Planen eines NPS als RADIUS-ServerPlan NPS as a RADIUS server

Gilt für: WindowsServer (Halbjährlicher Kanal), WindowsServer 2016Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016

Bei der Bereitstellung des Netzwerkrichtlinienservers (NPS) als Server Remote Authentication Dial-in User Service (RADIUS), führt NPS-Authentifizierung, Autorisierung und Kontoführung für verbindungsanforderungen für die lokale Domäne und Domänen die die lokale Domäne vertrauen.When you deploy Network Policy Server (NPS) as a Remote Authentication Dial-In User Service (RADIUS) server, NPS performs authentication, authorization, and accounting for connection requests for the local domain and for domains that trust the local domain. Sie können diese Richtlinien für die projektplanung verwenden, um Ihre RADIUS-serverbereitstellung zu vereinfachen.You can use these planning guidelines to simplify your RADIUS deployment.

Diese Richtlinien für die projektplanung enthalten keine Situationen, in denen Sie NPS als RADIUS-Proxy bereitstellen möchten.These planning guidelines do not include circumstances in which you want to deploy NPS as a RADIUS proxy. Wenn Sie NPS als RADIUS-Proxy bereitstellen, leitet NPS verbindungsanforderungen an einen Server, NPS oder andere RADIUS-Server in Remotedomänen, nicht vertrauenswürdigen Domänen oder beides.When you deploy NPS as a RADIUS proxy, NPS forwards connection requests to a server running NPS or other RADIUS servers in remote domains, untrusted domains, or both.

Bevor Sie NPS als RADIUS-Server in Ihrem Netzwerk bereitstellen, verwenden Sie die folgenden Richtlinien, um die Planung Ihrer Bereitstellung.Before you deploy NPS as a RADIUS server on your network, use the following guidelines to plan your deployment.

  • Planen Sie die NPS-Konfiguration.Plan NPS configuration.

  • Planen Sie die RADIUS-Clients.Plan RADIUS clients.

  • Planen Sie die Verwendung von Authentifizierungsmethoden.Plan the use of authentication methods.

  • Planen Sie die Netzwerkrichtlinien.Plan network policies.

  • Planen Sie die NPS-Kontoführung.Plan NPS accounting.

Planen der NPS-KonfigurationPlan NPS configuration

Sie müssen entscheiden, in denen NPS Mitglied ist.You must decide in which domain the NPS is a member. Für Umgebungen mit mehreren Domänen kann ein NPS authentifizieren, Anmeldeinformationen für Benutzer in der Domäne, von denen er Mitglied ist und für alle Domänen, die die lokale Domäne, der den NPS zu vertrauen.For multiple-domain environments, an NPS can authenticate credentials for user accounts in the domain of which it is a member and for all domains that trust the local domain of the NPS. Damit können den NPS, der DFÜ-Eigenschaften von Benutzerkonten während des Autorisierungsprozesses zu lesen, müssen Sie das Computerkonto des NPS auf dem RAS- und die NPSs für jede Domäne hinzufügen.To allow the NPS to read the dial-in properties of user accounts during the authorization process, you must add the computer account of the NPS to the RAS and NPSs group for each domain.

Nachdem Sie die Domänenmitgliedschaft des NPS festgelegt haben, muss der Server für die Kommunikation mit RADIUS-Clients, die so genannte Netzwerkzugriffsserver, mit dem RADIUS-Protokoll konfiguriert werden.After you have determined the domain membership of the NPS, the server must be configured to communicate with RADIUS clients, also called network access servers, by using the RADIUS protocol. Darüber hinaus können Sie den Typen von Ereignissen von aufgezeichneten NPS konfigurieren den Fall, und Sie eine Beschreibung für den Server eingeben können.In addition, you can configure the types of events that NPS records in the event log and you can enter a description for the server.

Wichtige SchritteKey steps

Bei der Planung für die NPS-Konfiguration können Sie die folgenden Schritte aus.During the planning for NPS configuration, you can use the following steps.

  • Bestimmen Sie die RADIUS-Ports, die den NPS zum Empfangen von RADIUS-Nachrichten von RADIUS-Clients verwendet.Determine the RADIUS ports that the NPS uses to receive RADIUS messages from RADIUS clients. Die Standardports sind UDP-Ports 1812 und 1645 für RADIUS-Authentifizierungsnachrichten und Port 1813 und 1646 für RADIUS-Kontoführungsnachrichten.The default ports are UDP ports 1812 and 1645 for RADIUS authentication messages and ports 1813 and 1646 for RADIUS accounting messages.

  • Wenn Sie den NPS mit mehreren Netzwerkadaptern konfiguriert ist, bestimmen Sie die Adapter, die über denen RADIUS-Datenverkehr zugelassen werden soll.If the NPS is configured with multiple network adapters, determine the adapters over which you want RADIUS traffic to be allowed.

  • Geben Sie die Typen von Ereignissen, die auf die im Ereignisprotokoll aufgezeichnet werden sollen.Determine the types of events that you want NPS to record in the Event Log. Sie können abgelehnte authentifizierungsanforderungen, Anforderungen für eine erfolgreiche Authentifizierung oder beide Arten von Anforderungen protokollieren.You can log rejected authentication requests, successful authentication requests, or both types of requests.

