Netzwerkrichtlinienserver (NPS)

Gilt für: Windows Server 2022, Windows Server 2016, Windows Server 2019

Sie können dieses Thema für eine Übersicht über den Netzwerkrichtlinienserver in Windows Server 2016 und Windows Server 2019 verwenden. NPS wird installiert, wenn Sie die Funktion Netzwerkrichtlinie und Access Services (NPAS) in Windows Server 2016 und Server 2019 installieren.

Mit dem Netzwerkrichtlinienserver (NETWORK Policy Server, NPS) können Sie organisationsweite Netzwerkzugriffsrichtlinien für die Authentifizierung und Autorisierung von Verbindungsanforderungen erstellen und erzwingen.

Sie können NPS auch als RADIUS-Proxy (Remote Authentication Dial-In User Service) konfigurieren, um Verbindungsanforderungen an einen NPS-Remoteserver oder einen anderen RADIUS-Server weiterzuleiten, sodass Sie einen Lastenausgleich für Verbindungsanforderungen durchführen und diese zur Authentifizierung und Autorisierung an die richtige Domäne weiterleiten können.

Mit NPS können Sie die Authentifizierung, Autorisierung und Buchhaltung für den Netzwerkzugriff mit den folgenden Features zentral konfigurieren und verwalten:

  • RADIUS-Server. NPS führt eine zentralisierte Authentifizierung, Autorisierung und Abrechnung für Drahtlosverbindungen, Authentifizierungsschalter, DFÜ-Verbindungen mit Remotezugriff und VPN-Verbindungen (Virtuelles privates Netzwerk) durch. Wenn Sie NPS als RADIUS-Server verwenden, konfigurieren Sie Netzwerkzugriffsserver, z. B. drahtlose Zugriffspunkte und VPN-Server, als RADIUS-Clients in NPS. Sie können auch Netzwerkrichtlinien konfigurieren, mit denen NPS Verbindungsanforderungen autorisiert, und Sie können die RADIUS-Kontoführung so konfigurieren, dass NPS Kontoführungsinformationen in Protokolldateien auf der lokalen Festplatte oder in einer Microsoft SQL Server-Datenbank protokolliert. Weitere Informationen finden Sie unter RADIUS-Server.
  • RADIUS-Proxy. Wenn Sie NPS als RADIUS-Proxy verwenden, konfigurieren Sie Verbindungsanforderungsrichtlinien, die dem NPS mitteilen, welche Verbindungsanforderungen an andere RADIUS-Server weitergeleitet werden sollen und an welche RADIUS-Server Sie Verbindungsanforderungen weiterleiten möchten. Sie können NPS auch so konfigurieren, dass Kontoführungsdaten weitergeleitet und von einem oder mehreren Computern in einer RADIUS-Remoteservergruppe protokolliert werden. Informationen zum Konfigurieren von NPS als RADIUS-Proxyserver finden Sie in den folgenden Themen. Weitere Informationen finden Sie unter RADIUS-Proxy.
  • RADIUS-Kontoführung. Sie können NPS so konfigurieren, dass Ereignisse in einer lokalen Protokolldatei oder in einer lokalen oder Remoteinstanz von Microsoft SQL Server protokolliert werden. Weitere Informationen finden Sie unter NPS-Protokollierung.

Wichtig

Network Access Protection ( ) NAP, Health Registration Authority ( HRA ) und Host Credential Authorization Protocol ( HCAP waren in Windows Server 2012 ) R2 veraltet und sind in Windows Server 2016 nicht verfügbar. Wenn Sie über eine NAP-Bereitstellung mit Betriebssystemen vor Windows Server 2016 verfügen, können Sie Ihre NAP-Bereitstellung nicht zu Windows Server 2016 migrieren.

Sie können NPS mit einer beliebigen Kombination dieser Features konfigurieren. Beispielsweise können Sie einen NPS als RADIUS-Server für VPN-Verbindungen und auch als RADIUS-Proxy konfigurieren, um einige Verbindungsanforderungen an Mitglieder einer RADIUS-Remoteservergruppe zur Authentifizierung und Autorisierung in einer anderen Domäne weiterzuleiten.

Windows Servereditionen und NPS

NPS bietet abhängig von der Edition von Windows Server, die Sie installieren, unterschiedliche Funktionen.

Windows Server 2016 oder Windows Server 2019 Standard/Datacenter Edition

Mit NPS in Windows Server 2016 Standard oder Datacenter können Sie eine unbegrenzte Anzahl von RADIUS-Clients und RADIUS-Remoteservergruppen konfigurieren. Außerdem können Sie RADIUS-Clients konfigurieren, indem Sie einen IP-Adressbereich angeben.

