Netzwerkrichtlinienserver (Network Policy Server, NPS)Network Policy Server (NPS)

Gilt für: Windows Server (halbjährlicher Kanal), Windows Server 2016, Windows Server 2019Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016, Windows Server 2019

In diesem Thema finden Sie eine Übersicht über den Netzwerk Richtlinien Server unter Windows Server 2016 und Windows Server 2019.You can use this topic for an overview of Network Policy Server in Windows Server 2016 and Windows Server 2019. NPS wird installiert, wenn Sie das Feature für Netzwerk Richtlinien-und Zugriffs Dienste (Network Policy and Access Services, NPAS) in Windows Server 2016 und Server 2019 installieren.NPS is installed when you install the Network Policy and Access Services (NPAS) feature in Windows Server 2016 and Server 2019.

Mit einem Netzwerkrichtlinienserver (Network Policy Server, NPS) können Sie organisationsweite Netzwerkzugriffsrichtlinien für die Authentifizierung und Autorisierung von Verbindungsanforderungen erstellen und erzwingen.Network Policy Server (NPS) allows you to create and enforce organization-wide network access policies for connection request authentication and authorization.

Sie können NPS auch als RADIUS-Proxy (Remote Authentication Dial-in User Service) konfigurieren, um Verbindungsanforderungen an einen NPS-Remote Server oder einen anderen RADIUS-Server weiterzuleiten, sodass Sie einen Lastenausgleich für Verbindungsanforderungen ausführen und diese zur Authentifizierung an die richtige Domäne weiterleiten können. und Autorisierung.You can also configure NPS as a Remote Authentication Dial-In User Service (RADIUS) proxy to forward connection requests to a remote NPS or other RADIUS server so that you can load balance connection requests and forward them to the correct domain for authentication and authorization.

Mit NPS können Sie die Authentifizierung, Autorisierung und Kontoführung für Netzwerk Zugriffe mithilfe der folgenden Features zentral konfigurieren und verwalten:NPS allows you to centrally configure and manage network access authentication, authorization, and accounting with the following features:

  • RADIUS-Server.RADIUS server. NPS führt die zentralisierte Authentifizierung, Autorisierung und Kontoführung für drahtlose, authentifizier Ende Switches, RAS-und VPN-Verbindungen (virtuelles privates Netzwerk) durch.NPS performs centralized authentication, authorization, and accounting for wireless, authenticating switch, remote access dial-up and virtual private network (VPN) connections. Wenn Sie NPS als RADIUS-Server verwenden, konfigurieren Sie Netzwerkzugriffsserver, z. B. drahtlose Zugriffspunkte und VPN-Server, als RADIUS-Clients in NPS.When you use NPS as a RADIUS server, you configure network access servers, such as wireless access points and VPN servers, as RADIUS clients in NPS. Sie können auch Netzwerkrichtlinien konfigurieren, mit denen NPS Verbindungsanforderungen autorisiert, und Sie können die RADIUS-Kontoführung so konfigurieren, dass NPS Kontoführungsinformationen in Protokolldateien auf der lokalen Festplatte oder in einer Microsoft SQL Server-Datenbank protokolliert.You also configure network policies that NPS uses to authorize connection requests, and you can configure RADIUS accounting so that NPS logs accounting information to log files on the local hard disk or in a Microsoft SQL Server database. Weitere Informationen finden Sie unter RADIUS-Server.For more information, see RADIUS server.
  • RADIUS-Proxy.RADIUS proxy. Wenn Sie NPS als RADIUS-Proxy verwenden, konfigurieren Sie Verbindungs Anforderungs Richtlinien, die den NPS mitteilen, welche Verbindungsanforderungen an andere RADIUS-Server weiterleiten sollen und an welche RADIUS-Server Sie Verbindungsanforderungen weiterleiten möchten.When you use NPS as a RADIUS proxy, you configure connection request policies that tell the NPS which connection requests to forward to other RADIUS servers and to which RADIUS servers you want to forward connection requests. Sie können NPS auch so konfigurieren, dass Kontoführungsdaten weitergeleitet und von einem oder mehreren Computern in einer RADIUS-Remoteservergruppe protokolliert werden.You can also configure NPS to forward accounting data to be logged by one or more computers in a remote RADIUS server group. Informationen zum Konfigurieren von NPS als RADIUS-Proxy Server finden Sie in den folgenden Themen.To configure NPS as a RADIUS proxy server, see the following topics. Weitere Informationen finden Sie unter RADIUS-Proxy.For more information, see RADIUS proxy.
  • RADIUS-Kontoführung.RADIUS accounting. Sie können NPS so konfigurieren, dass Ereignisse in einer lokalen Protokolldatei oder in einer lokalen oder Remote Instanz von Microsoft SQL Server protokolliert werden.You can configure NPS to log events to a local log file or to a local or remote instance of Microsoft SQL Server. Weitere Informationen finden Sie unter NPS-Protokollierung.For more information, see NPS logging.

