4.3 NPS implementeren

Het is essentieel dat u NPS, het bijbehorende beleid begrijpt en weet hoe u dit kunt afdwingen, en hoe u RADIUS implementeert. Dit zijn belangrijke vaardigheden voor elke IT-professional die verantwoordelijk is voor het bieden van veilige externe toegang tot de netwerkbronnen van zijn organisatie.

4.3.1 Configureer RADIUS

RADIUS is een algemeen geaccepteerd authenticatieprotocol dat door veel verschillende leveranciers wordt gebruikt. RADIUS wordt gebruikt om oplossingen voor externe toegang te beveiligen door authenticatie te bieden. U kunt de Windows Server 2016 NPS-rol configureren als RADIUS-server of RADIUS-proxy.

4.3.1.1 De NPS-rol

In eerdere versies van het Windows Server-platform beheerden IT-beheerders de RAS-verbindingen van hun gebruikers via een RAS-server, waarbij de inbelrechten per server werden geconfigureerd. Dit was prima zolang de beheerder niet te veel externe clients en meer dan een paar externe toegangsservers hoefde te beheren.

Omdat toegang op afstand vaker voorkomt, is het noodzakelijk geworden om de configuratie en het beheer van de servers voor toegang op afstand en de clients die ze ondersteunen, te centraliseren. Met de NPS-rol kunt u dit doen door op beleid gebaseerd beheer van externe toegang te bieden, zoals weergegeven in de volgende afbeelding.

De NPS-rol biedt authenticatie, autorisatie en accounting via een centraal punt voor de volgende situaties:

  • Externe toegang via inbelverbinding
  • Externe toegang via VPN
  • Draadloze toegang
  • 802.1X-toegang Internettoegang
  • Extranettoegang van partnerorganisaties

Voer de volgende taken uit om de NPS-rol te implementeren:

  1. Klik in Serverbeheer op Beheren en klik vervolgens op Rollen en onderdelen toevoegen.
  2. Selecteer in de wizard Rollen en onderdelen toevoegen op de pagina Serverrollen de rol Netwerkbeleid en toegangsservices en voeg desgevraagd de vereiste functies toe die nodig zijn om de rol te ondersteunen.
  3. Voltooi de wizard om de rol te installeren en klik vervolgens, wanneer daarom wordt gevraagd, op Voltooien. U kunt nu de Network Policy Server-console gebruiken om de rol te configureren en te beheren.

Examentip

U kunt de rol ook implementeren met behulp van de Windows PowerShell-opdracht Install-WindowsFeature -Name npas -IncludeManagementTools.

4.3.1.2 Een RADIUS-server configureren

NPS is de implementatie van een RADIUS-server door Microsoft. Wanneer u NPS configureert als een RADIUS-server, kunt u RADIUS-clients toevoegen, zoals draadloze toegangspunten, netwerktoegangsservers en VPN-servers, die allemaal de NPS-rol kunnen gebruiken als hun geconfigureerde RADIUS-server. Nadat u de RADIUS-clients hebt geconfigureerd, moet u NPS-beleidsregels maken en configureren die worden gebruikt om verbindingspogingen te verifiëren en te autoriseren.

Als u de NPS-rol installeert op een computer die lid is van een Active Directory Domain Services (AD DS)-domein, kunt u de AD DS-gebruikers- en groepsaccounts gebruiken voor verificatie. Hierdoor kunnen uw gebruikers zich op afstand aanmelden bij uw netwerkbronnen met hetzelfde gebruikersaccount waarmee ze zich aanmelden wanneer ze lokaal zijn verbonden met die bronnen.

De NPS-rol verzamelt statistieken met betrekking tot authenticatie, autorisatie en andere gegevens voor toegang op afstand, en kan deze gelogde gegevens lokaal of op een centrale locatie op een accountingserver opslaan, afhankelijk van de configuratie. Een typisch RADIUS-serverscenario wordt getoond in de volgende afbeelding.

Nadat u de NPS-rol hebt geïmplementeerd, moet u deze configureren als RADIUS-server of RADIUS-proxy. Dit zijn geen specifiek selecteerbare rollen. Ze zijn eerder geïmpliceerd in de manier waarop u de relatie tussen de verschillende NPS-rolcomputers in uw organisatie configureert.

Om de NPS-rol als RADIUS-server te implementeren, moet u de vereiste RADIUS-clients definiëren en het benodigde netwerkbeleid configureren. Voer hiervoor de volgende taken op hoog niveau uit:

  1. Installeer de NPS-rol, zoals beschreven in de vorige sectie.
  2. Open de Network Policy Server-console.
  3. In de Network Policy Server-console, weergegeven in de volgende afbeelding, maakt en configureert u het vereiste netwerkbeleid.
  4. Selecteer het RADIUS Clients and Servers-knooppunt en klik met de rechtermuisknop op het RADIUS Clients-knooppunt.
  5. Klik op Nieuw en voeg vervolgens de vereiste RADIUS-clients toe. Dit proces wordt in een volgende paragraaf besproken.