Hinweis

Das WIndows-Netzwerkrichtlinien- und Access Services-Feature ist auf Systemen, die mit einer Server Core-Installationsoption installiert sind, nicht verfügbar.

Die folgenden Abschnitte enthalten ausführlichere Informationen zu NPS als RADIUS-Server und -Proxy.

RADIUS-Server und -Proxy

Sie können NPS als RADIUS-Server, RADIUS-Proxy oder beides verwenden.

RADIUS-Server

NPS ist die Microsoft-Implementierung des RADIUS-Standards, der von der Internet Engineering Task Force ( IETF ) in RFCs 2865 und 2866 angegeben wird. Als RADIUS-Server führt NPS eine zentralisierte Verbindungsauthentifizierung, Autorisierung und Berücksichtigung vieler Arten von Netzwerkzugriff durch, einschließlich drahtlos, Authentifizierungsswitch, DFÜ- und VPN-Remotezugriff auf virtuelle private Netzwerke ( ) und Router-zu-Router-Verbindungen.

Hinweis

Informationen zum Bereitstellen von NPS als RADIUS-Server finden Sie unter Bereitstellen des Netzwerkrichtlinienservers.

NPS ermöglicht die Verwendung einer heterogenen Gruppe von Geräten: drahtlos, Switch, Remotezugriff oder VPN. Sie können NPS mit dem Remotezugriffsdienst verwenden, der in Windows Server 2016 verfügbar ist.

NPS verwendet eine Active Directory Domain Services ( ) AD DS Domäne oder die lokale Sam-Benutzerkontendatenbank (Security Accounts Manager), um Benutzeranmeldeinformationen für Verbindungsversuche zu authentifizieren. Wenn ein Server, auf dem NPS ausgeführt wird, Mitglied einer AD DS Domäne ist, verwendet NPS den Verzeichnisdienst als Benutzerkontodatenbank und ist Teil einer Lösung für einmaliges Anmelden. Der gleiche Satz von Anmeldeinformationen wird für die Netzwerkzugriffssteuerung verwendet, um den ( Zugriff auf ein Netzwerk zu authentifizieren und zu autorisieren und sich bei einer AD DS Domäne ) anzumelden.

Hinweis

NPS verwendet die Einwähleigenschaften des Benutzerkontos und der Netzwerkrichtlinien, um eine Verbindung zu autorisieren.

Internetdienstanbieter ( ISPs ) und Organisationen, die den Netzwerkzugriff verwalten, haben die größere Herausforderung, alle Arten des Netzwerkzugriffs von einem zentralen Verwaltungspunkt aus zu verwalten, unabhängig von der Art der verwendeten Netzwerkzugriffsgeräte. Der RADIUS-Standard unterstützt diese Funktionalität sowohl in homogenen als auch in heterogenen Umgebungen. RADIUS ist ein Client-Server-Protokoll, mit dem Netzwerkzugriffsgeräte (die als RADIUS-Clients verwendet werden) Authentifizierungs- und Buchhaltungsanforderungen an einen RADIUS-Server übermitteln können.

Ein RADIUS-Server hat Zugriff auf Benutzerkontoinformationen und kann die Anmeldeinformationen für die Netzwerkzugriffsauthentifizierung überprüfen. Wenn Benutzeranmeldeinformationen authentifiziert sind und der Verbindungsversuch autorisiert ist, autorisiert der RADIUS-Server den Benutzerzugriff anhand der angegebenen Bedingungen und protokolliert dann die Netzwerkzugriffsverbindung in einem Kontoführungsprotokoll. Die Verwendung von RADIUS ermöglicht das Sammeln und Verwalten der Authentifizierungs-, Autorisierungs- und Kontoführungsdaten des Netzwerkzugriffsbenutzers an einem zentralen Ort und nicht auf jedem Zugriffsserver.

Verwenden von NPS als RADIUS-Server

NpS kann in folgenden Folgenden als RADIUS-Server verwendet werden:

  • Sie verwenden eine AD DS Domäne oder die lokale SAM-Benutzerkontendatenbank als Benutzerkontodatenbank für den Zugriff auf Clients.
  • Sie verwenden den Remotezugriff auf mehrereN DFÜ-Servern, VPN-Servern oder Routern mit Bedarf und möchten sowohl die Konfiguration von Netzwerkrichtlinien als auch die Verbindungsprotokollierung und -abrechnung zentralisieren.
  • Sie überlagern Ihren DFÜ-, VPN- oder Drahtloszugriff auf einen Dienstanbieter. Die Zugriffsserver verwenden RADIUS zum Authentifizieren und Autorisieren von Verbindungen, die von Mitgliedern Ihrer Organisation hergestellt werden.
  • Sie möchten die Authentifizierung, Autorisierung und Rechnung für einen heterogenen Satz von Zugriffsservern zentralisieren.

