Planen eines NPS als RADIUS-ServerPlan NPS as a RADIUS server

Gilt für: Windows Server (Semi-Annual Channel), Windows Server 2016Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016

Wenn Sie den Netzwerk Richtlinien Server (NPS-) als RADIUS-Server (Remote Authentication Dial-in User Service) bereitstellen, führt NPS Authentifizierung, Autorisierung und Kontoführung für Verbindungsanforderungen für die lokale Domäne und Domänen aus, die der lokalen Domäne vertrauen.When you deploy Network Policy Server (NPS) as a Remote Authentication Dial-In User Service (RADIUS) server, NPS performs authentication, authorization, and accounting for connection requests for the local domain and for domains that trust the local domain. Sie können diese Planungsrichtlinien verwenden, um die RADIUS-Bereitstellung zu vereinfachen.You can use these planning guidelines to simplify your RADIUS deployment.

Diese Planungsrichtlinien enthalten keine Umstände, in denen Sie NPS als RADIUS-Proxy bereitstellen möchten.These planning guidelines do not include circumstances in which you want to deploy NPS as a RADIUS proxy. Wenn Sie NPS als RADIUS-Proxy bereitstellen, leitet NPS Verbindungsanforderungen an einen Server weiter, auf dem NPS oder andere RADIUS-Server in Remote Domänen, nicht vertrauenswürdigen Domänen oder beides ausgeführt werden.When you deploy NPS as a RADIUS proxy, NPS forwards connection requests to a server running NPS or other RADIUS servers in remote domains, untrusted domains, or both.

Bevor Sie NPS als RADIUS-Server in Ihrem Netzwerk bereitstellen, verwenden Sie die folgenden Richtlinien, um die Bereitstellung zu planen.Before you deploy NPS as a RADIUS server on your network, use the following guidelines to plan your deployment.

  • Planen Sie die NPS-Konfiguration.Plan NPS configuration.

  • Planen von RADIUS-Clients.Plan RADIUS clients.

  • Planen Sie die Verwendung von Authentifizierungsmethoden.Plan the use of authentication methods.

  • Planen von Netzwerk Richtlinien.Plan network policies.

  • Planen der NPS-Kontoführung.Plan NPS accounting.

Planen der NPS-KonfigurationPlan NPS configuration

Sie müssen entscheiden, in welcher Domäne der NPS Mitglied ist.You must decide in which domain the NPS is a member. In Umgebungen mit mehreren Domänen kann ein NPS Anmelde Informationen für Benutzerkonten in der Domäne, deren Mitglied er ist, und für alle Domänen authentifizieren, die der lokalen Domäne des NPS Vertrauen.For multiple-domain environments, an NPS can authenticate credentials for user accounts in the domain of which it is a member and for all domains that trust the local domain of the NPS. Damit das NPS die DFÜ-Eigenschaften von Benutzerkonten während des Autorisierungs Vorgangs lesen kann, müssen Sie das Computer Konto des NPS der Gruppe "RAS" und "NPSS" für jede Domäne hinzufügen.To allow the NPS to read the dial-in properties of user accounts during the authorization process, you must add the computer account of the NPS to the RAS and NPSs group for each domain.

Nachdem Sie die Domänen Mitgliedschaft des NPS ermittelt haben, muss der Server für die Kommunikation mit RADIUS-Clients, auch Netzwerk Zugriffs Server genannt, mithilfe des RADIUS-Protokolls konfiguriert werden.After you have determined the domain membership of the NPS, the server must be configured to communicate with RADIUS clients, also called network access servers, by using the RADIUS protocol. Außerdem können Sie die Typen von Ereignissen konfigurieren, die von NPS im Ereignisprotokoll aufgezeichnet werden, und Sie können eine Beschreibung für den Server eingeben.In addition, you can configure the types of events that NPS records in the event log and you can enter a description for the server.

Wichtige SchritteKey steps

Bei der Planung der NPS-Konfiguration können Sie die folgenden Schritte ausführen.During the planning for NPS configuration, you can use the following steps.

  • Bestimmen Sie die RADIUS-Ports, die der NPS zum Empfangen von RADIUS-Nachrichten von RADIUS-Clients verwendet.Determine the RADIUS ports that the NPS uses to receive RADIUS messages from RADIUS clients. Die Standardports sind UDP-Ports 1812 und 1645 für RADIUS-Authentifizierungs Nachrichten und die Ports 1813 und 1646 für RADIUS-Buchhaltungs Nachrichten.The default ports are UDP ports 1812 and 1645 for RADIUS authentication messages and ports 1813 and 1646 for RADIUS accounting messages.

  • Wenn der NPS mit mehreren Netzwerkadaptern konfiguriert ist, bestimmen Sie die Adapter, über die der RADIUS-Datenverkehr zugelassen werden soll.If the NPS is configured with multiple network adapters, determine the adapters over which you want RADIUS traffic to be allowed.

  • Bestimmen Sie die Typen von Ereignissen, die von NPS im Ereignisprotokoll aufgezeichnet werden sollen.Determine the types of events that you want NPS to record in the Event Log. Sie können abgelehnte Authentifizierungsanforderungen, erfolgreiche Authentifizierungsanforderungen oder beide Anforderungs Typen protokollieren.You can log rejected authentication requests, successful authentication requests, or both types of requests.