Wichtig

Der Netzwerk Zugriffsschutz (NAP-), die Integritäts Registrierungsstelle (HRA)und das Host Credential Authorization-Protokoll (HCAP-) wurden in Windows Server 2012 R2 als veraltet eingestuft und sind in Windows Server 2016 nicht verfügbar.Network Access Protection (NAP), Health Registration Authority (HRA), and Host Credential Authorization Protocol (HCAP) were deprecated in Windows Server 2012 R2, and are not available in Windows Server 2016. Wenn Sie über eine NAP-Bereitstellung mit älteren Betriebssystemen als Windows Server 2016 verfügen, können Sie die NAP-Bereitstellung nicht zu Windows Server 2016 migrieren.If you have a NAP deployment using operating systems earlier than Windows Server 2016, you cannot migrate your NAP deployment to Windows Server 2016.

Sie können NPS mit einer beliebigen Kombination dieser Features konfigurieren.You can configure NPS with any combination of these features. Sie können z. b. einen NPS als RADIUS-Server für VPN-Verbindungen und auch als RADIUS-Proxy für die weiterleiten einiger Verbindungsanforderungen an Mitglieder einer RADIUS-Remote Server Gruppe für die Authentifizierung und Autorisierung in einer anderen Domäne konfigurieren.For example, you can configure one NPS as a RADIUS server for VPN connections and also as a RADIUS proxy to forward some connection requests to members of a remote RADIUS server group for authentication and authorization in another domain.

Windows Server-Editionen und NPSWindows Server Editions and NPS

NPS bietet unterschiedliche Funktionen, abhängig von der von Ihnen installierten Edition von Windows Server.NPS provides different functionality depending on the edition of Windows Server that you install.

Windows Server 2016 oder Windows Server 2019 Standard/Datacenter EditionWindows Server 2016 or Windows Server 2019 Standard/Datacenter Edition

Mit NPS in Windows Server 2016 Standard oder Datacenter können Sie eine unbegrenzte Anzahl von RADIUS-Clients und RADIUS-Remote Server Gruppen konfigurieren.With NPS in Windows Server 2016 Standard or Datacenter, you can configure an unlimited number of RADIUS clients and remote RADIUS server groups. Außerdem können Sie RADIUS-Clients konfigurieren, indem Sie einen IP-Adressbereich angeben.In addition, you can configure RADIUS clients by specifying an IP address range.

Hinweis

Die Funktion "Windows-Netzwerk Richtlinien-und-Zugriffs Dienste" ist auf Systemen, die mit einer Server Core-Installation installiert wurden, nicht verfügbarThe WIndows Network Policy and Access Services feature is not available on systems installed with a Server Core installation option.

Die folgenden Abschnitte enthalten ausführlichere Informationen zu NPS als RADIUS-Server und Proxy.The following sections provide more detailed information about NPS as a RADIUS server and proxy.

RADIUS-Server und-ProxyRADIUS server and proxy

Sie können NPS als RADIUS-Server, RADIUS-Proxy oder beides verwenden.You can use NPS as a RADIUS server, a RADIUS proxy, or both.

RADIUS-ServerRADIUS server

NPS ist die Microsoft-Implementierung des RADIUS-Standards, der durch die Internet Engineering Task Force (IETF) in RFCs 2865 und 2866 angegeben wird.NPS is the Microsoft implementation of the RADIUS standard specified by the Internet Engineering Task Force (IETF) in RFCs 2865 and 2866. Als RADIUS-Server führt NPS eine zentralisierte Verbindungs Authentifizierung, Autorisierung und Kontoführung für viele Arten von Netzwerk Zugriff aus. Hierzu zählen beispielsweise drahtlose, authentifizier Ende Switches, DFÜ-und virtuelle private Netzwerke (VPN) Remote Zugriff und Router-zu-Router-Verbindungen.As a RADIUS server, NPS performs centralized connection authentication, authorization, and accounting for many types of network access, including wireless, authenticating switch, dial-up and virtual private network (VPN) remote access, and router-to-router connections.