Die folgende Abbildung zeigt NPS als RADIUS-Server für eine Vielzahl von Zugriffsclients.

NPS als RADIUS-Server

RADIUS-Proxy

Als RADIUS-Proxy leitet NPS Authentifizierungs- und Buchhaltungsmeldungen an NPS und andere RADIUS-Server weiter. Sie können NPS als RADIUS-Proxy verwenden, um das Routing von RADIUS-Nachrichten zwischen RADIUS-Clients ( bereitzustellen, die auch als Netzwerkzugriffsserver und RADIUS-Server bezeichnet werden und ) die Benutzerauthentifizierung, Autorisierung und Abrechnung des Verbindungsversuchs durchführen.

Bei Verwendung als RADIUS-Proxy ist NPS ein zentraler Switch oder Routingpunkt, über den RADIUS-Zugriff und Kontoführungsnachrichten fließen. NPS zeichnet Informationen zu den weitergeleiteten Nachrichten in einem Buchhaltungsprotokoll auf.

Verwenden von NPS als RADIUS-Proxy

NpS kann in folgenden Anwendungsfällen als RADIUS-Proxy verwendet werden:

  • Sie sind ein Dienstanbieter, der outsourced DFÜ-, VPN- oder Drahtlosnetzwerk-Zugriffsdienste für mehrere Kunden anbietet. Ihre NASs senden Verbindungsanforderungen an den NPS-RADIUS-Proxy. Basierend auf dem Bereichsteil des Benutzernamens in der Verbindungsanforderung leitet der NPS-RADIUS-Proxy die Verbindungsanforderung an einen RADIUS-Server weiter, der vom Kunden verwaltet wird und den Verbindungsversuch authentifizieren und autorisieren kann.
  • Sie möchten die Authentifizierung und Autorisierung für Benutzerkonten bereitstellen, die keine Mitglieder der Domäne sind, in der der NPS Mitglied ist, oder für eine andere Domäne, die über eine zweistufige Vertrauensstellung mit der Domäne verfügt, in der der NPS Mitglied ist. Dies schließt Konten in nicht vertrauenswürdigen Domänen, one-way-vertrauenswürdige Domänen und andere Gesamtstrukturen ein. Anstatt Ihre Zugriffsserver so zu konfigurieren, dass sie ihre Verbindungsanforderungen an einen NPS-RADIUS-Server senden, können Sie sie so konfigurieren, dass sie ihre Verbindungsanforderungen an einen NPS-RADIUS-Proxy senden. Der NPS-RADIUS-Proxy verwendet den Bereichsnamensteil des Benutzernamens und leitet die Anforderung an einen NPS in der richtigen Domäne oder Gesamtstruktur weiter. Verbindungsversuche für Benutzerkonten in einer Domäne oder Gesamtstruktur können für NASs in einer anderen Domäne oder Gesamtstruktur authentifiziert werden.
  • Sie möchten die Authentifizierung und Autorisierung mithilfe einer Datenbank durchführen, die keine Windows Kontodatenbank ist. In diesem Fall werden Verbindungsanforderungen, die einem angegebenen Bereichsnamen entsprechen, an einen RADIUS-Server weitergeleitet, der Zugriff auf eine andere Datenbank mit Benutzerkonten und Autorisierungsdaten hat. Beispiele für andere Benutzerdatenbanken sind NDS-Datenbanken (Verzeichnisdienste) und strukturierte Abfragesprache-Datenbanken (SQL).
  • Sie möchten eine große Anzahl von Verbindungsanforderungen verarbeiten. In diesem Fall können Sie ihre RADIUS-Clients so konfigurieren, dass sie versuchen, ihre Verbindungs- und Buchhaltungsanforderungen über mehrere RADIUS-Server hinweg auszugleichen, sondern sie so konfigurieren, dass sie ihre Verbindungs- und Kontoführungsanforderungen an einen NPS-RADIUS-Proxy senden. Der NPS-RADIUS-Proxy gleicht die Last von Verbindungs- und Kontoführungsanforderungen über mehrere RADIUS-Server hinweg dynamisch aus und erhöht die Verarbeitung einer großen Anzahl von RADIUS-Clients und -Authentifizierungen pro Sekunde.
  • Sie möchten RADIUS-Authentifizierung und -Autorisierung für ausgelagerte Dienstanbieter bereitstellen und die Konfiguration der Intranetfirewall minimieren. Eine Intranetfirewall befindet sich zwischen Ihrem Umkreisnetzwerk (dem Netzwerk zwischen Ihrem Intranet und dem Internet) und dem Intranet. Wenn Sie einen NPS in Ihrem Umkreisnetzwerk platzieren, muss die Firewall zwischen Ihrem Umkreisnetzwerk und Intranet den Datenverkehr zwischen dem NPS und mehreren Domänencontrollern zulassen. Durch Ersetzen des NPS durch einen NPS-Proxy darf die Firewall nur RADIUS-Datenverkehr zwischen dem NPS-Proxy und einem oder mehreren NPSs in Ihrem Intranet zulassen.

