Bewährte Methoden: Netzwerkrichtlinienserver

  • Artikel

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

In diesem Thema erfahren Sie mehr über bewährte Methoden für die Bereitstellung und Verwaltung des Netzwerkrichtlinienservers (Network Policy Server, NPS).

In den folgenden Abschnitten finden Sie bewährte Methoden für verschiedene Aspekte Ihrer NPS-Bereitstellung.

Buchhaltung

Im Folgenden werden die bewährten Methoden für die NPS-Protokollierung beschrieben.

Es gibt zwei Arten von Ressourcenerfassung oder Protokollierung in NPS:

  • Ereignisprotokollierung für NPS. Sie können die Ereignisprotokollierung verwenden, um NPS-Ereignisse in den System- und Sicherheitsereignisprotokollen aufzuzeichnen. Diese Option wird hauptsächlich zur Überwachung und für die Problembehandlung im Zusammenhang mit Verbindungsversuchen verwendet.

  • Protokollierung von Benutzerauthentifizierungs- und Ressourcenerfassunganforderungen. Sie können Benutzerauthentifizierungs- und Ressourcenerfassungsanforderungen in Protokolldateien im Text- oder Datenbankformat protokollieren, oder Sie können sie in einer SQL Server 2000-Datenbank in einer gespeicherten Prozedur protokollieren. Die Anforderungsprotokollierung wird in erster Linie für Verbindungsanalyse- und Abrechnungszwecke verwendet und ist auch als Tool zur Sicherheitsuntersuchung nützlich, um die Aktivitäten eines Angreifers nachzuverfolgen.

So nutzen Sie die NPS-Protokollierung am effektivsten:

  • Aktivieren Sie die Protokollierung (zunächst) für Authentifizierungs- und Ressourcenerfassungsdatensätze. Ändern Sie diese Auswahl, nachdem Sie die Anforderungen Ihrer Umgebung ermittelt haben.

  • Stellen Sie sicher, dass die Ereignisprotokollierung mit einer Kapazität konfiguriert ist, die zur Verwaltung Ihrer Protokolle ausreicht.

  • Sichern Sie alle Protokolldateien regelmäßig, da sie nicht neu erstellt werden können, wenn sie beschädigt oder gelöscht werden.

  • Verwenden Sie das Class-Attribut von RADIUS, um die Nutzung nachzuverfolgen und leichter identifizieren zu können, welcher Abteilung oder welchem Benutzer die Nutzung in Rechnung gestellt werden soll. Obwohl das automatisch generierte Class-Attribut für jede Anforderung eindeutig ist, können doppelte Datensätze vorhanden sein, wenn die Antwort an den Zugriffsserver verloren geht und die Anforderung erneut gesendet wird. Möglicherweise müssen Sie doppelte Anforderungen aus Ihren Protokollen löschen, um die Nutzung genau nachzuverfolgen.

  • Wenn Ihre Netzwerkzugriffsserver und RADIUS-Proxyserver regelmäßig fiktive Verbindungsanforderungsmeldungen an NPS senden, um zu überprüfen, ob der NPS online ist, verwenden Sie die Registrierungseinstellung ping user-name. Mit dieser Einstellung wird NPS so konfiguriert, dass diese falschen Verbindungsanforderungen automatisch abgelehnt werden, ohne sie zu verarbeiten. Außerdem werden Transaktionen mit dem fiktiven Benutzernamen nicht von NPS in Protokolldateien erfasst, was die Interpretation des Ereignisprotokolls erleichtert.

  • Deaktivieren Sie die Weiterleitung von NAS-Benachrichtigungen. Sie können die Weiterleitung von Start- und Stoppmeldungen von Netzwerkzugriffsservern (NAS) an Mitglieder einer RADIUS-Remoteservergruppe deaktivieren, die in NPS konfiguriert ist. Weitere Informationen finden Sie unter Deaktivieren der Weiterleitung von NAS-Benachrichtigungen.

Weitere Informationen finden Sie unter Konfigurieren der Ressourcenerfassung für den Netzwerkrichtlinienserver.

  • Um Failover und Redundanz bei der SQL Server-Protokollierung zu gewährleisten, richten Sie zwei Computer, auf denen SQL Server ausgeführt wird, in verschiedenen Subnetzen ein. Verwenden Sie den Assistenten zum Erstellen von Veröffentlichungen in SQL Server, um die Datenbankreplikation zwischen den beiden Servern einzurichten. Weitere Informationen finden Sie in der technischen Dokumentation zu SQL Server und unter SQL Server-Replikation.

Authentifizierung

Im Folgenden sind die bewährten Methoden für die Authentifizierung aufgeführt.