Hinweis

Informationen zum Bereitstellen von NPS als RADIUS-Server finden Sie unter Bereitstellen des Netzwerk Richtlinien Servers.For information on deploying NPS as a RADIUS server, see Deploy Network Policy Server.

NPS ermöglicht die Verwendung einer heterogenen Gruppe von drahtlos-, Switch-, Remote-oder VPN-Geräten.NPS enables the use of a heterogeneous set of wireless, switch, remote access, or VPN equipment. Sie können NPS mit dem Remote Zugriffs Dienst verwenden, der in Windows Server 2016 verfügbar ist.You can use NPS with the Remote Access service, which is available in Windows Server 2016.

NPS verwendet eine Active Directory Domain Services (AD DS) Domäne oder die SAM-Benutzerkonten Datenbank (Local Security Accounts Manager), um Benutzer Anmelde Informationen für Verbindungsversuche zu authentifizieren.NPS uses an Active Directory Domain Services (AD DS) domain or the local Security Accounts Manager (SAM) user accounts database to authenticate user credentials for connection attempts. Wenn ein Server, auf dem NPS ausgeführt wird, Mitglied einer AD DS Domäne ist, verwendet NPS den Verzeichnisdienst als Benutzerkonten Datenbank und ist Teil einer Single Sign-On Lösung.When a server running NPS is a member of an AD DS domain, NPS uses the directory service as its user account database and is part of a single sign-on solution. Der gleiche Satz von Anmelde Informationen wird für die Netzwerk Zugriffs (Steuerung verwendet, um den Zugriff auf ein Netzwerk) zu authentifizieren und zu autorialisieren und sich bei einer AD DS Domäne anzumelden.The same set of credentials is used for network access control (authenticating and authorizing access to a network) and to log on to an AD DS domain.

Hinweis

NPS verwendet die DFÜ-Eigenschaften des Benutzerkontos und der Netzwerk Richtlinien, um eine Verbindung zu autorisieren.NPS uses the dial-in properties of the user account and network policies to authorize a connection.

Internet Dienstanbieter (ISPs) und Organisationen, die den Netzwerk Zugriff aufrechterhalten, haben eine größere Herausforderung, alle Arten von Netzwerk Zugriff von einem einzigen Verwaltungspunkt aus zu verwalten, unabhängig davon, welche Art von Netzwerk Zugriffs Geräten verwendet wird.Internet service providers (ISPs) and organizations that maintain network access have the increased challenge of managing all types of network access from a single point of administration, regardless of the type of network access equipment used. Der RADIUS-Standard unterstützt diese Funktionalität sowohl in homogenen als auch heterogenen Umgebungen.The RADIUS standard supports this functionality in both homogeneous and heterogeneous environments. RADIUS ist ein Client/Server-Protokoll, mit dem Netzwerk Zugriffs Ausrüstung (als RADIUS-Clients verwendet) zum Übermitteln von Authentifizierungs-und Buchhaltungs Anforderungen an einen RADIUS-Server aktiviert wird.RADIUS is a client-server protocol that enables network access equipment (used as RADIUS clients) to submit authentication and accounting requests to a RADIUS server.

Ein RADIUS-Server hat Zugriff auf Benutzerkontoinformationen und kann Anmelde Informationen für die Netzwerk Zugriffs Authentifizierung überprüfen.A RADIUS server has access to user account information and can check network access authentication credentials. Wenn Benutzer Anmelde Informationen authentifiziert werden und der Verbindungsversuch autorisiert ist, autorisiert der RADIUS-Server den Benutzer Zugriff auf Grundlage der angegebenen Bedingungen und protokolliert dann die Netzwerk Zugriffs Verbindung in einem Buchhaltungs Protokoll.If user credentials are authenticated and the connection attempt is authorized, the RADIUS server authorizes user access on the basis of specified conditions, and then logs the network access connection in an accounting log. Durch die Verwendung von RADIUS können Benutzerauthentifizierung, Autorisierung und Kontoführungs Daten für den Netzwerk Zugriff an einem zentralen Ort und nicht auf jedem Zugriffs Server gesammelt und verwaltet werden.The use of RADIUS allows the network access user authentication, authorization, and accounting data to be collected and maintained in a central location, rather than on each access server.