Die folgende Abbildung zeigt NPS als RADIUS-Proxy zwischen RADIUS-Clients und RADIUS-Servern.

NPS als RADIUS-Proxy

Mit NPS können Organisationen auch die Remotezugriffsinfrastruktur an einen Dienstanbieter auslagern und gleichzeitig die Kontrolle über die Benutzerauthentifizierung, Autorisierung und Buchhaltung behalten.

NPS-Konfigurationen können für die folgenden Szenarien erstellt werden:

  • Drahtloser Zugriff
  • Organisations-DFÜ- oder VPN-Remotezugriff (Virtual Private Network)
  • Ausgelagerter DFÜ- oder Drahtloszugriff
  • Zugriff auf das Internet
  • Authentifizierter Zugriff auf Extranetressourcen für Geschäftspartner

Beispiele für die RADIUS-Server- und RADIUS-Proxykonfiguration

Die folgenden Konfigurationsbeispiele veranschaulichen, wie Sie NPS als RADIUS-Server und RADIUS-Proxy konfigurieren können.

NPS als RADIUS-Server. In diesem Beispiel wird NPS als RADIUS-Server konfiguriert, die Standardrichtlinie für Verbindungsanforderungen ist die einzige konfigurierte Richtlinie, und alle Verbindungsanforderungen werden vom lokalen NPS verarbeitet. Der NPS kann Benutzer authentifizieren und autorisieren, deren Konten sich in der Domäne des NPS und in vertrauenswürdigen Domänen befinden.

NPS als RADIUS-Proxy. In diesem Beispiel ist der NPS als RADIUS-Proxy konfiguriert, mit dem Verbindungsanforderungen an RADIUS-Remoteservergruppen in zwei nicht vertrauenswürdigen Domänen weitergeleitet werden. Die Standardrichtlinie für Verbindungsanforderungen wird gelöscht, und es werden zwei neue Verbindungsanforderungsrichtlinien erstellt, um Anforderungen an jede der beiden nicht vertrauenswürdigen Domänen weiter zu senden. In diesem Beispiel werden von NPS keine Verbindungsanforderungen auf dem lokalen Server ausgeführt.

NPS als RADIUS-Server und RADIUS-Proxy. Zusätzlich zur Standardrichtlinie für Verbindungsanforderungen, mit der festgelegt wird, dass Verbindungsanforderungen lokal verarbeitet werden, wird eine neue Verbindungsanforderungsrichtlinie erstellt, die Verbindungsanforderungen an einen NPS- oder anderen RADIUS-Server in einer nicht vertrauenswürdigen Domäne weitersucht. Diese zweite Richtlinie heißt Proxyrichtlinie. In diesem Beispiel wird die Proxyrichtlinie zuerst in der geordneten Liste der Richtlinien angezeigt. Wenn die Verbindungsanforderung der Proxyrichtlinie entspricht, wird die Verbindungsanforderung an den RADIUS-Server in der RADIUS-Remoteservergruppe weitergeleitet. Wenn die Verbindungsanforderung nicht mit der Proxyrichtlinie, aber mit der Standardrichtlinie für Verbindungsanforderungen überein passt, verarbeitet NPS die Verbindungsanforderung auf dem lokalen Server. Wenn die Verbindungsanforderung nicht mit einer richtlinie übereinstimmen, wird sie verworfen.

