Table of contents
TOC
De inhoudsopgave samenvouwen
De inhoudsopgave uitvouwen

Netwerkbeleidsregels configureren

James McIllece|Laatst bijgewerkt: 10-3-2017
|
1 Inzender

Van toepassing op: WindowsServer 2016

In dit onderwerp kunt u netwerkbeleidsregels configureren in NPS.

Een netwerkbeleid toevoegen

Network Policy Server (NPS) gebruikt op het netwerk beleid en de inbeleigenschappen van gebruikersaccounts om te bepalen of een verbindingsaanvraag is gemachtigd om verbinding met het netwerk te maken.

U kunt deze procedure gebruiken voor het configureren van een nieuw beleid voor netwerken in de NPS-console of de Remote Access-console.

Autorisatie uitvoeren

Wanneer NPS de van een verbindingsaanvraag, wordt de aanvraag met elk netwerkbeleid in de geordende lijst met beleidsregels, vanaf het eerste beleid, en vervolgens omlaag in de lijst met geconfigureerde beleid verplaatsen vergeleken. Als NPS vindt een beleid waarvan de voorwaarden overeenkomen met de verbindingsaanvraag, NPS overeenkomend beleid en de inbeleigenschappen van het gebruikersaccount gebruikt om te autoriseren. Als de inbeleigenschappen van het gebruikersaccount zijn geconfigureerd voor het verlenen van toegang via het netwerkbeleid en de verbindingsaanvraag is gemachtigd, past NPS de instellingen die zijn geconfigureerd in het netwerkbeleid voor de verbinding.

Als NPS een beleid voor netwerken die overeenkomt met de verbindingsaanvraag niet gevonden, wordt de verbindingsaanvraag geweigerd tenzij de inbeleigenschappen van de gebruikersaccount zijn ingesteld om toegang te verlenen.

Als de inbeleigenschappen van het gebruikersaccount zijn ingesteld om toegang te weigeren, wordt de verbindingsaanvraag geweigerd door NPS.

Belangrijke instellingen

Wanneer u de wizard Nieuw beleid voor netwerken gebruiken voor het maken van een netwerkbeleid, de waarde die u opgeeft in netwerk verbindingsmethode wordt gebruikt voor het automatisch configureren van de beleidstype voorwaarde:

  • Als u de standaardwaarde van niet opgegeven, wordt het beleid voor netwerken die u maakt voor alle netwerkverbindingstypen die van welke aard dan ook van network access server (NAS gebruikmaken) geëvalueerd door NPS.
  • Als u een netwerkverbindingsmethode opgeeft, wordt het netwerkbeleid in NPS geëvalueerd alleen als de verbindingsaanvraag afkomstig is van het type van network access server die u opgeeft.

Op de toegangsmachtiging pagina, moet u toegang verleend als u wilt dat het beleid dat gebruikers verbinding maken met uw netwerk. Als u wilt dat het beleid om te voorkomen dat gebruikers verbinding maken met uw netwerk, selecteer toegang geweigerd.

Als u wilt toegang hebben om te worden bepaald door inbellen eigenschappen voor gebruikersaccounts in Active Directory® Domain Services (AD DS), kunt u de toegang wordt bepaald door de gebruiker inbeleigenschappen selectievakje.

Lidmaatschap van Domeinadministrators, of gelijkwaardig, is de minimale vereiste om deze procedure te voltooien.

Een netwerkbeleid toevoegen

  1. Open de NPS-console en dubbelklikt u vervolgens op beleidsregels.

  2. In de consolestructuur met de rechtermuisknop op netwerkbeleid, en klik op New. De wizard Nieuw netwerkbeleid wordt geopend.