U kunt ook de Windows PowerShell New-NpsRadiusClient-cmdlet gebruiken om RADIUS-clients of RADIUS-proxy’s toe te voegen.

4.3.1.3 Een RADIUS-proxy configureren

U kunt NPS implementeren als een RADIUS-proxy. In deze configuratie stuurt de NPS-rol verbindingsverzoekpogingen van RAS-clients door naar de geconfigureerde RADIUS-server voor verificatie en autorisatie. U kunt beleid voor verbindingsverzoeken gebruiken om te bepalen welke verbindingsverzoeken zijn lokaal afgehandeld en die worden doorgestuurd naar een RADIUS-server.

Een typische RADIUS-proxyconfiguratie op basis van de Windows Server NPS-rol wordt weergegeven in de volgende afbeelding.

Als u de NPS-rol wilt implementeren als RADIUS-proxy, moet u de relatie van de lokale NPS-rol met de RADIUS-servers in uw organisatie definiëren. Gebruik hiervoor de volgende procedure:

  1. Installeer de NPS-rol, zoals eerder beschreven.
  2. Open de Network Policy Server-console.
  3. Selecteer het knooppunt RADIUS Clients and Servers en klik met de rechtermuisknop op het knooppunt Remote RADIUS Server Groups.
  4. Klik op Nieuw en typ in het dialoogvenster Nieuwe externe RADIUS-servergroep de naam voor de groep RADIUS-servers. Zelfs als u maar één RADIUS-server heeft, moet deze zich in een groep bevinden.
  5. Klik op Toevoegen en typ in het dialoogvenster RADIUS-server toevoegen de naam of het IP-adres (Internet Protocol) van de RADIUS-server.
  6. Op het tabblad Verificatie/Accounting, weergegeven in de volgende afbeelding, kunt u de instellingen configureren die nodig zijn om de RADIUS-proxy te koppelen aan de RADIUS-server voor verificatie. Dit omvat het definiëren van een gedeeld geheim (een wachtwoord) en een authenticatiepoort (de standaard is 1812). U kunt ook de accountingpoort definiëren (de standaard is 1813) en het gedeelde geheim waarmee deze RADIUS-proxy zichzelf zal authenticeren bij de RADIUS-accountingserver.
  7. Op het tabblad Taakverdeling, weergegeven in de volgende afbeelding, kunt u weeg- en prioriteitswaarden configureren voor deze server in de groep. Een prioriteitswaarde van 1 is de hoogste. De waarde Gewicht wordt gebruikt als de prioriteiten gelijk zijn. Gebruik deze opties om te bepalen welke server in een groep RADIUS-servers de voorkeur heeft boven andere in dezelfde groep.
  8. Herhaal het proces om extra servers aan deze groep toe te voegen.
  9. Nadat u de benodigde servergroepen hebt toegevoegd, moet u de RADIUS-clients definiëren die deze RADIUS-proxy ondersteunt. Voer hiervoor de volgende stappen uit:
    • Selecteer in de Network Policy Server-console het knooppunt RADIUS Clients and Servers en klik met de rechtermuisknop op het knooppunt RADIUS Clients.
    • Klik op Nieuw en voeg vervolgens de vereiste RADIUS-clients toe. Dit proces wordt in een volgende paragraaf besproken.

Examentip

U kunt NPS-sjablonen gebruiken om RADIUS-servers te definiëren. U kunt die servers vervolgens selecteren met behulp van de optie Selecteer een bestaande externe RADIUS-servers-sjabloon.

Examentip

U kunt NPS-sjablonen gebruiken om gedeelde RADIUS-geheimen te definiëren. U kunt die gedeelde geheimen vervolgens selecteren met behulp van de optie Selecteer een bestaande sjabloon voor gedeelde geheimen.

4.3.1.4 Configureer RADIUS-clients

RADIUS-clients zijn die apparaten en servercomponenten die verbindingspogingen met externe clients ondersteunen. Deze verbindingen kunnen afkomstig zijn van draadloze clients, VPN-clients of apparaten die zijn aangesloten op 802.1X-switches. Bijgevolg kan een RADIUS-client worden beschouwd als een apparaat, zoals een VPN-server of draadloos toegangspunt, dat het RADIUS-protocol ondersteunt voor authenticatie en accounting.

