Radius-Server mit NPS in Windows Server 2016 installieren und konfigurieren

Um die Rolle für den NPS hinzuzufügen, öffnet man den Server Manager. Im Menü rechts oben klickt man auf Manage (bzw. Verwalten)und wählt dort Add Roles and Features aus. Der Wizard startet nun, und man kann sich dann bis zum Punkt Server Roles durchklicken. Dort wählt man Network Policy and Access Services (Netzwerk­richtlinien- und Zugriffsdienste) aus und klickt wieder auf Next.

Im folgenden Popup fügt man alle benötigten Features durch das Klicken auf Add Features hinzu.

Da keine weiteren Features benötigt werden, klickt man im Dialog Features nur auf Next. Die schließlich angezeigte Zusammen­fassung bestätigt man ebenfalls mit Next und startet im letzten Bildschirm die Installation.

Nachdem diese abgeschlossen ist, kann man den Wizard durch das Klicken auf Close beenden.

Registrierung im Active Directory

Im Server Manager können wir nun im Menü Tools den Network Policy Server öffnen.

Damit registrieren wir den Server im Active Directory. Hierzu muss man Mitglied der Gruppe Domain Admins sein. Nun klickt man mit der rechten Maustaste auf NPS (local) und danach auf Register server in Active Directory.

Dadurch können die Daten für Benutzer und Computer im Active Directory abgegriffen werden, und dem Server wird die Lese-Berechtigung auf die Dial-In Options gegeben. Dies müssen wir mit OK bestätigen.

Der Server wurde damit in die Buitin-Gruppe RAS and IAS Servers eingetragen.

Accounting (Kontoführung) konfigurieren

Der Radius-Server sammelt eine Reihe von Infor­mationen über Clients, beispiels­weise wann diese sich an- oder abgemeldet haben. Diese Daten lassen sich für das Reporting oder auch für die Abrechnung verwenden.

Um das Accounting zu konfigurieren, wählt man in der NPS Konsole Accounting (auf Deutsch: Kontoführung) aus und klickt rechts auf Configure Accounting.

Der Wizard wird nun gestartet, klicken Sie auf Next. Wählen Sie nun das Logfile-Format und klicken Sie auf Next. In unserem Beispiel nutzen wir text file.

Aktivieren Sie die Optionen Logging information, Log file directory und die Failure action, wie im folgenden Screenshot ersichtlich. Außerdem sollte man auf das Anhaken von If logging fails, discard connection requests verzichten. Durch diese Einstellungen wird alles geloggt, und bei Aussetzen der Protokollierung werden trotzdem Anfragen weiter­verarbeitet, um einen Ausfall des Services zu vermeiden.

Überprüfen Sie die Zusammen­fassung und klicken Sie auf Next. Schließen Sie den Wizard daraufhin mit Close.

Zusätzlich empfehle ich, das Logging auf täglich zu stellen, um für jeden Tag eine neue Datei anzulegen. Andernfalls kann es schnell unübersichtlich werden.

Hierzu wählen wir im Accounting bei den Log File Properties die Option Configure Log File Properties aus.

Im folgenden Dialog klickt man dann auf den Reiter Log File und stellt den Wert von Create a new log file auf Daily.

Zum Accounting ist noch folgendes zu sagen: Leider wird im Event Viewer nicht auf Anhieb geloggt, hier schaffen folgende Einstellungen Abhilfe. Wir öffnen diese in der NPS-Konsole mit einem Rechts-Klick auf NPS (Local) und klicken auf Properties (Eigenschaften).

Dort wählen wir erneut folgende Einstellungen aus und klicken auf OK.

Zusätzlich setzen wir diese Optionen noch über die lokale Richtlinie oder per GPO. Sie heißt Netz­werk­richtlinien­server überwachen und findet sich unter Computerkonfiguration => Windows-Einstellungen => Sicherheits­einstellungen => Erweiterte Überwachungs­richtlinien­konfiguration => System­über­wachungs­richtlinien => Anmelden / Abmelden.

Somit ist auf dem Server eine Basis geschaffen, um beispielsweise einen Switch als Radius-Client auf dem Radius-Server mit ent­sprechenden Netzwerk­richtlinien einzu­richten.