Verwenden von NPS als RADIUS-ServerUsing NPS as a RADIUS server

Sie können NPS als RADIUS-Server verwenden, wenn Folgendes der Fall ist:You can use NPS as a RADIUS server when:

  • Sie verwenden eine AD DS Domäne oder die lokale SAM-Benutzerkonten Datenbank als Benutzerkonto Datenbank für Zugriffs Clients.You are using an AD DS domain or the local SAM user accounts database as your user account database for access clients.
  • Sie verwenden den Remote Zugriff auf mehreren DFÜ-Servern, VPN-Servern oder Router für die Bedarfs gesteuerte Verwendung, und Sie möchten die Konfiguration der Netzwerk Richtlinien und der Verbindungs Protokollierung und-Kontoführung zentralisieren.You are using Remote Access on multiple dial-up servers, VPN servers, or demand-dial routers and you want to centralize both the configuration of network policies and connection logging and accounting.
  • Sie überlagern ihren DFÜ-, VPN-oder drahtlosen Zugriff auf einen Dienstanbieter.You are outsourcing your dial-up, VPN, or wireless access to a service provider. Die Zugriffs Server verwenden RADIUS zum Authentifizieren und Autorisieren von Verbindungen, die von Mitgliedern Ihrer Organisation hergestellt werden.The access servers use RADIUS to authenticate and authorize connections that are made by members of your organization.
  • Sie möchten die Authentifizierung, Autorisierung und Kontoführung für eine heterogene Gruppe von Zugriffs Servern zentralisieren.You want to centralize authentication, authorization, and accounting for a heterogeneous set of access servers.

Die folgende Abbildung zeigt NPS als RADIUS-Server für eine Vielzahl von Zugriffs Clients.The following illustration shows NPS as a RADIUS server for a variety of access clients.

NPS als RADIUS-Server

RADIUS-ProxyRADIUS proxy

Als RADIUS-Proxy leitet NPS Authentifizierungs-und Buchhaltungs Nachrichten an NPS und andere RADIUS-Server weiter.As a RADIUS proxy, NPS forwards authentication and accounting messages to NPS and other RADIUS servers. Sie können NPS als RADIUS-Proxy verwenden, um das Routing von RADIUS-Nachrichten zwischen RADIUS-Clients (auch als Netzwerk Zugriffs Server bezeichnet) und RADIUS-Servern bereitzustellen, die Benutzerauthentifizierung, Autorisierung und Kontoführung für den Verbindungsversuch durchführen.You can use NPS as a RADIUS proxy to provide the routing of RADIUS messages between RADIUS clients (also called network access servers) and RADIUS servers that perform user authentication, authorization, and accounting for the connection attempt.

Wenn NPS als RADIUS-Proxy verwendet wird, handelt es sich um einen zentralen Wechsel-bzw. Routing Punkt, über den RADIUS-Zugriffs-und Buchhaltungs Nachrichten fließen.When used as a RADIUS proxy, NPS is a central switching or routing point through which RADIUS access and accounting messages flow. NPS zeichnet Informationen zu den weitergeleiteten Nachrichten in einem Buchhaltungs Protokoll auf.NPS records information in an accounting log about the messages that are forwarded.

Verwenden von NPS als RADIUS-ProxyUsing NPS as a RADIUS proxy

Sie können NPS als RADIUS-Proxy verwenden, wenn Folgendes der Fall ist:You can use NPS as a RADIUS proxy when:

