• Artikel

The Cable GuyNetzwerkrichtlinienserver

Joseph Davies

Dieser Artikel basiert auf einer Vorabversion von Windows Server 2008. Die in diesem Artikel enthaltenen Informationen können jederzeit geändert werden.

Der NPS-Dienst in Windows Server 2008 ist der Nachfolger für den Internetauthentifizierungsdienst (IAS) in Windows Server 2003. NPS ermöglicht, dass ein Computer, der unter Windows Server 2008 ausgeführt wird, als ein RADIUS-Server (Remote Authentication Dial-in User Service) und Proxy fungiert. RADIUS ist ein IETF-Protokoll (Internet Engineering Task

Force), das in den RFCs 2865 und 2866 festgelegt ist und eine zentralisierte Authentifizierung, Autorisierung und Kontoführung (AAA) für Netzwerkzugriffsgeräte, beispielsweise Drahtloszugriffspunkte, bereitstellt. RADIUS-Server führen AAA für Netzwerkszugriffsgeräte durch. RADIUS-Proxys leiten RADIUS-Nachrichten zwischen RADIUS-Clients (Netzwerkzugriffsgeräten) und RADIUS-Servern weiter.

NPS umfasst viele Verbesserungen, um die Bereitstellung eines authentifizierten Netzwerkzugriffs und die Erweiterbarkeit für Komponenten von Drittanbietern zu ermöglichen sowie aktuelle Netzwerktechnologien und Plattformen zu unterstützen. Das neue NPS-Snap-In wird in Abbildung 1 dargestellt.

Abbildung 1 Neues NPS-Snap-In

Abbildung 1** Neues NPS-Snap-In **(Klicken Sie zum Vergrößern auf das Bild)

Features des Netzwerkrichtlinienservers

In diesem Artikel werden die NPS-Features untersucht, die in vorherigen Versionen von Windows® nicht enthalten waren. Am Anfang wird erläutert, wie der Netzwerkzugriffsschutz (Network Access Protection, NAP) dabei hilft, die Anforderungen an die Systemintegrität für Ihr Netzwerk durchzusetzen. Danach werden die Themen Verwaltung, Konfiguration, IPv6-Unterstützung und andere Elemente angeschnitten. Darüber hinaus werden die Features des neuen NPS-Snap-Ins beschrieben.

Netzwerkzugriffsschutz Bei NAP, eingeführt in Windows Server® 2008, handelt es sich um einen Satz neuer Technologien, der Ihnen helfen kann, die Einhaltung der Computerintegritätsanforderungen durchzusetzen, und Ihr Intranet dadurch besser zu schützen. Ihre Integritätsrichtlinien können zum Beispiel angeben, dass eine Firewall installiert und aktiviert werden muss und dass die aktuellen Betriebssystemupdates auf allen Clients installiert werden müssen, die eine Verbindung zu Ihrem Netzwerk herstellen. Mit NAP können Sie individuelle Richtlinien erstellen, um die Computerintegrität zu bescheinigen, bevor Sie einen Netzwerkzugriff oder eine Kommunikation zulassen. Sie können Computer automatisch aktualisieren, um eine fortlaufende Richtlinienkonformität zu gewährleisten, und nicht richtlinienkonforme Computer auf ein eingeschränktes Netzwerk begrenzen, bis sie richtlinienkonform sind. Weitere Informationen finden Sie unter microsoft.com/nap.

In einer NAP-Bereitstellung ist der NPS-Server ein NAP-Integritätsrichtlinienserver, der die Integrität von NAP-Clients im Hinblick auf die NAP-Erzwingungspunkte evaluiert, zum Beispiel die Health Registration Authority (HRA), 802.1X-Zugriffspunkte, VPN-Server und DHCP-Server. Der NPS-Server bestimmt außerdem, ob Clients uneingeschränkten oder eingeschränkten Zugriff auf das Intranet erhalten sollen. Netzwerkrichtlinien, Integritätsrichtlinien und NAP-Einstellungen bestimmen das Verhalten der Integritätsevaluierung für NPS.