Examentip

RADIUS-clients zijn geen RAS-clients of apparaten die proberen verbinding te maken met een draadloos toegangspunt of VPN-server.

4.3.1.5 Configureer een Radius-client op de NPS-rol

De NPS-rol functioneert niet als RADIUS-client, maar ondersteunt RADIUS-clients. Het is echter noodzakelijk om RADIUS-clients op RADIUS-servers of RADIUS-proxy’s te configureren. Voer de volgende procedure uit om een RADIUS-client toe te voegen aan uw RADIUS-server of proxy:

  1. Vouw in de Network Policy Server-console het knooppunt RADIUS Clients and Servers uit en klik met de rechtermuisknop op het knooppunt RADIUS Clients.
  2. Klik op Toevoegen en typ vervolgens in het dialoogvenster Nieuwe RADIUS-client, weergegeven in de volgende afbeelding, op het tabblad Instellingen een beschrijvende naam voor de RADIUS-client en typ vervolgens het IP-adres of de volledig gekwalificeerde domeinnaam (FQDN) . Geef optioneel een gedeeld geheim op om te verifiëren bij de RADIUS-client.
  3. Klik op het tabblad Geavanceerd en definieer vervolgens of u het RADIUS-standaardprotocol wilt gebruiken, of kies uit een lijst met leveranciers voor uw specifieke apparaattype.

Examentip

U kunt NPS-sjablonen gebruiken om RADIUS-clients te definiëren. U kunt die clients vervolgens selecteren met behulp van de optie Een bestaande sjabloon selecteren op het tabblad Instellingen.

4.3.1.6. Configureer RADIUS-accounting

Met RADIUS-accounting kunt u statistieken met betrekking tot RADIUS-authenticatie en autorisatie verzamelen en bekijken. U kunt ervoor kiezen accountgegevens zo te configureren dat ze lokaal op elke RADIUS-server worden verzameld, of u kunt de boekhoudgegevens van al uw RADIUS-servers en proxy’s centraliseren.

U kunt RADIUS-boekhoudgegevens loggen in tekstbestanden en/of in een Microsoft SQL Server-database. Voor de meeste eenvoudige NPS-implementaties is het gebruik van tekstbestanden voldoende. Grotere implementaties profiteren echter van SQL Server.

Om accounting in NPS te configureren, klikt u in de Network Policy Server-console op het knooppunt Accounting en vervolgens op Configure Accounting. Gebruik de volgende procedure om de configuratie te voltooien:

  1. Kies in de wizard Accountingconfiguratie op de pagina Select Accounting Options hoe u accountinggegevens wilt loggen. Selecteer uit:
    • Log in op een SQL Server-database.
    • Log in op een tekstbestand op de lokale computer.
    • Log tegelijkertijd in op een SQL Server-database en op een lokaal tekstbestand.
    • Log in op een SQL Server-database met behulp van logboekregistratie van tekstbestanden voor failover.
  2. Specificeer op de pagina Configure Local File Logging, weergegeven in Afbeelding 4-56, wat u wilt loggen en waar u de tekstlogbestanden wilt opslaan. Als u SQL Server-logboekregistratie hebt gekozen, geeft u de SQL Server-naam en de instantienaam op en geeft u op welke gebeurtenissen u wilt loggen.
  3. Voltooi de wizard om logboekregistratie in te schakelen.

4.3.2 NPS-sjablonen configureren

Wanneer u de NPS-rol configureert, moet u de relatie opgeven tussen de servers, proxy’s en clients waaruit uw netwerkbeleidsinfrastructuur bestaat. U kunt NPS-sjablonen gebruiken om dit proces sneller en gemakkelijker te maken.

4.3.2.1 NPS-sjablonen maken

U kunt de Network Policy Server-console gebruiken om NPS-sjablonen te maken en te beheren. Vouw in het navigatievenster NPS (lokaal) uit en klik vervolgens op het knooppunt Sjablonenbeheer, zoals weergegeven in de volgende afbeelding.

Door een sjabloon te gebruiken, hoeft u niet herhaaldelijk dezelfde informatie opnieuw op te geven bij het configureren van NPS. Als bijvoorbeeld meerdere RADIUS-servers verbindingen van een aantal RADIUS-clients ondersteunen, kunt u met behulp van een RADIUS Client-sjabloon snel de relatie configureren op de RADIUS-server.