  3. Gebruik de wizard Nieuw netwerkbeleid om een beleid te maken.

Netwerkbeleidsregels voor inbel- of VPN met een wizard maken

U kunt deze procedure gebruiken voor het maken van de verbinding beleid voor verbindingsaanvragen en netwerkbeleidsregels vereist voor het implementeren van inbel-servers of virtueel particulier netwerk (VPN) -servers als Remote Authentication Dial-In User Service (RADIUS) clients naar de NPS RADIUS-server.

Opmerking

Clientcomputers, zoals draagbare computers en andere computers met clientbesturingssystemen, zijn geen RADIUS-clients. RADIUS-clients zijn netwerktoegangsservers, zoals draadloze toegangspunten, 802. 1 X-verificatieswitches, virtueel particulier netwerk (VPN) servers en inbel-servers, omdat deze apparaten de RADIUS-protocol gebruiken om te communiceren met RADIUS-servers zoals NPS-servers.

Deze procedure wordt uitgelegd hoe u de wizard Nieuwe inbel- of VPN-verbindingen in NPS openen.

Nadat u de wizard uitvoert, worden de volgende beleidsregels gemaakt:

  • Een beleid voor verbindingsaanvragen
  • Een netwerkbeleid

U kunt de wizard Nieuwe inbel- of VPN-verbindingen uitvoeren telkens wanneer u wilt maken van nieuwe beleidsregels voor inbel- en VPN-servers.

Uitvoeren van de wizard Nieuwe inbel- of VPN-verbindingen is niet de enige stap vereist voor het implementeren van inbel- of VPN-servers als RADIUS-clients naar de NPS-server. Beide methoden netwerk toegang is vereist dat u aanvullende hardware- en softwareonderdelen implementeert.

Lidmaatschap van Domeinadministrators, of gelijkwaardig, is de minimale vereiste om deze procedure te voltooien.

Beleid voor inbel- of VPN met een wizard maken

  1. Open de NPS-console. Als deze nog niet is geselecteerd, klikt u op NPS (lokale). Als u maken van beleidsregels op een externe NPS-server wilt, selecteert u de server.

  2. In aan de slag en standaardconfiguratie, selecteer RADIUS-server voor inbel- of VPN-verbindingen. De tekst en koppelingen onder de tekst veranderen naar gelang de selectie.

  3. Klik op configureren VPN- of inbelverbindingen met een wizard. De wizard Nieuwe inbel- of VPN-verbindingen wordt geopend.

  4. Volg de instructies in de wizard voor het maken van uw nieuwe beleidsregels voltooien.

Netwerkbeleid voor 802. 1 X-bekabeld of draadloos met een wizard maken

U kunt deze procedure gebruiken voor het maken van het verbindingsaanvraagbeleid en netwerkbeleid die nodig zijn voor de implementatie van 802. 1 X-verificatieswitches of draadloze 802. 1 X-toegangspunten als Remote Authentication Dial-In User Service (RADIUS)-clients naar de NPS RADIUS-server.

Deze procedure wordt uitgelegd hoe u de wizard Nieuwe IEEE 802. 1 X beveiligde bekabelde en draadloze verbindingen in NPS starten.

Nadat u de wizard uitvoert, worden de volgende beleidsregels gemaakt:

  • Een beleid voor verbindingsaanvragen
  • Een netwerkbeleid

U kunt de wizard Nieuwe IEEE 802. 1 X beveiligde bekabelde en draadloze verbindingen telkens wanneer u nieuwe beleidsregels maken voor 802. 1 X-toegang moet uitvoeren.

Met de wizard Nieuwe IEEE 802. 1 X beveiligde bekabelde en draadloze verbindingen is niet de enige stap vereist voor het implementeren van met 802.1 X-verificatieswitches en draadloze toegangspunten als RADIUS-clients naar de NPS-server. Beide methoden netwerk toegang is vereist dat u aanvullende hardware- en softwareonderdelen implementeert.

Lidmaatschap van Domeinadministrators, of gelijkwaardig, is de minimale vereiste om deze procedure te voltooien.