Unterstützung von EAPHost- und EAP-Richtlinien NPS unterstützt EAPHost, die neue Architektur für die EAP-Authentifizierungsmethoden (Extensible Authentication Protocol). Diese neue Architektur ermöglicht Anbietern der EAP-Methode die einfache Entwicklung und Installation neuer EAP-Methoden für die 802.1X- oder die PPP (Point-to-Point Protocol)-basierte Authentifizierung sowohl auf Clientcomputern als auch auf NPS-Servern.

EAPHost unterstützt die Installation und die Verwendung aller EAP-Methoden, die unter der EAP-Registrierung unter www.iana.org/assignments/eap-numbers aufgelistet werden, sowie andere beliebte Authentifizierungsmethoden wie Cisco Systems Lightweight EAP (LEAP). EAPHost ermöglicht gleichzeitig mehrere Implementierungen einer EAP-Methode. So können Sie beispielsweise Protected EAP (PEAP) sowohl in der Microsoft-Version als auch in der Version von Cisco Systems installieren und auswählen.

Für Anbieter der EAP-Methode unterstützt EAPHost EAP-Methoden, die bereits für Windows XP und Windows Server 2003 entwickelt wurden. Außerdem wird eine leichtere Möglichkeit unterstützt, neue EAP-Methoden für Windows Vista® und Windows Server 2008 zu entwickeln. Nach der Installation können Sie die für ein bestimmtes Netzwerkzugriffsszenario erforderlichen EAP-Methoden in einer Netzwerkrichtlinie konfigurieren. Eine Netzwerkrichtlinie für NPS ist identisch mit einer RAS-Richtlinie für IAS.

Weitere Informationen zur EAPHost-Architektur erhalten Sie unter technetmagazine.com/issues/2007/05/CableGuy.

In XML gespeicherte Konfiguration Bei IAS wurden die Konfigurationsinformationen in einer Jet-Datenbank gespeichert. Bei NPS werden die Konfigurationsinformationen jetzt im XML-Format gespeichert. Dadurch wird es leichter, die Konfiguration eines NPS-Servers zu exportieren und sie in einen anderen Server zu importieren. Das Exportieren und Importieren von Konfigurationsdateien ist eine Möglichkeit, die Einstellungen mehrerer NPS-Server in einer fehlertoleranten Konfiguration zu synchronisieren. Sie können die NPS-Konfiguration mit dem Befehl „netsh nps export“ exportieren und sie mit dem Befehl „netsh nps import“ importieren.

Einhaltung allgemeiner Engineeringkriterien NPS wurde aktualisiert, um die Bereitstellung in Umgebungen zu unterstützen, in denen die Microsoft® Common Engineering Criteria (CEC) eingehalten werden müssen. Weitere Informationen finden Sie unter microsoft.com/windowsserversystem/cer/allcriteria.mspx.

Stabile NPS-Erweiterungs-DLLs Der NPS-Dienst kann durch Erweiterungs- und Autorisierungs-DLLs erweitert werden. Im Gegensatz zu IAS sind diese Drittanbieterkomponenten in NPS abgeschirmt, damit die für sie auftretenden Probleme keine Auswirkung auf den Betrieb des NPS-Diensts haben.

Unterstützung für IPv6 NPS unterstützt IPv6 und die Bereitstellung in systemeigenen oder getunnelten IPv6-Umgebungen. Sie können IPv6-Adressen für RADIUS-Clients oder Remote-RADIUS-Server konfigurieren, und der NPS-Dienst kann die Kontoauthentifizierung und Autorisierungsvorgänge über IPv6 für Active Directory®-Domänendienste kommunizieren.