  • Stellen Sie fest, ob Sie mehr als ein NPS bereitstellen.Determine whether you are deploying more than one NPS. Verwenden Sie mindestens zwei NPSS, um Fehlertoleranz für die RADIUS-basierte Authentifizierung und die Kontoführung bereitzustellen.To provide fault tolerance for RADIUS-based authentication and accounting, use at least two NPSs. Ein NPS wird als primärer RADIUS-Server und der andere als eine Sicherung verwendet.One NPS is used as the primary RADIUS server and the other is used as a backup. Jeder RADIUS-Client wird dann für beide NPSS konfiguriert.Each RADIUS client is then configured on both NPSs. Wenn das primäre NPS nicht mehr verfügbar ist, senden RADIUS-Clients dann Zugriffs Anforderungs Nachrichten an die alternativen NPS.If the primary NPS becomes unavailable, RADIUS clients then send Access-Request messages to the alternate NPS.

  • Planen Sie das Skript, mit dem eine NPS-Konfiguration in andere NPSS kopiert wird, um den Verwaltungsaufwand zu sparen und die falsche Konfiguration eines Servers zu verhindern.Plan the script used to copy one NPS configuration to other NPSs to save on administrative overhead and to prevent the incorrect cofiguration of a server. NPS stellt die Netsh-Befehle bereit, mit denen Sie die gesamte NPS-Konfiguration für den Import auf einen anderen NPS kopieren können.NPS provides the Netsh commands that allow you to copy all or part of an NPS configuration for import onto another NPS. Sie können die Befehle manuell an der netsh-Eingabeaufforderung ausführen.You can run the commands manually at the Netsh prompt. Wenn Sie jedoch die Befehlssequenz als Skript speichern, können Sie das Skript zu einem späteren Zeitpunkt ausführen, wenn Sie sich entscheiden, die Serverkonfigurationen zu ändern.However, if you save your command sequence as a script, you can run the script at a later date if you decide to change your server configurations.

Planen von RADIUS-ClientsPlan RADIUS clients

RADIUS-Clients sind Netzwerk Zugriffs Server, z. b. drahtlos Zugriffspunkte, VPN-Server (Virtual Private Network), 802.1 x-fähige Switches und DFÜ-Server.RADIUS clients are network access servers, such as wireless access points, virtual private network (VPN) servers, 802.1X-capable switches, and dial-up servers. RADIUS-Proxys, die Verbindungs Anforderungs Nachrichten an RADIUS-Server weiterleiten, sind ebenfalls RADIUS-Clients.RADIUS proxies, which forward connection request messages to RADIUS servers, are also RADIUS clients. NPS unterstützt alle Netzwerk Zugriffs Server und RADIUS-Proxys, die dem RADIUS-Protokoll entsprechen, wie in RFC 2865, "Remote Authentication Dial-in User Service (RADIUS)" und RFC 2866, "RADIUS Accounting" beschrieben.NPS supports all network access servers and RADIUS proxies that comply with the RADIUS protocol as described in RFC 2865, "Remote Authentication Dial-in User Service (RADIUS)," and RFC 2866, "RADIUS Accounting."

Wichtig

Zugriffs Clients, z. b. Client Computer, sind keine RADIUS-Clients.Access clients, such as client computers, are not RADIUS clients. Nur Netzwerk Zugriffs Server und Proxy Server, die das RADIUS-Protokoll unterstützen, sind RADIUS-Clients.Only network access servers and proxy servers that support the RADIUS protocol are RADIUS clients.

Außerdem müssen sowohl drahtlos Zugriffspunkte als auch Switches in der 802.1 x-Authentifizierung aktiviert sein.In addition, both wireless access points and switches must be capable of 802.1X authentication. Wenn Sie das Extensible Authentication-Protokoll (EAP-) oder das geschützte Extensible Authentication Protocol (PEAP-)bereitstellen möchten, müssen Zugriffspunkte und Switches die Verwendung von EAP unterstützen.If you want to deploy Extensible Authentication Protocol (EAP) or Protected Extensible Authentication Protocol (PEAP), access points and switches must support the use of EAP.

Zum Testen der grundlegenden Interoperabilität für PPP-Verbindungen für drahtlos Zugriffspunkte konfigurieren Sie den Zugriffspunkt und den Zugriffs Client für die Verwendung des Kennwort-Authentifizierungs Protokolls (PAP).To test basic interoperability for PPP connections for wireless access points, configure the access point and the access client to use Password Authentication Protocol (PAP). Verwenden Sie zusätzliche PPP-basierte Authentifizierungsprotokolle, wie z. b. "Peer-AP", bis Sie die Tests getestet haben, die Sie für den Netzwerk Zugriff verwenden möchten.Use additional PPP-based authentication protocols, such as PEAP, until you have tested the ones that you intend to use for network access.

Wichtige SchritteKey steps

Bei der Planung für RADIUS-Clients können Sie die folgenden Schritte ausführen.During the planning for RADIUS clients, you can use the following steps.

  • Dokumentieren Sie die herstellerspezifischen Attribute (VSAs), die Sie in NPS konfigurieren müssen.Document the vendor-specific attributes (VSAs) you must configure in NPS. Wenn Ihre Netzwerk Zugriffs Server VSAs erfordern, protokollieren Sie die VSA-Informationen zur späteren Verwendung, wenn Sie Ihre Netzwerk Richtlinien in NPS konfigurieren.If your network access servers require VSAs, log the VSA information for later use when you configure your network policies in NPS.

  • Dokumentieren Sie die IP-Adressen von RADIUS-Clients und ihrer NPS, um die Konfiguration aller Geräte zu vereinfachen.Document the IP addresses of RADIUS clients and your NPS to simplify the configuration of all devices. Beim Bereitstellen der RADIUS-Clients müssen Sie diese so konfigurieren, dass Sie das RADIUS-Protokoll verwenden. dabei wird die NPS-IP-Adresse als authentifizierende Server eingegeben.When you deploy your RADIUS clients, you must configure them to use the RADIUS protocol, with the NPS IP address entered as the authenticating server. Wenn Sie NPS für die Kommunikation mit ihren RADIUS-Clients konfigurieren, müssen Sie die RADIUS-Client-IP-Adressen in das NPS-Snap-in eingeben.And when you configure NPS to communicate with your RADIUS clients, you must enter the RADIUS client IP addresses into the NPS snap-in.

