Integration Ihrer VPN-Infrastruktur in Azure MFA mit der Netzwerkrichtlinienserver-Erweiterung für AzureIntegrate your VPN infrastructure with Azure MFA by using the Network Policy Server extension for Azure

Die Netzwerkrichtlinienserver-Erweiterung (Network Policy Server, NPS) für Azure ermöglicht Organisationen, ihre RADIUS-Clientauthentifizierung (Remote Authentication Dial-in User Service) mit cloudbasierter Azure Multi-Factor Authentication (MFA) zu schützen, die eine zweistufige Überprüfung bietet.The Network Policy Server (NPS) extension for Azure allows organizations to safeguard Remote Authentication Dial-In User Service (RADIUS) client authentication using cloud-based Azure Multi-Factor Authentication (MFA), which provides two-step verification.

Dieser Artikel enthält Anweisungen zum Integrieren der NPS-Infrastruktur in MFA mithilfe der NPS-Erweiterung für Azure.This article provides instructions for integrating NPS infrastructure with MFA by using the NPS extension for Azure. Dieser Vorgang ermöglicht eine sichere zweistufige Überprüfung für Benutzer, die versuchen, über ein VPN eine Verbindung mit Ihrem Netzwerk herzustellen.This process enables secure two-step verification for users who attempt to connect to your network by using a VPN.

Die Netzwerkrichtlinien- und Zugriffsdienste bieten Organisationen folgende Möglichkeiten:Network Policy and Access Services gives organizations the ability to:

  • Zuweisen eines zentralen Orts für die Verwaltung und Steuerung von Netzwerkanforderungen, um Folgendes anzugeben:Assign a central location for the management and control of network requests to specify:

    • Wer kann eine Verbindung herstellenWho can connect

    • Zu welchen Tageszeiten sind Verbindungen zulässigWhat times of day connections are allowed

    • Dauer der VerbindungenThe duration of connections

    • Sicherheitsstufe, die Clients für die Verbindungsherstellung verwenden müssenThe level of security that clients must use to connect

      Anstatt Richtlinien in jedem VPN oder auf jedem Remotedesktopgateway-Server anzugeben, kann dies erfolgen, nachdem diese einem zentralen Ort zugewiesen wurden.Rather than specify policies on each VPN or Remote Desktop Gateway server, do so after they're in a central location. Das RADIUS-Protokoll wird verwendet, um die zentralisierte Authentifizierung, Autorisierung und Ressourcenerfassung (Authentication, Authorization, Accounting – AAA) bereitzustellen.The RADIUS protocol is used to provide centralized Authentication, Authorization, and Accounting (AAA).

  • Richten Sie Netzwerkzugriffsschutz-Clientintegritätsrichtlinien (Network Access Protection, NAP) ein, die bestimmen, ob Geräten uneingeschränkter oder eingeschränkter Zugriff auf Netzwerkressourcen gewährt wird, und erzwingen Sie deren Durchsetzung.Establish and enforce Network Access Protection (NAP) client health policies that determine whether devices are granted unrestricted or restricted access to network resources.

  • Möglichkeit zum Erzwingen der Authentifizierung und Autorisierung für den Zugriff auf 802.1X-fähige Funkzugriffspunkte und Ethernet-SwitchesProvide a way to enforce authentication and authorization for access to 802.1x-capable wireless access points and Ethernet switches. Weitere Informationen finden Sie unter Netzwerkrichtlinienserver (NPS).For more information, see Network Policy Server.

Um die Sicherheit zu erhöhen und ein hohes Maß an Kompatibilität zu bieten, können Organisationen NPS in Azure Multi-Factor Authentication integrieren, um sicherzustellen, dass Benutzer die zweistufige Überprüfung verwenden, um eine Verbindung mit dem virtuellen Port auf dem VPN-Server herzustellen.To enhance security and provide a high level of compliance, organizations can integrate NPS with Azure Multi-Factor Authentication to ensure that users use two-step verification to connect to the virtual port on the VPN server. Damit Benutzern Zugriff gewährt wird, müssen sie die von ihnen festgelegte Kombination aus Benutzername und Kennwort und andere Informationen angeben.For users to be granted access, they must provide their username and password combination and other information that they control. Diese Informationen müssen vertrauenswürdig und dürfen nicht problemlos duplizierbar sein.This information must be trusted and not easily duplicated. Dazu gehören z.B. eine Mobiltelefonnummer, eine Festnetznummer oder eine Anwendung auf einem mobilen Gerät.It can include a cell phone number, a landline number, or an application on a mobile device.

Vor der Verfügbarkeit der NPS-Erweiterung für Azure mussten Kunden, die die zweistufige Überprüfung für integrierte NPS- und MFA-Umgebungen implementieren wollten, einen separaten MFA-Server in einer lokalen Umgebung konfigurieren und verwalten.Prior to the availability of the NPS extension for Azure, customers who wanted to implement two-step verification for integrated NPS and MFA environments had to configure and maintain a separate MFA server in an on-premises environment. Dieser Authentifizierungstyp wird vom Remotedesktopgateway- und Azure Multi-Factor Authentication-Server mithilfe von RADIUS zur Verfügung gestellt.This type of authentication is offered by Remote Desktop Gateway and Azure Multi-Factor Authentication Server using RADIUS.

Mit der NPS-Erweiterung für Azure können Organisationen entweder eine lokal basierte oder eine cloudbasierte MFA-Lösung zum Schützen der RADIUS-Clientauthentifizierung bereitstellen.With the NPS extension for Azure, organizations can secure RADIUS client authentication by deploying either an on-premises based MFA solution or a cloud-based MFA solution.

AuthentifizierungsflussAuthentication flow

Wenn Benutzer eine Verbindung mit einem virtuellen Port auf einem VPN-Server herstellen, müssen sie sich zunächst mit verschiedensten Protokollen authentifizieren.When users connect to a virtual port on a VPN server, they must first authenticate by using a variety of protocols. Die Protokolle ermöglichen die Verwendung einer Kombination aus Benutzername und Kennwort sowie zertifikatbasierte Authentifizierungsmethoden.The protocols allow the use of a combination of user name and password and certificate-based authentication methods.

Zusätzlich zur Authentifizierung und Identitätsüberprüfung müssen Benutzer über die entsprechenden Einwahlberechtigungen verfügen.In addition to authenticating and verifying their identity, users must have the appropriate dial-in permissions. In einfachen Implementierungen werden Einwahlberechtigungen, die Zugriff gewährleisten, direkt in den Active Directory-Benutzerobjekten festgelegt.In simple implementations, dial-in permissions that allow access are set directly on the Active Directory user objects.

Registerkarte „Einwählen“ in den Benutzereigenschaften von „Active Directory-Benutzer und-Computer“

In einfachen Implementierungen gewährt oder verweigert jeder VPN-Server den Zugriff basierend auf Richtlinien, die auf jedem lokalen VPN-Server definiert werden.In simple implementations, each VPN server grants or denies access based on policies that are defined on each local VPN server.

