Radius-Authentifizierung über NPS in Windows Server

    , 09.05.2023
    Tags: ,

    NPS Radius ServerDer Rollen­dienst Network Policy Server (NPS) erlaubt VPN-Clients, sich mittels Radius zu authen­tifizieren. Durch das Zusammen­­spiel von NPS mit Active Directory kann man auf eine eigene Benutzer­­verwaltung ver­zichten. Über Ver­bindungs­­richt­linien können Admins die Kriterien definieren, die Clients für eine Verbindung erfüllen müssen.

    Die Einrichtung einer Radius-Authentifizierung mit Windows Server umfasst die folgenden Aufgaben:

    1. Installation der Rolle Netzwerk­richtlinien- und Zugriffsdienste
    2. Network Policy Server anpassen und an Active Directory anbinden
    3. Richtlinien für Verbindungs­anforderungen konfigurieren
    4. Radius-Clients erstellen
    5. Protokollierung von Radius-Ereignissen festlegen

    Rolle hinzufügen

    Die Rolle Netzwerk­richtlinien- und Zugriffsdienste (Network Policy and Access Services) installiert man über den Server-Manager oder das Windows Admin Center. Alternativ kann man dafür PowerShell mit dem folgenden Befehl nutzen:

    Install-WindowsFeature NPAS -IncludeManagementTools

    NPS anpassen und an Active Directory anbinden

    Nach der Installation von Netzwerk­richtlinien- und Zugriffsdienste erscheint im Server-Manager unter Tools der Eintrag Netzwerk­­richt­linien­server. Alternativ kann man die Konsole aber auch über die Gruppe Windows-Verwaltungs­programme im Startmenü oder durch Eingabe von nps.msc starten.

    Radius-Clients und -Server über die Verwaltungskonsole 'Netzwerk­richt­linien­server' administrieren

    Damit der Radius-Server später auf das VPN per Mitgliedschaft in AD-Gruppen zugreifen kann, muss er zuerst im Active Directory registriert sein. Das erfolgt zusätzlich zur Domänen­mit­gliedschaft des Servers.

    Diesem Zweck dient der Menüpunkt Server in Active Directory registrieren im Kontextmenü von NPS (Lokal).

    Radius-Servers in Active Directory einbinden

    Danach fordert die Konsole das Recht des Servers an, die VPN-Einstellungen von Benutzerkonten in Active Directory lesen zu dürfen.

    Die Eintragung lässt sich in Active Directory-Benutzer und -Computer über den Container Users überprüfen. Hier ist das Computerkonto jetzt Mitglied der Gruppe RAS- und IAS-Server.

    Verbindungsanforderungsrichtlinien steuern

    Der Menüpunkt Verbindungs­­anforderungs­­richtlinie => Windows-Authenti­fizierung für alle Benutzer verwenden legt fest, welche Benutzer der Radius-Server zulässt.

    Verbindungsrichtlinien für den Radius-Server konfigurieren

    Über Eigenschaften im Kontextmenü der Richtlinie lässt sich der Zugriff steuern. Auf der Registerseite Übersicht können die Einstellungen so bleiben wie sie sind.

    Auf dem Tab Bedingungen lässt sich anschließend festlegen, welche Anforderungen Benutzer erfüllen müssen, damit eine Einwahl erlaubt wird.

    Die Standardbedingung Tag- und Nachteinschränkungen erlaubt per Voreinstellung die Einwahl der Benutzer rund um die Uhr. Dies kann man hier bei Bedarf ändern.

    Erlaubte Zeiten für die Einwahl der Benutzer festlegen

    Über die Registerkarte Einstellungen lässt sich die Authentifizierung auf dem Server konfigurieren. Hier sollte die Option Anforderungen auf diesem Server authentifizieren aktiviert sein.

    Authentifizierung auf dem Radius-Server überprüfen

    Grundsätzlich sollte man die bereits vorhandenen Standard­richtlinien nicht verändern. Besser ist es, stattdessen eine eigene Policy für zusätzliche Kriterien zu erstellen. Dies kann man über das Kontextmenü von Netzwerk­richtlinien mit dem Befehl Neu tun.

    Neue Netzwerkrichtlinie für den VPN-Zugriff erstellen

    Auf der ersten Seite des Assistenten ist zunächst nur ein Name notwendig, die anderen Einstellungen können so bleiben, wie sie sind.