  • Erstellen Sie freigegebene geheime Schlüssel für die Konfiguration auf den RADIUS-Clients und im NPS-Snap-in.Create shared secrets for configuration on the RADIUS clients and in the NPS snap-in. Sie müssen RADIUS-Clients mit einem gemeinsamen geheimen Schlüssel oder Kennwort konfigurieren, das Sie auch beim Konfigurieren von RADIUS-Clients in NPS in das NPS-Snap-in eingeben.You must configure RADIUS clients with a shared secret, or password, that you will also enter into the NPS snap-in while configuring RADIUS clients in NPS.

Planen der Verwendung von AuthentifizierungsmethodenPlan the use of authentication methods

NPS unterstützt sowohl Kenn Wort basierte als auch Zertifikat basierte Authentifizierungsmethoden.NPS supports both password-based and certificate-based authentication methods. Allerdings unterstützen nicht alle Netzwerk Zugriffs Server die gleichen Authentifizierungsmethoden.However, not all network access servers support the same authentication methods. In einigen Fällen möchten Sie möglicherweise eine andere Authentifizierungsmethode basierend auf dem Netzwerk Zugriffstyp bereitstellen.In some cases, you might want to deploy a different authentication method based on the type of network access.

Beispielsweise können Sie drahtlos-und VPN-Zugriff für Ihre Organisation bereitstellen, aber eine andere Authentifizierungsmethode für jeden Zugriffstyp verwenden: EAP-TLS für VPN-Verbindungen, aufgrund der starken Sicherheit von EAP mit Transport Layer Security (EAP-TLS). bietet und PEAP-MS-CHAP v2 für drahtlose 802.1 x-Verbindungen.For example, you might want to deploy both wireless and VPN access for your organization, but use a different authentication method for each type of access: EAP-TLS for VPN connections, due to the strong security that EAP with Transport Layer Security (EAP-TLS) provides, and PEAP-MS-CHAP v2 for 802.1X wireless connections.

Mit dem Microsoft Challenge Handshake Authentication-Protokollversion 2 (Peer Version 2, PAP-MS-CHAP v2) ist eine Funktion mit dem Namen fast Connect Connect verfügbar, die speziell für die Verwendung mit tragbaren Computern und anderen drahtlos Geräten konzipiert ist.PEAP with Microsoft Challenge Handshake Authentication Protocol version 2 (PEAP-MS-CHAP v2) provides a feature named fast reconnect that is specifically designed for use with portable computers and other wireless devices. Die schnelle Wiederherstellung der Verbindung ermöglicht drahtlosen Clients das Wechseln zwischen drahtlosen Zugriffs Punkten im gleichen Netzwerk, ohne dass Sie jedes Mal erneut authentifiziert werden, wenn Sie mit einem neuen Zugriffspunkt verknüpft werden.Fast reconnect enables wireless clients to move between wireless access points on the same network without being reauthenticated each time they associate with a new access point. Dies bietet eine bessere Benutzerfunktion für drahtlose Benutzer und ermöglicht das Wechseln zwischen Zugriffs Punkten, ohne Ihre Anmelde Informationen erneut eingeben zu müssen.This provides a better experience for wireless users and allows them to move between access points without having to retype their credentials. Aufgrund der schnellen Wiederherstellung der Verbindung und der von PEAP-MS-CHAP v2 bereitgestellten Sicherheit ist PEAP-MS-CHAP v2 eine logische Wahl als Authentifizierungsmethode für drahtlose Verbindungen.Because of fast reconnect and the security that PEAP-MS-CHAP v2 provides, PEAP-MS-CHAP v2 is a logical choice as an authentication method for wireless connections.

Bei VPN-Verbindungen ist EAP-TLS eine Zertifikat basierte Authentifizierungsmethode, die eine hohe Sicherheit bietet, die den Netzwerk Datenverkehr schützt, auch wenn Sie über das Internet von Heim-oder Mobil Computern an die VPN-Server Ihrer Organisation übertragen wird.For VPN connections, EAP-TLS is a certificate-based authentication method that provides strong security that protects network traffic even as it is transmitted across the Internet from home or mobile computers to your organization VPN servers.

Zertifikat basierte AuthentifizierungsmethodenCertificate-based authentication methods

Zertifikat basierte Authentifizierungsmethoden haben den Vorteil, dass Sie eine hohe Sicherheit bieten. und Sie haben den Nachteil, dass die Bereitstellung schwieriger ist als die Kenn Wort basierte Authentifizierungsmethode.Certificate-based authentication methods have the advantage of providing strong security; and they have the disadvantage of being more difficult to deploy than password-based authentication methods.

PEAP-MS-CHAP v2 und EAP-TLS sind Zertifikat basierte Authentifizierungsmethoden, aber es gibt viele Unterschiede zwischen Ihnen und der Art und Weise, in der Sie bereitgestellt werden.Both PEAP-MS-CHAP v2 and EAP-TLS are certificate-based authentication methods, but there are many differences between them and the way in which they are deployed.

EAP-TLSEAP-TLS

EAP-TLS verwendet Zertifikate für die Client-und Server Authentifizierung und erfordert, dass Sie eine Public Key-Infrastruktur (PKI) in Ihrer Organisation bereitstellen.EAP-TLS uses certificates for both client and server authentication, and requires that you deploy a public key infrastructure (PKI) in your organization. Das Bereitstellen einer PKI kann komplex sein und erfordert eine Planungsphase, die unabhängig von der Planung der Verwendung von NPS als RADIUS-Server ist.Deploying a PKI can be complex, and requires a planning phase that is independent of planning for the use of NPS as a RADIUS server.