U kunt de volgende typen sjablonen maken:

  • Gedeelde geheimen – Hiermee kunt u een gedeeld geheim instellen dat u kunt gebruiken om verbindingen tussen de RADIUS-servers, proxy’s en clients te beveiligen.
  • RADIUS-clients – Hiermee kunt u een RADIUS-clientobject maken en de eigenschappen ervan definiëren: beschrijvende naam, IP-adres, leveranciersnaam en gedeeld geheim.
  • Externe RADIUS-servers – Hiermee kunt u een RADIUS-server en zijn eigenschappen definiëren, zoals servernaam of IP-adres, gedeeld geheim, authenticatiepoort en accountingpoort.
  • IP-filters – Hiermee kunt u IP-filters maken die netwerkverkeer toestaan of blokkeren op basis van gespecificeerde voorwaarden. Dit kan factoren omvatten zoals of het verkeer inkomend of uitgaand is, de bron- en bestemmings-IP-netwerken of -adressen en het gebruikte protocol, zoals Transmission Control Protocol (TCP) of User Datagram Protocol (UDP). IP-filters worden niet gebruikt om RADIUS te configureren. In plaats daarvan worden ze gebruikt in NPS-beleid, dat in de volgende sectie wordt besproken.

Gebruik de volgende procedure om een sjabloon voor gedeelde geheimen te maken:

  1. Klik op het knooppunt Sjablonenbeheer, klik met de rechtermuisknop op Gedeelde geheimen.
  2. Klik op Nieuw.
  3. Typ in het dialoogvenster Nieuwe RADIUS Shared Secret-sjabloon, weergegeven in de volgende afbeelding, in de tekstvakken Shared Secret en Confirm Shared Secret het wachtwoord dat u wilt gebruiken en klik vervolgens op OK.

Een RADIUS-clientsjabloon configureren:

  1. Klik op het knooppunt Sjablonenbeheer, klik met de rechtermuisknop op RADIUS-clients.
  2. Klik op Nieuw.
  3. Typ in het dialoogvenster Nieuwe RADIUS-client de beschrijvende naam voor het apparaat, typ het IP-adres of FQDN en definieer vervolgens het gedeelde geheim voor het apparaat. U kunt, zoals weergegeven in de volgende afbeelding, een eerder gedefinieerde sjabloon Shared Secrets gebruiken.
  4. Definieer indien nodig op het tabblad Geavanceerd de naam van de leverancier. Dit zorgt ervoor dat het apparaat de juiste RADIUS-versie gebruikt. Raadpleeg de documentatie van uw apparaat voor de vereiste waarde en klik op OK.

Het maken van gedeelde geheimen, RADIUS-clients en externe RADIUS-servers is in grote lijnen vergelijkbaar.

4.3.2.2 NPS-sjablonen toepassen

Het toepassen van NPS-sjablonen is eenvoudig. Wanneer u een definitie van een RADIUS-client of een externe RADIUS-server maakt, zoals eerder in deze sectie beschreven, selecteert u de optie om een bestaande sjabloon te gebruiken.

Als u bijvoorbeeld een RADIUS-client wilt configureren op basis van een sjabloon, gebruikt u de volgende procedure:

  1. Klik in de Network Policy Server-console met de rechtermuisknop op RADIUS-clients en klik vervolgens op Nieuw.
  2. Schakel in het dialoogvenster Nieuwe RADIUS-clients, weergegeven in de volgende afbeelding, het selectievakje Een bestaande sjabloon selecteren in.
  3. Wijzig indien nodig de beschrijvende naam. Alle andere eigenschappen worden geconfigureerd door de sjabloon. Klik OK.

De procedure voor het toepassen van sjablonen bij het maken van RADIUS-servers is in grote lijnen vergelijkbaar. We bekijken het toepassen van IP-filtersjablonen in de volgende sectie.

4.3.3 NPS-beleid configureren

Met NPS-beleid kunt u bepalen welke RAS-clients verbinding kunnen maken met uw organisatie en welke RADIUS-server verantwoordelijk is voor het verwerken van de verbindingspoging.

NPS ondersteunt twee soorten beleid. Dit zijn:

  • Netwerkbeleid – Hiermee kunt u bepalen of de verbindingspoging van een externe client succesvol is.
  • Beleid voor verbindingsverzoeken – Hiermee kunt u bepalen of de lokale server of een externe server verbindingspogingen op afstand verwerkt.

