Überprüfen der Konfiguration nach NPS-Änderungen

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

Sie können mithilfe dieses Themas die NPS-Konfiguration nach einer Änderung der IP-Adresse oder des Servernamens überprüfen.

Überprüfen der Konfiguration nach einer NPS-IP-Adressänderung

Es kann vorkommen, dass Sie die IP-Adresse eines Netzwerkrichtlinienservers (NPS) oder Proxys ändern müssen, z. B. wenn Sie den Server in ein anderes IP-Subnetz verschieben.

Wenn Sie eine NPS- oder Proxy-IP-Adresse ändern, müssen Teile Ihrer NPS-Bereitstellung neu konfiguriert werden.

Stellen Sie anhand der folgenden allgemeinen Richtlinien, dass eine Änderung der IP-Adresse nicht zu einer Unterbrechung der Authentifizierung, Autorisierung oder Erfassung des Netzwerkzugriffs auf NPS-RADIUS-Servern und RADIUS-Proxyservern in Ihrem Netzwerk führt.

Sie müssen Mitglied der Gruppe Administratoren oder einer gleichwertigen Gruppe sein, um diese Verfahren auszuführen.

So überprüfen Sie die Konfiguration nach einer IP-Adressänderung für den NPS

1. Konfigurieren Sie alle RADIUS-Clients, z. B. Funkzugriffspunkte und VPN-Server, mit der neuen IP-Adresse des Netzwerkrichtlinienservers.

2. Wenn der NPS Mitglied einer RADIUS-Remoteservergruppe ist, rekonfigurieren Sie den NPS-Proxy mit der neuen IP-Adresse des NPS.

3. Wenn Sie den NPS zur Verwendung der SQL Server-Protokollierung konfiguriert haben, überprüfen Sie, ob die Verbindung zwischen dem SQL Server-Computer und dem NPS weiterhin ordnungsgemäß funktioniert.

4. Wenn Sie zum Schutz des RADIUS-Datenverkehrs zwischen Ihrem NPS und einem NPS-Proxy oder anderen Servern oder Geräten IPsec bereitgestellt haben, konfigurieren Sie die IPsec-Richtlinie oder die Regel für die Verbindungssicherheit im Snap-In „Windows-Firewall mit erweiterter Sicherheit“ neu, um die neue IP-Adresse des NPS zu verwenden.

5. Wenn der NPS mehrfach vernetzt ist und Sie den Server so konfiguriert haben, dass er an einen bestimmten Netzwerkadapter gebunden ist, konfigurieren Sie die NPS-Porteinstellungen mit der neuen IP-Adresse.

So überprüfen Sie die Konfiguration nach einer IP-Adressänderung für den NPS-Proxy

1. Konfigurieren Sie alle RADIUS-Clients, z. B. Funkzugriffspunkte und VPN-Server, mit der neuen IP-Adresse des NPS-Proxys.

2. Wenn der NPS-Proxy mehrfach vernetzt ist und Sie den Proxy so konfiguriert haben, dass er an einen bestimmten Netzwerkadapter gebunden ist, konfigurieren Sie die NPS-Porteinstellungen mit der neuen IP-Adresse.

3. Konfigurieren Sie alle Mitglieder sämtlicher RADIUS-Remoteservergruppen mit der neuen IP-Adresse des Proxyservers. Führen Sie dazu die folgenden Schritte auf jedem NPS aus, bei dem der NPS-Proxy als RADIUS-Client konfiguriert ist:

   a. Doppelklicken Sie auf NPS (Lokal), doppelklicken Sie auf RADIUS-Clients und -Server, klicken Sie auf RADIUS-Clients, und doppelklicken Sie dann in der Detailansicht auf den RADIUS-Client, den Sie ändern möchten.

   b. Geben Sie in den Eigenschaften für den RADIUS-Client unter Adresse (IP oder DNS) die neue IP-Adresse des NPS-Proxys ein.

4. Wenn Sie den NPS-Proxy zur Verwendung der SQL Server-Protokollierung konfiguriert haben, überprüfen Sie, ob die Verbindung zwischen dem SQL Server-Computer und dem NPS-Proxy weiterhin ordnungsgemäß funktioniert.

Überprüfen der Konfiguration nach dem Umbenennen eines NPS

Es kann vorkommen, dass Sie den Namen eines NPS oder Proxys ändern müssen, etwa wenn Sie die Namenskonventionen für Ihre Server neu gestalten.

Wenn Sie einen NPS- oder Proxynamen ändern, müssen Teile Ihrer NPS-Bereitstellung neu konfiguriert werden.

Stellen Sie anhand der folgenden allgemeinen Richtlinien, dass eine Änderung des Servernamens nicht zu einer Unterbrechung der Authentifizierung, Autorisierung oder Erfassung des Netzwerkzugriffs führt.

Sie müssen Mitglied der Gruppe Administratoren oder einer gleichwertigen Gruppe sein, um dieses Verfahren auszuführen.

So überprüfen Sie die Konfiguration nach einer NPS- oder Proxynamensänderung

1. Wenn der NPS Mitglied einer RADIUS-Remoteservergruppe ist und die Gruppe nicht mit IP-Adressen, sondern mit Computernamen konfiguriert ist, konfigurieren Sie die RADIUS-Remoteservergruppe mit dem neuen NPS-Namen.

2. Wenn auf dem NPS zertifikatbasierte Authentifizierungsmethoden verwendet werden, verliert das Serverzertifikat durch die Namensänderung seine Gültigkeit. Sie können ein neues Zertifikat vom Administrator der Zertifizierungsstelle anfordern oder – wenn der Computer ein Domänenmitglied ist und Sie eine automatische Registrierung von Zertifikaten für Domänenmitglieder durchführen – die Gruppenrichtlinie aktualisieren, um ein neues Zertifikat über die automatische Registrierung abzurufen. So aktualisieren Sie die Gruppenrichtlinie

   a. Öffnen Sie die Eingabeaufforderung oder Windows PowerShell.

   b. Geben Sie gpupdate ein, und drücken Sie dann die EINGABETASTE.

3. Sobald Sie über ein neues Serverzertifikat verfügen, fordern Sie den Administrator der Zertifizierungsstelle auf, das alte Zertifikat zu widerrufen.

   Nachdem das alte Zertifikat widerrufen wurde, wird es von NPS weiter verwendet, bis das alte Zertifikat abläuft. Standardmäßig bleibt das alte Zertifikat für maximal eine Woche und 10 Stunden gültig. Dieser Zeitraum kann variieren, je nachdem, ob das Ablaufdatum der Zertifikatssperrliste (Certificate Revocation List, CRL) und das Ablaufdatum für den TLS-Cache (Transport Layer Security) angepasst wurden oder die Standardeinstellungen verwendet werden. Die CRL läuft standardmäßig nach einer Woche ab, der Standardwert für den Ablauf des TLS-Caches beträgt 10 Stunden.

   Wenn Sie den NPS jedoch so konfigurieren möchten, dass das neue Zertifikat sofort verwendet wird, können Sie die Netzwerkrichtlinien manuell mit dem neuen Zertifikat neu konfigurieren.

4. Nach Ablauf des alten Zertifikats verwendet der NPS automatisch das neue Zertifikat.

5. Wenn Sie den NPS zur Verwendung der SQL Server-Protokollierung konfiguriert haben, überprüfen Sie, ob die Verbindung zwischen dem SQL Server-Computer und dem NPS weiterhin ordnungsgemäß funktioniert.