In größeren und besser skalierbaren Implementierungen befinden sich die Richtlinien, die VPN-Zugriff gewähren oder verweigern, zentral auf RADIUS-Servern.In larger and more scalable implementations, the policies that grant or deny VPN access are centralized on RADIUS servers. In diesen Fällen fungiert der VPN-Server als Zugriffsserver (RADIUS-Client), der Verbindungsanforderungen und Ressourcenerfassungsnachrichten an einen RADIUS-Server weiterleitet.In these cases, the VPN server acts as an access server (RADIUS client) that forwards connection requests and account messages to a RADIUS server. Um eine Verbindung mit dem virtuellen Port auf dem VPN-Server herzustellen, müssen Benutzer authentifiziert werden und die zentral auf RADIUS-Servern definierten Bedingungen erfüllen.To connect to the virtual port on the VPN server, users must be authenticated and meet the conditions that are defined centrally on RADIUS servers.

Wenn die NPS-Erweiterung für Azure im NPS integriert ist, gestaltet sich ein erfolgreicher Authentifizierungsablauf wie folgt:When the NPS extension for Azure is integrated with the NPS, a successful authentication flow results, as follows:

  1. Der VPN-Server empfängt von einem VPN-Benutzer eine Authentifizierungsanforderung, die den Benutzernamen und das Kennwort zum Herstellen der Verbindung mit einer Ressource (z.B. einer Remotedesktopsitzung) enthält.The VPN server receives an authentication request from a VPN user that includes the username and password for connecting to a resource, such as a Remote Desktop session.
  2. Als RADIUS-Client fungierend konvertiert der VPN-Server die Anforderung in eine RADIUS-Zugriffsanforderungsnachricht und sendet diese (mit einem verschlüsselten Kennwort) an den RADIUS-Server, auf dem die NPS-Erweiterung installiert ist.Acting as a RADIUS client, the VPN server converts the request to a RADIUS Access-Request message and sends it (with an encrypted password) to the RADIUS server where the NPS extension is installed.
  3. Die Kombination aus Benutzername und Kennwort wird in Active Directory überprüft.The username and password combination is verified in Active Directory. Wenn der Benutzername oder das Kennwort falsch ist, sendet der RADIUS-Server eine Zugriffsverweigerungsnachricht.If either the username or password is incorrect, the RADIUS Server sends an Access-Reject message.
  4. Wenn alle Bedingungen entsprechend den Angaben in der NPS-Verbindungsanforderung und den Netzwerkrichtlinien erfüllt sind (z.B. Uhrzeit- oder Gruppenmitgliedschaftseinschränkungen), löst die NPS-Erweiterung eine Anforderung der sekundären Authentifizierung mit Azure Multi-Factor Authentication aus.If all conditions, as specified in the NPS Connection Request and Network Policies, are met (for example, time of day or group membership restrictions), the NPS extension triggers a request for secondary authentication with Azure Multi-Factor Authentication.
  5. Azure Multi-Factor Authentication kommuniziert mit Azure Active Directory, ruft die Details des Benutzers ab und führt die sekundäre Authentifizierung mithilfe der Überprüfungsmethode aus, die vom Benutzer konfiguriert wurde (Anruf auf dem Mobiltelefon, Textnachricht oder mobile App).Azure Multi-Factor Authentication communicates with Azure Active Directory, retrieves the user’s details, and performs the secondary authentication by using the method that's configured by the user (cell phone call, text message, or mobile app).
  6. Bei erfolgreicher MFA-Überprüfung kommuniziert Azure Multi-Factor Authentication das Ergebnis an die NPS-Erweiterung.When the MFA challenge is successful, Azure Multi-Factor Authentication communicates the result to the NPS extension.
  7. Nach Authentifizierung und Autorisierung des Verbindungsversuchs sendet der Netzwerkrichtlinienserver, auf dem die Erweiterung installiert ist, eine RADIUS-Zugriffsakzeptierungsnachricht an den VPN-Server (RADIUS-Client).After the connection attempt is both authenticated and authorized, the NPS where the extension is installed sends a RADIUS Access-Accept message to the VPN server (RADIUS client).
  8. Der Benutzer erhält Zugriff auf den virtuellen Port des VPN-Servers und richtet einen verschlüsselten VPN-Tunnel ein.The user is granted access to the virtual port on the VPN server and establishes an encrypted VPN tunnel.

VoraussetzungenPrerequisites

In diesem Abschnitt werden die erforderlichen Voraussetzungen zur Integration von MFA in das VPN ausführlich beschrieben.This section details the prerequisites that must be completed before you can integrate MFA with the VPN. Bevor Sie beginnen, müssen folgende Voraussetzungen erfüllt und eingerichtet sein:Before you begin, you must have the following prerequisites in place:

  • VPN-InfrastrukturVPN infrastructure
  • Rolle „Netzwerkrichtlinien- und Zugriffsdienste“Network Policy and Access Services role
  • Azure Multi-Factor Authentication-LizenzAzure Multi-Factor Authentication license
  • Windows Server-SoftwareWindows Server software
  • BibliothekenLibraries
  • Azure Active Directory (Azure AD) synchronisiert mit der lokalen Active Directory-InstanzAzure Active Directory (Azure AD) synced with on-premises Active Directory
  • GUID-ID von Azure Active DirectoryAzure Active Directory GUID ID

VPN-InfrastrukturVPN infrastructure

In diesem Artikel wird davon ausgegangen, dass Sie über eine funktionierende VPN-Infrastruktur mit Microsoft Windows Server 2016 verfügen und dass der VPN-Server aktuell nicht zum Weiterleiten von Verbindungsanforderungen an einen RADIUS-Server konfiguriert ist.This article assumes that you have a working VPN infrastructure that uses Microsoft Windows Server 2016 and that your VPN server is currently not configured to forward connection requests to a RADIUS server. In diesem Artikel konfigurieren Sie die VPN-Infrastruktur zur Verwendung eines zentralen RADIUS-Servers.In the article, you configure the VPN infrastructure to use a central RADIUS server.

Wenn Sie nicht über eine funktionierende VPN-Infrastruktur verfügen, können Sie sie schnell anhand der Anleitungen in zahlreichen Tutorials zum VPN-Setup erstellen, die Sie auf den Websites von Microsoft und Drittanbietern finden.If you do not have a working VPN infrastructure in place, you can quickly create one by following the guidance in numerous VPN setup tutorials that you can find on the Microsoft and third-party sites.

Rolle „Netzwerkrichtlinien- und Zugriffsdienste“The Network Policy and Access Services role

Die Rolle „Netzwerkrichtlinien- und Zugriffsdienste“ bietet die RADIUS-Funktionen für Server und Client.Network Policy and Access Services provides the RADIUS server and client functionality. In diesem Artikel wird davon ausgegangen, dass Sie die Rolle „Netzwerkrichtlinien- und Zugriffsdienste“ auf einem Mitgliedsserver oder Domänencontroller in Ihrer Umgebung installiert haben.This article assumes that you have installed the Network Policy and Access Services role on a member server or domain controller in your environment. In dieser Anleitung konfigurieren Sie RADIUS für eine VPN-Konfiguration.In this guide, you configure RADIUS for a VPN configuration. Installieren Sie die Rolle „Netzwerkrichtlinien- und Zugriffsdienste“ auf einem anderen Server als Ihrem VPN-Server.Install the Network Policy and Access Services role on a server other than your VPN server.