Beleidsregels voor 802.1 X bekabelde of draadloze maken met een wizard

  1. Klik op de NPS-server in Serverbeheer op extra, en klik vervolgens op Network Policy Server. De NPS-console wordt geopend.

  2. Als deze nog niet is geselecteerd, klikt u op NPS (lokale). Als u maken van beleidsregels op een externe NPS-server wilt, selecteert u de server.

  3. In aan de slag en standaardconfiguratie, selecteer RADIUS-server voor verbindingen bekabelde of draadloze 802. 1 X. De tekst en koppelingen onder de tekst veranderen naar gelang de selectie.

  4. Klik op configureren 802. 1 X met een wizard. De wizard Nieuwe IEEE 802. 1 X beveiligde bekabelde en draadloze verbindingen wordt geopend.

  5. Volg de instructies in de wizard voor het maken van uw nieuwe beleidsregels voltooien.

NPS negeren inbellen eigenschappen voor gebruikersaccounts configureren

Gebruik deze procedure voor het configureren van een NPS-netwerkbeleid negeren van de inbeleigenschappen van gebruikersaccounts in Active Directory tijdens het autorisatieproces. Gebruikersaccounts in Active Directory: gebruikers en Computers hebben inbeleigenschappen die NPS tijdens het autorisatieproces evalueert tenzij de toegangsmachtiging eigenschap van het gebruikersaccount is ingesteld op toegang via NPS-netwerkbeleid.

Er zijn twee situaties waarin u mogelijk wilt NPS negeren de inbeleigenschappen van gebruikersaccounts in Active Directory configureren:

  • Wanneer u wilt vereenvoudigen NPS autorisatie met behulp van netwerkbeleid, maar niet alle uw gebruikersaccounts hebben de toegangsmachtiging eigenschap ingesteld op toegang via NPS-netwerkbeleid. Bijvoorbeeld, een aantal gebruikersaccounts wellicht de toegangsmachtiging eigenschap van de gebruikersaccount ingesteld op toegang weigeren of toegang toestaan.

  • Wanneer andere inbeleigenschappen van gebruikersaccounts zijn niet van toepassing op het verbindingstype die is geconfigureerd in het netwerkbeleid. Bijvoorbeeld, eigenschappen anders dan de toegangsmachtiging instelling zijn alleen van toepassing op inbel- of VPN-verbindingen, maar het netwerkbeleid dat u wilt maken voor draadloze of verificatie is.

Deze procedure kunt u NPS negeren inbeleigenschappen voor gebruiker configureren. Als een verbindingsaanvraag overeenkomt met het beleid voor netwerken waar dit selectievakje is ingeschakeld, NPS niet gebruikt om de inbeleigenschappen van het gebruikersaccount te bepalen of de gebruiker of computer is gemachtigd voor toegang tot het netwerk. alleen de instellingen in het beleid voor netwerken worden gebruikt om te bepalen van de autorisatie.

Lidmaatschap van beheerders, of gelijkwaardig, is de minimale vereiste om deze procedure te voltooien.

  1. Klik op de NPS-server in Serverbeheer op extra, en klik vervolgens op Network Policy Server. De NPS-console wordt geopend.

  2. Dubbelklik op beleid, klikt u op netwerkbeleid, en dubbelklik vervolgens op het beleid dat u wilt configureren in het detailvenster.

  3. In het beleid eigenschappen dialoogvenster op de overzicht tabblad, in toegangsmachtiging, selecteer de inbellen eigenschappen voor gebruikersaccounts negeren selectievakje en klik vervolgens op OK.

Voor het configureren van NPS voor inbellen eigenschappen voor gebruikersaccounts negeren

NPS configureren voor VLAN 's

Met behulp van VLAN-bewuste netwerktoegangsservers en NPS in Windows Server 2016, kunt u groepen gebruikers opgeven met alleen toegang tot de netwerkbronnen die geschikt voor hun beveiligingsmachtigingen zijn. Bijvoorbeeld, kunt u bezoekers van draadloze toegang bieden tot het Internet zonder dat zij toegang tot het netwerk van uw organisatie.

