Planen eines NPS als RADIUS-Server

  • Artikel

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

Wenn Sie Netzwerkrichtlinienserver (Network Policy Server, NPS) als RADIUS-Server (Remote Authentication Dial-In User Service) bereitstellen, führt NPS die Authentifizierung, Autorisierung und Ressourcenerfassung für Verbindungsanforderungen für die lokale Domäne und für Domänen aus, die der lokalen Domäne vertrauen. Mithilfe dieser Planungsanleitungen können Sie Ihre RADIUS-Bereitstellung vereinfachen.

Diese Planungsanleitungen behandeln keine Szenarios, in denen Sie NPS als RADIUS-Proxy bereitstellen möchten. Wenn Sie einen NPS als RADIUS-Proxy bereitstellen, leitet dieser Verbindungsanforderungen an einen Server weiter, auf dem ein NPS oder andere RADIUS-Server in Remotedomänen, nicht vertrauenswürdigen Domänen oder beidem ausgeführt werden.

Bevor Sie einen NPS als RADIUS-Server in Ihrem Netzwerk bereitstellen, sollten Sie Ihre Bereitstellung mithilfe der folgenden Anleitungen planen:

  • Planen der NPS-Konfiguration

  • Planen von RADIUS-Clients

  • Planen der Verwendung von Authentifizierungsmethoden

  • Planen von Netzwerkrichtlinien

  • Planen der NPS-Ressourcenerfassung

Planen der NPS-Konfiguration

Sie müssen entscheiden, in welcher Domäne der NPS Mitglied sein soll. Für Umgebungen mit mehreren Domänen kann ein NPS Anmeldeinformationen für Benutzerkonten in der Domäne authentifizieren, deren Mitglied er ist, und für alle Domänen, die der lokalen Domäne des NPS vertrauen. Damit der NPS die Einwahleigenschaften von Benutzerkonten während des Autorisierungsprozesses lesen kann, müssen Sie das Computerkonto des NPS der RAS- und NPS-Gruppe für jede Domäne hinzufügen.

Nachdem Sie die Domänenmitgliedschaft des NPS festgelegt haben, muss der Server für die Kommunikation mit RADIUS-Clients (auch Netzwerkzugriffsserver genannt) mithilfe des RADIUS-Protokolls konfiguriert werden. Darüber hinaus können Sie die Ereignistypen konfigurieren, die NPS im Ereignisprotokoll aufzeichnet, und eine Beschreibung für den Server eingeben.

Wichtigste Schritte

Bei der Planung der NPS-Konfiguration können Sie sich an den folgenden Schritten orientieren.

  • Legen Sie die RADIUS-Ports fest, die der NPS zum Empfangen von RADIUS-Nachrichten von RADIUS-Clients verwendet. Die Standardports sind die UDP-Ports 1812 und 1645 für RADIUS-Authentifizierungsmeldungen und die Ports 1813 und 1646 für RADIUS-Ressourcenerfassungsmeldungen.

  • Wenn der NPS mit mehreren Netzwerkadaptern konfiguriert ist, legen Sie die Adapter fest, über die RADIUS-Datenverkehr zugelassen werden soll.

  • Legen Sie die Ereignistypen fest, die NPS im Ereignisprotokoll aufzeichnen soll. Sie können abgelehnte Authentifizierungsanforderungen, erfolgreiche Authentifizierungsanforderungen oder beide Arten von Anforderungen protokollieren.

  • Legen Sie fest, ob Sie mehr als einen NPS bereitstellen. Verwenden Sie mindestens zwei NPS, um Fehlertoleranz für die RADIUS-basierte Authentifizierung und Ressourcenerfassung zu ermöglichen. Ein NPS wird als primärer RADIUS-Server und der andere als Sicherung verwendet. Jeder RADIUS-Client wird dann auf beiden NPS konfiguriert. Wenn der primäre NPS ausfällt, senden RADIUS-Clients Access-Request-Nachrichten an den alternativen NPS.

  • Planen Sie das Skript, das zum Kopieren einer NPS-Konfiguration in andere NPS verwendet wird, um Verwaltungsaufwand zu sparen und die Fehlkonfiguration eines Servers zu verhindern. Für NPS können Netsh-Befehle verwendet werden, um eine NPS-Konfiguration ganz oder teilweise für den Import in einen anderen NPS zu kopieren. Sie können die Befehle manuell über die Netsh-Eingabeaufforderung ausführen. Wenn Sie Ihre Befehlssequenz jedoch als Skript speichern, können Sie das Skript zu einem späteren Zeitpunkt ausführen, wenn Sie die Serverkonfigurationen ändern möchten.