Informationen zum Installieren des Rollendiensts „Netzwerkrichtlinien- und Zugriffsdienste“ für Windows Server 2012 oder älter finden Sie unter Install a NAP Health Policy Server (Installieren eines NAP-Integritätsrichtlinienservers).For information about installing the Network Policy and Access Services role service Windows Server 2012 or later, see Install a NAP Health Policy Server. Der Netzwerkzugriffsschutz (NAP) ist in Windows Server 2016 veraltet.NAP is deprecated in Windows Server 2016. Eine Beschreibung der bewährten Methoden für NPS einschließlich der Empfehlung zum Installieren von NPS auf einem Domänencontroller finden Sie unter Best Practices for NPS (Bewährte Methoden für NPS).For a description of best practices for NPS, including the recommendation to install NPS on a domain controller, see Best practices for NPS.

Azure MFA-LizenzAzure MFA License

Für Azure Multi-Factor Authentication ist eine Lizenz erforderlich. Diese ist über eine Azure AD Premium-, eine Enterprise Mobility + Security- oder eine eigenständige Multi-Factor Authentication-Lizenz verfügbar.A license is required for Azure Multi-Factor Authentication, and it is available through an Azure AD Premium, Enterprise Mobility + Security, or a Multi-Factor Authentication stand-alone license. Verbrauchsbasierte Lizenzen für Azure MFA, z.B. pro Benutzer oder pro Authentifizierungslizenz, sind mit der NPS-Erweiterung nicht kompatibel.Consumption-based licenses for Azure MFA such as per user or per authentication licenses are not compatible with the NPS extension. Weitere Informationen finden Sie unter Beziehen von Azure Multi-Factor Authentication.For more information, see How to get Azure Multi-Factor Authentication. Zu Testzwecken können Sie ein Testabonnement verwenden.For testing purposes, you can use a trial subscription.

Windows Server-SoftwareWindows Server software

Die NPS-Erweiterung erfordert Windows Server 2008 R2 SP1 oder höher mit installierter Rolle „Netzwerkrichtlinien- und Zugriffsdienste“.The NPS extension requires Windows Server 2008 R2 SP1 or later, with the Network Policy and Access Services role installed. Alle Schritte in dieser Anleitung wurden unter Windows Server 2016 ausgeführt.All the steps in this guide were performed with Windows Server 2016.

BibliothekenLibraries

Die folgenden Bibliotheken werden automatisch mit der NPS-Erweiterung installiert:The following libraries are installed automatically with the NPS extension:

Sofern das Microsoft Azure Active Directory PowerShell-Modul nicht bereits vorhanden ist, wird es mit einem Konfigurationsskript installiert, das Sie als Teil des Installationsvorgangs ausführen.If the Microsoft Azure Active Directory PowerShell Module is not already present, it is installed with a configuration script that you run as part of the setup process. Es ist nicht erforderlich, das Modul vorab zu installieren, wenn es nicht bereits installiert ist.There is no need to install the module ahead of time if it is not already installed.

Azure Active Directory synchronisiert mit der lokalen Active Directory-InstanzAzure Active Directory synced with on-premises Active Directory

Um die NPS-Erweiterung zu verwenden, müssen lokale Benutzer mit Azure Active Directory synchronisiert und für MFA aktiviert werden.To use the NPS extension, on-premises users must be synced with Azure Active Directory and enabled for MFA. In dieser Anleitung wird vorausgesetzt, dass lokale Benutzer über AD Connect mit Azure Active Directory synchronisiert werden.This guide assumes that on-premises users are synced with Azure Active Directory via Azure AD Connect. Anweisungen zum Aktivieren von Benutzern für MFA siehe unten.Instructions for enabling users for MFA are provided below.

Informationen zu Azure AD Connect finden Sie unter Integrieren Ihrer lokalen Verzeichnisse in Azure Active Directory.For information about Azure AD Connect, see Integrate your on-premises directories with Azure Active Directory.

GUID-ID von Azure Active DirectoryAzure Active Directory GUID ID

Um die NPS-Erweiterung zu installieren, müssen Sie die GUID von Azure Active Directory kennen.To install the NPS extension, you need to know the GUID of the Azure Active Directory. Anweisungen zum Ermitteln der GUID von Azure Active Directory finden Sie im nächsten Abschnitt.Instructions for finding the GUID of the Azure Active Directory are provided in the next section.

Konfigurieren von RADIUS für VPN-VerbindungenConfigure RADIUS for VPN connections

Wenn Sie die NPS-Rolle auf einem Mitgliedsserver installiert haben, müssen Sie sie zum Authentifizieren und Autorisieren des VPN-Clients, der VPN-Verbindungen anfordert, konfigurieren.If you have installed the NPS role on a member server, you need to configure it to authenticate and authorize the VPN client that requests VPN connections.

In diesem Abschnitt wird davon ausgegangen, dass Sie die Rolle „Netzwerkrichtlinien- und Zugriffsdienste“ installiert, aber noch nicht für die Verwendung in Ihrer Infrastruktur konfiguriert haben.This section assumes that you have installed the Network Policy and Access Services role but have not configured it for use in your infrastructure.

Hinweis

Wenn Sie bereits über einen funktionierenden VPN-Server verfügen, der einen zentralisierten RADIUS-Server für die Authentifizierung verwendet, können Sie diesen Abschnitt überspringen.If you already have a working VPN server that uses a centralized RADIUS server for authentication, you can skip this section.

Registrieren des Servers in Active DirectoryRegister Server in Active Directory

Die ordnungsgemäße Funktionsweise des NPS-Servers in diesem Szenario setzt seine Registrierung in Active Directory voraus.To function properly in this scenario, the NPS server must be registered in Active Directory.

  1. Öffnen Sie den Server-Manager.Open Server Manager.

  2. Wählen Sie im Server-Manager Extras und dann Netzwerkrichtlinienserver aus.In Server Manager, select Tools, and then select Network Policy Server.

  3. Klicken Sie in der Netzwerkrichtlinienserver-Konsole mit der rechten Maustaste auf NPS (Lokal) , und wählen Sie dann Server in Active Directory registrieren aus.In the Network Policy Server console, right-click NPS (Local), and then select Register server in Active Directory. Wählen Sie zweimal OK aus.Select OK two times.

