Table of contents
TOC
Inhaltsverzeichnis reduzieren
Inhaltsverzeichnis erweitern

Konfigurieren von Netzwerkrichtlinien

James McIllece|Zuletzt aktualisiert: 10.03.2017
|
1 Mitwirkender

Gilt für: Windows Server 2016

In diesem Thema können Sie die Richtlinien in NPS konfigurieren.

Hinzufügen einer Netzwerkrichtlinie

Network Policy Server (NPS) Einsatz der Netzwerk-Richtlinien und die DFÜ-Eigenschaften von Benutzerkonten, um festzustellen, ob eine Anforderung der Verbindung berechtigt ist, eine Verbindung mit dem Netzwerk.

Sie können dieses Verfahren verwenden, so konfigurieren Sie eine neue Netzwerkrichtlinie in der NPS-Konsole oder die Remote Access-Konsole.

Durchführen der Autorisierung

Wenn NPS Genehmigung der Anfrage für eine Verbindung ausführt, wird die Anforderung mit jeder Netzwerkrichtlinie in der sortierte Liste der Richtlinien, beginnend mit der ersten Richtlinie, und bewegen Sie die Liste der konfigurierten Richtlinien verglichen. Wenn NPS eine Richtlinie findet, deren Suchkriterien Anforderung der Verbindung, verwendet NPS der entsprechenden Richtlinie und die DFÜ-Eigenschaften des Benutzerkontos für die Autorisierung. Wenn die DFÜ-Eigenschaften des Benutzerkontos zum Gewähren von Zugriff oder ein Steuerelement für den Zugriff über Netzwerkrichtlinien konfiguriert sind, und die Verbindungsanforderung autorisiert ist, gilt NPS die Einstellungen, die in der Netzwerkrichtlinie für die Verbindung konfiguriert sind.

Wenn NPS Netzwerkrichtlinie nicht findet, die die Verbindungsanforderung entspricht, wird die Verbindungsanforderung abgelehnt, es sei denn, die DFÜ-Eigenschaften für das Benutzerkonto festgelegt sind, um Zugriff zu erteilen.

Wenn die DFÜ-Eigenschaften des Benutzerkontos Zugriff verweigern festgelegt sind, wird die Verbindungsanforderung von NPS abgelehnt.

Wichtige Einstellungen

Wenn Sie den Assistenten für neue verwenden, um eine Richtlinie für Netzwerke, den Wert zu erstellen, die Sie, in angeben Netzwerk Verbindungsmethode wird verwendet, um die automatische Konfiguration der Richtlinientyp Bedingung:

  • Wenn Sie den Standardwert beibehalten, wird die Richtlinie für Netzwerke, die Sie Erstellen von NPS für alle Typen ausgewertet, die jede Art von Netzwerkzugriffsserver (NAS) verwenden.
  • Wenn Sie eine Methode für die Verbindung angeben, wertet NPS Netzwerkrichtlinie nur dann, wenn die Verbindungsanforderung vom Typ des Netzwerkzugriffsserver stammt, die Sie angeben.

Auf der Berechtigung Seite, wählen Sie Zugriff gewährt Wenn Sie möchten, dass die Richtlinie, dass Benutzer mit dem Netzwerk herstellen können. Wenn Sie möchten, dass die Richtlinie verhindert, dass Benutzer die Verbindung mit dem Netzwerk, wählen Sie Zugriff verweigert.

Wenn Berechtigungen durch DFÜ-Eigenschaften des Benutzerkontos in Active Directory ermittelt werden soll® Domain Services (AD DS), können Sie auswählen der Zugriff wird bestimmt, indem Benutzer DFÜ-Eigenschaften Kontrollkästchen.

Mitgliedschaft in Domänen-Admins, oder einer entsprechenden Gruppe mindestens erforderlich, um diese Prozedur ausführen.

So fügen Sie eine Netzwerkrichtlinie hinzu

  1. Öffnen Sie die NPS-Konsole, und doppelklicken Sie anschließend auf Richtlinien.

  2. In der Konsolenstruktur mit der Maustaste Netzwerkrichtlinien, und klicken Sie auf neu. Der neue Netzwerkrichtlinien-Assistent wird geöffnet.

  3. Verwenden Sie den Assistenten für neue, um eine Richtlinie erstellen.

Erstellen von Richtlinien für DFÜ-Verbindung oder VPN mithilfe eines Assistenten

Verwenden Sie dieses Verfahren, erstellen die Verbindung Anforderung Richtlinien und Netzwerk-Richtlinien für die Bereitstellung von DFÜ-Server oder virtuelles privates Netzwerk erforderlich (VPN) Server als Remote Authentication Dial-in User Service (RADIUS) Clients für den NPS RADIUS Server.