Planen von RADIUS-Clients

RADIUS-Clients sind Netzwerkzugriffsserver, z. B. Funkzugriffspunkte, VPN-Server (Virtual Private Network), 802.1X-fähige Switches und DFÜ-Server. RADIUS-Proxys, die Verbindungsanforderungsmeldungen an RADIUS-Server weiterleiten, sind ebenfalls RADIUS-Clients. NPS unterstützt alle Netzwerkzugriffsserver und RADIUS-Proxys, die dem RADIUS-Protokoll entsprechen. Ausführliche Informationen finden Sie in der RFC 2865, „Remote Authentication Dial-in User Service (RADIUS)“, und in der RFC 2866, „RADIUS Accounting“ (RADIUS-Ressourcenerfassung).

Wichtig

Zugriffsclients, z. B. Clientcomputer, sind keine RADIUS-Clients. Nur Netzwerkzugriffsserver und Proxyserver, die das RADIUS-Protokoll unterstützen, sind RADIUS-Clients.

Darüber hinaus müssen sowohl Funkzugriffspunkte als auch Switches die 802.1X-Authentifizierung unterstützen. Wenn Sie das EAP (Extensible Authentication Protocol) oder PEAP (Protected Extensible Authentication Protocol) bereitstellen möchten, müssen Zugriffspunkte und Switches die Verwendung von EAP unterstützen.

Um die grundlegende Interoperabilität mit PPP-Verbindungen für Funkzugriffspunkte zu testen, konfigurieren Sie den Zugriffspunkt und den Zugriffsclient für die Verwendung des PAP (Password Authentication Protocol). Verwenden Sie zusätzliche PPP-basierte Authentifizierungsprotokolle, z. B. PEAP, bis Sie die Protokolle getestet haben, die Sie für den Netzwerkzugriff verwenden möchten.

Wichtigste Schritte

Bei der Planung der RADIUS-Clients können Sie sich an den folgenden Schritten orientieren.

  • Dokumentieren Sie die anbieterspezifischen Attribute (VSAs), die Sie auf dem NPS konfigurieren müssen. Wenn Ihre Netzwerkzugriffsserver VSAs erfordern, protokollieren Sie die VSA-Informationen zur späteren Verwendung, wenn Sie Ihre Netzwerkrichtlinien auf dem NPS konfigurieren.

  • Dokumentieren Sie die IP-Adressen Ihrer RADIUS-Clients und Ihres NPS, um die Konfiguration aller Geräte zu vereinfachen. Wenn Sie Ihre RADIUS-Clients bereitstellen, müssen Sie sie für die Verwendung des RADIUS-Protokolls konfigurieren, wobei die NPS-IP-Adresse als Authentifizierungsserver eingegeben wird. Wenn Sie NPS für die Kommunikation mit Ihren RADIUS-Clients konfigurieren, müssen Sie zudem die RADIUS-Client-IP-Adressen in das NPS-Snap-In eingeben.

  • Erstellen Sie freigegebene Geheimnisse für die Konfiguration auf den RADIUS-Clients und im NPS-Snap-In. Sie müssen RADIUS-Clients mit einem freigegebenen Geheimnis oder Kennwort konfigurieren, das Sie beim Konfigurieren der RADIUS-Clients auf dem NPS auch in das NPS-Snap-In eingeben.

Planen der Verwendung von Authentifizierungsmethoden

Ein NPS unterstützt sowohl kennwortbasierte als auch zertifikatbasierte Authentifizierungsmethoden. Allerdings unterstützen nicht alle Netzwerkzugriffsserver die gleichen Authentifizierungsmethoden. In einigen Fällen sollten Sie je nach Art des Netzwerkzugriffs eine andere Authentifizierungsmethode auswählen.

Wenn Sie beispielsweise Funkzugriff und VPN-Zugriff für Ihre Organisation ermöglichen, sollten Sie für jeden Zugriffstyp eine andere Authentifizierungsmethode verwenden: EAP-TLS für VPN-Verbindungen aufgrund der hohen Sicherheit, die EAP mit Transport Layer Security (EAP-TLS) bietet, und PEAP-MS-CHAP v2 für 802.1X-Funkverbindungen.