    Menüoption „Server in Active Directory registrieren“

  4. Lassen Sie die Konsole für den nächsten Vorgang geöffnet.Leave the console open for the next procedure.

Verwenden des Assistenten zum Konfigurieren des RADIUS-ServersUse wizard to configure the RADIUS server

Sie können eine standardmäßige (assistentenbasierte) oder die erweiterte Konfigurationsoption zum Konfigurieren des RADIUS-Servers verwenden.You can use a standard (wizard-based) or advanced configuration option to configure the RADIUS server. In diesem Abschnitt wird davon ausgegangen, dass Sie die Option zur assistentenbasierten Standardkonfiguration verwenden.This section assumes that you're using the wizard-based standard configuration option.

  1. Wählen Sie in der Netzwerkrichtlinienserver-Konsole die Option NPS (Lokal) aus.In the Network Policy Server console, select NPS (Local).

  2. Wählen Sie unter Standardkonfiguration die Option RADIUS-Server für Einwähl- oder VPN-Verbindungen und dann VPN oder DFÜ konfigurieren aus.Under Standard Configuration, select RADIUS Server for Dial-Up or VPN Connections, and then select Configure VPN or Dial-Up.

    RADIUS-Server für Einwähl- oder VPN-Verbindungen konfigurieren

  3. Wählen Sie im Fenster Auswählen des Einwähl- oder VPN-Verbindungstyps die Option Verbindungen für virtuelles privates Netzwerk (VPN) und dann Weiter aus.In the Select Dial-up or Virtual Private Network Connections Type window, select Virtual Private Network Connections, and then select Next.

    Verbindungen für virtuelles privates Netzwerk konfigurieren

  4. Wählen Sie im Fenster Angeben des Einwähl- oder VPN-Servers die Option Hinzufügen aus.In the Specify Dial-Up or VPN Server window, select Add.

  5. Geben Sie im Fenster Neuer RADIUS-Client einen Anzeigenamen an, und geben Sie den auflösbaren Namen oder die IP-Adresse des VPN-Servers und dann ein gemeinsames geheimes Kennwort ein.In the New RADIUS client window, provide a friendly name, enter the resolvable name or IP address of the VPN server, and then enter a shared secret password. Das gemeinsame geheime Kennwort sollte lang und komplex sein.Make the shared secret password long and complex. Notieren Sie es, da Sie es im nächsten Abschnitt benötigen.Record it, because you'll need it in the next section.

    Fenster „Neuer RADIUS-Client“

  6. Wählen Sie OK und anschließend Weiter aus.Select OK, and then select Next.

  7. Akzeptieren Sie im Fenster Authentifizierungsmethoden konfigurieren die Standardauswahl Microsoft-verschlüsselte Authentifizierung, Version 2 (MS-CHAPv2) , oder wählen Sie eine andere Option aus. Wählen Sie dann Weiter aus.In the Configure Authentication Methods window, accept the default selection (Microsoft Encrypted Authentication version 2 [MS-CHAPv2]) or choose another option, and select Next.

    Hinweis

    Wenn Sie das Extensible Authentication-Protokoll (EAP) konfigurieren, müssen Sie entweder das Microsoft Challenge Handshake Authentication-Protokoll (CHAPv2) oder das Protected Extensible Authentication-Protokoll (PEAP) verwenden.If you configure Extensible Authentication Protocol (EAP), you must use either Microsoft Challenge-Handshake Authentication Protocol (CHAPv2) or Protected Extensible Authentication Protocol (PEAP). Kein anderes EAP wird unterstützt.No other EAP is supported.

  8. Wählen Sie im Fenster Benutzergruppen angeben die Option Hinzufügen und anschließend eine entsprechende Gruppe aus.In the Specify User Groups window, select Add, and then select an appropriate group. Wenn keine Gruppe vorhanden ist, lassen Sie die Auswahl leer, um allen Benutzern Zugriff zu gewähren.If no group exists, leave the selection blank to grant access to all users.

    Fenster „Benutzergruppen angeben“ zum Zulassen oder Verweigern des Zugriffs

  9. Klicken Sie auf Weiter.Select Next.

  10. Wählen Sie im Fenster Angeben von IP-Filtern die Option Weiter aus.In the Specify IP Filters window, select Next.

  11. Akzeptieren Sie im Fenster Angeben von Verschlüsselungseinstellungen die Standardeinstellungen, und wählen Sie dann Weiter aus.In the Specify Encryption Settings window, accept the default settings, and then select Next.

    Fenster „Angeben von Verschlüsselungseinstellungen“

  12. Lassen Sie im Fenster Bereichsname angeben den Bereichsnamen leer, akzeptieren Sie die Standardeinstellung, und wählen Sie Weiter aus.In the Specify a Realm Name window, leave the realm name blank, accept the default setting, and then select Next.

    Fenster „Bereichsname angeben“

  13. Wählen Sie im Fenster Abschließen der neuen Einwähl- oder VPN-Verbindungen und RADIUS-Clients die Option Fertig stellen aus.In the Completing New Dial-up or Virtual Private Network Connections and RADIUS clients window, select Finish.

    Fenster der abgeschlossenen Konfiguration

Überprüfen der RADIUS-KonfigurationVerify the RADIUS configuration

In diesem Abschnitt wird die Konfiguration erörtert, die Sie mithilfe des Assistenten erstellt haben.This section details the configuration you created by using the wizard.

  1. Erweitern Sie auf dem Netzwerkrichtlinienserver in der Konsole „NPS (Lokal)“ den Eintrag RADIUS-Clients, und wählen Sie RADIUS-Clients aus.On the Network Policy Server, in the NPS (local) console, expand RADIUS Clients, and then select RADIUS Clients.

  2. Klicken Sie im Detailbereich mit der rechten Maustaste auf den RADIUS-Client, den Sie erstellt haben, und wählen Sie dann Eigenschaften aus.In the details pane, right-click the RADIUS client that you created, and then select Properties. Die Eigenschaften des RADIUS-Clients (der VPN-Server) sollten denen hier dargestellten entsprechen:The properties of your RADIUS client (the VPN server) should be like those shown here:

    VPN-Eigenschaften und -Konfiguration überprüfen

  3. Wählen Sie Abbrechen aus.Select Cancel.

  4. Erweitern Sie auf dem Netzwerkrichtlinienserver in der Konsole „NPS (Lokal)“ den Eintrag Richtlinien, und wählen Sie Verbindungsanforderungsrichtlinien aus.On the Network Policy Server, in the NPS (local) console, expand Policies, and then select Connection Request Policies. Die Richtlinie für VPN-Verbindungen wird angezeigt, wie in der folgenden Abbildung dargestellt:The VPN Connections policy is displayed as shown in the following image:

    Fenster „Verbindungsanforderungsrichtlinien“ mit der Richtlinie für VPN-Verbindungen

  5. Wählen Sie unter Richtlinien die Option Netzwerkrichtlinien aus.Under Policies, select Network Policies. Eine Richtlinie für VPN-Verbindungen sollte angezeigt werden und der Richtlinie in der folgenden Abbildung ähneln:You should see a Virtual Private Network (VPN) Connections policy that resembles the policy shown in the following image:

    Fenster „Netzwerkrichtlinien“ mit der Richtlinie für VPN-Verbindungen

Konfigurieren des VPN-Servers zur Verwendung der RADIUS-AuthentifizierungConfigure your VPN server to use RADIUS authentication

In diesem Abschnitt konfigurieren Sie Ihren VPN-Server zur Verwendung der RADIUS-Authentifizierung.In this section, you configure your VPN server to use RADIUS authentication. Bei den Anweisungen wird vorausgesetzt, dass Sie über eine funktionsfähige Konfiguration eines VPN-Servers verfügen, ihn jedoch nicht zur Verwendung der RADIUS-Authentifizierung konfiguriert haben.The instructions assume that you have a working configuration of a VPN server but have not configured it to use RADIUS authentication. Prüfen Sie nach dem Konfigurieren des VPN-Servers, ob die Konfiguration wie erwartet funktioniert.After you configure the VPN server, confirm that your configuration is working as expected.