4.3.3.1 Netwerkbeleid configureren

U gebruikt netwerkbeleid om te bepalen of de verbindingspoging van een externe gebruiker is geslaagd. Elk netwerkbeleid bestaat uit vier groepen eigenschappen. Dit zijn:

  • Overzicht – Dit bevat de naam van het beleid en fundamentele elementen van het beleid:
    • Of het beleid is ingeschakeld
    • Wat de toegangsmachtiging is voor clients die overeenkomen met de eigenschappen van het beleid: Toegang verlenen of Toegang weigeren
    • Het type netwerkverbinding: niet gespecificeerd, Remote Desktop Gateway of Remote Access Server (VPN-inbelverbinding)
  • Voorwaarden – Bevat de basiseigenschappen van een verbinding. U kunt meerdere voorwaarden definiëren. Om het beleid van toepassing te laten zijn, moet de externe client voldoen aan alle voorwaarden die in het beleid zijn gespecificeerd. Deze omvatten:
    • Lidmaatschap van Windows-groepen
    • Dag- en tijdbeperkingen
    • IP-adres van de externe client
    • Verificatietype
    • RADIUS-clienteigenschappen, zoals IP-adres of beschrijvende naam
  • Beperkingen – Net als voorwaarden is een beperking een kenmerk van de verbindingspoging. U kunt meerdere beperkingen in een beleid definiëren en om de verbindingspoging te laten slagen, moet de externe client aan alle beperkingen voldoen. Beperkingen zijn onder meer:
    • Verificatiemethoden
    • Waarden voor inactiviteit en sessietime-out
    • Dag- en tijdbeperkingen
  • Instellingen – Ervan uitgaande dat zowel aan de voorwaarden als beperkingen van een beleid wordt voldaan en dat de toegangsmachtiging van het beleid wordt verleend, bepalen de instellingen van het beleid de kenmerken van een verbindingspoging, waaronder:
    • Versleutelingsvereisten
    • IP-filters
    • IP-instellingen, zoals het IPv4- of IPv6-adres dat door een client wordt gebruikt
    • Indien van toepassing, RADIUS-kenmerken, zoals leverancier

Examentip

Als aan de voorwaarden is voldaan, is de polis van toepassing en worden er geen verdere polissen in behandeling genomen. Als echter niet aan de voorwaarden wordt voldaan, verwerkt de NPS-rol het volgende beleid, als er meerdere beleidsregels zijn gedefinieerd.

Examentip

Net als voorwaarden, als een client niet voldoet aan de beperkingen van een beleid, wijst de NPS-rol de verbindingspoging af. In tegenstelling tot voorwaarden verwerkt de NPS-rol echter geen verder beleid.

Als u meerdere beleidsregels definieert, verwerkt NPS deze als volgt:

  1. Beginnend bij het beleid met de hoogste laagste verwerkingsopdrachtwaarde (meestal de eerste in de lijst), vergelijkt het de eigenschappen van de verbindingspoging met de voorwaarden van het beleid.
  2. Als niet aan de polisvoorwaarden wordt voldaan, verwerkt de NPS op haar beurt de volgende polis. Het blijft beleid op deze manier verwerken totdat de voorwaarden van een beleid overeenkomen met het profiel van de verbindingspoging. Als er geen match is, wordt de toegang geweigerd.
  3. Als aan de polisvoorwaarden is voldaan, worden geen verdere polissen gecontroleerd. NPS controleert vervolgens of de beperkingen overeenkomen. Als dit niet het geval is, wordt de verbindingspoging afgewezen. Als het profiel van de verbindingspoging overeenkomt met de beperkingen, dan:
    1. Als de toegangsmachtiging voor het beleid wordt geweigerd, wordt de verbinding verbroken.
    2. Als de toegangsmachtiging voor het beleid is verleend, wordt de verbinding geaccepteerd.

Examentip

U kunt de inbeleigenschappen van een gebruikersaccount configureren in AD DS. U kunt drie mogelijke waarden instellen: Toegang toestaan, Toegang weigeren en Toegang beheren via NPS-beleid.

Als de inbelmachtiging voor een gebruiker Toegang weigeren is, worden alle verbindingspogingen afgewezen. Als de inbelmachtiging voor een gebruiker Toegang toestaan is, staat NPS de verbindingspoging toe, zelfs als er geen overeenkomend beleid bestaat.

Bij het plannen van NPS-beleid is het belangrijk dat u het vereiste beleid met de juiste voorwaarden maakt en ervoor zorgt dat ze in de juiste volgorde in de beleidslijst in de NPS-console worden geplaatst. U moet bijvoorbeeld twee beleidsregels maken als u wilt dat gebruikers op afstand verbinding kunnen maken, maar alleen tijdens buiten kantooruren, of als u wilt dat beheerders op elk moment verbinding kunnen maken, maar alleen bij gebruik van sterk versleutelde verbindingen:

  • Buiten kantooruren – Dit beleid vereist dat gebruikers zich alleen buiten kantooruren proberen aan te melden en tot de groep Domeingebruikers behoren.
  • Sterke versleuteling – Dit beleid vereist dat sterke versleuteling wordt geconfigureerd op de externe client. Dit beleid heeft ook een voorwaarde voor lidmaatschap van de beveiligingsgroep Domeinadministrators.