PEAP mit Microsoft Challenge Handshake Authentication Protocol Version 2 (PEAP-MS-CHAP v2) enthält das Feature „Schnelle Verwendungswiederherstellung“, das speziell für die Verwendung mit tragbaren Computern und anderen funkfähigen Geräten entwickelt wurde. Die schnelle Verbindungswiederherstellung ermöglicht es Funkclients, zwischen Funkzugriffspunkten im selben Netzwerk zu wechseln, ohne jedes Mal erneut authentifiziert zu werden, wenn sie einem neuen Zugriffspunkt zugeordnet werden. Dadurch wird die Verwendung von Funkverbindungen vereinfacht, und die Benutzer*innen können zwischen Zugriffspunkten wechseln, ohne ihre Anmeldeinformationen erneut eingeben zu müssen. Aufgrund der schnellen Verbindungswiederherstellung und der Sicherheit ist PEAP-MS-CHAP v2 eine naheliegende Wahl als Authentifizierungsmethode für Funkverbindungen.

Für VPN-Verbindungen ist die zertifikatbasierte Authentifizierungsmethode EAP-TLS geeignet, die eine hohe Sicherheit bietet und den Netzwerkdatenverkehr schützt, auch wenn er über das Internet von Heimcomputern oder tragbaren Computern an die VPN-Server Ihrer Organisation übertragen wird.

Zertifikatbasierte Authentifizierungsmethoden

Zertifikatbasierte Authentifizierungsmethoden haben den Vorteil, dass sie eine hohe Sicherheit bieten. Allerdings haben sie den Nachteil, dass die Bereitstellung schwieriger ist bei als kennwortbasierten Authentifizierungsmethoden.

Sowohl PEAP-MS-CHAP v2 als auch EAP-TLS sind zertifikatbasierte Authentifizierungsmethoden, aber es gibt viele Unterschiede zwischen den Methoden und ihrer Bereitstellung.

EAP-TLS

EAP-TLS verwendet Zertifikate sowohl für die Client- als auch für die Serverauthentifizierung und setzt voraus, dass Sie eine Public Key-Infrastruktur (PKI) in Ihrer Organisation bereitstellen. Die Bereitstellung einer PKI kann komplex sein und erfordert eine Planungsphase, die unabhängig von der Planung für die Verwendung eines NPS als RADIUS-Server ist.

Mit EAP-TLS registriert der NPS ein Serverzertifikat von einer Zertifizierungsstelle (ZS), und das Zertifikat wird auf dem lokalen Computer im Zertifikatspeicher gespeichert. Während des Authentifizierungsprozesses erfolgt die Serverauthentifizierung, wenn der NPS sein Serverzertifikat an den Zugriffsclient sendet, um seine Identität gegenüber dem Zugriffsclient nachzuweisen. Der Zugriffsclient überprüft verschiedene Zertifikateigenschaften, um zu ermitteln, ob das Zertifikat gültig und für die Verwendung während der Serverauthentifizierung geeignet ist. Wenn das Serverzertifikat die Mindestanforderungen für Serverzertifikate erfüllt und von einer Zertifizierungsstelle ausgestellt wurde, der der Zugriffsclient vertraut, wird der Netzwerkrichtlinienserver vom Client erfolgreich authentifiziert.

Ebenso erfolgt die Clientauthentifizierung während des Authentifizierungsprozesses, wenn der Client sein Clientzertifikat an den NPS sendet, um seine Identität gegenüber dem NPS nachzuweisen. Der NPS überprüft das Zertifikat, und wenn das Clientzertifikat die Mindestanforderungen für Clientzertifikate erfüllt und von einer Zertifizierungsstelle ausgestellt wurde, der der NPS vertraut, wird der Zugriffsclient erfolgreich vom NPS authentifiziert.

Obwohl es erforderlich ist, dass das Serverzertifikat im Zertifikatspeicher auf dem NPS gespeichert wird, kann das Client- oder Benutzerzertifikat entweder im Zertifikatspeicher auf dem Client oder auf einer Smartcard gespeichert werden.

Damit dieser Authentifizierungsprozess erfolgreich ist, müssen alle Computer das Zertifizierungsstellenzertifikat Ihrer Organisation im Zertifikatspeicher „Vertrauenswürdige Stammzertifizierungsstellen“ für den lokalen Computer und das aktuelle Benutzerkonto besitzen.