  • Bestimmen Sie, ob Sie mehrere NPS bereitstellen.Determine whether you are deploying more than one NPS. Um Fehlertoleranz für RADIUS-basierte Authentifizierung und Kontoführung bereitzustellen, verwenden Sie mindestens zwei NPSs.To provide fault tolerance for RADIUS-based authentication and accounting, use at least two NPSs. Einen Netzwerkrichtlinienserver als der primäre RADIUS-Server verwendet wird, und der andere als Sicherung verwendet wird.One NPS is used as the primary RADIUS server and the other is used as a backup. Jeden RADIUS-Client ist auf beiden NPSs konfiguriert.Each RADIUS client is then configured on both NPSs. Wenn der primäre NPS nicht verfügbar ist, senden RADIUS-Clients dann Access-Request-Nachrichten an den alternativen NPS.If the primary NPS becomes unavailable, RADIUS clients then send Access-Request messages to the alternate NPS.

  • Planen Sie das Skript zum Kopieren von einem NPS-Konfiguration auf anderen NPSs Verwaltungsaufwand sparen und um zu verhindern, dass die falsche Konfiguration eines Servers verwendet.Plan the script used to copy one NPS configuration to other NPSs to save on administrative overhead and to prevent the incorrect cofiguration of a server. NPS enthält die Netsh-Befehle, mit die Sie ganz oder teilweise ein NPS-Konfiguration für den Import in einer anderen NPS kopieren können.NPS provides the Netsh commands that allow you to copy all or part of an NPS configuration for import onto another NPS. Sie können die Befehle an der Eingabeaufforderung Netsh manuell ausführen.You can run the commands manually at the Netsh prompt. Aber wenn Sie Ihre Befehlssequenz als Skript speichern, können Sie das Skript ausführen zu einem späteren Zeitpunkt, wenn Sie die Serverkonfiguration ändern möchten.However, if you save your command sequence as a script, you can run the script at a later date if you decide to change your server configurations.

Planen der RADIUS-clientsPlan RADIUS clients

RADIUS-Clients sind Netzwerkzugriffsserver, z. B. Drahtloszugriffspunkte, virtuelles privates Netzwerk (VPN)-Servern, 802.1 X-fähigen Switches und DFÜ-Server.RADIUS clients are network access servers, such as wireless access points, virtual private network (VPN) servers, 802.1X-capable switches, and dial-up servers. RADIUS-Proxys, die Verbindung Anforderungsnachrichten an den RADIUS-Server weiterleiten, sind auch die RADIUS-Clients.RADIUS proxies, which forward connection request messages to RADIUS servers, are also RADIUS clients. NPS unterstützt alle Netzwerkzugriffsserver und RADIUS-Proxys, die Einhaltung der RADIUS-Protokoll wie in RFC 2865, "Remote Authentication Dial-in User Service (RADIUS)," beschrieben und RFC 2866 unter "RADIUS-Kontoführung."NPS supports all network access servers and RADIUS proxies that comply with the RADIUS protocol as described in RFC 2865, "Remote Authentication Dial-in User Service (RADIUS)," and RFC 2866, "RADIUS Accounting."

Wichtig

Access-Clients, z. B. den Clientcomputern sind keine RADIUS-Clients.Access clients, such as client computers, are not RADIUS clients. Sind RADIUS-Clients nur Netzwerkzugriffsserver und Proxyserver, die das RADIUS-Protokoll unterstützen.Only network access servers and proxy servers that support the RADIUS protocol are RADIUS clients.

Darüber hinaus müssen sowohl der drahtlose Zugriffspunkte als auch der Schalter der 802.1X-Authentifizierung können.In addition, both wireless access points and switches must be capable of 802.1X authentication. Wenn Sie Extensible Authentication-Protokoll bereitstellen möchten (EAP) oder Protected Extensible Authentication Protocol (PEAP), Zugriffspunkten und Switches, müssen die Verwendung von EAP unterstützen.If you want to deploy Extensible Authentication Protocol (EAP) or Protected Extensible Authentication Protocol (PEAP), access points and switches must support the use of EAP.

Konfigurieren Sie den Zugriffspunkt und dem Zugriffsclient Password Authentication Protocol (PAP) verwenden, um grundlegende Interoperabilität für PPP-Verbindungen für drahtlose Zugriffspunkte zu testen.To test basic interoperability for PPP connections for wireless access points, configure the access point and the access client to use Password Authentication Protocol (PAP). Verwenden Sie zusätzliche PPP-basierte Authentifizierungsprotokolle wie z. B. PEAP, bis Sie diejenigen getestet haben, die Sie für den Zugriff auf das Netzwerk verwenden möchten.Use additional PPP-based authentication protocols, such as PEAP, until you have tested the ones that you intend to use for network access.

Wichtige SchritteKey steps

Bei der Planung für RADIUS-Clients, können Sie die folgenden Schritte aus.During the planning for RADIUS clients, you can use the following steps.

  • Dokumentieren Sie die anbieterspezifische-Attribute (VSA), die Sie in NPS konfigurieren müssen.Document the vendor-specific attributes (VSAs) you must configure in NPS. Wenn Ihre Netzwerkzugriffsserver VSAs benötigen, melden Sie die VSA-Informationen für die spätere Verwendung, wenn Sie Ihren Netzwerkrichtlinien in NPS konfigurieren.If your network access servers require VSAs, log the VSA information for later use when you configure your network policies in NPS.

  • Dokumentieren Sie die IP-Adressen der RADIUS-Clients und den NPS, um die Konfiguration aller Geräte zu vereinfachen.Document the IP addresses of RADIUS clients and your NPS to simplify the configuration of all devices. Wenn Sie Ihre RADIUS-Clients bereitstellen, müssen Sie sie an, um das RADIUS-Protokoll mit der NPS IP-Adresse eingegeben haben, als authentifizierendem Server verwenden, konfigurieren.When you deploy your RADIUS clients, you must configure them to use the RADIUS protocol, with the NPS IP address entered as the authenticating server. Und wenn Sie NPS für die Kommunikation mit Ihrem RADIUS-Clients konfigurieren, müssen Sie die RADIUS-Client-IP-Adressen eingeben, in der NPS-Snap-in.And when you configure NPS to communicate with your RADIUS clients, you must enter the RADIUS client IP addresses into the NPS snap-in.