NPS als RADIUS-Server mit Remoteabrechnungsservern. In diesem Beispiel ist der lokale NPS nicht für die Kontoführung konfiguriert, und die Standardverbindungsanforderungsrichtlinie wird überarbeitet, sodass RADIUS-Kontoführungsmeldungen an einen NPS- oder anderen RADIUS-Server in einer RADIUS-Remoteservergruppe weitergeleitet werden. Obwohl Buchhaltungsnachrichten weitergeleitet werden, werden Authentifizierungs- und Autorisierungsnachrichten nicht weitergeleitet, und der lokale NPS führt diese Funktionen für die lokale Domäne und alle vertrauenswürdigen Domänen aus.

NPS mit Remote-RADIUS, um Windows zu erstellen. In diesem Beispiel fungiert NPS sowohl als RADIUS-Server als auch als RADIUS-Proxy für jede einzelne Verbindungsanforderung, indem die Authentifizierungsanforderung an einen RADIUS-Remoteserver gesendet wird, während ein lokales Windows-Benutzerkonto für die Autorisierung verwendet wird. Diese Konfiguration wird implementiert, indem der Remote-RADIUS so konfiguriert wird, Windows Benutzerzuordnungsattribut als Bedingung der Verbindungsanforderungsrichtlinie verwendet wird. (Darüber hinaus muss ein Benutzerkonto lokal auf dem RADIUS-Server erstellt werden, das denselben Namen wie das Remotebenutzerkonto hat, für das die Authentifizierung vom RADIUS-Remoteserver durchgeführt wird.)

Konfiguration

Zum Konfigurieren von NPS als RADIUS-Server können Sie entweder die Standardkonfiguration oder die erweiterte Konfiguration in der NPS-Konsole oder in Server-Manager. Um NPS als RADIUS-Proxy zu konfigurieren, müssen Sie die erweiterte Konfiguration verwenden.

Standardkonfiguration

Bei der Standardkonfiguration werden Assistenten bereitgestellt, mit denen Sie NPS für die folgenden Szenarien konfigurieren können:

  • RADIUS-Server für DFÜ- oder VPN-Verbindungen
  • RADIUS-Server für drahtlose oder verkabelte 802.1X-Verbindungen

Öffnen Sie zum Konfigurieren von NPS mithilfe eines Assistenten die NPS-Konsole, wählen Sie eines der oben genannten Szenarien aus, und klicken Sie dann auf den Link, über den der Assistent geöffnet wird.

Erweiterte Konfiguration

Wenn Sie die erweiterte Konfiguration verwenden, konfigurieren Sie NPS manuell als RADIUS-Server oder RADIUS-Proxy.

Um NPS mithilfe der erweiterten Konfiguration zu konfigurieren, öffnen Sie die NPS-Konsole, und klicken Sie dann auf den Pfeil neben Erweiterte Konfiguration, um diesen Abschnitt zu erweitern.

Die folgenden erweiterten Konfigurationselemente werden bereitgestellt.

Konfigurieren des RADIUS-Servers

Um NPS als RADIUS-Server zu konfigurieren, müssen Sie RADIUS-Clients, Netzwerkrichtlinien und RADIUS-Kontoführung konfigurieren.

Anweisungen zum Erstellen dieser Konfigurationen finden Sie in den folgenden Themen.

Konfigurieren des RADIUS-Proxys

Um NPS als RADIUS-Proxy zu konfigurieren, müssen Sie RADIUS-Clients, RADIUS-Remoteservergruppen und Verbindungsanforderungsrichtlinien konfigurieren.

Anweisungen zum Erstellen dieser Konfigurationen finden Sie in den folgenden Themen.

NPS-Protokollierung

Die NPS-Protokollierung wird auch als RADIUS-Kontoführung bezeichnet. Konfigurieren Sie die NPS-Protokollierung entsprechend Ihren Anforderungen, unabhängig davon, ob NPS als RADIUS-Server, Proxy oder eine beliebige Kombination dieser Konfigurationen verwendet wird.

Zum Konfigurieren der NPS-Protokollierung müssen Sie konfigurieren, welche Ereignisse mit Ereignisanzeige protokolliert und angezeigt werden sollen, und dann bestimmen, welche anderen Informationen Protokolliert werden sollen. Darüber hinaus müssen Sie entscheiden, ob Sie Benutzerauthentifizierungs- und Kontoführungsinformationen in Textdateien protokollieren möchten, die auf dem lokalen Computer oder in einer SQL Server-Datenbank auf dem lokalen Computer oder einem Remotecomputer gespeichert sind.

Weitere Informationen finden Sie unter Konfigurieren der Kontoführung für Netzwerkrichtlinienserver.