Hinweis

Wenn Sie bereits über eine funktionierende VPN-Serverkonfiguration verfügen, die die RADIUS-Authentifizierung verwendet, können Sie diesen Abschnitt überspringen.If you already have a working VPN server configuration that uses RADIUS authentication, you can skip this section.

Konfigurieren des AuthentifizierungsanbietersConfigure authentication provider

  1. Öffnen Sie auf dem VPN-Server den Server-Manager.On the VPN server, open Server Manager.

  2. Wählen Sie im Server-Manager die Option Tools und dann Routing und RAS aus.In Server Manager, select Tools, and then select Routing and Remote Access.

  3. Klicken Sie im Fenster Routing und RAS mit der rechten Maustaste auf <Servername> (Lokal) , und wählen Sie dann Eigenschaften aus.In the Routing and Remote Access window, right-click <server name> (local), and then select Properties.

  4. Wählen Sie im Fenster <Servername> (Lokal) Eigenschaften die Registerkarte Sicherheit aus.In the <server name> (local) Properties window, select the Security tab.

  5. Wählen Sie auf der Registerkarte Sicherheit unter Authentifizierungsanbieter die Option RADIUS-Authentifizierung und dann Konfigurieren aus.On the Security tab, under Authentication provider, select RADIUS Authentication, and then select Configure.

    RADIUS-Authentifizierungsanbieter konfigurieren

  6. Wählen Sie im Fenster RADIUS-Authentifizierung die Option Hinzufügen aus.In the RADIUS Authentication window, select Add.

  7. Gehen Sie im Fenster RADIUS-Server hinzufügen folgendermaßen vor:In the Add RADIUS Server window, do the following:

    a.a. Geben Sie im Feld Servername den Namen oder die IP-Adresse des RADIUS-Servers ein, den Sie im vorherigen Abschnitt konfiguriert haben.In the Server name box, enter the name or IP address of the RADIUS server that you configured in the previous section.

    b.b. Wählen Sie für Gemeinsamer geheimer Schlüssel die Schaltfläche Ändern aus, und geben Sie das gemeinsame geheime Kennwort ein, das Sie zuvor erstellt und notiert haben.For the Shared secret, select Change, and then enter the shared secret password that you created and recorded earlier.

    c.c. Geben Sie im Feld „Timeout (Sekunden)“ den Wert 30 ein.In the Time-out (seconds) box, enter a value of 30.
    Der Timeoutwert ist erforderlich, damit genügend Zeit für den Abschluss des zweiten Authentifizierungsfaktors bleibt.The timeout value is necessary to allow enough time to complete the second authentication factor.

    Fenster „RADIUS-Server hinzufügen“, in dem der Timeoutwert ausgewählt wird

  8. Klicken Sie auf OK.Select OK.

Testen der VPN-KonnektivitätTest VPN connectivity

In diesem Abschnitt prüfen Sie, ob der VPN-Client vom RADIUS-Server authentifiziert und autorisiert wird, wenn Sie versuchen, eine Verbindung mit dem virtuellen VPN-Port herzustellen.In this section, you confirm that the VPN client is authenticated and authorized by the RADIUS server when you attempt to connect to the VPN virtual port. Bei den Anweisungen wird davon ausgegangen, dass Sie Windows 10 als VPN-Client verwenden.The instructions assume that you are using Windows 10 as a VPN client.

Hinweis

Wenn Sie bereits einen VPN-Client zum Herstellen einer Verbindung mit dem VPN-Server konfiguriert und die Einstellungen gespeichert haben, können Sie die Schritte zum Konfigurieren und Speichern eines VPN-Verbindungsobjekts überspringen.If you already configured a VPN client to connect to the VPN server and have saved the settings, you can skip the steps related to configuring and saving a VPN connection object.

  1. Wählen Sie auf Ihrem VPN-Clientcomputer die Schaltfläche Start und dann die Schaltfläche Einstellungen aus.On your VPN client computer, select the Start button, and then select the Settings button.

  2. Wählen Sie im Fenster Windows-Einstellungen die Option Netzwerk und Internet aus.In the Windows Settings window, select Network & Internet.

  3. Wählen Sie VPN aus.Select VPN.

  4. Wählen Sie VPN-Verbindung hinzufügen aus.Select Add a VPN connection.

  5. Wählen Sie im Fenster VPN-Verbindung hinzufügen im Feld VPN-Anbieter die Option Windows (integriert) aus, füllen Sie die verbleibenden Felder nach Bedarf aus, und wählen Sie dann Speichern aus.In the Add a VPN connection window, in the VPN provider box, select Windows (built-in), complete the remaining fields, as appropriate, and then select Save.

    Fenster „VPN-Verbindung hinzufügen“

  6. Wechseln Sie zur Systemsteuerung, und wählen Sie Netzwerk- und Freigabecenter aus.Go to Control Panel, and then select Network and Sharing Center.

  7. Wählen Sie Adaptereinstellungen ändern aus.Select Change adapter settings.

    Netzwerk- und Freigabecenter: Adaptereinstellungen ändern

  8. Klicken Sie mit der rechten Maustaste auf die VPN-Netzwerkverbindung, und wählen Sie Eigenschaften aus.Right-click the VPN network connection, and then select Properties.

  9. Wählen Sie im Fenster der VPN-Eigenschaften die Registerkarte Sicherheit aus.In the VPN properties window, select the Security tab.

  10. Stellen Sie auf der Registerkarte Sicherheit sicher, dass nur Microsoft CHAP, Version 2 (MS-CHAP v2) ausgewählt ist, und wählen Sie dann OK aus.On the Security tab, ensure that only Microsoft CHAP Version 2 (MS-CHAP v2) is selected, and then select OK.

    Option „Folgende Protokolle zulassen“

  11. Klicken Sie mit der rechten Maustaste auf die VPN-Verbindung, und wählen Sie Verbinden aus.Right-click the VPN connection, and then select Connect.