  • Sie sind ein Dienstanbieter, der für mehrere Kunden ausgelagerte DFÜ-, VPN-oder Drahtlos Netzwerk Zugriffs Dienste anbietet.You are a service provider who offers outsourced dial-up, VPN, or wireless network access services to multiple customers. Ihr nass sendet Verbindungsanforderungen an den NPS-RADIUS-Proxy.Your NASs send connection requests to the NPS RADIUS proxy. Basierend auf dem Bereichs Teil des Benutzernamens in der Verbindungsanforderung leitet der NPS-RADIUS-Proxy die Verbindungsanforderung an einen RADIUS-Server weiter, der vom Kunden verwaltet wird, und kann den Verbindungsversuch authentifizieren und autorisieren.Based on the realm portion of the user name in the connection request, the NPS RADIUS proxy forwards the connection request to a RADIUS server that is maintained by the customer and can authenticate and authorize the connection attempt.
  • Sie möchten Authentifizierung und Autorisierung für Benutzerkonten bereitstellen, die keine Mitglieder der Domäne sind, in der das NPS Mitglied ist, oder eine andere Domäne, die über eine bidirektionale Vertrauensstellung mit der Domäne verfügt, in der das NPS Mitglied ist.You want to provide authentication and authorization for user accounts that are not members of either the domain in which the NPS is a member or another domain that has a two-way trust with the domain in which the NPS is a member. Dies schließt Konten in nicht vertrauenswürdigen Domänen, unidirektionale vertrauenswürdige Domänen und andere Gesamtstrukturen ein.This includes accounts in untrusted domains, one-way trusted domains, and other forests. Anstatt ihre Zugriffs Server so zu konfigurieren, dass Ihre Verbindungsanforderungen an einen NPS-RADIUS-Server gesendet werden, können Sie Sie so konfigurieren, dass Ihre Verbindungsanforderungen an einen NPS-RADIUS-Proxy gesendet werden.Instead of configuring your access servers to send their connection requests to an NPS RADIUS server, you can configure them to send their connection requests to an NPS RADIUS proxy. Der NPS-RADIUS-Proxy verwendet den Bereichs Namensteil des Benutzernamens und leitet die Anforderung an einen NPS in der richtigen Domäne oder Gesamtstruktur weiter.The NPS RADIUS proxy uses the realm name portion of the user name and forwards the request to an NPS in the correct domain or forest. Verbindungsversuche für Benutzerkonten in einer Domäne oder Gesamtstruktur können für "nass" in einer anderen Domäne oder Gesamtstruktur authentifiziert werden.Connection attempts for user accounts in one domain or forest can be authenticated for NASs in another domain or forest.
  • Sie möchten die Authentifizierung und Autorisierung mithilfe einer Datenbank durchführen, bei der es sich nicht um eine Windows-Konto Datenbank handelt.You want to perform authentication and authorization by using a database that is not a Windows account database. In diesem Fall werden Verbindungsanforderungen, die einem angegebenen Bereichs Namen entsprechen, an einen RADIUS-Server weitergeleitet, der Zugriff auf eine andere Datenbank mit Benutzerkonten und Autorisierungs Daten hat.In this case, connection requests that match a specified realm name are forwarded to a RADIUS server, which has access to a different database of user accounts and authorization data. Beispiele für andere Benutzer Datenbanken sind Novell Directory Services (NDS) und strukturierte Abfragesprache (SQL)-Datenbanken.Examples of other user databases include Novell Directory Services (NDS) and Structured Query Language (SQL) databases.
  • Sie möchten eine große Anzahl von Verbindungsanforderungen verarbeiten.You want to process a large number of connection requests. Anstatt Ihre RADIUS-Clients so zu konfigurieren, dass Sie versuchen, die Verbindungs-und Buchhaltungs Anforderungen über mehrere RADIUS-Server hinweg auszugleichen, können Sie Sie so konfigurieren, dass Ihre Verbindungs-und Buchhaltungs Anforderungen an einen NPS-RADIUS-Proxy gesendet werden.In this case, instead of configuring your RADIUS clients to attempt to balance their connection and accounting requests across multiple RADIUS servers, you can configure them to send their connection and accounting requests to an NPS RADIUS proxy. Der NPS-RADIUS-Proxy gleicht die Last der Verbindungs-und Buchhaltungs Anforderungen dynamisch auf mehrere RADIUS-Server aus und erhöht die Verarbeitung einer großen Anzahl von RADIUS-Clients und-Authentifizierungen pro Sekunde.The NPS RADIUS proxy dynamically balances the load of connection and accounting requests across multiple RADIUS servers and increases the processing of large numbers of RADIUS clients and authentications per second.
  • Sie möchten RADIUS-Authentifizierung und-Autorisierung für externe Dienstanbieter bereitstellen und die Intranetkonfiguration minimieren.You want to provide RADIUS authentication and authorization for outsourced service providers and minimize intranet firewall configuration. Eine Intranetfirewall befindet sich zwischen Ihrem Umkreis Netzwerk (dem Netzwerk zwischen Ihrem Intranet und dem Internet) und dem Intranet.An intranet firewall is between your perimeter network (the network between your intranet and the Internet) and intranet. Durch das Platzieren eines NPS in Ihrem Umkreis Netzwerk muss die Firewall zwischen dem Umkreis Netzwerk und dem Intranet den Datenverkehr zwischen dem NPS und mehreren Domänen Controllern zulassen.By placing an NPS on your perimeter network, the firewall between your perimeter network and intranet must allow traffic to flow between the NPS and multiple domain controllers. Wenn Sie den NPS durch einen NPS-Proxy ersetzen, darf die Firewall nur RADIUS-Datenverkehr zwischen dem NPS-Proxy und einem oder mehreren NPSS innerhalb Ihres Intranets zulassen.By replacing the NPS with an NPS proxy, the firewall must allow only RADIUS traffic to flow between the NPS proxy and one or multiple NPSs within your intranet.