IAS und NPS im Vergleich

Wenn Sie mit dem IAS-Snap-In für Windows Server 2003 bereits vertraut sind, werden Sie die folgenden Änderungen im NPS-Snap-In begrüßen:

  • Aus RAS-Richtlinien sind Netzwerkrichtlinien geworden, die sich jetzt unter dem Knoten „Richtlinien“ befinden.
  • Der Knoten „RADIUS-Clients“ befindet sich jetzt unter dem Knoten „RADIUS-Clients und -Server“.
  • Den Knoten „Verbindungsanforderungsverarbeitung“ gibt es nicht mehr. Der Knoten „Verbindungsanforderungsrichtlinien“ befindet sich jetzt unter dem Knoten „Richtlinien“, und der Knoten „Remote-RADIUS-Servergruppen“ befindet sich jetzt unter „RADIUS-Clients und -Server“.
  • Die Bedingungen und Profileinstellungen für den Remotezugriff auf die RAS-Richtlinie auf den Registerkarten „Übersicht“, „Bedingungen“, „Einschränkungen“ und „Einstellungen“ für die Eigenschaften einer Netzwerkrichtlinie wurden umgestaltet.
  • Die Bedingungen und Profileinstellungen für die Verbindungsanforderungsrichtlinie auf den Registerkarten „Übersicht“, „Bedingungen“ und „Einstellungen“ für die Eigenschaften einer Verbindungsanforderungsrichtlinie wurden umgestaltet.
  • Der Ordner „RAS-Protokollierung“ wurde in den Knoten „Kontoführung“ umbenannt und enthält die Knoten „Lokale Datei“ oder „SQL ServerTM“ nicht mehr.

Automatische Generierung sicherer gemeinsamer geheimer RADIUS-Schlüssel Gemeinsame geheime RADIUS-Schlüssel werden zur Überprüfung verwendet, dass RADIUS-Nachrichten von einem RADIUS-Client, -Server oder -Proxy gesendet wurden, der mit dem gleichen gemeinsamen geheimen Schlüssel konfiguriert wurde. Mit gemeinsamen geheimen Schlüsseln werden außerdem vertrauliche RADIUS-Attribute, zum Beispiel Kennwörter und Verschlüsselungsschlüssel, verschlüsselt. Bei sicheren RADIUS-Schlüsseln handelt es sich um eine lange Sequenz (mehr als 22 Zeichen) zufälliger Buchstaben, Zahlen und Satzzeichen.

Mit dem NPS-Snap-In können Sie automatisch einen sicheren gemeinsamen geheimen RADIUS-Schlüssel generieren, wenn Sie einen RADIUS-Client hinzufügen oder bearbeiten. Dieser sichere gemeinsame geheime Schlüssel kann in einen Texteditor, z. B. Editor, kopiert werden, sodass Sie das Netzwerkzugriffsgerät oder den NAP-Erzwingungspunkt mit dem gleichen sicheren gemeinsamen geheimen Schlüssel konfigurieren können.

Integration mit Server-Manager Sie können NPS über die Tools „Aufgaben der Erstkonfiguration“ und „Server-Manager“ installieren. In beiden Fällen installieren Sie NPS mit der Rolle „Netzwerkrichtlinien- und Zugriffsdienste“. Klicken Sie zu Beginn im Tool „Aufgaben der Erstkonfiguration“ unter „Server anpassen“ auf die Option „Rollen hinzufügen“. Öffnen Sie im Tool „Server-Manager“ die „Rollenübersicht“, und klicken Sie auf „Rollen hinzufügen“.

Nachdem NPS installiert ist, können Sie auf „Netzwerkrichtlinien- und Zugriffsdienste“ unter dem Knoten „Rollen“ in der Konsolenstruktur von Server-Manager klicken, um den Status des NPS-Diensts zu prüfen und die in den letzten 24 Stunden aufgetretenen Fehlerereignisse anzuzeigen. Wenn Sie den Knoten „Netzwerkrichtlinien- und Zugriffsdienste“ in der Konsole erweitern, können Sie NPS mit dem NPS-Snap-In konfigurieren.

Verbesserte Netsh-Unterstützung Windows Server 2003 hatte zur Konfiguration von IAS nur einen begrenzten Satz von Befehlen im „netsh aaaa“-Kontext. In Windows Server 2008 enthält der neue „netsh nps“-Kontext einen umfangreichen Satz von Befehlen zum Konfigurieren von NPS in der Befehlszeile oder durch ein Skript. Sie können jetzt mit „netsh nps“-Befehlen RADIUS-Clients und Remote-RADIUS-Server, Netzwerkrichtlinien und die Protokollierung konfigurieren, und für NAP können Sie Integritätsrichtlinien, Systemintegritätsprüfungen und Wartungsservergruppen konfigurieren. Skripts, die aus Befehlen im „netsh nps“-Kontext bestehen, stellen eine andere Möglichkeit für das Synchronisieren von Einstellungen mehrerer NPS-Server in einer fehlertoleranten Konfiguration bereit.