  • Verwenden Sie zertifikatbasierte Authentifizierungsmethoden wie das Protected Extensible Authentication Protocol (PEAP) und das Extensible Authentication Protocol (EAP) für eine starke Authentifizierung. Verwenden Sie keine Authentifizierungsmethoden, die nur auf einem Kennwort basieren, da sie für eine Vielzahl von Angriffen anfällig und nicht sicher sind. Für die sichere drahtlose Authentifizierung wird die Verwendung von PEAP-MS-CHAP v2 empfohlen, da der Netzwerkrichtlinienserver seine Identität für drahtlose Clients mithilfe eines Serverzertifikats nachweist, während Benutzer ihre Identität mit ihrem Benutzernamen und Kennwort nachweisen. Weitere Informationen zur Verwendung von NPS in Ihrer drahtlosen Bereitstellung finden Sie unter Bereitstellen des kennwortbasierten authentifizierten 802.1X-Funkzugriffs.
  • Stellen Sie Ihre eigene Zertifizierungsstelle mit Active Directory Certificate® Services (AD CS) bereit, wenn Sie starke zertifikatbasierte Authentifizierungsmethoden wie PEAP und EAP verwenden, für die ein Serverzertifikat auf Netzwerkrichtlinienservern erforderlich ist. Sie können Ihre Zertifizierungsstelle auch verwenden, um Computerzertifikate und Benutzerzertifikate zu registrieren. Weitere Informationen zum Bereitstellen von Serverzertifikaten auf Netzwerkrichtlinienservern und RAS-Servern finden Sie unter Bereitstellen von Serverzertifikaten für kabelgebundene und drahtlose 802.1X-Bereitstellungen.

Wichtig

Vom Netzwerkrichtlinienserver (Network Policy Server, NPS) wird die Verwendung der erweiterten ASCII-Zeichen in Kennwörtern nicht unterstützt.

Clientcomputerkonfiguration

Im Folgenden werden die bewährten Methoden für die Clientcomputerkonfiguration beschrieben.

  • Konfigurieren Sie automatisch alle 802.1X-Clientcomputer in der Domäne über die Gruppenrichtlinie. Weitere Informationen finden Sie im Abschnitt „Konfigurieren von Richtlinien für Funknetzwerke (IEEE 802.11)“ im Thema Bereitstellen des Funkzugriffs.

Installationsvorschläge

Im Folgenden werden die bewährten Methoden für die NPS-Installation beschrieben.

  • Bevor Sie NPS installieren, installieren und testen Sie jeden Ihrer Netzwerkzugriffsserver mithilfe lokaler Authentifizierungsmethoden, bevor Sie sie als RADIUS-Clients in NPS konfigurieren.

  • Nachdem Sie NPS installiert und konfiguriert haben, speichern Sie die Konfiguration mithilfe des Windows PowerShell-Befehls Export-NpsConfiguration. Speichern Sie die NPS-Konfiguration immer dann mit diesem Befehl, wenn Sie den Netzwerkrichtlinienserver neu konfigurieren.

Achtung

  • Die exportierte NPS-Konfigurationsdatei enthält nicht verschlüsselte gemeinsame geheime Schlüssel für RADIUS-Clients und Mitglieder von RADIUS-Servergruppen an Remotestandorten. Stellen Sie daher sicher, dass Sie die Datei an einem sicheren Speicherort ablegen.
  • Beim Exportprozess werden keine Protokollierungseinstellungen für Microsoft SQL Server in der exportierten Datei eingeschlossen. Wenn Sie die exportierte Datei in einen anderen Netzwerkrichtlinienserver importieren, müssen Sie die SQL Server-Protokollierung auf dem neuen Server manuell konfigurieren.

Optimieren der NPS-Leistung

Im Folgenden finden Sie die bewährten Methoden zum Optimieren der NPS-Leistung.

  • Installieren Sie NPS auf einem Domänencontroller, um die Antwortzeiten der NPS-Authentifizierung und -Autorisierung zu optimieren und den Netzwerkdatenverkehr zu minimieren.

  • Wenn universelle Prinzipalnamen (UPNs) oder Windows Server 2008- und Windows Server 2003-Domänen verwendet werden, nutzt NPS den globalen Katalog für die Benutzerauthentifizierung. Um die dafür erforderliche Zeit zu minimieren, installieren Sie NPS entweder auf einem globalen Katalogserver oder auf einem Server, der sich im selben Subnetz wie der globale Katalogserver befindet.

  • Wenn Sie RADIUS-Remoteservergruppen konfiguriert haben und in NPS-Verbindungsanforderungsrichtlinien das Kontrollkästchen Kontoführungsinformationen auf Servern in der folgenden Remote-RADIUS-Servergruppe aufzeichnen deaktivieren, erhalten diese Gruppen weiterhin Benachrichtigungen zum Starten und Beenden des Netzwerkzugriffsservers (NAS). Dadurch entsteht unnötiger Netzwerkdatenverkehr. Um diesen Datenverkehr zu vermeiden, deaktivieren Sie die NAS-Benachrichtigungsweiterleitung für einzelne Server in den einzelnen RADIUS-Remoteservergruppen, indem Sie das Kontrollkästchen Start- und Stoppbenachrichtigungen des Netzwerkzugriffsservers an diesen Server weiterleiten deaktivieren.