  • Erstellen Sie gemeinsame geheime Schlüssel für die Konfiguration aus, auf den RADIUS-Clients und der NPS-Snap-in.Create shared secrets for configuration on the RADIUS clients and in the NPS snap-in. Sie müssen den RADIUS-Clients konfigurieren, mit einem gemeinsamen geheimen Schlüssel oder Kennwort mit der Sie auch in der NPS-Snap-in beim Konfigurieren der RADIUS-Clients in NPS eingeben.You must configure RADIUS clients with a shared secret, or password, that you will also enter into the NPS snap-in while configuring RADIUS clients in NPS.

Planen der Verwendung von AuthentifizierungsmethodenPlan the use of authentication methods

NPS unterstützt beide Authentifizierungsmethoden für Kennwort-basierte und zertifikatbasierte Authentifizierung.NPS supports both password-based and certificate-based authentication methods. Allerdings unterstützen nicht alle Netzwerkzugriffsserver, die gleichen Authentifizierungsmethoden.However, not all network access servers support the same authentication methods. In einigen Fällen empfiehlt es sich um eine andere Authentifizierungsmethode, die basierend auf dem Zugriff auf das Netzwerk bereitzustellen.In some cases, you might want to deploy a different authentication method based on the type of network access.

Sie möchten z. B. sowohl drahtlosen und VPN-Zugriff für Ihre Organisation bereitstellen, aber verwenden eine andere Authentifizierungsmethode für jede Art von Zugriff: EAP-TLS für VPN-Verbindungen kann aufgrund der starken Sicherheit die EAP mit Transport Layer Security (EAP-TLS) zur Verfügung und PEAP-MS-CHAP v2 für 802.1X-authentifizierte drahtlose Verbindungen.For example, you might want to deploy both wireless and VPN access for your organization, but use a different authentication method for each type of access: EAP-TLS for VPN connections, due to the strong security that EAP with Transport Layer Security (EAP-TLS) provides, and PEAP-MS-CHAP v2 for 802.1X wireless connections.

PEAP mit Microsoft Challenge Handshake Authentication Protocol Version 2 (PEAP-MS-CHAP v2) ein Feature, mit dem Namen schnell bietet-Wiederherstellung, die speziell für tragbare Computer und andere drahtlose Geräte konzipiert ist.PEAP with Microsoft Challenge Handshake Authentication Protocol version 2 (PEAP-MS-CHAP v2) provides a feature named fast reconnect that is specifically designed for use with portable computers and other wireless devices. Schnelle Wiederherstellung der Verbindung können Sie drahtlose Clients Verschieben zwischen Drahtloszugriffspunkten in einem Netzwerk ohne jedes Mal erneut die authentifiziert werden, dass sie mit einem neuen Zugriffspunkt zugeordnet.Fast reconnect enables wireless clients to move between wireless access points on the same network without being reauthenticated each time they associate with a new access point. Dies bietet ein besseres Benutzererlebnis für Mobiltelefone und ermöglicht es ihnen, zwischen Zugriffspunkte ohne ihre Anmeldeinformationen erneut eingeben zu verschieben.This provides a better experience for wireless users and allows them to move between access points without having to retype their credentials. Aufgrund der schnellen verbinden, und die Sicherheit, die PEAP-MS-CHAP v2 bereitstellt, PEAP-MS-CHAP v2 ist eine logische Wahl, als Authentifizierungsmethode für drahtlose Verbindungen.Because of fast reconnect and the security that PEAP-MS-CHAP v2 provides, PEAP-MS-CHAP v2 is a logical choice as an authentication method for wireless connections.

Für VPN-Verbindungen ist EAP-TLS eine zertifikatbasierte Authentifizierung-Methode, die hohe Sicherheit bietet, die Netzwerkdatenverkehr geschützt, auch wenn sie über das Internet von Heim- oder mobilen Computern an Ihrer Organisation VPN-Server übertragen werden.For VPN connections, EAP-TLS is a certificate-based authentication method that provides strong security that protects network traffic even as it is transmitted across the Internet from home or mobile computers to your organization VPN servers.

Zertifikatbasierte AuthentifizierungsmethodenCertificate-based authentication methods

Zertifikatbasierte Authentifizierungsmethoden haben eine hohe Sicherheit; und sie müssen den Nachteil, dass wird schwieriger, als kennwortbasierte Authentifizierungsmethoden bereitstellen.Certificate-based authentication methods have the advantage of providing strong security; and they have the disadvantage of being more difficult to deploy than password-based authentication methods.

Sowohl PEAP-MS-CHAP v2 und EAP-TLS sind zertifikatbasierte Authentifizierungsmethoden, aber es gibt viele Unterschiede zwischen ihnen und die Möglichkeit, in der sie bereitgestellt werden.Both PEAP-MS-CHAP v2 and EAP-TLS are certificate-based authentication methods, but there are many differences between them and the way in which they are deployed.

EAP-TLSEAP-TLS

EAP-TLS verwendet Zertifikate für Client- und Serverauthentifizierung und erfordert, dass Sie eine public Key-Infrastruktur (PKI) in Ihrer Organisation bereitstellen.EAP-TLS uses certificates for both client and server authentication, and requires that you deploy a public key infrastructure (PKI) in your organization. Bereitstellung einer PKI kann komplex sein und erfordert eine Planungsphase, die der Planung für die Verwendung von NPS als RADIUS-Server unabhängig ist.Deploying a PKI can be complex, and requires a planning phase that is independent of planning for the use of NPS as a RADIUS server.