    Im nächsten Schritt lassen sich mit Hinzufügen die Bedingungen für die Einwahl festlegen. Beim Einsatz von Active Directory wählt man Benutzergruppen aus. Bei Windows-Gruppe lassen sich lokale Gruppen des Servers dazu nutzen.

    Bedingungen für die Einwahl von Benutzerkonten konfigurieren

    Ideal ist hier natürlich, eine zuvor eigens für diesen Zweck eingerichtete Sicherheitsgruppe für die VPN-Einwahl zu verwenden, zum Beispiel mit der Bezeichnung VPN-Benutzer.

    Die nächste Seite bietet unter Zugriffsberechtigung angeben mehrere Optionen. Hier bestimmt man, ob das Zutreffen der Bedingung eine Verbindung zulässt oder verhindert.

    Remote-Zugriff für die definierte Gruppe festlegen

    Im darauf folgenden Dialog konfiguriert man die Authentifizierungs­methoden, die zum Einsatz kommen sollen. Über Hinzufügen bei EAP-Typen ist hier die Option Microsoft: Geschütztes EAP (PEAP) sinnvoll.

    Authentifizierungsmethoden für die VPN-Einwahl konfigurieren

    Die restlichen Seiten enthalten noch verschiedene Einstellungen, die man aber auf dem Standard belassen kann. Mit Fertig stellen schließt man den Assistenten ab und aktiviert die Richtlinie. Das ist in der Übersicht an einem grünen Haken zu erkennen.

    Erfolgreich erstellte Netzwerkrichtlinie für die VPN-Einwahl

    Die Richtlinie sollte ganz oben in der Liste sein, damit sie der NPS-Server als erstes anwendet.

    Radius-Clients erstellen

    Sobald die Richtlinien in Kraft sind, kann man über das Kontextmenü von Radius Clients und -Server => Radius-Clients neue Clients anlegen.

    Neben dem Anzeigenamen, der IP-Adresse oder des FQDN, des Access-Points oder VPN-Servers ist an dieser Stelle noch ein Schlüssel notwendig, mit dem der Radius-Client eine Verbindung mit dem Server aufbauen kann.

    Radius-Clients in Windows Server 2022 erstellen

    Über die Registerkarte Erweitert lassen sich kompatible VPN-Lösungen, die den Radius-Server unterstützen, direkt auswählen, zum Beispiel von Cisco.

    Protokollierung auf dem Radius-Server konfigurieren

    Die Benutzerkonten sowie die Verwendung des Radius-Servers lassen sich protokollieren, und zwar über den Menüpunkt Kontoführung in der Konsole des Netzwerk­richtlinien­servers.

    Anpassen der Kontoführung des Netzwerkrichtlinienservers

    Der Link Kontoführung konfigurieren startet einen Assistenten, der durch die weitere Einrichtung führt. Zunächst lässt sich an dieser Stelle festlegen, wo die Daten gespeichert werden sollen. In größeren Umgebungen kann es sinnvoll sein, dafür eine SQL-Datenbank zu verwenden. Meistens reicht aber die Option Protokollierung in einer Textdatei auf dem lokalen Computer aus.

    Auf der nächsten Seite entscheidet man, welche Daten der Server in die Protokolldatei oder die Datenbank schreiben soll. In der Regel kann man hier die Vorgaben belassen.

    Protokollierungsoptionen für den Radius-Server anpassen

    Im Anschluss zeigt der Assistent noch eine Zusammenfassung der vorgenommenen Einstellungen an. Weiter und Fertig stellen beenden die Einrichtung.

    Nach der initialen Einrichtung kann man die Einstellungen über den Menüpunkt Protokoll­daten­eigenschaften ändern jederzeit anpassen.

    Protokollierung nachträglich anpassen

    Auf der Registerkarte Protokolldatei kann man zum Beispiel auch bestimmen, in welchem Turnus der Windows-Server eine neue Log-Datei erstellen soll.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Thomas Joos

    Thomas Joos ist Consultant für mittlere und große Unternehmen im Bereich Security, Active Directory, Cloud und KI.

    Er hat über 100 Fachbücher zu IT-Themen für verschiedene Verlage geschrieben und veröffentlicht regelmäßig bei verschiedenen Portalen und Zeitschriften wie IT-Administrator, Computerwoche, Heise und vielen weiteren.

    Darüber hinaus ist er als Trainer für LinkedIn Learning tätig.

    // Kontakt: Web, E-Mail, Twitter //

    Verwandte Beiträge

    Weitere Links