Hinweis

Clientcomputer wie Laptops und andere Computer, auf denen Clientbetriebssysteme ausgeführt, sind keine RADIUS-Clients. RADIUS-Clients sind Netzwerkzugriffsserver – z. B. drahtlose Zugriffspunkte, 802.1X-Switchs zur Authentifizierung, virtuelles privates Netzwerk (VPN) Server und DFÜ-Server, da diese Geräte das RADIUS-Protokoll mit RADIUS-Servern wie NPS-Server kommunizieren.

Dieses Verfahren wird erläutert, wie den Assistenten für neue DFÜ-Verbindung oder virtuellen privaten Netzwerkverbindungen in NPS zu öffnen.

Nachdem Sie den Assistenten ausführen, werden die folgenden Richtlinien erstellt:

  • Eine Verbindung Anforderungsrichtlinie
  • Eine Netzwerkrichtlinie

Jedes Mal, wenn Sie neue Richtlinien für DFÜ-Server und VPN-Server erstellen möchten, können Sie den Assistenten für neue DFÜ-Verbindung oder virtuellen privaten Netzwerkverbindungen ausführen.

Mit dem Assistenten für neue DFÜ-Verbindung oder virtuellen privaten Netzwerkverbindungen ist nicht der einzige Schritt für die Bereitstellung von DFÜ-Verbindung oder VPN-Server als RADIUS-Clients auf dem NPS-Server erforderlich. Beide Methoden für den Netzwerkzugriff erforderlich, dass Sie zusätzliche Hardware und Software-Komponenten bereitstellen.

Mitgliedschaft in Domänen-Admins, oder einer entsprechenden Gruppe mindestens erforderlich, um diese Prozedur ausführen.

Zum Erstellen von Richtlinien für DFÜ-Verbindung oder VPN-Assistenten

  1. Öffnen Sie die NPS-Konsole. Wenn es nicht bereits aktiviert ist, klicken Sie auf NPS (lokalen). Wenn Sie die Richtlinien auf einem Remotecomputer NPS-Server erstellen möchten, wählen Sie den Server.

  2. In Getting Started und Standardkonfiguration, und wählen Sie RADIUS-Server für DFÜ-Verbindung oder VPN-Verbindungen. Der Text und Links unter dem Text werden entsprechend Ihrer Auswahl angepasst.

  3. Klicken Sie auf konfigurieren VPN- oder DFÜ-Verbindung mit einem Assistenten. Der neue DFÜ-Verbindung oder virtuellen privaten Netzwerkverbindungen-Assistent wird geöffnet.

  4. Folgen Sie den Anweisungen im Assistenten zum Erstellen von Ihrem neuen Richtlinien abschließen.

Erstellen Sie Richtlinien für 802.1 X verkabelten oder drahtlosen mithilfe eines Assistenten

Sie können dieses Verfahren verwenden, zum Erstellen der Verbindung Anforderungsrichtlinie und die Richtlinie für Netzwerke, die zum Bereitstellen von 802.1X-Switchs zur Authentifizierung oder 802.1 X WLAN-Zugangspunkten als Remote Authentication Dial-in User Service (RADIUS)-Clients mit dem NPS RADIUS Server erforderlich sind.

Dieses Verfahren wird erläutert, wie der Assistent für neue IEEE 802.1 X sichere verkabelte und drahtlose in NPS starten.

Nachdem Sie den Assistenten ausführen, werden die folgenden Richtlinien erstellt:

  • Eine Verbindung Anforderungsrichtlinie
  • Eine Netzwerkrichtlinie

Jedes Mal, wenn Sie neue Richtlinien für 802.1 X Zugriff erstellen möchten, können Sie den Assistenten für neue IEEE 802.1 X sichere verkabelte und drahtlose ausführen.

Ausführen des Assistenten für neue IEEE 802.1 X sichere verkabelte und kabellose ist nicht der einzige Schritt zum Bereitstellen von 802. 1 X-Switches und WLAN-Zugangspunkten als RADIUS-Clients auf dem NPS-Server authentifizieren erforderlich. Beide Methoden für den Netzwerkzugriff erforderlich, dass Sie zusätzliche Hardware und Software-Komponenten bereitstellen.

Mitgliedschaft in Domänen-Admins, oder einer entsprechenden Gruppe mindestens erforderlich, um diese Prozedur ausführen.