Quelltags zur Netzwerkrichtlinienisolierung Netzwerkrichtlinien können für eine bestimmte Art von Netzwerkzugriffsserver oder NAP-Erzwingungspunkt, zum Beispiel einen DHCP-Server oder eine HRA, konfiguriert werden, der zu einem Quelltag wird, das die Netzwerkrichtlinie klassifiziert. Windows Server 2008-basierte Zugriffsserver und NAP-Erzwingungspunkte umfassen dieses Quelltag in ihren RADIUS-Nachrichten. Beim Empfang einer RADIUS-Nachricht, die einen Zugriff anfordert, versucht der NPS-Dienst, eine geeignete Netzwerkrichtlinie zu finden, die das gleiche Quelltag hat wie die eingehende Nachricht. Wenn keine übereinstimmende Richtlinie vorhanden ist, versucht NPS, für die Richtlinien ohne ein Quelltag eine geeignete Netzwerkrichtlinie zu finden.

Das Verwenden des Quelltags in Netzwerkrichtlinien und eingehenden RADIUS-Nachrichten trennt die verschiedenen Arten von Netzwerkrichtlinien voneinander. Zum Beispiel werden Netzwerkrichtlinien für DHCP-Server für VPN-Verbindungen nicht verwendet.

Integration mit dem Cisco-Netzwerkzugriffssteuerelement NPS unterstützt Features, sodass eine bessere Integration in Umgebungen mit Cisco-Hardware und Netzwerkzugriffssteuerung (NAC) ermöglicht wird. Die Features umfassen den Support für das HCAP (Host Credential Authorization Protocol) und die HCAP-Bedingungen, die Bedingung für den Richtlinienablaufzeitpunkt und die Netzwerkrichtlinieneinstellung „Netzwerkzugriffsschutz“ für den erweiterten Status.

Neue Netzwerkrichtlinienbedingungen Die Netzwerkrichtlinien in NPS haben neue Bedingungen, die zur Angabe von Computergruppen, Benutzergruppen, zulässigen EAP-Typen sowie von Client- und Zugriffsserver-IPv6-Adressen dienen. Für die Unterstützung von HCAP enthält NPS neue Bedingungen für Standort- und Benutzergruppen. Für die Unterstützung von NAP enthält NPS neue Richtlinienbedingungen für Identitätstyp, Integritätsrichtlinie, NAP-fähige Computer, Betriebssystem und Richtlinienablaufzeitpunkt.

NPS-Snap-In Das neue NPS-Snap-In wurde maßgeblich verbessert, sodass Sie RADIUS-Clients und Remote-RADIUS-Server, Netzwerkrichtlinien für allgemeine Netzwerkzugriffsszenarios, Integritätsrichtlinien und NAP-Einstellungen für NAP-Szenarios sowie Protokollierungseinstellungen leichter erstellen und verwalten können.

Im Knoten „RADIUS-Clients und -Server“ können Sie RADIUS-Clients (Netzwerkzugriffsserver, NAP-Erzwingungspunkte oder andere RADIUS-Proxys, wenn NPS als RADIUS-Server fungiert) und Remote-RADIUS-Servergruppen konfigurieren (andere RADIUS-Server, wenn NPS als RADIUS-Proxy fungiert).

Im Knoten „Richtlinien“ können Sie Folgendes konfigurieren: die Verbindungsanforderungsrichtlinien (ob der NPS-Dienst als RADIUS-Server oder Proxy fungiert), Netzwerkrichtlinien (Autorisierungs- und Verbindungseinstellungen und -einschränkungen, wenn der NPS-Dienst als RADIUS-Server fungiert) und Integritätsrichtlinien (Systemintegritätskonformität für NAP-Clients). Wenn Sie im Detailbereich eine Verbindungsanforderungsrichtlinie oder eine Netzwerkrichtlinie auswählen, zeigt das NPS-Snap-In die Bedingungen und Einstellungen der Richtlinie an. In Abbildung 2 wird ein Beispiel dafür gezeigt.