PEAP-MS-CHAP v2

PEAP-MS-CHAP v2 verwendet ein Zertifikat für die Serverauthentifizierung und kennwortbasierte Anmeldeinformationen für die Benutzerauthentifizierung. Da Zertifikate nur für die Serverauthentifizierung verwendet werden, müssen Sie keine PKI bereitstellen, um PEAP-MS-CHAP v2 verwenden zu können. Wenn Sie PEAP-MS-CHAP v2 bereitstellen, können Sie ein Serverzertifikat für den NPS auf eine der folgenden zwei Arten abrufen:

  • Sie können Active Directory-Zertifikatdienste (AD CS) installieren und Zertifikate dann automatisch bei NPS registrieren. Wenn Sie diese Methode verwenden, müssen Sie das Zertifizierungsstellenzertifikat auch auf Clientcomputern registrieren, die eine Verbindung mit Ihrem Netzwerk herstellen, damit diese dem Zertifikat vertrauen, das für den NPS ausgestellt wurde.

  • Sie können ein Serverzertifikat von einer öffentlichen Zertifizierungsstelle wie VeriSign erwerben. Wenn Sie diese Methode verwenden, müssen Sie darauf achten, eine Zertifizierungsstelle auszuwählen, die bereits von Clientcomputern als vertrauenswürdig eingestuft wird. Um festzustellen, ob Clientcomputer einer Zertifizierungsstelle vertrauen, öffnen Sie das MMC-Snap-In (Microsoft Management Console) für Zertifikate auf einem Clientcomputer, und zeigen Sie dann den Speicher „Vertrauenswürdige Stammzertifizierungsstellen“ für den lokalen Computer und für das aktuelle Benutzerkonto an. Wenn in diesen Zertifikatspeichern ein Zertifikat von der Zertifizierungsstelle vorhanden ist, vertraut der Clientcomputer der Zertifizierungsstelle und damit jedem von der Zertifizierungsstelle ausgestellten Zertifikat.

Während des Authentifizierungsprozesses mit PEAP-MS-CHAP v2 erfolgt die Serverauthentifizierung, wenn der NPS sein Serverzertifikat an den Clientcomputer sendet. Der Zugriffsclient überprüft verschiedene Zertifikateigenschaften, um zu ermitteln, ob das Zertifikat gültig und für die Verwendung während der Serverauthentifizierung geeignet ist. Wenn das Serverzertifikat die Mindestanforderungen für Serverzertifikate erfüllt und von einer Zertifizierungsstelle ausgestellt wurde, der der Zugriffsclient vertraut, wird der Netzwerkrichtlinienserver vom Client erfolgreich authentifiziert.

Die Benutzerauthentifizierung erfolgt, wenn ein*e Benutzer*in versucht, eine Verbindung mit dem Netzwerk herzustellen, dabei kennwortbasierte Anmeldeinformationen eingibt und versucht, sich anzumelden. Der NPS empfängt die Anmeldeinformationen und führt die Authentifizierung und Autorisierung durch. Wenn der oder die Benutzer*in erfolgreich authentifiziert und autorisiert wurde und der Clientcomputer den NPS erfolgreich authentifiziert hat, wird die Verbindungsanforderung gewährt.

Wichtigste Schritte

Bei der Planung der Verwendung von Authentifizierungsmethoden können Sie sich an den folgenden Schritten orientieren.

  • Legen Sie die Arten des Netzwerkzugriffs fest, die Sie anbieten möchten, z. B. Funkzugriff, VPN, 802.1X-fähiger Switch und DFÜ-Zugriff.

  • Legen Sie die Authentifizierungsmethode(n) fest, die Sie für jeden Zugriffstyp verwenden möchten. Es wird empfohlen, die zertifikatbasierten Authentifizierungsmethoden zu verwenden, da diese eine hohe Sicherheit bieten. Es ist jedoch möglicherweise nicht umsetzbar, eine PKI bereitzustellen, sodass andere Authentifizierungsmethoden besser für Ihr Netzwerk geeignet sein könnten.