Verwenden von NPS in großen Organisationen

Im Folgenden sind die bewährten Methoden für die Verwendung von NPS in großen Organisationen aufgeführt.

  • Wenn Sie Netzwerkrichtlinien verwenden, um den Zugriff für alle Gruppen außer bestimmten Gruppen einzuschränken, erstellen Sie eine universelle Gruppe für alle Benutzer, für die Sie den Zugriff zulassen möchten, und erstellen Sie dann eine Netzwerkrichtlinie, die Zugriff für diese universelle Gruppe gewährt. Fügen Sie nicht all Ihre Benutzer direkt der universellen Gruppe hinzu, insbesondere dann nicht, wenn Ihr Netzwerk eine große Anzahl von Benutzern umfasst. Erstellen Sie stattdessen separate Gruppen, die Mitglieder der universellen Gruppe sind, und fügen Sie diesen Gruppen Benutzer hinzu.

  • Verwenden Sie nach Möglichkeit einen Benutzerprinzipalnamen, um auf Benutzer zu verweisen. Ein Benutzer kann unabhängig von der Domänenmitgliedschaft denselben Benutzerprinzipalnamen aufweisen. Diese Vorgehensweise bietet Skalierbarkeit, die in Organisationen mit einer großen Anzahl von Domänen möglicherweise erforderlich ist.

  • Wenn Sie den Netzwerkrichtlinienserver (Network Policy Server, NPS) auf einem anderen Computer als einem Domänencontroller installiert haben und der Netzwerkrichtlinienserver eine große Anzahl von Authentifizierungsanforderungen pro Sekunde empfängt, können Sie die NPS-Leistung verbessern, indem Sie die Anzahl gleichzeitig zulässiger Authentifizierungen zwischen dem Netzwerkrichtlinienserver und dem Domänencontroller erhöhen. Weitere Informationen finden Sie unter Erhöhen der durch NPS verarbeiteten gleichzeitigen Authentifizierungen.

Sicherheitsprobleme

Im Folgenden sind die bewährten Methoden zum Reduzieren von Sicherheitsproblemen aufgeführt.

Wenn Sie einen Netzwerkrichtlinienserver remote verwalten, senden Sie keine sensiblen oder vertraulichen Daten (z. B. gemeinsame Geheimnisse oder Kennwörter) im Klartext über das Netzwerk. Es gibt zwei empfohlene Methoden für die Remoteverwaltung von Netzwerkrichtlinienservern:

  • Verwenden Sie Remotedesktopdienste für den Zugriff auf den Netzwerkrichtlinienserver. Wenn Sie Remotedesktopdienste verwenden, werden keine Daten zwischen Client und Server gesendet. Nur die Benutzeroberfläche des Servers (z. B. der Betriebssystemdesktop und das Bild der NPS-Konsole) wird an den Remotedesktopdienste-Client gesendet, der unter Windows® 10 als Remotedesktopverbindung bezeichnet wird. Der Client sendet Tastatur- und Mauseingaben, die lokal von dem Server verarbeitet werden, auf dem Remotedesktopdienste aktiviert sind. Wenn sich Benutzer der Remotedesktopdienste anmelden, können sie nur ihre einzelnen Clientsitzungen anzeigen, die vom Server verwaltet werden und voneinander unabhängig sind. Darüber hinaus bietet die Remotedesktopverbindung eine 128-Bit-Verschlüsselung zwischen Client und Server.

  • Verwenden Sie Internetprotokollsicherheit (Internet Protocol Security, IPsec), um vertrauliche Daten zu verschlüsseln. Mithilfe von IPsec können Sie die Kommunikation zwischen dem Netzwerkrichtlinienserver und dem Remoteclientcomputer verschlüsseln, den Sie zum Verwalten von NPS verwenden. Um den Server remote zu verwalten, können Sie die Remoteserver-Verwaltungstools für Windows 10 auf dem Clientcomputer installieren. Verwenden Sie nach der Installation die Microsoft Management Console (MMC), um der Konsole das NPS-Snap-In hinzuzufügen.

Wichtig

Sie können Remoteserver-Verwaltungstools für Windows 10 nur im vollständigen Release von Windows 10 Professional oder Windows 10 Enterprise installieren.

Weitere Informationen zum Netzwerkrichtlinienserver finden Sie unter Netzwerkrichtlinienserver (Network Policy Server, NPS).