Die folgende Abbildung zeigt NPS als RADIUS-Proxy zwischen RADIUS-Clients und RADIUS-Servern.The following illustration shows NPS as a RADIUS proxy between RADIUS clients and RADIUS servers.

NPS als RADIUS-Proxy

Mit NPS können Organisationen auch die Remote Zugriffs Infrastruktur an einen Dienstanbieter ausgelagert und dabei die Kontrolle über die Benutzerauthentifizierung, Autorisierung und Kontoführung behalten.With NPS, organizations can also outsource remote access infrastructure to a service provider while retaining control over user authentication, authorization, and accounting.

NPS-Konfigurationen können für die folgenden Szenarien erstellt werden:NPS configurations can be created for the following scenarios:

  • Drahtloser ZugriffWireless access
  • DFÜ-oder VPN-Remote Zugriff (Virtual Private Network)Organization dial-up or virtual private network (VPN) remote access
  • Ausgelagerter Einwählzugriff oder drahtlos ZugriffOutsourced dial-up or wireless access
  • InternetzugriffInternet access
  • Authentifizierter Zugriff auf Extranetressourcen für GeschäftspartnerAuthenticated access to extranet resources for business partners

Beispiele für die Konfiguration des RADIUS-Servers und RADIUS-ProxyRADIUS server and RADIUS proxy configuration examples

Die folgenden Konfigurationsbeispiele veranschaulichen, wie Sie NPS als RADIUS-Server und RADIUS-Proxy konfigurieren können.The following configuration examples demonstrate how you can configure NPS as a RADIUS server and a RADIUS proxy.

NPS als RADIUS-Server.NPS as a RADIUS server. In diesem Beispiel ist NPS als RADIUS-Server konfiguriert, die standardmäßige Verbindungs Anforderungs Richtlinie ist die einzige konfigurierte Richtlinie, und alle Verbindungsanforderungen werden vom lokalen NPS verarbeitet.In this example, NPS is configured as a RADIUS server, the default connection request policy is the only configured policy, and all connection requests are processed by the local NPS. Der NPS kann Benutzer authentifizieren und autorisieren, deren Konten sich in der Domäne des NPS und in vertrauenswürdigen Domänen befinden.The NPS can authenticate and authorize users whose accounts are in the domain of the NPS and in trusted domains.

NPS als RADIUS-Proxy.NPS as a RADIUS proxy. In diesem Beispiel wird der NPS als RADIUS-Proxy konfiguriert, der Verbindungsanforderungen an Remote-RADIUS-Server Gruppen in zwei nicht vertrauenswürdigen Domänen weiterleitet.In this example, the NPS is configured as a RADIUS proxy that forwards connection requests to remote RADIUS server groups in two untrusted domains. Die Standard-Verbindungs Anforderungs Richtlinie wird gelöscht, und es werden zwei neue Verbindungs Anforderungs Richtlinien erstellt, um Anforderungen an die beiden nicht vertrauenswürdigen Domänen weiterzuleiten.The default connection request policy is deleted, and two new connection request policies are created to forward requests to each of the two untrusted domains. In diesem Beispiel verarbeitet NPS keine Verbindungsanforderungen auf dem lokalen Server.In this example, NPS does not process any connection requests on the local server.