Mit EAP-TLS, registriert den NPS ein Serverzertifikat von einer Zertifizierungsstelle (Zertifizierungsstelle), und das Zertifikat auf dem lokalen Computer im Zertifikatspeicher gespeichert ist.With EAP-TLS, the NPS enrolls a server certificate from a certification authority (CA), and the certificate is saved on the local computer in the certificate store. Tritt auf, Server-Authentifizierung, während der Authentifizierung Wenn der NPS das Serverzertifikat an den Zugriffsclient als Beleg für dessen Identität an den Zugriffsclient sendet.During the authentication process, server authentication occurs when the NPS sends its server certificate to the access client to prove its identity to the access client. Der Access-Client überprüft verschiedene Zertifikateigenschaften, um zu bestimmen, ob das Zertifikat gültig ist und eignet sich für die Verwendung während der Server-Authentifizierung.The access client examines various certificate properties to determine whether the certificate is valid and is appropriate for use during server authentication. Wenn das Server-Zertifikat die Mindestanforderungen für Serverzertifikate erfüllt und wird von einer Zertifizierungsstelle ausgegeben, die der Zugriffsclient vertraut, wird der NPS vom Client erfolgreich authentifiziert.If the server certificate meets the minimum server certificate requirements and is issued by a CA that the access client trusts, the NPS is successfully authenticated by the client.

Auf ähnliche Weise erfolgt die Clientauthentifizierung während des Authentifizierungsprozesses sendet der Client das Clientzertifikat an den NPS, um seine Identität an den NPS zu bestätigen.Similarly, client authentication occurs during the authentication process when the client sends its client certificate to the NPS to prove its identity to the NPS. Der NPS untersucht das Zertifikat, und wenn das Clientzertifikat die minimale Client-Zertifikat erfüllt und wird von einer Zertifizierungsstelle ausgegeben, der den NPS vertraut, wird der Access-Client erfolgreich durch den NPS authentifiziert.The NPS examines the certificate, and if the client certificate meets the minimum client certificate requirements and is issued by a CA that the NPS trusts, the access client is successfully authenticated by the NPS.

Zwar es ist erforderlich, dass das Serverzertifikat im Zertifikatspeicher für den NPS gespeichert wird, das Zertifikat für Client oder Benutzer kann gespeichert werden in den Zertifikatspeicher auf dem Client oder auf einer Smartcard.Although it is required that the server certificate is stored in the certificate store on the NPS, the client or user certificate can be stored in either the certificate store on the client or on a smart card.

Für diesen Authentifizierungsprozess erfolgreich ist, ist es erforderlich, dass auf allen Computern Ihres Unternehmens-ZS-Zertifikat im Zertifikatspeicher vertrauenswürdige Stammzertifizierungsstellen für den lokalen Computer und der aktuelle Benutzer sein.For this authentication process to succeed, it is required that all computers have your organization's CA certificate in the Trusted Root Certification Authorities certificate store for the Local Computer and the Current User.

PEAP-MS-CHAP v2PEAP-MS-CHAP v2

PEAP-MS-CHAP v2 verwendet ein Zertifikat für Server-Authentifizierung und Kennwörtern basierende Anmeldeinformationen für die Benutzerauthentifizierung.PEAP-MS-CHAP v2 uses a certificate for server authentication and password-based credentials for user authentication. Da Zertifikate nur für Server-Authentifizierung verwendet werden, sind Sie nicht erforderlich, um eine PKI bereitstellen, um die PEAP-MS-CHAP v2 verwenden.Because certificates are used only for server authentication, you are not required to deploy a PKI in order to use PEAP-MS-CHAP v2. Wenn Sie PEAP-MS-CHAP v2 bereitstellen, können Sie ein Serverzertifikat für den NPS in einem der beiden folgenden Methoden abrufen:When you deploy PEAP-MS-CHAP v2, you can obtain a server certificate for the NPS in one of the following two ways:

  • Sie können Active Directory-Zertifikatdienste (AD CS), und klicken Sie dann auf Zertifikate automatisch registrieren, NPSs installieren.You can install Active Directory Certificate Services (AD CS), and then autoenroll certificates to NPSs. Wenn Sie diese Methode verwenden, müssen Sie auch das CA-Zertifikat auf Clientcomputern Herstellen einer Verbindung mit Ihrem Netzwerk, damit sie das Zertifikat ausgestellt an den NPS vertrauen registrieren.If you use this method, you must also enroll the CA certificate to client computers connecting to your network so that they trust the certificate issued to the NPS.

  • Sie können ein Serverzertifikat von einer öffentlichen Zertifizierungsstelle wie VeriSign erwerben.You can purchase a server certificate from a public CA such as VeriSign. Wenn Sie diese Methode verwenden, stellen Sie sicher, dass Sie eine ZS auswählen, die bereits von den Clientcomputern als vertrauenswürdig eingestuft wird.If you use this method, make sure that you select a CA that is already trusted by client computers. Um zu bestimmen, ob Clientcomputer über eine Zertifizierungsstelle vertrauen, öffnen Sie das Zertifikate Microsoft Management Console (MMC)-Snap-in auf einem Clientcomputer, und zeigen Sie dann auf den Speicher für vertrauenswürdige Stammzertifizierungsstellen für den lokalen Computer und für den aktuellen Benutzer.To determine whether client computers trust a CA, open the Certificates Microsoft Management Console (MMC) snap-in on a client computer, and then view the Trusted Root Certification Authorities store for the Local Computer and for the Current User. Wenn ein Zertifikat von der Zertifizierungsstelle in diese Zertifikatspeicher vorhanden ist, wird der Clientcomputer der Zertifizierungsstelle vertraut und werden daher alle von der Zertifizierungsstelle ausgestelltes Zertifikat vertrauen.If there is a certificate from the CA in these certificate stores, the client computer trusts the CA and will therefore trust any certificate issued by the CA.