  • Wenn Sie EAP-TLS bereitstellen, planen Sie Ihre PKI-Bereitstellung. Dies schließt die Planung der Zertifikatvorlagen ein, die Sie für Serverzertifikate und Clientcomputerzertifikate verwenden. Sie müssen auch festlegen, wie Zertifikate für Computer registriert werden, die Mitglied bzw. kein Mitglied der Domäne sind, und ob Sie Smartcards verwenden möchten.

  • Wenn Sie PEAP-MS-CHAP v2 bereitstellen, müssen Sie entscheiden, ob Sie AD CS installieren möchten, um Serverzertifikate für Ihre NPS auszustellen, oder ob Sie Serverzertifikate von einer öffentlichen Zertifizierungsstelle wie VeriSign erwerben möchten.

Planen von Netzwerkrichtlinien

Netzwerkrichtlinien werden von NPS verwendet, um zu bestimmen, ob die von RADIUS-Clients empfangenen Verbindungsanforderungen autorisiert sind. NPS verwendet auch die Einwahleigenschaften des Benutzerkontos, um eine Autorisierungsprüfung vorzunehmen.

Da Netzwerkrichtlinien in der Reihenfolge verarbeitet werden, in der sie im NPS-Snap-In angezeigt werden, sollte die strikteste Richtlinien die erste in der Richtlinienliste sein. Für jede Verbindungsanforderung versucht der NPS, die Bedingungen der Richtlinie mit den Verbindungsanforderungseigenschaften abzugleichen. NPS untersucht jede Netzwerkrichtlinie in der angegebenen Reihenfolge, bis eine Übereinstimmung gefunden wird. Wenn keine Übereinstimmung gefunden wird, wird die Verbindungsanforderung abgelehnt.

Wichtigste Schritte

Bei der Planung der Netzwerkrichtlinien können Sie sich an den folgenden Schritten orientieren.

  • Legen Sie die bevorzugte NPS-Verarbeitungsreihenfolge der Netzwerkrichtlinien fest. Diese sollte bei der striktesten beginnen und bei der am wenigsten strikten aufhören.

  • Legen Sie den Richtlinienstatus fest. Der Richtlinienstatus kann „Aktiviert“ oder „Deaktiviert“ lauten. Wenn die Richtlinie aktiviert ist, wertet der NPS die Richtlinie während der Autorisierung aus. Wenn die Richtlinie nicht aktiviert ist, wird sie nicht ausgewertet.

  • Legen Sie den Richtlinientyp fest. Sie müssen festlegen, ob die Richtlinie darauf ausgelegt ist, Zugriff zu gewähren oder zu verweigern, wenn die Bedingungen der Richtlinie mit der Verbindungsanforderung übereinstimmen. Wenn Sie beispielsweise den Mitgliedern einer Windows-Gruppe den Funkzugriff explizit verweigern möchten, können Sie eine Netzwerkrichtlinie erstellen, die die Gruppe, die funkbasierte Verbindungsmethode und die Richtlinientypeinstellung „Zugriff verweigern“ angibt.

  • Legen Sie fest, ob der NPS die Einwahleigenschaften von Benutzerkonten ignorieren soll, die Mitglieder der Gruppe sind, für die die Richtlinie gilt. Wenn diese Einstellung nicht aktiviert ist, überschreiben die Einwahleigenschaften von Benutzerkonten die in Netzwerkrichtlinien konfigurierten Einstellungen. Wenn beispielsweise eine Netzwerkrichtlinie konfiguriert ist, die einem Benutzerkonto Zugriff gewährt, aber die Einwahleigenschaften für dieses Benutzerkontos auf „Zugriff verweigern“ festgelegt sind, wird der Zugriff verweigert. Wenn Sie jedoch die Richtlinientypeinstellung „Einwahleigenschaften des Benutzerkontos ignorieren“ aktivieren, erhält der- oder dieselbe Benutzer*in Zugriff auf das Netzwerk.

  • Legen Sie fest, ob die Richtlinie die Richtlinienquelleneinstellung verwendet. Mit dieser Einstellung können Sie eine Quelle für alle Zugriffsanforderungen angeben. Mögliche Quellen sind ein Terminaldienstegateway (TS-Gateway), ein RAS-Server (VPN oder DFÜ), ein DHCP-Server, ein Funkzugriffspunkt und ein Server der Integritätsregistrierungsstelle. Alternativ können Sie eine anbieterspezifische Quelle angeben.