NPS als RADIUS-Server und RADIUS-Proxy.NPS as both RADIUS server and RADIUS proxy. Zusätzlich zu der standardmäßigen Verbindungs Anforderungs Richtlinie, die festlegt, dass Verbindungsanforderungen lokal verarbeitet werden, wird eine neue Verbindungs Anforderungs Richtlinie erstellt, die Verbindungsanforderungen an einen NPS-Server oder einen anderen RADIUS-Server in einer nicht vertrauenswürdigen Domäne weiterleitet.In addition to the default connection request policy, which designates that connection requests are processed locally, a new connection request policy is created that forwards connection requests to an NPS or other RADIUS server in an untrusted domain. Diese zweite Richtlinie wird als Proxy Richtlinie bezeichnet.This second policy is named the Proxy policy. In diesem Beispiel wird die Proxy Richtlinie zuerst in der geordneten Liste der Richtlinien angezeigt.In this example, the Proxy policy appears first in the ordered list of policies. Wenn die Verbindungsanforderung mit der Proxy Richtlinie übereinstimmt, wird die Verbindungsanforderung an den RADIUS-Server in der Remote-RADIUS-Server Gruppe weitergeleitet.If the connection request matches the Proxy policy, the connection request is forwarded to the RADIUS server in the remote RADIUS server group. Wenn die Verbindungsanforderung nicht mit der Proxy Richtlinie, aber mit der standardmäßigen Verbindungs Anforderungs Richtlinie identisch ist, verarbeitet NPS die Verbindungsanforderung auf dem lokalen Server.If the connection request does not match the Proxy policy but does match the default connection request policy, NPS processes the connection request on the local server. Wenn die Verbindungsanforderung keiner Richtlinie entspricht, wird sie verworfen.If the connection request does not match either policy, it is discarded.

NPS als RADIUS-Server mit Remote Buchhaltungs Servern.NPS as a RADIUS server with remote accounting servers. In diesem Beispiel ist der lokale NPS nicht für die Kontoführung konfiguriert, und die standardmäßige Verbindungs Anforderungs Richtlinie wird so überarbeitet, dass RADIUS-Buchhaltungs Nachrichten an einen NPS oder einen anderen RADIUS-Server in einer RADIUS-Remote Server Gruppe weitergeleitet werden.In this example, the local NPS is not configured to perform accounting and the default connection request policy is revised so that RADIUS accounting messages are forwarded to an NPS or other RADIUS server in a remote RADIUS server group. Obwohl Buchhaltungs Nachrichten weitergeleitet werden, werden Authentifizierungs-und Autorisierungs Nachrichten nicht weitergeleitet, und der lokale NPS führt diese Funktionen für die lokale Domäne und alle vertrauenswürdigen Domänen aus.Although accounting messages are forwarded, authentication and authorization messages are not forwarded, and the local NPS performs these functions for the local domain and all trusted domains.

NPS mit Remote RADIUS-zu-Windows-Benutzer Zuordnung.NPS with remote RADIUS to Windows user mapping. In diesem Beispiel fungiert NPS sowohl als RADIUS-Server als auch als RADIUS-Proxy für jede einzelne Verbindungsanforderung, indem die Authentifizierungsanforderung an einen RADIUS-Remote Server weitergeleitet wird, während ein lokales Windows-Benutzerkonto für die Autorisierung verwendet wird.In this example, NPS acts as both a RADIUS server and as a RADIUS proxy for each individual connection request by forwarding the authentication request to a remote RADIUS server while using a local Windows user account for authorization. Diese Konfiguration wird implementiert, indem das Attribut Remote RADIUS für Windows-Benutzer Zuordnung als Bedingung der Verbindungs Anforderungs Richtlinie konfiguriert wird.This configuration is implemented by configuring the Remote RADIUS to Windows User Mapping attribute as a condition of the connection request policy. (zusätzlich muss ein Benutzerkonto lokal auf dem RADIUS-Server erstellt werden, das den gleichen Namen wie das Remote Benutzerkonto hat, mit dem die Authentifizierung vom RADIUS-Remote Server durchgeführt wird.)(In addition, a user account must be created locally on the RADIUS server that has the same name as the remote user account against which authentication is performed by the remote RADIUS server.)

KonfigurationConfiguration

Um NPS als RADIUS-Server zu konfigurieren, können Sie entweder die Standardkonfiguration oder die erweiterte Konfiguration in der NPS-Konsole oder in Server-Manager verwenden.To configure NPS as a RADIUS server, you can use either standard configuration or advanced configuration in the NPS console or in Server Manager. Wenn Sie NPS als RADIUS-Proxy konfigurieren möchten, müssen Sie die erweiterte Konfiguration verwenden.To configure NPS as a RADIUS proxy, you must use advanced configuration.