Während des Authentifizierungsprozesses mit PEAP-MS-CHAP v2 tritt auf, Server-Authentifizierung, wenn der NPS das Serverzertifikat auf dem Clientcomputer gesendet.During the authentication process with PEAP-MS-CHAP v2, server authentication occurs when the NPS sends its server certificate to the client computer. Der Access-Client überprüft verschiedene Zertifikateigenschaften, um zu bestimmen, ob das Zertifikat gültig ist und eignet sich für die Verwendung während der Server-Authentifizierung.The access client examines various certificate properties to determine whether the certificate is valid and is appropriate for use during server authentication. Wenn das Server-Zertifikat die Mindestanforderungen für Serverzertifikate erfüllt und wird von einer Zertifizierungsstelle ausgegeben, die der Zugriffsclient vertraut, wird der NPS vom Client erfolgreich authentifiziert.If the server certificate meets the minimum server certificate requirements and is issued by a CA that the access client trusts, the NPS is successfully authenticated by the client.

Benutzerauthentifizierung tritt auf, wenn ein Benutzer versucht, die zur Verbindung mit Typen kennwortbasierten Anmeldeinformationen für das Netzwerk, und versucht, sich anzumelden.User authentication occurs when a user attempting to connect to the network types password-based credentials and tries to log on. NPS die Anmeldeinformationen empfängt und ausführt, Authentifizierung und Autorisierung.NPS receives the credentials and performs authentication and authorization. Wenn der Benutzer authentifiziert und autorisiert ist und der Clientcomputer erfolgreich auf den NPS authentifiziert, wird die verbindungsanforderung gewährt.If the user is authenticated and authorized successfully, and if the client computer successfully authenticated the NPS, the connection request is granted.

Wichtige SchritteKey steps

Bei der Planung für die Verwendung der Authentifizierungsmethoden, können Sie die folgenden Schritte aus.During the planning for the use of authentication methods, you can use the following steps.

  • Identifizieren Sie die Typen von sollen wie WLAN, VPN, 802.1 X-fähige Switch, bieten Zugriff auf das Netzwerk und DFÜ-Zugriff.Identify the types of network access you plan to offer, such as wireless, VPN, 802.1X-capable switch, and dial-up access.

  • Bestimmen Sie die Authentifizierungsmethode oder Methoden, die Sie für jede Art von Zugriff verwenden möchten.Determine the authentication method or methods that you want to use for each type of access. Es wird empfohlen, dass Sie die zertifikatbasierte Authentifizierungsmethoden verwenden, die hohe Sicherheit bereitstellen; Allerdings es möglicherweise nicht für Sie eine PKI, bereitstellen, damit andere Authentifizierungsmethoden möglicherweise eine bessere Ausgewogenheit von Sie für Ihr Netzwerk was bereitstellen.It is recommended that you use the certificate-based authentication methods that provide strong security; however, it might not be practical for you to deploy a PKI, so other authentication methods might provide a better balance of what you need for your network.

  • Wenn Sie EAP-TLS bereitstellen, Planen der PKI-Bereitstellung.If you are deploying EAP-TLS, plan your PKI deployment. Dies umfasst das Planen von der Zertifikatvorlagen, die Sie beabsichtigen, die für Serverzertifikate und Clientcomputerzertifikate zu verwenden.This includes planning the certificate templates you are going to use for server certificates and client computer certificates. Darüber hinaus bestimmen, wie zum Registrieren von Zertifikaten für Domänenbenutzer-Mitglied kein Domänenmitglied ist, und -Computer ermitteln, ob Smartcards verwenden möchten.It also includes determining how to enroll certificates to domain member and non-domain member computers, and determining whether you want to use smart cards.

  • Wenn Sie PEAP-MS-CHAP v2 bereitstellen, bestimmen Sie, ob zum Installieren von AD CS zum Ausstellen von Serverzertifikaten Ihre NPSs oder, ob Sie von einer öffentlichen Zertifizierungsstelle wie VeriSign-Serverzertifikate erwerben möchten.If you are deploying PEAP-MS-CHAP v2, determine whether you want to install AD CS to issue server certificates to your NPSs or whether you want to purchase server certificates from a public CA, such as VeriSign.

Planen Sie die NetzwerkrichtlinienPlan network policies

Netzwerkrichtlinien werden von NPS verwendet, um festzustellen, ob die Weiterleitung von verbindungsanforderungen von RADIUS-Clients empfangen autorisiert sind.Network policies are used by NPS to determine whether connection requests received from RADIUS clients are authorized. NPS verwendet auch die Einwähleigenschaften des Benutzerkontos ein, um eine Autorisierung Entscheidung zu treffen.NPS also uses the dial-in properties of the user account to make an authorization determination.

Da Richtlinien für Netzwerke in der Reihenfolge verarbeitet werden, in denen sie die NPS-Snap-in angezeigt werden, Planen Sie, die am stärksten einschränkende Richtlinien zuerst in der Liste der Richtlinien zu platzieren.Because network policies are processed in the order in which they appear in the NPS snap-in, plan to place your most restrictive policies first in the list of policies. NPS versucht, für jede verbindungsanforderung den Bedingungen der Richtlinie mit den Eigenschaften der Anforderung übereinstimmen.For each connection request, NPS attempts to match the conditions of the policy with the connection request properties. NPS untersucht jede Netzwerkrichtlinie in der Reihenfolge, bis eine Übereinstimmung gefunden wird.NPS examines each network policy in order until it finds a match. Wenn es keine Übereinstimmung findet, wird die verbindungsanforderung zurückgewiesen.If it does not find a match, the connection request is rejected.