  • Legen Sie die Bedingungen fest, die erfüllt werden müssen, damit die Netzwerkrichtlinie angewendet werden kann.

  • Legen Sie die Einstellungen fest, die angewendet werden, wenn die Bedingungen der Netzwerkrichtlinie mit der Verbindungsanforderung übereinstimmen.

  • Entscheiden Sie, ob Sie die Standardnetzwerkrichtlinien verwenden, ändern oder löschen möchten.

Planen der NPS-Ressourcenerfassung

Auf einem NPS können RADIUS-Ressourcenerfassungsdaten wie Benutzerauthentifizierungs- und Abrechnungsanforderungen in drei Formaten protokolliert werden: im IAS-Format, im datenbankkompatiblen Format und als Microsoft SQL Server-Protokollierung.

Das IAS-Format und das datenbankkompatible Format erstellen Protokolldateien auf dem lokalen NPS im Textdateiformat.

Mit der SQL Server-Protokollierung können Protokolle auf einer XML-kompatiblen SQL Server 2000- oder SQL Server 2005-Datenbank generiert werden, wodurch die RADIUS-Ressourcenerfassung um die Vorteile der Protokollierung in einer relationalen Datenbank erweitert wird.

Wichtigste Schritte

Bei der Planung der NPS-Ressourcenerfassung können Sie sich an den folgenden Schritten orientieren.

  • Legen Sie fest, ob Sie NPS-Ressourcenerfassungsdaten in Protokolldateien oder in einer SQL Server-Datenbank speichern möchten.

NPS-Ressourcenerfassung mithilfe lokaler Protokolldateien

Die Aufzeichnung von Benutzerauthentifizierungs- und Ressourcenerfassungsanforderungen in Protokolldateien wird in erster Linie für Verbindungsanalyse- und Abrechnungszwecke verwendet. Diese Daten können jedoch auch zur Sicherheitsuntersuchung verwendet werden, um die Aktivitäten von böswilligen Akteur*innen nach einem Angriff nachzuverfolgen.

Wichtigste Schritte

Bei der Planung der NPS-Ressourcenerfassung mithilfe lokaler Protokolldateien können Sie sich an den folgenden Schritten orientieren.

  • Legen Sie das Textdateiformat fest, das Sie für Ihre NPS-Protokolldateien verwenden möchten.

  • Wählen Sie die Art der Informationen aus, die Sie protokollieren möchten. Sie können Ressourcenerfassungsanforderungen, Authentifizierungsanforderungen und den periodischen Status protokollieren.

  • Legen Sie den Festplattenspeicherort fest, an dem Sie Ihre Protokolldateien speichern möchten.

  • Entwerfen Sie die Sicherungslösung für Protokolldateien. Der Festplattenspeicherort, an dem Sie Ihre Protokolldateien speichern, sollte problemlos gesichert werden können. Darüber hinaus sollte der Festplattenspeicherort geschützt werden, indem die Zugriffssteuerungsliste (Access Control List, ACL) für den Ordner konfiguriert wird, in dem die Protokolldateien gespeichert werden.

  • Legen Sie fest, wie häufig neue Protokolldateien erstellt werden sollen. Wenn Protokolldateien basierend auf der Dateigröße erstellt werden sollen, legen Sie die maximal zulässige Dateigröße fest, bevor eine neue Protokolldatei vom NPS erstellt wird.

  • Legen Sie fest, ob der NPS ältere Protokolldateien löschen soll, wenn auf der Festplatte nicht genügend Speicherplatz vorhanden ist.

  • Legen Sie die Anwendung(en) fest, die Sie verwenden möchten, um Ressourcenerfassungsdaten anzuzeigen und Berichte zu erstellen.

SQL Server-Protokollierung für NPS

Die SQL Server-Protokollierung für NPS wird verwendet, wenn Sie Informationen zum Sitzungsstatus für Berichtserstellungs- und Datenanalysezwecke sowie für die Zentralisierung und Vereinfachung Ihrer Ressourcenerfassungsdaten benötigen.

Sie können die SQL Server-Protokollierung für NPS verwenden, um Benutzerauthentifizierungs- und Ressourcenerfassungsanforderungen aufzuzeichnen, die von einer oder mehreren Netzwerkzugriffsservern bei einer Datenquelle auf einem Computer mit der Microsoft SQL Server Desktop Engine (MSDE 2000) oder einer beliebigen SQL Server-Version ab SQL Server 2000 eingehen.