Mit EAP-TLS registriert NPS ein Serverzertifikat von einer Zertifizierungsstelle (ca), und das Zertifikat wird auf dem lokalen Computer im Zertifikat Speicher gespeichert.With EAP-TLS, the NPS enrolls a server certificate from a certification authority (CA), and the certificate is saved on the local computer in the certificate store. Während des Authentifizierungs Vorgangs erfolgt die Server Authentifizierung, wenn das NPS sein Serverzertifikat an den Zugriffs Client sendet, um dessen Identität für den Zugriffs Client zu beweisen.During the authentication process, server authentication occurs when the NPS sends its server certificate to the access client to prove its identity to the access client. Der Zugriffs Client prüft verschiedene Zertifikat Eigenschaften, um zu bestimmen, ob das Zertifikat gültig ist und für die Verwendung bei der Server Authentifizierung geeignet ist.The access client examines various certificate properties to determine whether the certificate is valid and is appropriate for use during server authentication. Wenn das Serverzertifikat die Mindestanforderungen an das Serverzertifikat erfüllt und von einer Zertifizierungsstelle ausgestellt wird, der der Zugriffs Client vertraut, wird der NPS vom Client erfolgreich authentifiziert.If the server certificate meets the minimum server certificate requirements and is issued by a CA that the access client trusts, the NPS is successfully authenticated by the client.

Auf ähnliche Weise erfolgt die Client Authentifizierung während des Authentifizierungsprozesses, wenn der Client das Client Zertifikat an den NPS sendet, um seine Identität für den NPS zu belegen.Similarly, client authentication occurs during the authentication process when the client sends its client certificate to the NPS to prove its identity to the NPS. Das Zertifikat wird von NPS überprüft, und wenn das Client Zertifikat die Mindestanforderungen für das Client Zertifikat erfüllt und von einer Zertifizierungsstelle ausgestellt wird, der das NPS vertraut, wird der Zugriffs Client vom NPS erfolgreich authentifiziert.The NPS examines the certificate, and if the client certificate meets the minimum client certificate requirements and is issued by a CA that the NPS trusts, the access client is successfully authenticated by the NPS.

Obwohl es erforderlich ist, dass das Serverzertifikat im Zertifikat Speicher auf dem NPS gespeichert ist, kann das Client-oder Benutzerzertifikat entweder im Zertifikat Speicher auf dem Client oder auf einer Smartcard gespeichert werden.Although it is required that the server certificate is stored in the certificate store on the NPS, the client or user certificate can be stored in either the certificate store on the client or on a smart card.

Damit dieser Authentifizierungs Vorgang erfolgreich ist, ist es erforderlich, dass alle Computer das Zertifizierungsstellen Zertifikat Ihres Unternehmens im Zertifikat Speicher der vertrauenswürdigen Stamm Zertifizierungsstellen für den lokalen Computer und den aktuellen Benutzer haben.For this authentication process to succeed, it is required that all computers have your organization's CA certificate in the Trusted Root Certification Authorities certificate store for the Local Computer and the Current User.

PEAP-MS-CHAP v2PEAP-MS-CHAP v2

"Peer-MS-CHAP v2" verwendet ein Zertifikat für die Server Authentifizierung und Kenn Wort basierte Anmelde Informationen für die Benutzerauthentifizierung.PEAP-MS-CHAP v2 uses a certificate for server authentication and password-based credentials for user authentication. Da Zertifikate nur für die Server Authentifizierung verwendet werden, ist es nicht erforderlich, eine PKI bereitzustellen, um "Peer-MS-CHAP v2" verwenden zu können.Because certificates are used only for server authentication, you are not required to deploy a PKI in order to use PEAP-MS-CHAP v2. Wenn Sie "Peer-MS-CHAP v2" bereitstellen, können Sie ein Serverzertifikat für den NPS auf eine der beiden folgenden Arten abrufen:When you deploy PEAP-MS-CHAP v2, you can obtain a server certificate for the NPS in one of the following two ways:

  • Sie können Active Directory Zertifikat Dienste (AD CS) installieren und dann Zertifikate automatisch für NPSS registrieren.You can install Active Directory Certificate Services (AD CS), and then autoenroll certificates to NPSs. Wenn Sie diese Methode verwenden, müssen Sie auch das Zertifizierungsstellen Zertifikat für Client Computer registrieren, die eine Verbindung mit Ihrem Netzwerk herstellen, damit Sie dem Zertifikat vertrauen, das für den NPS ausgestellt wurde.If you use this method, you must also enroll the CA certificate to client computers connecting to your network so that they trust the certificate issued to the NPS.

  • Sie können ein Serverzertifikat von einer öffentlichen Zertifizierungsstelle, z. b. VeriSign, erwerben.You can purchase a server certificate from a public CA such as VeriSign. Wenn Sie diese Methode verwenden, stellen Sie sicher, dass Sie eine Zertifizierungsstelle auswählen, die bereits von den Client Computern als vertrauenswürdig eingestuft wird.If you use this method, make sure that you select a CA that is already trusted by client computers. Um zu ermitteln, ob Client Computer einer Zertifizierungsstelle vertrauen, öffnen Sie das Microsoft Management Console (MMC)-Snap-in "Zertifikate" auf einem Client Computer, und zeigen Sie dann den Speicher vertrauenswürdiger Stamm Zertifizierungsstellen für den lokalen Computer und für den aktuellen Benutzer an.To determine whether client computers trust a CA, open the Certificates Microsoft Management Console (MMC) snap-in on a client computer, and then view the Trusted Root Certification Authorities store for the Local Computer and for the Current User. Wenn ein Zertifikat von der Zertifizierungsstelle in diesen Zertifikat speichern vorhanden ist, vertraut der Client Computer der Zertifizierungsstelle und vertraut somit allen von der Zertifizierungsstelle ausgestellten Zertifikaten.If there is a certificate from the CA in these certificate stores, the client computer trusts the CA and will therefore trust any certificate issued by the CA.