Wichtige SchritteKey steps

Bei der Planung für Netzwerkrichtlinien, können Sie die folgenden Schritte aus.During the planning for network policies, you can use the following steps.

  • Bestimmen Sie die bevorzugte Verarbeitungsreihenfolge der NPS-von Netzwerkrichtlinien, vom restriktivsten zum am wenigsten restriktiven.Determine the preferred NPS processing order of network policies, from most restrictive to least restrictive.

  • Bestimmen Sie den Richtlinienstatus.Determine the policy state. Der Zustand der Richtlinie kann der Wert haben, aktiviert oder deaktiviert.The policy state can have the value of enabled or disabled. Wenn die Richtlinie aktiviert ist, wertet NPS die Richtlinie beim Ausführen der Autorisierung.If the policy is enabled, NPS evaluates the policy while performing authorization. Wenn die Richtlinie nicht aktiviert ist, wird sie nicht ausgewertet.If the policy is not enabled, it is not evaluated.

  • Bestimmen Sie den Richtlinientyp an.Determine the policy type. Sie müssen bestimmen, ob die Richtlinie konzipiert ist, um Zugriff zu gewähren, wenn die Bedingungen der Richtlinie, durch die verbindungsanforderung oder gibt an, ob die Richtlinie dient entsprechen, den Zugriff verweigern, wenn die Bedingungen der Richtlinie die verbindungsanforderung entsprechen.You must determine whether the policy is designed to grant access when the conditions of the policy are matched by the connection request or whether the policy is designed to deny access when the conditions of the policy are matched by the connection request. Wenn Sie die Mitglieder einer Windows-Gruppe drahtlosen Zugriff explizit verweigern möchten, können Sie z. B. eine Netzwerkrichtlinie erstellen, die angibt, die Gruppe, die Methode der drahtlosen Verbindung und, hat eine Richtlinie aus, geben Sie die Einstellung der Zugriff verweigern.For example, if you want to explicitly deny wireless access to the members of a Windows group, you can create a network policy that specifies the group, the wireless connection method, and that has a policy type setting of Deny access.

  • Bestimmen Sie, ob NPS, um die DFÜ-Eigenschaften von Benutzerkonten zu ignorieren, die Mitglieder der Gruppe sind, auf denen die Richtlinie basiert.Determine whether you want NPS to ignore the dial-in properties of user accounts that are members of the group on which the policy is based. Wenn diese Einstellung nicht aktiviert ist, überschreiben die DFÜ-Eigenschaften von Benutzerkonten, Einstellungen, die in den Netzwerkrichtlinien konfiguriert sind.When this setting is not enabled, the dial-in properties of user accounts override settings that are configured in network policies. Beispielsweise wird, wenn eine Netzwerkrichtlinie konfiguriert ist, die Zugriff für einen Benutzer, aber die Einwähleigenschaften des Benutzerkontos für den Benutzer, den Zugriff verweigern festgelegt, der Benutzer Zugriff verweigert.For example, if a network policy is configured that grants access to a user but the dial-in properties of the user account for that user are set to deny access, the user is denied access. Aber wenn Sie die Richtlinie Einstellung ignorieren Benutzer Konto einwählen Typeigenschaften aktivieren, wird die gleiche Benutzer Zugriff auf das Netzwerk gewährt.But if you enable the policy type setting Ignore user account dial-in properties, the same user is granted access to the network.

  • Bestimmen Sie, ob die Richtlinie die richtlinieneinstellung für die Datenquelle verwendet.Determine whether the policy uses the policy source setting. Mit dieser Einstellung können Sie problemlos eine Quelle für alle zugriffsanforderungen angeben.This setting allows you to easily specify a source for all access requests. Mögliche Quellen sind ein Terminal Services Gateway (TS Gateway), RAS-Server (VPN oder DFÜ-), ein DHCP-Server, einem drahtlosen Zugriffspunkt und eine Integritätsregistrierungsstelle-Server.Possible sources are a Terminal Services Gateway (TS Gateway), a remote access server (VPN or dial-up), a DHCP server, a wireless access point, and a Health Registration Authority server. Alternativ können Sie eine anbieterspezifische Quelle angeben.Alternatively, you can specify a vendor-specific source.

  • Bestimmen Sie die Bedingungen, die in der Reihenfolge für die Netzwerkrichtlinie, die angewendet werden, erfüllt werden müssen.Determine the conditions that must be matched in order for the network policy to be applied.

  • Bestimmen Sie die Einstellungen, die angewendet werden, wenn die Bedingungen der Netzwerkrichtlinie die verbindungsanforderung entsprechen.Determine the settings that are applied if the conditions of the network policy are matched by the connection request.

  • Bestimmen Sie, ob Sie verwenden möchten, verwenden, ändern oder löschen die Standard-Netzwerkrichtlinien.Determine whether you want to use, modify, or delete the default network policies.

Planen Sie die NPS-KontoführungPlan NPS accounting

NPS ermöglicht das Protokollieren von RADIUS-Kontoführungsdaten wie Benutzerauthentifizierung und kontoführungsanforderungen, in drei Formaten: IAS-Format, datenbankkompatibles Format und Microsoft SQL Server-Protokollierung.NPS provides the ability to log RADIUS accounting data, such as user authentication and accounting requests, in three formats: IAS format, database-compatible format, and Microsoft SQL Server logging.

