfolgreiche AnmeldeereignisseView Event Viewer logs for successful logon events

Um die erfolgreichen Anmeldeereignisse in den Protokollen der Windows-Ereignisanzeige anzuzeigen, können Sie den folgenden Windows PowerShell-Befehl zum Abfragen der Windows-Terminaldienste und Windows-Sicherheitsprotokolle ausgeben.To view the successful sign-in events in the Windows Event Viewer logs, you can issue the following Windows PowerShell command to query the Windows Terminal Services and Windows Security logs.

Verwenden Sie zur Abfrage erfolgreicher Anmeldungsereignisse in den Gatewaybetriebsprotokollen (Ereignisanzeige\Anwendungs- und Dienstprotokolle\Microsoft\Windows\TerminalServices-Gateway\Operational) die folgenden PowerShell-Befehle:To query successful sign-in events in the Gateway operational logs (Event Viewer\Applications and Services Logs\Microsoft\Windows\TerminalServices-Gateway\Operational), use the following PowerShell commands:

  • Get-WinEvent -Logname Microsoft-Windows-TerminalServices-Gateway/Operational | where {$_.ID -eq '300'} | FL
  • Dieser Befehl zeigt Windows-Ereignisse an, die belegen, dass der Benutzer die Anforderungen der Ressourcenautorisierungsrichtlinie (RD-RAP) erfüllt hat und ihm Zugriff erteilt wurde.This command displays Windows events that show the user met resource authorization policy requirements (RD RAP) and was granted access.

Anzeigen von Ereignissen mithilfe von PowerShell

  • Get-WinEvent -Logname Microsoft-Windows-TerminalServices-Gateway/Operational | where {$_.ID -eq '200'} | FL
  • Dieser Befehl zeigt Ereignisse an, die belegen, dass der Benutzer die Anforderungen der Verbindungsautorisierungsrichtlinie erfüllt hat.This command displays the events that show when user met connection authorization policy requirements.

Anzeigen der Verbindungsautorisierungsrichtlinie mithilfe von PowerShell

Sie können bei der Anzeige dieses Protokolls auch nach den Ereignis-IDs 300 und 200 filtern.You can also view this log and filter on event IDs, 300 and 200. Verwenden Sie zum Abfragen erfolgreicher Anmeldeereignisse in den Protokollen der Sicherheitsereignisanzeige den folgenden Befehl:To query successful logon events in the Security event viewer logs, use the following command:

  • Get-WinEvent -Logname Security | where {$_.ID -eq '6272'} | FL
  • Dieser Befehl kann entweder auf dem zentralen NPS oder dem RD-Gatewayserver ausgeführt werden.This command can be run on either the central NPS or the RD Gateway Server.

Beispiel für erfolgreiche Anmeldeereignisse

Sie können auch das Sicherheitsprotokoll oder die benutzerdefinierte Ansicht der Netzwerkrichtlinien- und Zugriffsdienste anzeigen, wie unten dargestellt:You can also view the Security log or the Network Policy and Access Services custom view, as shown below:

Ereignisanzeige: Netzwerkrichtlinien- und Zugriffsdienste

Auf dem Server, auf dem Sie die NPS-Erweiterung für Azure MFA installiert haben, finden Sie spezifische Ereignisanzeige-Anwendungsprotokolle für die Erweiterung unter Anwendungs- und Dienstprotokolle\Microsoft\AzureMfa.On the server where you installed the NPS extension for Azure MFA, you can find Event Viewer application logs specific to the extension at Application and Services Logs\Microsoft\AzureMfa.