  12. Wählen Sie im Fenster Einstellungen die Option Verbinden aus.In the Settings window, select Connect.
    Eine erfolgreiche Verbindung wird im Sicherheitsprotokoll auf dem RADIUS-Server als Ereignis-ID 6272 angezeigt, wie hier dargestellt:A successful connection appears in the Security log, on the RADIUS server, as Event ID 6272, as shown here:

    Fenster „Ereigniseigenschaften“, in dem eine erfolgreiche Verbindung angezeigt wird

Problembehandlung für RADIUSTroubleshooting RADIUS

Angenommen, Ihre VPN-Konfiguration funktionierte vor der Konfiguration des VPN-Servers zur Verwendung eines zentralisierten RADIUS-Servers für die Authentifizierung und Autorisierung ordnungsgemäß.Assume that your VPN configuration was working before you configured the VPN server to use a centralized RADIUS server for authentication and authorization. Wenn die Konfiguration ordnungsgemäß funktioniert, wird das Problem wahrscheinlich durch eine fehlerhafte Konfiguration des RADIUS-Servers oder die Verwendung eines ungültigen Benutzernamens oder Kennworts verursacht.If the configuration was working, it is likely that the issue is caused by a misconfiguration of the RADIUS server or the use of an invalid username or password. Wenn Sie beispielsweise das alternative UPN-Suffix im Benutzernamen verwenden, kann beim Anmeldeversuch ein Fehler auftreten.For example, if you use the alternate UPN suffix in the username, the sign-in attempt might fail. Verwenden Sie den gleichen Kontonamen, um beste Ergebnisse zu erzielen.Use the same account name for best results.

Um diese Probleme zu beheben, ist die Untersuchung der Sicherheitsereignisprotokolle auf dem RADIUS-Server ein idealer Ausgangspunkt.To troubleshoot these issues, an ideal place to start is to examine the Security event logs on the RADIUS server. Um bei der Suche nach Ereignissen Zeit zu sparen, können Sie, wie hier gezeigt, die rollenbasierte benutzerdefinierte Netzwerkrichtlinien- und Zugriffsserveransicht in der Ereignisanzeige verwenden.To save time searching for events, you can use the role-based Network Policy and Access Server custom view in Event Viewer, as shown here. Ereignis-ID 6273 zeigt Ereignisse an, bei denen der Netzwerkrichtlinienserver einem Benutzer den Zugriff verweigert hat."Event ID 6273" indicates events where the NPS denied access to a user.

Ereignisanzeige mit NPAS-Ereignissen

Konfigurieren der Multi-Factor AuthenticationConfigure Multi-Factor Authentication

Unterstützung für das Konfigurieren von Benutzern für die Multi-Factor Authentication finden Sie in den Artikeln „Planen einer cloudbasierten Azure Multi-Factor Authentication-Bereitstellung“ und „Einrichten meines Kontos für die zweistufige Überprüfung“.For assistance configuring users for Multi-Factor Authentication see the articles Planning a cloud-based Azure Multi-Factor Authentication deployment and Set up my account for two-step verification

Installieren und Konfigurieren der NPS-ErweiterungInstall and configure the NPS extension

Dieser Abschnitt enthält Anweisungen zum Konfigurieren von VPN zur Verwendung der MFA für die Clientauthentifizierung mit dem VPN-Server.This section provides instructions for configuring VPN to use MFA for client authentication with the VPN server.

Nachdem Sie die NPS-Erweiterung installiert und konfiguriert haben, muss bei jeder von diesem Server verarbeiteten RADIUS-basierten Clientauthentifizierung MFA verwendet werden.After you install and configure the NPS extension, all RADIUS-based client authentication that is processed by this server is required to use MFA. Wenn nicht alle VPN-Benutzer bei Azure Multi-Factor Authentication registriert sind, haben Sie folgende Möglichkeiten:If all your VPN users are not enrolled in Azure Multi-Factor Authentication, you can do either of the following:

  • Einrichten eines anderen RADIUS-Servers zum Authentifizieren von Benutzern, die nicht zur Verwendung von MFA konfiguriert sindSet up another RADIUS server to authenticate users who are not configured to use MFA.

  • Erstellen eines Registrierungseintrags, der Benutzern ermöglicht, einen zweiten Authentifizierungsfaktor anzugeben, wenn sie bei Multi-Factor Authentication registriert sindCreate a registry entry that allows challenged users to provide a second authentication factor if they are enrolled in Azure Multi-Factor Authentication.

Erstellen Sie einen neuen Zeichenfolgenwert mit dem Namen REQUIRE_USER_MATCH in HKLM\SOFTWARE\Microsoft\AzureMfa, und legen Sie den Wert auf True oder False fest.Create a new string value named REQUIRE_USER_MATCH in HKLM\SOFTWARE\Microsoft\AzureMfa, and set the value to True or False.

Einstellung „Benutzerabgleich erfordern“

Wenn der Wert auf True festgelegt oder leer ist, unterliegen alle Authentifizierungsanforderungen einer MFA-Überprüfung.If the value is set to True or is blank, all authentication requests are subject to an MFA challenge. Wenn der Wert auf False festgelegt ist, werden MFA-Überprüfungen nur für Benutzer ausgegeben, die bei Azure Multi-Factor Authentication registriert sind.If the value is set to False, MFA challenges are issued only to users who are enrolled in Azure Multi-Factor Authentication. Verwenden Sie die Einstellung False nur während eines Onboardingzeitraums in Test- oder Produktionsumgebungen.Use the False setting only in testing or in production environments during an onboarding period.

Abrufen der Azure Active Directory-GUID-IDObtain the Azure Active Directory GUID ID

Im Rahmen der Konfiguration der NPS-Erweiterung müssen Sie Administratoranmeldeinformationen und die ID Ihres Azure AD-Mandanten angeben.As part of the configuration of the NPS extension, you must supply administrator credentials and the ID of your Azure AD tenant. Rufen Sie die ID mit den folgenden Schritten ab:Obtain the ID by doing the following:

  1. Melden Sie sich im Azure-Portal als globaler Administrator des Azure-Mandanten an.Sign in to the Azure portal as the global administrator of the Azure tenant.

  2. Wählen Sie im linken Bereich die Schaltfläche Azure Active Directory aus.In the left pane, select the Azure Active Directory button.

  3. Wählen Sie Eigenschaften aus.Select Properties.

  4. Wählen Sie zum Kopieren Ihrer Azure AD-ID die Schaltfläche Kopieren aus.To copy your Azure AD ID, select the Copy button.

    Azure AD-Verzeichnis-ID im Azure-Portal

Installieren der NPS-ErweiterungInstall the NPS extension

Die NPS-Erweiterung muss auf einem Server installiert sein, auf dem die Rolle „Netzwerkrichtlinien- und Zugriffsdienste“ installiert ist und der in Ihrem Entwurf als RADIUS-Server dient.The NPS extension must be installed on a server that has the Network Policy and Access Services role installed and that functions as the RADIUS server in your design. Installieren Sie die NPS-Erweiterung nicht auf Ihrem VPN-Server.Do not install the NPS extension on your VPN server.

  1. Laden Sie die NPS-Erweiterung aus dem Microsoft Download Center herunter.Download the NPS extension from Microsoft Download Center.