Während des Authentifizierungsprozesses mit "Peer-MS-CHAP v2" erfolgt die Server Authentifizierung, wenn das NPS sein Serverzertifikat an den Client Computer sendet.During the authentication process with PEAP-MS-CHAP v2, server authentication occurs when the NPS sends its server certificate to the client computer. Der Zugriffs Client prüft verschiedene Zertifikat Eigenschaften, um zu bestimmen, ob das Zertifikat gültig ist und für die Verwendung bei der Server Authentifizierung geeignet ist.The access client examines various certificate properties to determine whether the certificate is valid and is appropriate for use during server authentication. Wenn das Serverzertifikat die Mindestanforderungen an das Serverzertifikat erfüllt und von einer Zertifizierungsstelle ausgestellt wird, der der Zugriffs Client vertraut, wird der NPS vom Client erfolgreich authentifiziert.If the server certificate meets the minimum server certificate requirements and is issued by a CA that the access client trusts, the NPS is successfully authenticated by the client.

Die Benutzerauthentifizierung tritt auf, wenn ein Benutzer versucht, eine Verbindung mit dem Netzwerk mit Kenn Wort basierten Anmelde Informationen herzustellen, und versucht, sich anzumelden.User authentication occurs when a user attempting to connect to the network types password-based credentials and tries to log on. NPS empfängt die Anmelde Informationen und führt die Authentifizierung und Autorisierung durch.NPS receives the credentials and performs authentication and authorization. Wenn der Benutzer erfolgreich authentifiziert und autorisiert wurde und der Client Computer den NPS erfolgreich authentifiziert hat, wird die Verbindungsanforderung erteilt.If the user is authenticated and authorized successfully, and if the client computer successfully authenticated the NPS, the connection request is granted.

Wichtige SchritteKey steps

Bei der Planung der Verwendung von Authentifizierungsmethoden können Sie die folgenden Schritte ausführen.During the planning for the use of authentication methods, you can use the following steps.

  • Identifizieren Sie die Typen des Netzwerk Zugriffs, den Sie anbieten möchten, z. b. drahtlos, VPN, 802.1 x-fähiger Switch und Einwählzugriff.Identify the types of network access you plan to offer, such as wireless, VPN, 802.1X-capable switch, and dial-up access.

  • Bestimmen Sie die Authentifizierungsmethoden, die Sie für jeden Zugriffstyp verwenden möchten.Determine the authentication method or methods that you want to use for each type of access. Es wird empfohlen, die Zertifikat basierten Authentifizierungsmethoden zu verwenden, die eine hohe Sicherheit bieten. Es ist jedoch möglicherweise nicht praktikabel, eine PKI bereitzustellen, sodass andere Authentifizierungsmethoden einen besseren Ausgleich der für Ihr Netzwerk benötigten Ressourcen bereitstellen können.It is recommended that you use the certificate-based authentication methods that provide strong security; however, it might not be practical for you to deploy a PKI, so other authentication methods might provide a better balance of what you need for your network.

  • Wenn Sie EAP-TLS bereitstellen, planen Sie Ihre PKI-Bereitstellung.If you are deploying EAP-TLS, plan your PKI deployment. Dies umfasst die Planung der Zertifikat Vorlagen, die Sie für Server Zertifikate und Client Computer Zertifikate verwenden werden.This includes planning the certificate templates you are going to use for server certificates and client computer certificates. Außerdem wird festgelegt, wie Zertifikate für Domänen Mitglieds-und nicht-Domänen Mitglieds Computer registriert werden, und es wird festgelegt, ob Smartcards verwendet werden sollen.It also includes determining how to enroll certificates to domain member and non-domain member computers, and determining whether you want to use smart cards.

  • Wenn Sie "Peer-MS-CHAP v2" bereitstellen, legen Sie fest, ob Sie AD CS zum Ausstellen von Server Zertifikaten für Ihre NPSS installieren möchten oder ob Sie Server Zertifikate von einer öffentlichen Zertifizierungsstelle, z. b. VeriSign, erwerben möchten.If you are deploying PEAP-MS-CHAP v2, determine whether you want to install AD CS to issue server certificates to your NPSs or whether you want to purchase server certificates from a public CA, such as VeriSign.

Planen von Netzwerk RichtlinienPlan network policies

Netzwerk Richtlinien werden von NPS verwendet, um zu bestimmen, ob Verbindungsanforderungen, die von RADIUS-Clients empfangen werden, autorisiert sind.Network policies are used by NPS to determine whether connection requests received from RADIUS clients are authorized. NPS verwendet auch die DFÜ-Eigenschaften des Benutzerkontos, um eine Autorisierungs Entscheidung zu treffen.NPS also uses the dial-in properties of the user account to make an authorization determination.

Da Netzwerk Richtlinien in der Reihenfolge verarbeitet werden, in der Sie im NPS-Snap-in angezeigt werden, sollten Sie die restriktivsten Richtlinien zuerst in der Liste der Richtlinien platzieren.Because network policies are processed in the order in which they appear in the NPS snap-in, plan to place your most restrictive policies first in the list of policies. Für jede Verbindungsanforderung versucht NPS, die Bedingungen der Richtlinie mit den Verbindungs Anforderungs Eigenschaften abzugleichen.For each connection request, NPS attempts to match the conditions of the policy with the connection request properties. NPS überprüft jede Netzwerk Richtlinie in der angegebenen Reihenfolge, bis eine Entsprechung gefunden wird.NPS examines each network policy in order until it finds a match. Wenn keine Entsprechung gefunden wird, wird die Verbindungsanforderung zurückgewiesen.If it does not find a match, the connection request is rejected.