Abbildung 2 Durch NPS-Snap-In verbesserte Anzeige

Abbildung 2** Durch NPS-Snap-In verbesserte Anzeige **(Klicken Sie zum Vergrößern auf das Bild)

Im Knoten „Netzwerkzugriffsschutz“ ermöglicht der Knoten „Systemintegritätsprüfungen“ die Konfiguration der NAP-Integritätsanforderungen. Mit dem Knoten „Wartungsservergruppen“ können Sie den Satz von Servern konfigurieren, auf die beschränkte NAP-Clients für die VPN- und die DHCP-NAP-Erzwingungsmethoden Zugriff haben. Schließlich können Sie im Knoten „Kontoführung“ konfigurieren, wie NPS die Informationen zur Kontoführung speichern soll.

Das NPS-Snap-In umfasst einen umfangreichen Satz von Assistenten zur Automatisierung der Erstkonfiguration von RADIUS-Clients und der für die NAP-Erzwingungsmethoden erforderlichen Richtlinien, DFÜ- oder VPN-basierte Verbindungen und 802.1X-authentifizierte Drahtlos- und Kabelverbindungen. Für die NAP-Erzwingungsmethoden konfiguriert der NAP-Assistent automatisch alle Verbindungsanforderungsrichtlinien, Netzwerkrichtlinien und Integritätsrichtlinien.

Diese neuen Assistenten sind verfügbar, wenn Sie auf den NPS-Knoten im NPS-Snap-In klicken. Zum Konfigurieren von Richtlinien und Einstellungen für die NAP-Erzwingungsmethoden wählen Sie in der Dropdownliste „Standardkonfiguration“ die Option „Netzwerkzugriffsschutz“ aus und klicken anschließend auf „NAP konfigurieren“. Zum Konfigurieren von Richtlinien und Einstellungen für den VPN- oder DFÜ-Netzwerkzugriff wählen Sie in der Dropdownliste „Standardkonfiguration“ die Option „RADIUS-Server für DFÜ- oder VPN-Verbindungen“ aus und klicken anschließend auf „VPN oder DFÜ konfigurieren“. Zum Konfigurieren von Richtlinien und Einstellungen für den 802.1X-authentifizierten verkabelten oder drahtlosen Zugriff wählen Sie in der Dropdownliste „Standardkonfiguration“ die Option „RADIUS-Server für drahtlose oder verkabelte 802.1X-Verbindungen“ aus und klicken anschließend auf „802.1X konfigurieren“.

Alle Assistenten führen Sie durch die häufigsten Konfigurationselemente für Ihr ausgewähltes Szenario. Die Assistenten für die NAP-Erzwingungsmethoden sind besonders hilfreich: Der NAP-Assistent für die VPN-Erzwingung erstellt eine Verbindungsanforderungsrichtlinie, drei Netzwerkrichtlinien (für richtlinienkonforme NAP-Clients, nicht richtlinienkonforme NAP-Clients, und nicht NAP-fähige Clients) sowie zwei Integritätsrichtlinien (für richtlinienkonforme und nicht richtlinienkonforme NAP-Clients).

Der neue NAP-Assistent und andere Assistenten zum Erstellen von RADIUS-Clients, Remote-RADIUS-Servergruppen, Verbindungsanforderungsrichtlinien und Netzwerkrichtlinien vereinfachen das Konfigurieren von NPS für viele verschiedene Netzwerkzugriffsszenarios.

Joseph Daviesist technischer Redakteur bei Microsoft und lehrt und schreibt seit 1992 über Themen im Bereich der Windows-Netzwerke. Er hat fünf Bücher für Microsoft Press verfasst und ist der Autor der monatlich erscheinenden TechNet-Rubrik „The Cable Guy“

© 2008 Microsoft Corporation und CMP Media, LLC. Alle Rechte vorbehalten. Die nicht genehmigte teilweise oder vollständige Vervielfältigung ist nicht zulässig.