Als het beleid nu zo is ingesteld dat out-of-office uren als eerste in de lijst staat, wanneer een beheerder tijdens kantooruren verbinding probeert te maken met sterke versleuteling, is het out-of-office-beleid niet van toepassing. NPS verwerkt op haar beurt de volgende polis. Het sterke encryptiebeleid is van toepassing en de beheerder krijgt toegang.

Als een standaardgebruiker zich tijdens kantooruren probeert aan te melden, is geen van beide beleid van toepassing en wordt de gebruiker de toegang geweigerd. Als dezelfde gebruiker zich na het werk probeert aan te melden, is het eerste beleid van toepassing en krijgt de gebruiker toegang.

Als u een nieuw netwerkbeleid wilt maken, klikt u in de Network Policy Server-console met de rechtermuisknop op het knooppunt Netwerkbeleid en vervolgens op Nieuw. Voltooi vervolgens de wizard Nieuw netwerkbeleid:

  1. Voer een betekenisvolle naam in voor het beleid en klik op Volgende.
  2. Klik op de pagina Voorwaarden opgeven op Toevoegen en selecteer en configureer een voorwaarde voor het beleid. Als u meerdere voorwaarden wilt, herhaalt u dit proces. In de volgende afbeelding zijn twee polisvoorwaarden weergegeven. Klik volgende.
  3. Kies op de pagina Toegangsmachtiging opgeven de optie Toegang verleend, Toegang geweigerd of Toegang wordt bepaald door inbeleigenschappen van gebruiker. Klik volgende.
  4. Definieer op de pagina Verificatiemethoden configureren welke verificatiemethoden zijn toegestaan. Opties zijn onder meer:
    • PAP
    • Shiva PAP (SPAP) CHAP
    • MS-CHAP MS-CHAP-v2 EAP
    • Beveiligde EAP (PEAP)
  5. Klik op Volgende.
  6. Definieer op de pagina Beperkingen configureren een of meer kenmerken van externe verbindingen. Onthoud dat aan alle beperkingen moet worden voldaan voordat een verbindingspoging wordt toegestaan. De volgende afbeelding toont de beschikbare opties. Klik volgende.
  7. Ten slotte kunt u op de pagina Instellingen configureren de verbindingskenmerken definiëren. Deze worden alleen toegepast als aan beide voorwaarden en beperkingen wordt voldaan en het beleid toegang verleent. Gewoonlijk worden IP-filters gebruikt om het type verkeer te definiëren dat via een verbinding kan worden gebruikt. U kunt bijvoorbeeld de verkeersstroom beperken om alleen HTTP of HTTPS te gebruiken door een filter te definiëren voor TCP-verkeer via poort 80 en 443. De volgende afbeelding toont het knooppunt IP-filters. Klik volgende.
  8. Klik op de pagina Nieuw netwerkbeleid voltooien op Voltooien nadat u de instellingen hebt gecontroleerd.

De verwerkingsvolgorde van het nieuwe beleid krijgt de waarde 1, wat betekent dat het beleid als eerste van toepassing is. Nadat u aanvullende beleidsregels heeft gemaakt, wilt u wellicht de volgorde wijzigen. Houd er rekening mee dat u mogelijk het standaardbeleid moet uitschakelen of verwijderen.

Examentip

Er worden twee standaardnetwerkbeleidsregels gemaakt wanneer u de NPS-rol installeert: Verbindingen met Microsoft Routing and Remote Access-server en Verbindingen met andere toegangsservers. Deze weigeren beide standaard toegang.

4.3.3.2 Beleid voor verbindingsverzoeken configureren

U gebruikt alleen beleid voor verbindingsaanvragen wanneer u meerdere instanties van de NPS-rol hebt geïmplementeerd. Het beleid voor verbindingsaanvragen bepaalt welke RADIUS-server netwerkbeleid verwerkt voor verbindingspogingen die zijn ontvangen op een andere RADIUS-server. Als een beleid voor verbindingsverzoeken een externe server definieert voor het verwerken van netwerkbeleid, dan is de lokale server in dat scenario een RADIUS-proxy.