Wichtige SchritteKey steps

Bei der Planung von Netzwerk Richtlinien können Sie die folgenden Schritte ausführen.During the planning for network policies, you can use the following steps.

  • Bestimmen Sie die bevorzugte NPS-Verarbeitungsreihenfolge von Netzwerk Richtlinien, von der restriktivsten bis zum geringsten einschränkendenDetermine the preferred NPS processing order of network policies, from most restrictive to least restrictive.

  • Bestimmen Sie den Richtlinien Status.Determine the policy state. Der Richtlinien Status kann den Wert "aktiviert" oder "deaktiviert" aufweisen.The policy state can have the value of enabled or disabled. Wenn die Richtlinie aktiviert ist, wertet NPS die Richtlinie beim Ausführen der Autorisierung aus.If the policy is enabled, NPS evaluates the policy while performing authorization. Wenn die Richtlinie nicht aktiviert ist, wird Sie nicht ausgewertet.If the policy is not enabled, it is not evaluated.

  • Bestimmen Sie den Richtlinientyp.Determine the policy type. Sie müssen bestimmen, ob die Richtlinie den Zugriff gewährt, wenn die Bedingungen der Richtlinie mit der Verbindungsanforderung abgeglichen werden, oder ob die Richtlinie darauf ausgelegt ist, den Zugriff zu verweigern, wenn die Bedingungen der Richtlinie mit der Verbindungsanforderung abgeglichen werden.You must determine whether the policy is designed to grant access when the conditions of the policy are matched by the connection request or whether the policy is designed to deny access when the conditions of the policy are matched by the connection request. Wenn Sie z. b. den drahtlosen Zugriff auf die Mitglieder einer Windows-Gruppe explizit verweigern möchten, können Sie eine Netzwerk Richtlinie erstellen, die die Gruppe, die drahtlose Verbindungsmethode und den Richtlinientyp "Zugriff verweigern" angibt.For example, if you want to explicitly deny wireless access to the members of a Windows group, you can create a network policy that specifies the group, the wireless connection method, and that has a policy type setting of Deny access.

  • Bestimmen Sie, ob NPS die DFÜ-Eigenschaften von Benutzerkonten ignorieren soll, die Mitglieder der Gruppe sind, auf der die Richtlinie basiert.Determine whether you want NPS to ignore the dial-in properties of user accounts that are members of the group on which the policy is based. Wenn diese Einstellung nicht aktiviert ist, überschreiben die Einwähleigenschaften von Benutzerkonten Einstellungen, die in den Netzwerk Richtlinien konfiguriert sind.When this setting is not enabled, the dial-in properties of user accounts override settings that are configured in network policies. Wenn z. b. eine Netzwerk Richtlinie konfiguriert ist, die den Zugriff auf einen Benutzer gewährt, aber die DFÜ-Eigenschaften des Benutzerkontos für diesen Benutzer so festgelegt sind, dass der Zugriff verweigert wird, wird dem Benutzer der Zugriff verweigert.For example, if a network policy is configured that grants access to a user but the dial-in properties of the user account for that user are set to deny access, the user is denied access. Wenn Sie jedoch die Einstellung Richtlinientyp Benutzerkonto Einwähleigenschaften ignorieren aktivieren, wird dem gleichen Benutzer der Zugriff auf das Netzwerk gewährt.But if you enable the policy type setting Ignore user account dial-in properties, the same user is granted access to the network.

  • Bestimmen Sie, ob die Richtlinie die Einstellung der Richtlinien Quelle verwendet.Determine whether the policy uses the policy source setting. Mit dieser Einstellung können Sie problemlos eine Quelle für alle Zugriffs Anforderungen angeben.This setting allows you to easily specify a source for all access requests. Mögliche Quellen sind ein Terminaldienstegateway (TS-Gateway), ein Remote Zugriffs Server (VPN oder DFÜ), ein DHCP-Server, ein drahtloser Zugriffspunkt und ein Integritäts Registrierungsstellen-Server.Possible sources are a Terminal Services Gateway (TS Gateway), a remote access server (VPN or dial-up), a DHCP server, a wireless access point, and a Health Registration Authority server. Alternativ können Sie eine anbieterspezifische Quelle angeben.Alternatively, you can specify a vendor-specific source.

  • Bestimmen Sie die Bedingungen, die abgeglichen werden müssen, damit die Netzwerk Richtlinie angewendet wird.Determine the conditions that must be matched in order for the network policy to be applied.

  • Bestimmen Sie die Einstellungen, die angewendet werden, wenn die Bedingungen der Netzwerk Richtlinie mit der Verbindungsanforderung abgeglichen werden.Determine the settings that are applied if the conditions of the network policy are matched by the connection request.

  • Bestimmen Sie, ob Sie die standardmäßigen Netzwerk Richtlinien verwenden, ändern oder löschen möchten.Determine whether you want to use, modify, or delete the default network policies.

Planen der NPS-KontoführungPlan NPS accounting

NPS bietet die Möglichkeit zum Protokollieren von RADIUS-Buchhaltungsdaten, wie z. b. Benutzerauthentifizierung und Buchhaltungs Anforderungen, in drei Formaten: IAS-Format, Daten Bank kompatibles Format und Microsoft SQL Server Protokollierung.NPS provides the ability to log RADIUS accounting data, such as user authentication and accounting requests, in three formats: IAS format, database-compatible format, and Microsoft SQL Server logging.