Bovendien kunnen VLAN's u logische groep netwerkbronnen die aanwezig zijn in verschillende fysieke locaties of op verschillende fysieke subnetten. Bijvoorbeeld, kunnen leden van de afdeling verkoop en hun netwerkbronnen, zoals clientcomputers, servers en printers, zich in verschillende verschillende gebouwen binnen uw organisatie, maar u kunt al deze bronnen plaatsen op één VLAN die gebruikmaakt van hetzelfde IP-adresbereik. De VLAN en vervolgens functies, vanuit het perspectief van de eindgebruiker, als één subnet.

U kunt VLAN's ook gebruiken als u wilt een netwerk tussen de verschillende groepen gebruikers te scheiden. Nadat u hebt vastgesteld hoe u wilt uw groepen definiëren, kunt u beveiligingsgroepen maken in de Active Directory: gebruikers en Computers module en klikt u vervolgens leden toevoegen aan de groepen.

Een beleid voor netwerken configureren voor VLAN 's

U kunt deze procedure gebruiken voor het configureren van een netwerkbeleid dat gebruikers met een VLAN toegewezen. Wanneer u VLAN-compatibele hardware voor netwerken, zoals routers, switches en toegang tot domeincontrollers, kunt u de toegang tot servers te plaatsen, leden van een specifieke Active Directory-groepen op specifieke VLAN's instrueren-netwerkbeleid kunt configureren. Deze mogelijkheid tot netwerkbronnen groep logisch met VLAN's biedt flexibiliteit bij het ontwerpen en implementeren van netwerkoplossingen.

Wanneer u de instellingen van een NPS-netwerkbeleid voor gebruik van VLAN's configureren, moet u de kenmerken configureren Tunnel-Medium-Type, Tunnel-Pvt-Group-ID, tunneltype, en Tunnel-Tag.

Deze procedure wordt geleverd als een richtsnoer; uw netwerkconfiguratie mogelijk verschillende instellingen dan die hieronder wordt beschreven.

Lidmaatschap van beheerders, of gelijkwaardig, is de minimale vereiste om deze procedure te voltooien.

Een beleid voor netwerken configureren voor VLAN 's

  1. Klik op de NPS-server in Serverbeheer op extra, en klik vervolgens op Network Policy Server. De NPS-console wordt geopend.

  2. Dubbelklik op beleid, klikt u op netwerkbeleid, en dubbelklik vervolgens op het beleid dat u wilt configureren in het detailvenster.

  3. In het beleid eigenschappen in het dialoogvenster, klikt u op de instellingen tabblad.

  4. In het beleid eigenschappenin instellingenin RADIUS-kenmerken, zorg ervoor dat standaard is geselecteerd.

  5. In het detailvenster in kenmerken, de Service-Type kenmerk is geconfigureerd met een standaardwaarde van Framed. Standaard voor beleid met toegangsmethoden van VPN- en inbelverbindingen, de Framed-Protocol kenmerk is geconfigureerd met een waarde van PPP. Als u aanvullende verbindingsreeks kenmerken die vereist zijn voor VLAN's, klikt u op toevoegen. De standaard RADIUS-kenmerk toevoegen in het dialoogvenster wordt geopend.

  6. In standaard RADIUS-kenmerk toevoegen, schuif omlaag naar in kenmerken, en voeg de volgende kenmerken:

    • Tunnel-Medium-Type. Selecteer een waarde die geschikt is voor de selecties die u hebt gemaakt voor het beleid. Bijvoorbeeld, als het netwerkbeleid dat u wilt configureren, een beleid voor draadloze verbindingen is, selecteert u waarde: 802 (omvat alle 802 media plus Ethernet-notatie).

    • Tunnel-Pvt-groep-ID. Voer het gehele getal dat staat voor het VLAN-nummer waarop de leden van de groep worden toegewezen.