Beleid voor verbindingsverzoeken kan alle, sommige of geen van de verzoeken voor verbindingspogingen doorsturen op basis van een aantal factoren, waaronder:

  • Dag- en tijdbeperkingen
  • Het verbindingstype dat wordt aangevraagd
  • Het IP-adres van de RADIUS-client

Dit betekent dat u meerdere beleidsregels voor verbindingsaanvragen kunt configureren en dat, afhankelijk van de instellingen, verschillende RADIUS-servers kunnen worden gebruikt om verschillende verbindingspogingen te verwerken. Nadat u de NPS-rol hebt geïmplementeerd, bestaat er een standaardbeleid voor verbindingsaanvragen met een zeer lage verwerkingsvolgorde. U kunt dit beleid uitschakelen of zelfs verwijderen. Elk ander beleid heeft echter een hogere verwerkingsvolgorde en heeft voorrang op het standaardbeleid. Het standaardbeleid stuurt geen verbindingspogingen door en verwerkt deze lokaal. Dit kan geschikt zijn voor kleinere NPS-implementaties waar weinig of één NPS-rol is geïmplementeerd.

Gebruik de volgende procedure vanuit de Network Policy Server-console om een beleid voor verbindingsaanvragen te maken:

  1. Klik met de rechtermuisknop op het knooppunt Beleid voor verbindingsverzoeken en klik vervolgens op Nieuw.
  2. Typ een betekenisvolle naam voor het beleid en klik op Volgende.
  3. Klik op de pagina Voorwaarden opgeven op Toevoegen en definieer de kenmerken van de verbindingspoging die u wilt controleren. Deze zijn vergelijkbaar met degene die u kunt definiëren in een netwerkbeleid. U kunt meerdere voorwaarden definiëren, die allemaal moeten overeenkomen met de verbindingspoging om het beleid toe te passen. Als u alle voorwaarden hebt gedefinieerd, klikt u op Volgende.
  4. Definieer op de pagina Doorsturen van verbindingsverzoeken opgeven, weergegeven in de volgende afbeelding, de externe RADIUS-servergroep waarnaar het verzoek moet worden doorgestuurd, of kies de standaard Verificatieverzoeken op deze server. Klik op Accounting en definieer of accountingverzoeken moeten worden doorgestuurd naar een externe RADIUS-servergroep en klik vervolgens op Volgende.
  5. Op de pagina Verificatiemethoden opgeven kunt u de standaard accepteren dat het netwerkbeleid eventuele verificatie-instellingen bepaalt. U kunt ook Verificatie-instellingen voor netwerkbeleid negeren kiezen en vervolgens eventuele verificatie-instellingen voor het beleid definiëren. Klik volgende.
  6. Op de pagina Instellingen configureren kunt u de realm- of RADIUS-instellingen definiëren die worden toegepast op verbindingsverzoeken.
  7. Controleer uw instellingen en klik op Voltooien om het beleid te maken. Indien nodig kunt u de prioriteitsvolgorde van meerdere beleidsregels opnieuw configureren.

4.3.3.3 NPS-beleid importeren en exporteren

Als u meerdere NPS-rollen hebt geïmplementeerd op meerdere Windows Server 2016-computers, kunt u op alle computers hetzelfde NPS-beleid gebruiken. U kunt dit doen door de NPS-configuratie te exporteren en die configuratie op een andere server te importeren. Gebruik de volgende procedures om de NPS-configuratie te exporteren en importeren.

4.3.3.4 NPS-configuratie exporteren

Om de NPS-configuratie te exporteren, klikt u in de Network Policy Server-console met de rechtermuisknop op de NPS (lokale) server en vervolgens:

  1. Klik op Configuratie exporteren.
  2. Schakel in het dialoogvenster Gedeeld geheim exporteren het selectievakje I Am Aware That I Am Exporting All Shared Secrets in en klik vervolgens op OK.
  3. Geef een locatie op om de export op te slaan. Dit is een XML-bestand. Klik op Opslaan.

4.3.3.5 NPS-configuratie importeren

Om de NPS-configuratie te importeren, klikt u in de Network Policy Server-console met de rechtermuisknop op de NPS (lokaal) server en dan:

  1. Klik op Configuratie importeren.
  2. Zoek het XML-bestand dat de geëxporteerde configuratie bevat en dubbelklik erop.

Examentip

U kunt de NPS-serverconfiguratie exporteren met behulp van de Windows PowerShell-cmdlet Export-NpsConfiguration. U kunt die configuratie vervolgens op een andere server importeren met behulp van de cmdlet Windows PowerShell Import-NpsConfiguration.