Ereignisanzeige: AuthZ-Anwendungsprotokolle

Leitfaden zur ProblembehandlungTroubleshoot Guide

Wenn die Konfiguration nicht wie erwartet funktioniert, sollten Sie die Problembehandlung idealerweise mit der Überprüfung beginnen, ob der Benutzer für die Verwendung von Azure MFA konfiguriert ist.If the configuration is not working as expected, the first place to start to troubleshoot is to verify that the user is configured to use Azure MFA. Lassen Sie den Benutzer eine Verbindung mit dem Azure-Portal herstellen.Have the user connect to the Azure portal. Wenn der Benutzer zur sekundären Überprüfung aufgefordert wird und sich erfolgreich authentifizieren kann, können Sie eine fehlerhafte Azure MFA-Konfiguration ausschließen.If users are prompted for secondary verification and can successfully authenticate, you can eliminate an incorrect configuration of Azure MFA.

Wenn Azure MFA für den Benutzer funktioniert, prüfen Sie die relevanten Ereignisprotokolle.If Azure MFA is working for the user(s), you should review the relevant Event logs. Dazu gehören Sicherheitsereignis-, Gatewaybetriebs- und Azure MFA-Protokolle, die im vorherigen Abschnitt erläutert wurden.These include the Security Event, Gateway operational, and Azure MFA logs that are discussed in the previous section.

Es folgt eine Beispielausgabe des Sicherheitsprotokolls mit einem fehlerhaften Anmeldeereignis (Ereignis-ID 6273):Below is an example output of Security log showing a failed logon event (Event ID 6273).

Beispiel für ein fehlerhaftes Anmeldeereignis

Es folgt ein verwandtes Ereignis aus den Azure MFA-Protokollen:Below is a related event from the AzureMFA logs:

Beispiel für ein Azure MFA-Protokoll in der Ereignisanzeige

Zum Ausführen erweiterter Problembehandlungsoptionen nutzen Sie die NPS-Datenbankformat-Protokolldateien dort, wo der NPS-Dienst installiert ist.To perform advanced troubleshoot options, consult the NPS database format log files where the NPS service is installed. Diese Protokolldateien werden im Ordner %SystemRoot%\System32\Logs als durch Trennzeichen getrennte Textdateien erstellt.These log files are created in %SystemRoot%\System32\Logs folder as comma-delimited text files.

Eine Beschreibung dieser Protokolldateien finden Sie unter Interpret NPS Database Format Log Files (Interpretieren von NPS-Datenbankformat-Protokolldateien).For a description of these log files, see Interpret NPS Database Format Log Files. Die Einträge in diesen Protokolldateien können schwierig zu interpretieren sein, ohne sie in eine Tabelle oder eine Datenbank zu importieren.The entries in these log files can be difficult to interpret without importing them into a spreadsheet or a database. Sie finden online mehrere IAS-Parser, die Ihnen die Interpretation der Protokolldateien erleichtern.You can find several IAS parsers online to assist you in interpreting the log files.

Das folgende Bild zeigt die Ausgabe einer solchen herunterladbaren Sharewareanwendung.The image below shows the output of one such downloadable shareware application.

Beispiel für eine IAS-Analyse einer Shareware-App

Schließlich können Sie für zusätzliche Problembehandlungsoptionen ein Protokollanalyseprogramm wie Microsoft Message Analyzer verwenden.Finally, for additional troubleshoot options, you can use a protocol analyzer, such Microsoft Message Analyzer.

Die Abbildung unten aus der Microsoft-Nachrichtenanalyse (Microsoft Message Analyzer) zeigt den Netzwerkdatenverkehr, der mit dem RADIUS-Protokoll gefiltert ist, das den Benutzernamen CONTOSO\AliceC enthält.The image below from Microsoft Message Analyzer shows network traffic filtered on RADIUS protocol that contains the user name CONTOSO\AliceC.

Gefilterter Datenverkehr in Microsoft Message Analyzer

Nächste SchritteNext steps

Beziehen von Azure Multi-Factor AuthenticationHow to get Azure Multi-Factor Authentication

Remotedesktop-Gateway und Azure Multi-Factor Authentication-Server mithilfe von RADIUSRemote Desktop Gateway and Azure Multi-Factor Authentication Server using RADIUS

Integrieren Ihrer lokalen Verzeichnisse in Azure Active DirectoryIntegrate your on-premises directories with Azure Active Directory