Standard KonfigurationStandard configuration

Mit der Standardkonfiguration werden Assistenten bereitgestellt, die Sie bei der Konfiguration von NPS für die folgenden Szenarien unterstützen:With standard configuration, wizards are provided to help you configure NPS for the following scenarios:

  • RADIUS-Server für DFÜ-oder VPN-VerbindungenRADIUS server for dial-up or VPN connections
  • RADIUS-Server für drahtlose oder verkabelte 802.1X-VerbindungenRADIUS server for 802.1X wireless or wired connections

Öffnen Sie zum Konfigurieren von NPS mithilfe eines Assistenten die NPS-Konsole, wählen Sie eines der vorangegangenen Szenarien aus, und klicken Sie dann auf den Link zum Öffnen des Assistenten.To configure NPS using a wizard, open the NPS console, select one of the preceding scenarios, and then click the link that opens the wizard.

Erweiterte KonfigurationAdvanced configuration

Wenn Sie die erweiterte Konfiguration verwenden, konfigurieren Sie NPS manuell als RADIUS-Server oder RADIUS-Proxy.When you use advanced configuration, you manually configure NPS as a RADIUS server or RADIUS proxy.

Wenn Sie NPS mithilfe der erweiterten Konfiguration konfigurieren möchten, öffnen Sie die NPS-Konsole, und klicken Sie dann auf den Pfeil neben Erweiterte Konfiguration , um diesen Abschnitt zu erweitern.To configure NPS by using advanced configuration, open the NPS console, and then click the arrow next to Advanced Configuration to expand this section.

Die folgenden erweiterten Konfigurationselemente werden bereitgestellt.The following advanced configuration items are provided.

Konfigurieren des RADIUS-ServersConfigure RADIUS server

Um NPS als RADIUS-Server zu konfigurieren, müssen Sie RADIUS-Clients, die Netzwerk Richtlinie und die RADIUS-Kontoführung konfigurieren.To configure NPS as a RADIUS server, you must configure RADIUS clients, network policy, and RADIUS accounting.

Anweisungen zum Erstellen dieser Konfigurationen finden Sie in den folgenden Themen.For instructions on making these configurations, see the following topics.

RADIUS-Proxy konfigurierenConfigure RADIUS proxy

Wenn Sie NPS als RADIUS-Proxy konfigurieren möchten, müssen Sie RADIUS-Clients, RADIUS-Remote Server Gruppen und Verbindungs Anforderungs Richtlinien konfigurieren.To configure NPS as a RADIUS proxy, you must configure RADIUS clients, remote RADIUS server groups, and connection request policies.

Anweisungen zum Erstellen dieser Konfigurationen finden Sie in den folgenden Themen.For instructions on making these configurations, see the following topics.

NPS-ProtokollierungNPS logging

NPS-Protokollierung wird auch als RADIUS-Kontoführung bezeichnet.NPS logging is also called RADIUS accounting. Konfigurieren Sie die NPS-Protokollierung gemäß Ihren Anforderungen, ob NPS als RADIUS-Server, Proxy oder eine beliebige Kombination dieser Konfigurationen verwendet wird.Configure NPS logging to your requirements whether NPS is used as a RADIUS server, proxy, or any combination of these configurations.

Zum Konfigurieren der NPS-Protokollierung müssen Sie konfigurieren, welche Ereignisse Ereignisanzeige protokolliert und angezeigt werden sollen, und dann bestimmen, welche anderen Informationen Sie protokollieren möchten.To configure NPS logging, you must configure which events you want logged and viewed with Event Viewer, and then determine which other information you want to log. Außerdem müssen Sie entscheiden, ob Sie die Benutzerauthentifizierung und die Buchhaltungsinformationen in Text Protokolldateien protokollieren möchten, die auf dem lokalen Computer oder in einer SQL Server Datenbank auf dem lokalen Computer oder einem Remote Computer gespeichert sind.In addition, you must decide whether you want to log user authentication and accounting information to text log files stored on the local computer or to a SQL Server database on either the local computer or a remote computer.

Weitere Informationen finden Sie unter Konfigurieren der Netzwerk Richtlinien Server-Kontoführung.For more information, see Configure Network Policy Server Accounting.