IAS-Format und Daten Bank kompatibles Format erstellen Sie Protokolldateien auf dem lokalen NPS im Text Dateiformat.IAS format and database-compatible format create log files on the local NPS in text file format.

SQL Server Protokollierung bietet die Möglichkeit, sich in einer SQL Server 2000-oder SQL Server 2005-XML-kompatiblen Datenbank zu protokollieren. Dies erweitert die RADIUS-Kontoführung, um die Vorteile der Protokollierung in einer relationalen DatenbankSQL Server logging provides the ability to log to a SQL Server 2000 or SQL Server 2005 XML-compliant database, extending RADIUS accounting to leverage the advantages of logging to a relational database.

Wichtige SchritteKey steps

Bei der Planung der NPS-Buchhaltung können Sie die folgenden Schritte ausführen.During the planning for NPS accounting, you can use the following steps.

  • Bestimmen Sie, ob Sie NPS-Buchhaltungsdaten in Protokolldateien oder in einer SQL Server-Datenbank speichern möchten.Determine whether you want to store NPS accounting data in log files or in a SQL Server database.

NPS-Kontoführung mit lokalen ProtokolldateienNPS accounting using local log files

Das Aufzeichnen von Benutzerauthentifizierungs-und Buchhaltungs Anforderungen in Protokolldateien wird hauptsächlich für Verbindungs Analyse und Abrechnungszwecke verwendet und ist auch als Sicherheitsuntersuchung nützlich und bietet eine Methode zum Nachverfolgen der Aktivität eines böswilligen Benutzers nach einem infar.Recording user authentication and accounting requests in log files is used primarily for connection analysis and billing purposes, and is also useful as a security investigation tool, providing you with a method for tracking the activity of a malicious user after an attack.

Wichtige SchritteKey steps

Bei der Planung der NPS-Kontoführung mithilfe lokaler Protokolldateien können Sie die folgenden Schritte ausführen.During the planning for NPS accounting using local log files, you can use the following steps.

  • Legen Sie das Text Dateiformat fest, das Sie für Ihre NPS-Protokolldateien verwenden möchten.Determine the text file format that you want to use for your NPS log files.

  • Wählen Sie den Typ der Informationen aus, die Sie protokollieren möchten.Choose the type of information that you want to log. Sie können Buchhaltungs Anforderungen, Authentifizierungsanforderungen und den regelmäßigen Status protokollieren.You can log accounting requests, authentication requests, and periodic status.

  • Bestimmen Sie den Speicherort der Festplatte, in dem Sie die Protokolldateien speichern möchten.Determine the hard disk location where you want to store your log files.

  • Entwerfen Sie die Sicherungs Lösung für die Protokolldatei.Design your log file backup solution. Der Speicherort der Festplatte, in dem Sie die Protokolldateien speichern, sollte ein Speicherort sein, an dem Sie Ihre Daten problemlos sichern können.The hard disk location where you store your log files should be a location that allows you to easily back up your data. Außerdem sollte der Speicherort der Festplatte geschützt werden, indem die Zugriffs Steuerungs Liste (ACL) für den Ordner konfiguriert wird, in dem die Protokolldateien gespeichert werden.In addition, the hard disk location should be protected by configuring the access control list (ACL) for the folder where the log files are stored.

  • Legen Sie die Häufigkeit fest, mit der neue Protokolldateien erstellt werden sollen.Determine the frequency at which you want new log files to be created. Wenn Protokolldateien basierend auf der Dateigröße erstellt werden sollen, bestimmen Sie die maximal zulässige Dateigröße, bevor eine neue Protokolldatei von NPS erstellt wird.If you want log files to be created based on the file size, determine the maximum file size allowed before a new log file is created by NPS.

  • Legen Sie fest, ob NPS ältere Protokolldateien löschen soll, wenn die Festplatte nicht mehr über genügend Speicherplatz verfügt.Determine whether you want NPS to delete older log files if the hard disk runs out of storage space.

  • Bestimmen Sie die Anwendung oder Anwendungen, die Sie verwenden möchten, um Buchhaltungsdaten anzuzeigen und Berichte zu liefern.Determine the application or applications that you want to use to view accounting data and produce reports.

NPS-SQL Server ProtokollierungNPS SQL Server logging

Die NPS-SQL Server Protokollierung wird verwendet, wenn Sie Sitzungs Zustandsinformationen, für die Erstellung von Berichten und zur Datenanalyse benötigen, und um die Verwaltung Ihrer Buchhaltungsdaten zu zentralisieren und zu vereinfachen.NPS SQL Server logging is used when you need session state information, for report creation and data analysis purposes, and to centralize and simplify management of your accounting data.

NPS bietet die Möglichkeit, SQL Server Protokollierung zum Aufzeichnen von Authentifizierungs-und Buchhaltungs Anforderungen von einem oder mehreren Netzwerk Zugriffs Servern an eine Datenquelle auf einem Computer zu verwenden, auf dem das Microsoft SQL Server Desktop-Engine (MSDE 2000)oder eine beliebige Version von SQL Server als SQL Server 2000 ausgeführt wird.NPS provides the ability to use SQL Server logging to record user authentication and accounting requests received from one or more network access servers to a data source on a computer running the Microsoft SQL Server Desktop Engine (MSDE 2000), or any version of SQL Server later than SQL Server 2000.

Kontoführungs Daten werden vom NPS im XML-Format an eine gespeicherte Prozedur in der-Datenbank übermittelt, die sowohl strukturierte Abfragesprache (SQL) als auch XML (SQLXML-)unterstützt.Accounting data is passed from NPS in XML format to a stored procedure in the database, which supports both structured query language (SQL) and XML (SQLXML). Durch das Aufzeichnen von Benutzer Authentifizierungs-und Buchhaltungs Anforderungen in einer XML-kompatiblen SQL Server-Datenbank können mehrere NPSS über eine Datenquelle verfügen.Recording user authentication and accounting requests in an XML-compliant SQL Server database enables multiple NPSs to have one data source.