4.3.4 Certificaten configureren

U kunt een aantal authenticatiemethoden configureren in NPS, waaronder PAP, SPAP, CHAP, MS-CHAP en MS-CHAP-v2, EAP en PEAP. Sommige van deze authenticatiemethoden ondersteunen de uitwisseling van wachtwoorden. Hoewel authenticatie op basis van wachtwoorden algemeen wordt toegepast, is het niet zo veilig als authenticatie op basis van certificaten

4.3.4.1 Overzicht

Het is vooral belangrijk voor scenario’s voor externe toegang dat u de veiligste vorm van authenticatie kiest die uw RAS-infrastructuur kan ondersteunen. De volgende authenticatiemethoden gebruiken altijd certificaten voor serverauthenticatie:

  • EAP met Transport Layer Security (EAP-TLS)
  • PEAP met TLS (PEAP-TLS) of MS-CHAP v2 (PEAP-MS-CHAP v2)

Wanneer u EAP gebruikt met een sterk EAP-type, zoals TLS (met smartcards of certificaten), schakelt u wederzijdse verificatie in waarbij zowel de RAS-clientcomputer als de NPS-server certificaten gebruiken om elkaar te identificeren. De certificaten die u gebruikt, moeten passen bij het beoogde doel. Dat wil zeggen dat u een certificaat moet configureren dat u gebruikt voor de verificatie van een client met het doel Clientverificatie, of de verificatie van een server met het doel Serververificatie. Als het doel van het certificaat niet overeenkomt met het gebruik ervan, mislukt de verificatie.

Examentip

Als u de serverrol Active Directory Certificate Services (AD CS) implementeert om certificaten voor NPS te leveren, ondersteunt de AD CS Computer-certificaatsjabloon standaard zowel het doel Clientverificatie als Serververificatie.

Om authenticatie voor NPS met certificaten in te schakelen, hebt u een aantal certificaten nodig. Deze worden beschreven in de volgende tabel.

CertificaatGebruik
Certificaatautoriteit (CA) rootcertificaat. Dit moet worden geplaatst in het archief met vertrouwde basiscertificeringsinstanties voor de lokale computer en de huidige gebruiker. Dit certificaat wordt automatisch geïmplementeerd op computers die lid zijn van een AD DS-domein. Als een computer niet tot het juiste AD DS-domein behoort, moet u het certificaat handmatig importeren.– Dit certificaat is vereist voor EAP-TLS-, PEAP-TLS- en PEAP-MS-CHAP v2-authenticatie.
Clientcomputercertificaat. Alle computers van domeinleden schrijven dit certificaat automatisch in. Voor computers die niet tot een domein behoren, moet u dit certificaat handmatig registreren.– Vereist voor EAP-TLS en PEAP-TLS.
– Het is niet vereist voor PEAP-MS-CHAP-v2 omdat gebruikersauthenticatie op wachtwoorden is gebaseerd.
Als het clientcomputercertificaat is geïmplementeerd op smartcards, hoeft u het certificaat niet op de computer te installeren.
Server computer certificaat. Dit moet op de NPS-server staan. U kunt dit certificaat met AD DS implementeren voor alle leden van de RAS en Information Access Service (IAS)-servergroep. De NPS-server stuurt zijn certificaat naar clientcomputers die het certificaat gebruiken om de NPS-server te identificeren.		– Dit certificaat is vereist voor EAP-TLS, PEAP-TLS en PEAP-MS-CHAP-
v2-authenticatie.
Gebruikerscertificaat op een smartcard. Voor EAP-TLS en PEAP-TLS zijn gebruikerscertificaten op smartcards vereist, tenzij u automatisch clientcomputercertificaten inschrijft.– Vereist voor EAP-TLS en PEAP-TLS.
– Het is niet vereist voor PEAP-MS-CHAP-v2 omdat gebruikersauthenticatie op wachtwoorden is gebaseerd.

4.3.4.2 Certificaatverificatie configureren met NPS

Wanneer u een NPS-beleid maakt, kunt u de verificatiemethode en het verificatietype definiëren, zoals weergegeven in de volgende afbeelding. U kunt een of meer van deze authenticatiemethoden selecteren binnen uw beleid. Als de verbindende clientcomputer de opgegeven methode niet ondersteunt of niet is geconfigureerd om de opgegeven methode te gebruiken, is het beleid niet van toepassing.

Om op certificaten gebaseerde verificatie te configureren, kiest u EAP en selecteert u vervolgens een EAP-type. Een EAP-type configureren:

  1. Klik in de wizard Nieuw beleid op de pagina Verificatiemethoden configureren onder EAP-typen op Toevoegen.
  2. Kies in het dialoogvenster EAP toevoegen, weergegeven in de volgende afbeelding, de gewenste authenticatiemethode. Klik bijvoorbeeld op Microsoft: beveiligd wachtwoord (EAP-MSCHAP v2) en klik op OK.
  3. Voltooi de wizard Nieuw beleid op de gebruikelijke manier.

U moet nu de cliëntcomputers configureren met de vereiste authenticatie-instellingen. U moet ook de vereiste certificaten distribueren naar zowel de client- als de servercomputer.