Ressourcenerfassungsdaten werden vom NPS im XML-Format an eine gespeicherte Prozedur in der Datenbank übergeben, die sowohl SQL (Structured Query Language) als auch XML (SQLXML) unterstützt. Durch die Aufzeichnung von Benutzerauthentifizierungs- und Ressourcenerfassungsanforderungen in einer XML-kompatiblen SQL Server-Datenbank können mehrere NPS eine Datenquelle verwenden.

Wichtigste Schritte

Bei der Planung der NPS-Ressourcenerfassung mithilfe der SQL Server-Protokollierung für NPS können Sie sich an den folgenden Schritten orientieren.

  • Wenn Sie oder ein anderes Mitglied Ihrer Organisation Erfahrung in der relationalen Datenbankentwicklung mit SQL Server 2000 oder SQL Server 2005 haben, muss die jeweilige Person wissen, wie diese Produkte zum Erstellen, Ändern und Verwalten von SQL Server-Datenbanken verwendet werden.

  • Finden Sie heraus, ob SQL Server auf dem NPS oder auf einem Remotecomputer installiert ist.

  • Entwerfen Sie die gespeicherte Prozedur, die Sie in Ihrer SQL Server-Datenbank verwenden, um eingehende XML-Dateien zu verarbeiten, die NPS-Ressourcenerfassungsdaten enthalten.

  • Entwerfen Sie die Replikationsstruktur und den Replikationsfluss für Ihre SQL Server-Datenbank.

  • Legen Sie die Anwendung(en) fest, die Sie verwenden möchten, um Ressourcenerfassungsdaten anzuzeigen und Berichte zu erstellen.

  • Planen Sie die Verwendung von Netzwerkzugriffsservern, die das Class-Attribut in allen Ressourcenerfassungsanforderungen senden. Das Class-Attribut wird in einer Access-Accept-Nachricht an den RADIUS-Client gesendet und ist nützlich, um Accounting-Request-Nachrichten mit Authentifizierungssitzungen zu korrelieren. Wenn das Class-Attribut vom Netzwerkzugriffsserver in den Accounting-Request-Nachrichten gesendet wird, kann es verwendet werden, um die Ressourcenerfassungs- und Authentifizierungsdatensätze abzugleichen. Die Kombination der Attribute „Unique-Serial-Number“, „Service-Reboot-Time“ und „Server-Address“ muss eine eindeutige Identifikation für jede vom Server akzeptierte Authentifizierung ergeben.

  • Planen Sie die Verwendung von Netzwerkzugriffsservern, die die zwischenzeitliche Ressourcenerfassung unterstützen.

  • Planen Sie die Verwendung von Netzwerkzugriffsservern, die Accounting-on- und Accounting-off-Nachrichten senden.

  • Planen Sie die Verwendung von Netzwerkzugriffsservern, die das Speichern und Weiterleiten von Ressourcenerfassungsdaten unterstützen. Netzwerkzugriffsserver, die dieses Feature unterstützen, können Ressourcenerfassungsdaten speichern, wenn der Netzwerkzugriffsserver nicht mit dem Netzwerkrichtlinienserver kommunizieren kann. Wenn der NPS verfügbar ist, leitet der Netzwerkzugriffsserver die gespeicherten Datensätze an diesen weiter, wodurch sich eine höhere Zuverlässigkeit bei der Ressourcenerfassung gegenüber Netzwerkzugriffsservern ergibt, die dieses Feature nicht unterstützen.

  • Planen Sie, das Attribut „Acct-Interim-Interval“ immer in Netzwerkrichtlinien zu konfigurieren. Das Attribut „Acct-Interim-Interval“ legt das Intervall (in Sekunden) zwischen den einzelnen Zwischenupdates fest, die der Netzwerkzugriffsserver sendet. Gemäß RFC 2869 darf der Wert des Attributs „Acct-Interim-Interval“ nicht kleiner als 60 Sekunden (1 Minute) und sollte nicht kleiner als 600 Sekunden (10 Minuten) sein. Das bedeutet, dass Werte über 600 Sekunden die Häufigkeit der vom RADIUS-Server empfangenen Updates verringern. Weitere Informationen finden Sie unter RFC 2869.

  • Achten Sie darauf, dass die Protokollierung des periodischen Status auf Ihren NPS aktiviert ist.