Radius-Server mit NPS in Windows Server 2016 installieren und konfigurieren

    NPS Radius ServerDer Network Policy Server (NPS) über­nimmt die Authen­tifi­zierung, Autori­sierung sowie das Accounting (AAA) für Radius-Clients (Access Server). Das können WLAN-APs, Switches, DFÜ-Remote­zugriffe und VPN-Server sein. Diese Anleitung zeigt, wie man NPS installiert, mit dem AD verbindet und Accounting aktiviert.

    Ein Vorteil eines NPS-basierten Radius-Servers besteht in der Anbindung an das Active Directory. Dadurch können die Benutzer beispiels­weise über Gruppen auf den Radius-Clients berechtigt werden.

    Installation der NPS-Rolle

    Um die Rolle für den NPS hinzuzufügen, öffnet man den Server Manager. Im Menü rechts oben klickt man auf Manage (bzw. Verwalten)und wählt dort Add Roles and Features aus. Der Wizard startet nun, und man kann sich dann bis zum Punkt Server Roles durchklicken. Dort wählt man Network Policy and Access Services (Netzwerk­richtlinien- und Zugriffsdienste) aus und klickt wieder auf Next.

    Rolle für Network Policy and Access Services (Netzwerk­richt­linien- und Zugriffsdienste) auswählen

    Im folgenden Popup fügt man alle benötigten Features durch das Klicken auf Add Features hinzu.

    Der Wizard schlägt automatisch die Installation der Admin-Tools vor.

    Da keine weiteren Features benötigt werden, klickt man im Dialog Features nur auf Next. Die schließlich angezeigte Zusammen­fassung bestätigt man ebenfalls mit Next und startet im letzten Bildschirm die Installation.

    Installation der NPS im Wizard des Server Managers starten

    Nachdem diese abgeschlossen ist, kann man den Wizard durch das Klicken auf Close beenden.

    Registrierung im Active Directory

    Im Server Manager können wir nun im Menü Tools den Network Policy Server öffnen.

    NPS-Konsole aus dem Server Manager starten

    Damit registrieren wir den Server im Active Directory. Hierzu muss man Mitglied der Gruppe Domain Admins sein. Nun klickt man mit der rechten Maustaste auf NPS (local) und danach auf Register server in Active Directory.

    NPS-Server im Active Directory registrieren

    Dadurch können die Daten für Benutzer und Computer im Active Directory abgegriffen werden, und dem Server wird die Lese-Berechtigung auf die Dial-In Options gegeben. Dies müssen wir mit OK bestätigen.

    Um dem NPS-Server Leseberechtigungen auf die Dial-In Options im AD zu geben, bestätigt man diesen Dialog.

    Der Server wurde damit in die Buitin-Gruppe RAS and IAS Servers eingetragen.

    Accounting (Kontoführung) konfigurieren

    Der Radius-Server sammelt eine Reihe von Infor­mationen über Clients, beispiels­weise wann diese sich an- oder abgemeldet haben. Diese Daten lassen sich für das Reporting oder auch für die Abrechnung verwenden.

    Um das Accounting zu konfigurieren, wählt man in der NPS Konsole Accounting (auf Deutsch: Kontoführung) aus und klickt rechts auf Configure Accounting.

    Wizard zur Konfiguration von Accounting (Kontoführung) starten

    Der Wizard wird nun gestartet, klicken Sie auf Next. Wählen Sie nun das Logfile-Format und klicken Sie auf Next. In unserem Beispiel nutzen wir text file.

    Logging der NPS konfigurieren mit Hilfe des Wizards

    Aktivieren Sie die Optionen Logging information, Log file directory und die Failure action, wie im folgenden Screenshot ersichtlich. Außerdem sollte man auf das Anhaken von If logging fails, discard connection requests verzichten. Durch diese Einstellungen wird alles geloggt, und bei Aussetzen der Protokollierung werden trotzdem Anfragen weiter­verarbeitet, um einen Ausfall des Services zu vermeiden.

    Weitere Optionen zur Konfiguration des NPS-Loggings

    Überprüfen Sie die Zusammen­fassung und klicken Sie auf Next. Schließen Sie den Wizard daraufhin mit Close.

    Zusätzlich empfehle ich, das Logging auf täglich zu stellen, um für jeden Tag eine neue Datei anzulegen. Andernfalls kann es schnell unübersichtlich werden.

    Hierzu wählen wir im Accounting bei den Log File Properties die Option Configure Log File Properties aus.

    Eigenschaften für die Log-Dateien bearbeiten

    Im folgenden Dialog klickt man dann auf den Reiter Log File und stellt den Wert von Create a new log file auf Daily.

    Accounting so konfigurieren, dass täglich eine neue Log-Datei angelegt wird.

    Zum Accounting ist noch folgendes zu sagen: Leider wird im Event Viewer nicht auf Anhieb geloggt, hier schaffen folgende Einstellungen Abhilfe. Wir öffnen diese in der NPS-Konsole mit einem Rechts-Klick auf NPS (Local) und klicken auf Properties (Eigenschaften).

    Eigenschaften-Dialog des NPS-Server öffnen

    Dort wählen wir erneut folgende Einstellungen aus und klicken auf OK.

    NPS-Einstellungen für das Protokollieren im Eventlog.

    Zusätzlich setzen wir diese Optionen noch über die lokale Richtlinie oder per GPO. Sie heißt Netz­werk­richtlinien­server überwachen und findet sich unter Computerkonfiguration => Windows-Einstellungen => Sicherheits­einstellungen => Erweiterte Überwachungs­richtlinien­konfiguration => System­über­wachungs­richtlinien => Anmelden / Abmelden.

    NPS-Einstellungen in den Gruppenrichtlinien für das Protokollieren im Eventlog

    Somit ist auf dem Server eine Basis geschaffen, um beispielsweise einen Switch als Radius-Client auf dem Radius-Server mit ent­sprechenden Netzwerk­richtlinien einzu­richten.

    2 Kommentare

    Bild von Christian
    Christian sagt:
    16. September 2018 - 11:42

    Beim Server 2k16 und auch den 2k19er Preview's ist es immer noch so das die NPS Rolle nicht auf Core Servern abgebildet werden kann.
    Oder hast du da andere Info's zu.
    Ich hab es eben nochmal auf 2k16 v1803 sowie der 2k19 Preview getestet. Geht nur auf den GUI Servern.
    grüße

    Bild von Jan
    Jan sagt:
    18. September 2018 - 13:55

    Einfach bei Microsoft in der Dokumentation nachzulesen:
    https://docs.microsoft.com/de-de/windows-server/administration/server-co...