  2. Kopieren Sie die ausführbare Setupdatei (NpsExtnForAzureMfaInstaller.exe) auf den NPS-Server.Copy the setup executable file (NpsExtnForAzureMfaInstaller.exe) to the NPS server.

  3. Doppelklicken Sie auf dem NPS-Server auf NpsExtnForAzureMfaInstaller.exe, und wählen Sie nach Aufforderung die Option Ausführen aus.On the NPS server, double-click NpsExtnForAzureMfaInstaller.exe and, if you are prompted, select Run.

  4. Überprüfen Sie im Fenster NPS-Erweiterung für Azure MFA-Setup die Softwarelizenzbedingungen, aktivieren Sie das Kontrollkästchen Ich stimme den Lizenzbedingungen zu, und wählen Sie dann Installieren aus.In the NPS Extension For Azure MFA Setup window, review the software license terms, select the I agree to the license terms and conditions check box, and then select Install.

    Fenster „NPS-Erweiterung für Azure MFA-Setup“

  5. Wählen Sie im Fenster NPS-Erweiterung für Azure MFA-Setup die Option Schließen aus.In the NPS Extension For Azure MFA Setup window, select Close.

    Bestätigungsfenster „Das Setup war erfolgreich.“

Konfigurieren von Zertifikaten für die Verwendung mit der NPS-Erweiterung mithilfe eines PowerShell-SkriptsConfigure certificates for use with the NPS extension by using a PowerShell script

Um die sichere Kommunikation zu gewährleisten, konfigurieren Sie Zertifikate für die Verwendung durch die NPS-Erweiterung.To ensure secure communications and assurance, configure certificates for use by the NPS extension. Die NPS-Komponenten umfassen ein Windows PowerShell-Skript, das ein selbstsigniertes Zertifikat zur Verwendung mit NPS konfiguriert.The NPS components include a Windows PowerShell script that configures a self-signed certificate for use with NPS.

Dieses Skript führt folgende Aktionen aus:The script performs the following actions:

  • Erstellen eines selbstsignierten ZertifikatsCreates a self-signed certificate.
  • Zuordnen des öffentlichen Schlüssels des Zertifikats zum Dienstprinzipal in Azure ADAssociates the public key of the certificate to the service principal on Azure AD.
  • Speichern des Zertifikats im Speicher des lokalen ComputersStores the certificate in the local machine store.
  • Gewähren des Zugriffs auf den privaten Schlüssel des Zertifikats für den NetzwerkbenutzerGrants the network user access to the certificate’s private key.
  • Neustarten des NPS-DienstsRestarts the NPS service.

Wenn Sie Ihre eigenen Zertifikate verwenden möchten, müssen Sie den öffentlichen Schlüssel Ihres Zertifikats dem Dienstprinzipal in Azure AD zuordnen usw.If you want to use your own certificates, you must associate the public key of your certificate with the service principal on Azure AD, and so on.

Um das Skript zu verwenden, geben Sie die Erweiterung mit Ihren Azure Active Directory-Administratoranmeldeinformationen und die Azure Active Directory-Mandanten-ID ein, die Sie zuvor kopiert haben.To use the script, provide the extension with your Azure Active Directory administrative credentials and the Azure Active Directory tenant ID that you copied earlier. Führen Sie das Skript auf jedem NPS-Server aus, auf dem Sie die NPS-Erweiterung installieren.Run the script on each NPS server where you install the NPS extension.

  1. Führen Sie Windows PowerShell als Administrator aus.Run Windows PowerShell as an administrator.

  2. Geben Sie an der PowerShell-Eingabeaufforderung cd "c:\Program Files\Microsoft\AzureMfa\Config" ein, und drücken Sie die EINGABETASTE.At the PowerShell command prompt, enter cd "c:\Program Files\Microsoft\AzureMfa\Config", and then select Enter.

  3. Geben Sie an der nächsten Eingabeaufforderung .\AzureMfaNpsExtnConfigSetup.ps1 ein, und drücken Sie die EINGABETASTE.At the next command prompt, enter .\AzureMfaNpsExtnConfigSetup.ps1, and then select Enter. Das Skript überprüft, ob das Azure AD PowerShell-Modul installiert ist.The script checks to see whether the Azure AD PowerShell module is installed. Wenn es nicht installiert ist, installiert das Skript das Modul für Sie.If it is not installed, the script installs the module for you.

    Ausführung des Konfigurationsskripts „AzureMfsNpsExtnConfigSetup.ps1“

    Nachdem das Skript die Installation des PowerShell-Moduls überprüft hat, wird das Anmeldefenster des Azure Active Directory PowerShell-Moduls angezeigt.After the script verifies the installation of the PowerShell module, it displays the Azure Active Directory PowerShell module sign-in window.

  4. Geben Sie Ihre Azure AD-Administratoranmeldeinformationen und das entsprechende Kennwort ein, und wählen Sie Anmelden aus.Enter your Azure AD administrator credentials and password, and then select Sign in.

    Authentifizierung bei Azure AD PowerShell

  5. Fügen Sie an der Eingabeaufforderung die zuvor kopierte Mandanten-ID ein, und drücken Sie die EINGABETASTE.At the command prompt, paste the tenant ID that you copied earlier, and then select Enter.

    Eingabe der zuvor kopierten Azure AD-Verzeichnis-ID

    Das Skript erstellt ein selbstsigniertes Zertifikat und führt andere Änderungen an der Konfiguration durch.The script creates a self-signed certificate and performs other configuration changes. Die Ausgabe ähnelt der in der folgenden Abbildung:The output is like that in the following image:

    PowerShell-Fenster mit selbstsigniertem Zertifikat

  6. Starten Sie den Server neu.Reboot the server.

Überprüfen der KonfigurationVerify the configuration

Um die Konfiguration zu überprüfen, müssen Sie eine neue VPN-Verbindung mit dem VPN-Server herstellen.To verify the configuration, you must establish a new VPN connection with the VPN server. Nach erfolgreicher Eingabe Ihrer Anmeldeinformationen zur primären Authentifizierung wartet die VPN-Verbindung auf die erfolgreiche sekundäre Authentifizierung, bevor die Verbindung hergestellt wird, wie unten dargestellt.After you've successfully entered your credentials for primary authentication, the VPN connection waits for the secondary authentication to succeed before the connection is established, as shown below.

Fenster „Windows-Einstellungen“ für VPN

Nach Ihrer erfolgreichen Authentifizierung mit der sekundären Überprüfungsmethode, die Sie zuvor in Azure MFA konfiguriert haben, wird eine Verbindung mit der Ressource hergestellt.If you successfully authenticate with the secondary verification method that you previously configured in Azure MFA, you are connected to the resource. Wenn die sekundäre Authentifizierung jedoch nicht erfolgreich ist, wird Ihnen der Zugriff auf die Ressource verweigert.However, if the secondary authentication is unsuccessful, you are denied access to the resource.