Richtlinien für 802.1 X verkabelten oder drahtlosen mithilfe eines Assistenten erstellen

  1. Klicken Sie auf dem NPS-Server im Server-Manager auf Tools, und klicken Sie dann auf Netzwerkrichtlinienserver. Die NPS-Konsole wird geöffnet.

  2. Wenn es nicht bereits aktiviert ist, klicken Sie auf NPS (lokalen). Wenn Sie die Richtlinien auf einem Remotecomputer NPS-Server erstellen möchten, wählen Sie den Server.

  3. In Getting Started und Standardkonfiguration, und wählen Sie RADIUS-Server für 802.1 X WLAN oder kabelgebundenen Verbindung. Der Text und Links unter dem Text werden entsprechend Ihrer Auswahl angepasst.

  4. Klicken Sie auf konfigurieren 802.1 X mithilfe eines Assistenten. Der neue IEEE 802.1 X sichere verkabelte und Wireless-Assistent wird geöffnet.

  5. Folgen Sie den Anweisungen im Assistenten zum Erstellen von Ihrem neuen Richtlinien abschließen.

Konfigurieren von NPS DFÜ-Eigenschaften des Kontos ignorieren

Verwenden Sie dieses Verfahren zum Konfigurieren einer Richtlinie NPS Netzwerk, um die DFÜ-Eigenschaften von Benutzerkonten in Active Directory während der Autorisierung zu ignorieren. Benutzerkonten in Active Directory-Benutzer und -Computer sind DFÜ-Eigenschaften, die NPS während der Autorisierung ausgewertet wird, es sei denn, die Netzwerkzugriffsberechtigungen Eigenschaft des Benutzerkontos beträgt steuern den Zugriff über NPS-Netzwerkrichtlinien.

Es gibt zwei Situationen, in denen Sie NPS ignorieren die DFÜ-Eigenschaften von Benutzerkonten in Active Directory konfigurieren möchten:

  • Wenn Sie NPS Autorisierung zu vereinfachen, indem Sie die Richtlinie für Netzwerke, aber nicht alle Benutzerkonten die Netzwerkzugriffsberechtigungen -Eigenschaft steuern den Zugriff über NPS-Netzwerkrichtlinien. Beispielsweise einige Benutzerkonten möglicherweise die Netzwerkzugriffsberechtigungen Eigenschaftensatz des Benutzerkontos, um Zugriff verweigert oder Zugriff zulassen.

  • Wenn andere DFÜ-Eigenschaften von Benutzerkonten können nicht mit den Verbindungstyp, der in der Netzwerkrichtlinie konfiguriert ist. Beispielsweise andere Eigenschaften als die Netzwerkzugriffsberechtigungen Einstellung gelten nur für DFÜ- oder VPN-Verbindungen, aber die Netzwerkrichtlinie, die Sie erstellen für Verbindungen oder drahtlosen wechseln.

Dieses Verfahren können so konfigurieren Sie NPS DFÜ-Eigenschaften des Kontos ignorieren. Wenn eine Anforderung der Verbindung Netzwerkrichtlinie übereinstimmt, in denen dieses Kontrollkästchen aktiviert ist, wird NPS nicht die DFÜ-Eigenschaften des Benutzerkontos um zu ermitteln, ob der Benutzer oder Computer berechtigt ist, auf das Netzwerk zugreifen verwendet. nur die Einstellungen in der Netzwerkrichtlinie wird Autorisierung bestimmt.

Mitgliedschaft in Administratoren, oder einer entsprechenden Gruppe mindestens erforderlich, um diese Prozedur ausführen.

  1. Klicken Sie auf dem NPS-Server im Server-Manager auf Tools, und klicken Sie dann auf Netzwerkrichtlinienserver. Die NPS-Konsole wird geöffnet.

  2. Doppelklicken Sie auf Richtlinien, klicken Sie auf Netzwerkrichtlinien, und doppelklicken Sie anschließend im Detailbereich auf die Richtlinie, die Sie konfigurieren möchten.

  3. In der Richtlinie Eigenschaften Dialogfeld auf die Übersicht Registerkarte Berechtigung, und wählen Sie die ignorieren DFÜ-Eigenschaften des Kontos Kontrollkästchen, und klicken Sie dann auf OK.

So konfigurieren Sie NPS DFÜ-Eigenschaften des Kontos ignorieren

Konfigurieren des Netzwerkrichtlinienservers für VLANs

Mit VLAN-konformen Netzwerkzugriffsserver und NPS in Windows Server 2016 können Sie Gruppen von Benutzern mit nur den Zugriff auf die Netzwerkressourcen bereitstellen, die für ihre Sicherheitsberechtigungen geeignet sind. Beispielsweise können Sie Besucher mit WLAN auf das Internet bereitstellen ohne deren Zugriff auf das Netzwerk Ihrer Organisation.