Wichtige SchritteKey steps

Bei der Planung der NPS-Kontoführung mithilfe der NPS-SQL Server Protokollierung können Sie die folgenden Schritte ausführen.During the planning for NPS accounting by using NPS SQL Server logging, you can use the following steps.

  • Stellen Sie fest, ob Sie oder ein anderes Mitglied Ihrer Organisation über SQL Server die Entwicklung von relationalen Datenbanken 2000 oder SQL Server 2005 verfügen, und Sie verstehen, wie diese Produkte zum Erstellen, ändern, verwalten und Verwalten von SQL Server Datenbanken verwendet werden.Determine whether you or another member of your organization has SQL Server 2000 or SQL Server 2005 relational database development experience and you understand how to use these products to create, modify, administer, and manage SQL Server databases.

  • Bestimmen Sie, ob SQL Server auf dem NPS oder auf einem Remote Computer installiert ist.Determine whether SQL Server is installed on the NPS or on a remote computer.

  • Entwerfen Sie die gespeicherte Prozedur, die Sie in Ihrer SQL Server Datenbank verwenden werden, um eingehende XML-Dateien zu verarbeiten, die NPS-Buchhaltungsdaten enthalten.Design the stored procedure that you will use in your SQL Server database to process incoming XML files that contain NPS accounting data.

  • Entwerfen Sie die SQL Server Daten Bank Replikations Struktur und den DatenflussDesign the SQL Server database replication structure and flow.

  • Bestimmen Sie die Anwendung oder Anwendungen, die Sie verwenden möchten, um Buchhaltungsdaten anzuzeigen und Berichte zu liefern.Determine the application or applications that you want to use to view accounting data and produce reports.

  • Planen Sie die Verwendung von Netzwerk Zugriffs Servern, die das Class-Attribut in allen Buchhaltungs Anforderungen senden.Plan to use network access servers that send the Class attribute in all accounting-requests. Das Class-Attribut wird in einer Access-Accept-Nachricht an den RADIUS-Client gesendet und ist nützlich, um Buchhaltungs Anforderungs Nachrichten mit Authentifizierungs Sitzungen zu korrelieren.The Class attribute is sent to the RADIUS client in an Access-Accept message, and is useful for correlating Accounting-Request messages with authentication sessions. Wenn das Class-Attribut vom Netzwerk Zugriffs Server in den Nachrichten der Buchhaltungs Anforderung gesendet wird, kann es verwendet werden, um die Kontoführungs-und Authentifizierungsdaten Sätze abzugleichen.If the Class attribute is sent by the network access server in the accounting request messages, it can be used to match the accounting and authentication records. Die Kombination der Attribute Unique-Serial-Number, Service-Reboot-Time und Server Adresse muss eine eindeutige Identifikation für jede Authentifizierung sein, die der Server akzeptiert.The combination of the attributes Unique-Serial-Number, Service-Reboot-Time, and Server-Address must be a unique identification for each authentication that the server accepts.

  • Planen Sie die Verwendung von Netzwerk Zugriffs Servern, die die Zwischenabrechnung unterstützen.Plan to use network access servers that support interim accounting.

  • Planen Sie die Verwendung von Netzwerk Zugriffs Servern, die Nachrichten übermitteln und Abrechnungen senden.Plan to use network access servers that send Accounting-on and Accounting-off messages.

  • Planen Sie die Verwendung von Netzwerk Zugriffs Servern, die das Speichern und Weiterleiten von Buchhaltungsdaten unterstützen.Plan to use network access servers that support the storing and forwarding of accounting data. Netzwerk Zugriffs Server, die dieses Feature unterstützen, können Buchhaltungsdaten speichern, wenn der Netzwerk Zugriffs Server nicht mit dem NPS kommunizieren kann.Network access servers that support this feature can store accounting data when the network access server cannot communicate with the NPS. Wenn der NPS verfügbar ist, leitet der Netzwerk Zugriffs Server die gespeicherten Datensätze an den NPS weiter und bietet eine höhere Zuverlässigkeit bei der Abrechnung über Netzwerk Zugriffs Server, die dieses Feature nicht bereitstellen.When the NPS is available, the network access server forwards the stored records to the NPS, providing increased reliability in accounting over network access servers that do not provide this feature.

  • Planen Sie, das Attribut "Acct-Interim-Interval" immer in den Netzwerk Richtlinien zu konfigurieren.Plan to always configure the Acct-Interim-Interval attribute in network policies. Das Acct-Interim-Interval-Attribut legt das Intervall (in Sekunden) zwischen jedem Zwischenupdate fest, das vom Netzwerk Zugriffs Server gesendet wird.The Acct-Interim-Interval attribute sets the interval (in seconds) between each interim update that the network access server sends. Gemäß RFC 2869 darf der Wert des Acct-Interim-Interval-Attributs nicht kleiner als 60 Sekunden oder eine Minute sein und darf nicht kleiner als 600 Sekunden oder 10 Minuten sein.According to RFC 2869, the value of the Acct-Interim-Interval attribute must not be smaller than 60 seconds, or one minute, and should not be smaller than 600 seconds, or 10 minutes. Weitere Informationen finden Sie unter RFC 2869, "RADIUS-Erweiterungen".For more information, see RFC 2869, "RADIUS Extensions."

  • Stellen Sie sicher, dass die Protokollierung des regelmäßigen Status auf Ihrem NPSS aktiviert ist.Ensure that logging of periodic status is enabled on your NPSs.