Tags: Authentifizierung, WLAN, Windows Server 2016, Active Directory
Der Network Policy Server (NPS) übernimmt die Authentifizierung, Autorisierung sowie das Accounting (AAA) für Radius-Clients (Access Server). Das können WLAN-APs, Switches, DFÜ-Remotezugriffe und VPN-Server sein. Diese Anleitung zeigt, wie man NPS installiert, mit dem AD verbindet und Accounting aktiviert.
Ein Vorteil eines NPS-basierten Radius-Servers besteht in der Anbindung an das Active Directory. Dadurch können die Benutzer beispielsweise über Gruppen auf den Radius-Clients berechtigt werden.
Installation der NPS-Rolle
Um die Rolle für den NPS hinzuzufügen, öffnet man den Server Manager. Im Menü rechts oben klickt man auf Manage (bzw. Verwalten)und wählt dort Add Roles and Features aus. Der Wizard startet nun, und man kann sich dann bis zum Punkt Server Roles durchklicken. Dort wählt man Network Policy and Access Services (Netzwerkrichtlinien- und Zugriffsdienste) aus und klickt wieder auf Next.
Im folgenden Popup fügt man alle benötigten Features durch das Klicken auf Add Features hinzu.
Da keine weiteren Features benötigt werden, klickt man im Dialog Features nur auf Next. Die schließlich angezeigte Zusammenfassung bestätigt man ebenfalls mit Next und startet im letzten Bildschirm die Installation.
Nachdem diese abgeschlossen ist, kann man den Wizard durch das Klicken auf Close beenden.
Registrierung im Active Directory
Im Server Manager können wir nun im Menü Tools den Network Policy Server öffnen.
Damit registrieren wir den Server im Active Directory. Hierzu muss man Mitglied der Gruppe Domain Admins sein. Nun klickt man mit der rechten Maustaste auf NPS (local) und danach auf Register server in Active Directory.
Dadurch können die Daten für Benutzer und Computer im Active Directory abgegriffen werden, und dem Server wird die Lese-Berechtigung auf die Dial-In Options gegeben. Dies müssen wir mit OK bestätigen.
Der Server wurde damit in die Buitin-Gruppe RAS and IAS Servers eingetragen.
Accounting (Kontoführung) konfigurieren
Der Radius-Server sammelt eine Reihe von Informationen über Clients, beispielsweise wann diese sich an- oder abgemeldet haben. Diese Daten lassen sich für das Reporting oder auch für die Abrechnung verwenden.
Um das Accounting zu konfigurieren, wählt man in der NPS Konsole Accounting (auf Deutsch: Kontoführung) aus und klickt rechts auf Configure Accounting.
Der Wizard wird nun gestartet, klicken Sie auf Next. Wählen Sie nun das Logfile-Format und klicken Sie auf Next. In unserem Beispiel nutzen wir text file.
Aktivieren Sie die Optionen Logging information, Log file directory und die Failure action, wie im folgenden Screenshot ersichtlich. Außerdem sollte man auf das Anhaken von If logging fails, discard connection requests verzichten. Durch diese Einstellungen wird alles geloggt, und bei Aussetzen der Protokollierung werden trotzdem Anfragen weiterverarbeitet, um einen Ausfall des Services zu vermeiden.
Überprüfen Sie die Zusammenfassung und klicken Sie auf Next. Schließen Sie den Wizard daraufhin mit Close.
Zusätzlich empfehle ich, das Logging auf täglich zu stellen, um für jeden Tag eine neue Datei anzulegen. Andernfalls kann es schnell unübersichtlich werden.
Hierzu wählen wir im Accounting bei den Log File Properties die Option Configure Log File Properties aus.
Im folgenden Dialog klickt man dann auf den Reiter Log File und stellt den Wert von Create a new log file auf Daily.
Zum Accounting ist noch folgendes zu sagen: Leider wird im Event Viewer nicht auf Anhieb geloggt, hier schaffen folgende Einstellungen Abhilfe. Wir öffnen diese in der NPS-Konsole mit einem Rechts-Klick auf NPS (Local) und klicken auf Properties (Eigenschaften).
Dort wählen wir erneut folgende Einstellungen aus und klicken auf OK.
Zusätzlich setzen wir diese Optionen noch über die lokale Richtlinie oder per GPO. Sie heißt Netzwerkrichtlinienserver überwachen und findet sich unter Computerkonfiguration => Windows-Einstellungen => Sicherheitseinstellungen => Erweiterte Überwachungsrichtlinienkonfiguration => Systemüberwachungsrichtlinien => Anmelden / Abmelden.
Somit ist auf dem Server eine Basis geschaffen, um beispielsweise einen Switch als Radius-Client auf dem Radius-Server mit entsprechenden Netzwerkrichtlinien einzurichten.
Täglich Know-how für IT-Pros mit unserem Newsletter
Tim Buntrock hat langjährige Erfahrung als Active Directory Enterprise Admin in einem Forest mit über hunderttausend Benutzern weltweit. Daneben ist er als IT-Autor und Blogger in verschiedenen Communities aktiv und betreibt unter anderem seinen eigenen Blog directoryadmin. Zudem besitzt er Zertifizierungen im Bereich Microsoft, VMWare und Security, die sein Fachwissen bekräftigen.
// Kontakt: E-Mail, LinkedIn, Xing, Twitter //
Verwandte Beiträge
- Neue Policy für Authentifizierung ohne Passwort und erweiterte Web-Anmeldung für Windows 11
- Microsoft fasst alle Authentifizierungsmethoden des Azure AD in einer Policy zusammen
- ManageEngine ADSelfService Plus: Passwort-Reset als Self-Service, MFA für Active Directory
- Azure AD: Bevorzugte Methode für Multi-Faktor-Authentifizierung festlegen
- Event-ID 14,4771: Benutzer können sich nach November-Update nicht anmelden
Weitere Links
2 Kommentare
Beim Server 2k16 und auch den 2k19er Preview's ist es immer noch so das die NPS Rolle nicht auf Core Servern abgebildet werden kann.
Oder hast du da andere Info's zu.
Ich hab es eben nochmal auf 2k16 v1803 sowie der 2k19 Preview getestet. Geht nur auf den GUI Servern.
grüße
Einfach bei Microsoft in der Dokumentation nachzulesen:
https://docs.microsoft.com/de-de/windows-server/administration/server-co...