Darüber hinaus ermöglichen VLANs logisch Gruppe Netzwerkressourcen zu ermöglichen, die an unterschiedlichen physischen Speicherorten oder auf physische Subnetzen vorhanden sind. Beispielsweise Mitglieder der Vertriebsabteilung und ihre Netzwerkressourcen zu ermöglichen, z. B. Clientcomputern, Servern und Druckern, können in mehrere verschiedene Gebäude in Ihrer Organisation befinden, aber Sie können alle diese Ressourcen in einem VLAN, die den gleichen IP-Adressbereichs verwendet platzieren. Die VLAN und Funktionen, aus der Sicht des Endbenutzers, als ein einziges Subnetz.

Sie können auch VLANs verwenden, wenn Sie ein Netzwerk zwischen verschiedenen Gruppen von Benutzern aufteilen möchten. Nachdem Sie ermittelt haben, wie Sie Ihrer Gruppen definieren möchten, können Sie Sicherheitsgruppen in den Active Directory-Benutzer und Computer-Snap-In erstellen und die Gruppen Mitglieder hinzufügen.

Konfigurieren einer Netzwerkrichtlinie für VLANs

Dieses Verfahren können eine Richtlinie für Netzwerke konfigurieren, die Benutzer ein VLAN zuweist. Bei Verwendung von VLAN-konformen Netzwerkhardware, z. B. Router, Switches und Zugriff auf Domänencontrollern, können Sie Netzwerkrichtlinie zum anweisen, den Server Mitglieder bestimmter Active Directory-Gruppen auf bestimmte VLANs platzieren konfigurieren. Diese Fähigkeit auf Netzwerkressourcen logisch mit VLANs Gruppe bietet Flexibilität beim Entwerfen und Implementieren von Netzwerk-Lösungen.

Wenn Sie die Einstellungen einer NPS Netzwerk-Richtlinie für die Verwendung mit VLANs konfigurieren, müssen Sie die Attribute konfigurieren Tunnel-Medium-Type, Tunnel-Pvt-Group-ID, Tunneltyp, und Tunnel-Tag.

Dieses Verfahren wird als Richtlinie bereitgestellt. Netzwerkkonfiguration unter Umständen nicht den unten beschriebenen benötigt.

Mitgliedschaft in Administratoren, oder einer entsprechenden Gruppe mindestens erforderlich, um diese Prozedur ausführen.

So konfigurieren Sie eine Netzwerkrichtlinie für VLANs

  1. Klicken Sie auf dem NPS-Server im Server-Manager auf Tools, und klicken Sie dann auf Netzwerkrichtlinienserver. Die NPS-Konsole wird geöffnet.

  2. Doppelklicken Sie auf Richtlinien, klicken Sie auf Netzwerkrichtlinien, und doppelklicken Sie anschließend im Detailbereich auf die Richtlinie, die Sie konfigurieren möchten.

  3. In der Richtlinie Eigenschaften Dialogfeld, klicken Sie auf die Einstellungen Registerkarte.

  4. In der Richtlinie Eigenschaftenim Einstellungenim RADIUS-Attribute, sicher, dass Standard ausgewählt ist.

  5. Im Detailbereich in Attribute, die Diensttyp Attributs konfiguriert ist, mit dem Standardwert "eingerahmt". Standardmäßig für Richtlinien mit Zugriff auf Methoden VPN- und DFÜ-Verbindung die "eingerahmt"-Protokoll Attributs konfiguriert ist, mit dem Wert PPP. Um weitere erforderliche Attribute für VLANs anzugeben, klicken Sie auf hinzufügen. Die Standard RADIUS-Attribut hinzufügen Dialogfeld wird geöffnet.

  6. In Standard RADIUS-Attribut hinzufügen-Attribute, führen Sie einen Bildlauf nach unten, und fügen Sie die folgenden Attribute:

    • Mittel-Tunneltyp. Wählen Sie einen Wert der vorherigen Optionen, die Sie für die Richtlinie vorgenommen haben. Beispielsweise ist die Richtlinie für Netzwerke konfigurieren einer Richtlinie für Drahtlosnetzwerke auswählen Wert: 802 (enthält alle 802 Media plus Ethernet-Standardformat).