Im folgenden Beispiel wird die sekundäre Authentifizierung über die Microsoft Authenticator-App auf einem Windows Phone bereitgestellt:In the following example, the Microsoft Authenticator app on a Windows Phone provides the secondary authentication:

MFA-Beispieleingabeaufforderung auf einem Windows Phone

Nachdem Sie mit der zweiten Methode erfolgreich authentifiziert wurden, erhalten Sie Zugriff auf den virtuellen Port des VPN-Servers.After you've successfully authenticated by using the secondary method, you are granted access to the virtual port on the VPN server. Da Sie aufgefordert wurden, eine sekundäre Authentifizierungsmethode mit einer mobilen App auf einem vertrauenswürdigen Gerät zu verwenden, ist der Anmeldevorgang sicherer als nur bei Verwendung einer Kombination aus Benutzernamen und Kennwort.Because you were required to use a secondary authentication method by using a mobile app on a trusted device, the sign-in process is more secure than if it were using only a username and password combination.

Anzeigen der Protokolle der Ereignisanzeige für erfolgreiche AnmeldeereignisseView Event Viewer logs for successful sign-in events

Um die erfolgreichen Anmeldeereignisse in den Protokollen der Windows-Ereignisanzeige anzuzeigen, können Sie den folgenden PowerShell-Befehl zum Abfragen des Windows-Sicherheitsprotokolls auf dem NPS-Server eingeben:To view successful sign-in events in the Windows Event Viewer logs query the Windows Security log, on the NPS server, by entering the following PowerShell command:

`Get-WinEvent -Logname Security | where {$_.ID -eq '6272'} | FL`

PowerShell-Sicherheitsereignisanzeige

Sie können auch das Sicherheitsprotokoll oder die benutzerdefinierte Ansicht der Netzwerkrichtlinien- und Zugriffsdienste anzeigen, wie hier dargestellt:You can also view the security log or the Network Policy and Access Services custom view, as shown here:

Beispielprotokoll des Netzwerkrichtlinienservers

Auf dem Server, auf dem Sie die NPS-Erweiterung für Azure Multi-Factor Authentication installiert haben, finden Sie spezifische Ereignisanzeige-Anwendungsprotokolle für die Erweiterung unter Anwendungs- und Dienstprotokolle\Microsoft\AzureMfa.On the server where you installed the NPS extension for Azure Multi-Factor Authentication, you can find Event Viewer application logs that are specific to the extension at Application and Services Logs\Microsoft\AzureMfa.

`Get-WinEvent -Logname Security | where {$_.ID -eq '6272'} | FL`

Ereignisanzeige mit einem Beispiel für den Bereich für AuthZ-Protokolle

Handbuch zur ProblembehandlungTroubleshooting guide

Wenn die Konfiguration nicht wie erwartet funktioniert, sollten Sie die Problembehandlung mit der Überprüfung beginnen, ob der Benutzer zur Verwendung von MFA konfiguriert ist.If the configuration is not working as expected, begin troubleshooting by verifying that the user is configured to use MFA. Lassen Sie den Benutzer eine Verbindung mit dem Azure-Portal herstellen.Have the user connect to the Azure portal. Wenn der Benutzer zur sekundären Authentifizierung aufgefordert wird und sich erfolgreich authentifizieren kann, können Sie eine fehlerhafte MFA-Konfiguration ausschließen.If the user is prompted for secondary authentication and can successfully authenticate, you can eliminate an incorrect configuration of MFA as an issue.

Wenn MFA für den Benutzer funktioniert, prüfen Sie die relevanten Protokolle der Ereignisanzeige.If MFA is working for the user, review the relevant Event Viewer logs. Dazu gehören die Sicherheitsereignis-, Gatewaybetriebs- und Azure Multi-Factor Authentication-Protokolle, die im vorherigen Abschnitt erläutert wurden.The logs include the security event, Gateway operational, and Azure Multi-Factor Authentication logs that are discussed in the previous section.

Es folgt ein Beispiel für ein Sicherheitsprotokoll mit einem fehlerhaften Anmeldeereignis (Ereignis-ID 6273):An example of a security log that displays a failed sign-in event (event ID 6273) is shown here:

Sicherheitsprotokoll mit einem fehlerhaften Anmeldeereignis

Ein zugehöriges Ereignis aus dem Azure Multi-Factor Authentication-Protokoll:A related event from the Azure Multi-Factor Authentication log is shown here:

Azure Multi-Factor Authentication-Protokolle

Zur erweiterten Problembehandlung nutzen Sie die NPS-Datenbankformat-Protokolldateien dort, wo der NPS-Dienst installiert ist.To do advanced troubleshooting, consult the NPS database format log files where the NPS service is installed. Die Protokolldateien werden im Ordner %SystemRoot%\System32\Logs als durch Trennzeichen getrennte Textdateien erstellt.The log files are created in the %SystemRoot%\System32\Logs folder as comma-delimited text files. Eine Beschreibung der Protokolldateien finden Sie unter Interpret NPS Database Format Log Files (Interpretieren von NPS-Datenbankformat-Protokolldateien).For a description of the log files, see Interpret NPS Database Format Log Files.

Die Einträge in diesen Protokolldateien sind schwierig zu interpretieren, es sei denn, Sie importieren sie in eine Tabelle oder Datenbank.The entries in these log files are difficult to interpret unless you export them to a spreadsheet or a database. Sie finden online viele IAS-Analysetools (Internet Authentication Service), die Sie zur Interpretation der Protokolldateien verwenden können.You can find many Internet Authentication Service (IAS) parsing tools online to assist you in interpreting the log files. Hier ist die Ausgabe einer solchen herunterladbaren Sharewareanwendung abgebildet:The output of one such downloadable shareware application is shown here:

Beispiel für eine IAS-Analyse einer Shareware-App

Zur weiteren Problembehandlung können Sie ein Protokollanalyseprogramm wie Wireshark oder Microsoft Message Analyzer verwenden.To do additional troubleshooting, you can use a protocol analyzer such as Wireshark or Microsoft Message Analyzer. Die folgende Abbildung aus Wireshark zeigt die zwischen dem VPN-Server und Netzwerkrichtlinienserver gesendeten RADIUS-Nachrichten.The following image from Wireshark shows the RADIUS messages between the VPN server and the NPS.

Gefilterter Datenverkehr in Microsoft Message Analyzer

Weitere Informationen finden Sie unter Integrieren Ihrer vorhandenen NPS-Infrastruktur in Azure Multi-Factor Authentication.For more information, see Integrate your existing NPS infrastructure with Azure Multi-Factor Authentication.

Nächste SchritteNext steps

Beziehen von Azure Multi-Factor AuthenticationGet Azure Multi-Factor Authentication

Remotedesktop-Gateway und Azure Multi-Factor Authentication-Server mithilfe von RADIUSRemote Desktop Gateway and Azure Multi-Factor Authentication Server using RADIUS

Integrieren Ihrer lokalen Verzeichnisse in Azure Active DirectoryIntegrate your on-premises directories with Azure Active Directory