IAS-Format und datenbankkompatibles Format erstellen Protokolldateien auf den lokalen NPS in Textformat an.IAS format and database-compatible format create log files on the local NPS in text file format.

SQL Server-Protokollierung ermöglicht das Protokollieren auf einem SQL Server 2000 oder SQL Server 2005-XML-kompatiblen Datenbank, erweitern die RADIUS-Kontoführung, um die Vorteile der Protokollierung in einer relationalen Datenbank zu nutzen.SQL Server logging provides the ability to log to a SQL Server 2000 or SQL Server 2005 XML-compliant database, extending RADIUS accounting to leverage the advantages of logging to a relational database.

Wichtige SchritteKey steps

Bei der Planung für die NPS-Kontoführung, können Sie die folgenden Schritte aus.During the planning for NPS accounting, you can use the following steps.

  • Bestimmen Sie, ob der NPS-Buchhaltungsdaten in Protokolldateien oder in einer SQL Server-Datenbank gespeichert werden soll.Determine whether you want to store NPS accounting data in log files or in a SQL Server database.

NPS-ressourcenerfassung mithilfe von lokalen Log-DateienNPS accounting using local log files

Aufzeichnen der Benutzerauthentifizierung und Berücksichtigung der Anforderungen in Protokolldateien dient in erster Linie für verbindungszwecke für Analyse und Abrechnung und kann auch eine Untersuchung Sicherheitstool, bietet Ihnen eine Methode zum Nachverfolgen der Aktivität von einem böswilligen Benutzer nach einer angreifen.Recording user authentication and accounting requests in log files is used primarily for connection analysis and billing purposes, and is also useful as a security investigation tool, providing you with a method for tracking the activity of a malicious user after an attack.

Wichtige SchritteKey steps

Bei der Planung für die NPS-Kontoführung lokalen Protokolldateien verwenden, können Sie die folgenden Schritte aus.During the planning for NPS accounting using local log files, you can use the following steps.

  • Bestimmen Sie die Datei im Textformat, das Sie für die NPS-Protokolldateien verwenden möchten.Determine the text file format that you want to use for your NPS log files.

  • Wählen Sie den Typ der Informationen, die Sie protokollieren möchten.Choose the type of information that you want to log. Sie können kontoführungsanforderungen, authentifizierungsanforderungen und der periodische Status protokollieren.You can log accounting requests, authentication requests, and periodic status.

  • Bestimmen Sie den Speicherort der Festplatte zum Speichern der Log-Dateien werden sollen.Determine the hard disk location where you want to store your log files.

  • Entwerfen Sie Ihre backup Log-Datei-Lösung.Design your log file backup solution. Der Speicherort der Festplatte, in dem Sie Ihre Protokolldateien speichern, sollte es sich um einen Speicherort sein, der Ihnen ermöglicht, Ihre Daten einfach zu sichern.The hard disk location where you store your log files should be a location that allows you to easily back up your data. Darüber hinaus sollte der Speicherort der Festplatte geschützt werden, konfigurieren Sie die Zugriffssteuerungsliste (ACL) für den Ordner, in dem die Protokolldateien gespeichert werden.In addition, the hard disk location should be protected by configuring the access control list (ACL) for the folder where the log files are stored.

  • Bestimmen Sie die Häufigkeit, mit der Sie neue Protokolldateien erstellt werden soll.Determine the frequency at which you want new log files to be created. Wenn Sie Log-Dateien basierend auf der Dateigröße erstellt werden sollen, bestimmen Sie die maximale Dateigröße, die zulässig sind, bevor eine neue Protokolldatei, von NPS erstellt wird.If you want log files to be created based on the file size, determine the maximum file size allowed before a new log file is created by NPS.

  • Bestimmen Sie, ob NPS ältere Protokolldateien löschen, wenn die Festplatte nicht mehr genügend Speicherplatz.Determine whether you want NPS to delete older log files if the hard disk runs out of storage space.

  • Bestimmen Sie die Anwendung oder Anwendungen, die Buchhaltungsdaten anzeigen und Erstellen von Berichten verwenden möchten.Determine the application or applications that you want to use to view accounting data and produce reports.

NPS SQL Server-ProtokollierungNPS SQL Server logging

NPS SQL Server-Protokollierung wird verwendet, wenn Sie möchten Statusinformationen von Sitzungen, für die berichterstellung und Analysen für Daten, und Zentralisierung und Vereinfachung der Verwaltung von Buchhaltungsdaten.NPS SQL Server logging is used when you need session state information, for report creation and data analysis purposes, and to centralize and simplify management of your accounting data.

NPS bietet die Möglichkeit, verwenden Sie SQL Server-Protokollierung für die Benutzerauthentifizierung aufzeichnen und Berücksichtigung der Anforderungen von ein oder mehrere Netzwerkzugriffsserver an eine Datenquelle auf einem Computer mit Microsoft SQL Server Desktop Engine (MSDE 2000), oder eine beliebige Version von SQL Server als SQL Server 2000.NPS provides the ability to use SQL Server logging to record user authentication and accounting requests received from one or more network access servers to a data source on a computer running the Microsoft SQL Server Desktop Engine (MSDE 2000), or any version of SQL Server later than SQL Server 2000.