    • Tunnel-Pvt-Group-ID. Geben Sie die ganze Zahl, die VLAN darstellt, die Mitglieder der Gruppe zugewiesen werden.

    • Tunneltyp. Wählen Sie virtuelle LANs (VLAN).

  7. In Standard RADIUS-Attribut hinzufügen, klicken Sie auf schließen.

  8. Wenn Ihre Netzwerkzugriffsserver (NAS) Verwendung erfordert die Tunnel-Tag Attributs, verwenden Sie die folgenden Schritte aus, um Hinzufügen der Tunnel-Tag -Attribut der Netzwerk-Richtlinie. Wenn der NAS-Dokumentation dieses Attribut nicht erwähnt ist, fügen Sie es nicht für die Richtlinie. Falls erforderlich, fügen Sie die Attribute wie folgt hinzu:

    • In der Richtlinie Eigenschaftenim Einstellungenim RADIUS-Attribute, klicken Sie auf Anbieter bestimmte.

    • Klicken Sie im Detailbereich auf hinzufügen. Die bestimmten Anbieter-Attribut hinzufügen Dialogfeld wird geöffnet.

    • In Attribute, führen Sie einen Bildlauf nach unten, und wählen Sie Tunnel-Tag, und klicken Sie dann auf hinzufügen. Die Attributinformationen Dialogfeld wird geöffnet.

    • In Attributwert, geben Sie den Wert, die Sie aus der Dokumentation zur Hardware abgerufen.

Konfigurieren Sie die Größe der EAP-Nutzlast

In einigen Fällen verwerfen Pakete, Router oder Firewalls, da sie konfiguriert werden, um Pakete zu verwerfen, die Fragmentierung erfordern.

Bei der Bereitstellung NPS mit Richtlinien für Netzwerke, mit denen die Extensible Authentication-Protokoll (EAP) mit Transport Layer Security (TLS), oder EAP-TLS als Authentifizierungsmethode, die standardmäßige maximale Transmission Unit (MTU) NPS für EAP-Nutzlasten verwendet wird, ist 1500 Byte.

Diese maximale Größe für die EAP-Nutzlast kann RADIUS-Nachrichten erstellen, die Fragmentierung durch einen Router oder Firewall zwischen dem NPS-Server und einem RADIUS-Client erfordern. Wenn dies der Fall ist, kann einen Router oder Firewall zwischen den RADIUS-Client und dem NPS-Server automatisch einige Fragmente, was Authentifizierungsfehler und nicht von der RAS-Client eine Verbindung mit dem Netzwerk verwerfen.

Gehen Sie folgendermaßen vor, um die maximal zulässige Größe zu verringern, die NPS für EAP-Nutzlasten verwendet werden, indem Sie das Attribut "eingerahmt"-MTU in einer Netzwerkrichtlinie auf einen Wert, der nicht größer als 1344 anpassen.

Mitgliedschaft in Administratoren, oder einer entsprechenden Gruppe mindestens erforderlich, um diese Prozedur ausführen.

So konfigurieren Sie das Attribut "eingerahmt"-MTU

  1. Klicken Sie auf dem NPS-Server im Server-Manager auf Tools, und klicken Sie dann auf Netzwerkrichtlinienserver. Die NPS-Konsole wird geöffnet.

  2. Doppelklicken Sie auf Richtlinien, klicken Sie auf Netzwerkrichtlinien, und doppelklicken Sie anschließend im Detailbereich auf die Richtlinie, die Sie konfigurieren möchten.

  3. In der Richtlinie Eigenschaften Dialogfeld, klicken Sie auf die Einstellungen Registerkarte.

  4. In Einstellungenim RADIUS-Attribute, klicken Sie auf Standard. Klicken Sie im Detailbereich auf hinzufügen. Die Standard RADIUS-Attribut hinzufügen Dialogfeld wird geöffnet.

  5. In Attribute, führen Sie einen Bildlauf nach unten, und klicken Sie auf "eingerahmt"-MTU, und klicken Sie dann auf hinzufügen. Die Attributinformationen Dialogfeld wird geöffnet.

  6. In Attributwert, geben Sie einen Wert kleiner oder gleich als 1344. Klicken Sie auf OK, klicken Sie auf schließen, und klicken Sie dann auf OK.

Weitere Informationen zu Richtlinien finden Sie unter Netzwerkrichtlinien.

Beispiele für die Muster übereinstimmenden Syntax an Attribute Netzwerk, finden Sie unter reguläre Ausdrücke in NPS.

Weitere Informationen zu NPS, finden Sie unter (Network Policy Server, NPS).

© 2017 Microsoft