    • Tunneltype. Selecteer virtuele LAN (VLAN).

  7. In standaard RADIUS-kenmerk toevoegen, klikt u op sluiten.

  8. Als uw netwerktoegangsserver (NAS) gebruik van vereist de Tunnel-Tag van het kenmerk, gebruikt u de volgende stappen uit om toe te voegen de Tunnel-Tag van het kenmerk voor het netwerkbeleid. Als dit kenmerk niet wordt vermeld door de documentatie van uw NAS niet worden toegevoegd aan het beleid. Indien nodig, als volgt de kenmerken toevoegen:

    • In het beleid eigenschappenin instellingenin RADIUS-kenmerken, klikt u op leverancier van specifieke.

    • Klik in het detailvenster op toevoegen. De leverancier specifieke kenmerk toevoegen in het dialoogvenster wordt geopend.

    • In kenmerken, schuif omlaag naar en selecteer Tunnel-Tag, en klik vervolgens op toevoegen. De kenmerkgegevens in het dialoogvenster wordt geopend.

    • In waarde van het kenmerk, typt u de waarde die u hebt verkregen van de hardwaredocumentatie van uw.

Configureren van de grootte van de EAP-nettolading

In sommige gevallen routers of firewalls pakketten verloren laten omdat ze zijn geconfigureerd voor het negeren van pakketten waarvoor fragmentatie.

Wanneer u NPS implementeren met beleid voor netwerken die gebruikmaken van het Extensible Authentication Protocol (EAP) met Transport Layer Security (TLS), of EAP-TLS als verificatiemethode, de standaard maximum transmission unit (MTU) dat NPS wordt gebruikt voor EAP-nettoladingen 1500 bytes is.

Deze maximale grootte voor de EAP-nettolading kunt RADIUS-berichten waarvoor fragmentatie door een router of firewall tussen de NPS-server en een RADIUS-client maken. Als dit het geval is, kunnen een router of firewall geplaatst tussen de RADIUS-client en de NPS-server zonder waarschuwing sommige fragmenten, wat leidt tot verificatie mislukt en de modeldatabase groter van de toegangsclient om verbinding met het netwerk te verwijderen.

Gebruik de volgende procedure om de maximale grootte die gebruikmaakt van NPS voor EAP nuttige informatie door aan te passen van het kenmerk Framed-MTU in een netwerkbeleid op een waarde die niet meer dan 1344 lager.

Lidmaatschap van beheerders, of gelijkwaardig, is de minimale vereiste om deze procedure te voltooien.

Voor het configureren van het kenmerk Framed-MTU

  1. Klik op de NPS-server in Serverbeheer op extra, en klik vervolgens op Network Policy Server. De NPS-console wordt geopend.

  2. Dubbelklik op beleid, klikt u op netwerkbeleid, en dubbelklik vervolgens op het beleid dat u wilt configureren in het detailvenster.

  3. In het beleid eigenschappen in het dialoogvenster, klikt u op de instellingen tabblad.

  4. In instellingenin RADIUS-kenmerken, klikt u op standaard. Klik in het detailvenster op toevoegen. De standaard RADIUS-kenmerk toevoegen in het dialoogvenster wordt geopend.

  5. In kenmerken, schuif omlaag en klikt u op Framed-MTU, en klik vervolgens op toevoegen. De kenmerkgegevens in het dialoogvenster wordt geopend.

  6. In kenmerkwaarde, typt u een waarde gelijk is aan of minder dan 1344. Klik op OK, klikt u op sluiten, en klik vervolgens op OK.

Zie voor meer informatie over het netwerkbeleid netwerkbeleid.

Zie voor voorbeelden van jokertekens om op te geven netwerk beleid kenmerken, reguliere expressies gebruiken in NPS.

Zie voor meer informatie over NPS Network Policy Server (NPS).

© 2017 Microsoft