Buchhaltungsdaten werden im XML-Format von NPS übergeben, um eine gespeicherte Prozedur in der Datenbank, die sowohl strukturierte Abfragesprache unterstützt die (SQL) und XML- (SQLXML).Accounting data is passed from NPS in XML format to a stored procedure in the database, which supports both structured query language (SQL) and XML (SQLXML). Aufzeichnen der Benutzerauthentifizierung und Berücksichtigung der Anforderungen in einer XML-kompatibler SQL Server-Datenbank können mehrere NPSs eine Datenquelle haben.Recording user authentication and accounting requests in an XML-compliant SQL Server database enables multiple NPSs to have one data source.

Wichtige SchritteKey steps

Bei der Planung für die Kontoführung von NPS mithilfe von NPS SQL Server-Protokollierung, können Sie die folgenden Schritte aus.During the planning for NPS accounting by using NPS SQL Server logging, you can use the following steps.

  • Bestimmen Sie, ob Sie oder ein anderes Mitglied Ihrer Organisation verfügt über SQL Server 2000 oder SQL Server 2005 Entwicklung relationaler Datenbanken auftreten, und Sie wissen, wie diese Produkte zu erstellen, ändern, verwalten und Verwalten von SQL Server-Datenbanken verwenden.Determine whether you or another member of your organization has SQL Server 2000 or SQL Server 2005 relational database development experience and you understand how to use these products to create, modify, administer, and manage SQL Server databases.

  • Bestimmen Sie, ob SQL Server auf den NPS oder auf einem Remotecomputer installiert ist.Determine whether SQL Server is installed on the NPS or on a remote computer.

  • Entwerfen Sie die gespeicherte Prozedur, die Sie in der SQL Server-Datenbank verwenden zum Verarbeiten von eingehenden XML-Dateien, die NPS-Buchhaltungsdaten enthalten.Design the stored procedure that you will use in your SQL Server database to process incoming XML files that contain NPS accounting data.

  • Entwerfen Sie die SQL Server-Datenbank-Replikation-Struktur und ablaufsteuerung.Design the SQL Server database replication structure and flow.

  • Bestimmen Sie die Anwendung oder Anwendungen, die Buchhaltungsdaten anzeigen und Erstellen von Berichten verwenden möchten.Determine the application or applications that you want to use to view accounting data and produce reports.

  • Planen der Verwendung von Netzwerkzugriffsserver, die das Attribut der Klasse in allen Accounting-Anforderungen senden.Plan to use network access servers that send the Class attribute in all accounting-requests. Das Attribut der Klasse wird an den RADIUS-Client in einer Access-Accept-Nachricht gesendet, und eignet sich zum Korrelieren von Accounting-Request-Nachrichten mit authentifizierungssitzungen.The Class attribute is sent to the RADIUS client in an Access-Accept message, and is useful for correlating Accounting-Request messages with authentication sessions. Wenn das Attribut der Klasse von Network Access Server in der Accounting-Request-Meldungen gesendet wird, kann es entsprechend der Buchhaltung und Authentifizierung Einträge verwendet werden.If the Class attribute is sent by the network access server in the accounting request messages, it can be used to match the accounting and authentication records. Die Kombination aus den Attributen, die Unique-Seriennummer, Service-Neustart-Time- und Serveradresse muss eine eindeutige Kennung für die einzelnen Authentifizierungen, die der Server akzeptiert.The combination of the attributes Unique-Serial-Number, Service-Reboot-Time, and Server-Address must be a unique identification for each authentication that the server accepts.

  • Planen der Verwendung von Netzwerkzugriffsserver, die zwischenzeitliche Kontoführung unterstützen.Plan to use network access servers that support interim accounting.

  • Planen der Verwendung von Netzwerkzugriffsserver, die Kontoführung für und Accounting-off-Nachrichten senden.Plan to use network access servers that send Accounting-on and Accounting-off messages.

  • Planen der Verwendung von Netzwerkzugriffsserver, die unterstützen die Speicherung und Weiterleitung von Buchhaltungsdaten.Plan to use network access servers that support the storing and forwarding of accounting data. Netzwerkzugriffsserver, die Unterstützung dieser Funktion können Accounting-Daten speichern, wenn Network Access Server mit NPS kommunizieren kann.Network access servers that support this feature can store accounting data when the network access server cannot communicate with the NPS. Wenn der NPS verfügbar ist, leitet Network Access Server gespeicherten Datensätze an den NPS, verbessert sich seine Zuverlässigkeit in der Buchhaltung über Netzwerkzugriffsserver, die keine diese Funktion bieten bereitstellen.When the NPS is available, the network access server forwards the stored records to the NPS, providing increased reliability in accounting over network access servers that do not provide this feature.

  • Möchten Sie immer das Acct-Interim-Interval-Attribut in Netzwerkrichtlinien konfigurieren.Plan to always configure the Acct-Interim-Interval attribute in network policies. Das Acct-Interim-Interval-Attribut, die das Intervall (in Sekunden) zwischen jeder zwischenzeitliche Aktualisierung, die Network Access Server sendet festgelegt wird.The Acct-Interim-Interval attribute sets the interval (in seconds) between each interim update that the network access server sends. Gemäß RFC 2869 der Wert des Attributs Acct-Interim-Interval darf nicht kleiner als 60 Sekunden oder eine Minute lang sein und darf nicht kleiner ist als 600 Sekunden oder 10 Minuten sein.According to RFC 2869, the value of the Acct-Interim-Interval attribute must not be smaller than 60 seconds, or one minute, and should not be smaller than 600 seconds, or 10 minutes. Weitere Informationen finden Sie unter RFC 2869, "RADIUS-Erweiterungen".For more information, see RFC 2869, "RADIUS Extensions."

  • Stellen Sie sicher, dass Ihre NPSs Protokollierung der periodische Status aktiviert ist.Ensure that logging of periodic status is enabled on your NPSs.