Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen: nps
de.bkp:intern:dokumentationen:nps

Inhaltsverzeichnis

Installation und Grundkonfig NPS

Version Status Datum Autor:in URL
0.1 Erster Entwurf 20.02.2023 S.E.
0.2 Ergänzungen TT.MM.JJJJ Vorname Nachname
1.0 Review und Freigabe TT.MM.JJJJ Vorname Nachname

1. Kurzfassung

Ausgangssituation: Die NPS-Rolle soll samt Abhängigkeiten auf dem AD-Domain Controller installiert und konfiguriert werden
Umsetzung: Virtualisiert auf dem betrieblichen GNS3-Server mit nur dem für die Evaluation der geforderten Features zwingend notwendigem Aufbau
Ergebnis: wird Eingetragen

2. Hauptteil

2.1 Installation NPS-Rolle und Mgmt-Tools

Als Erstes müssen auf dem Windows-Server die Rolle „Network Policy and Access Services“ mit den dazugehörigen Management Tools installiert werden, am einfachsten geht das über die Powershell mit dem Befehl 

Install-WindowsFeature NPAS -IncludeManagementTools


2.2 Konfiguration des NPS

Im Server-Manager muss als Nächstes die NPS-Konsole geöffnet werden. Diese findet sich unter Tools/Network Policy Service.
Dort muss man dann um den NPS in AD zu registrieren auf „NPS (Local)“ rechtsklicken, und dann „Register server in Active Directory“ auswählen.
Im daraufhin erscheinenden Dialogfeld zweimal OK auswählen, dann ist der NPS auch schon im AD registriert.

2.3 Konfigurieren der Kontoführung für den NPS

Man öffne die NPS-Konsole, klicke auf „Accounting“ und wähle „Configure Accounting“
Dann im Wizard „Next/Log to a text file on the local computer/Next/Alle Kästchen Ankreuzen/Next/Next/Close“ durchführen.
Die NPS-Protokolldateieigenschaften von dieser Abfolge müssten passen

2.4 Installation der CA

Als Allererstes einen AD-User in die Gruppen Administrators und Enterprise Admins nehmen um die folgenden Schritte ausführen zu dürfen, dann eine CA erstellen, damit NPS beim Hinzufügen der VPN als RADIUS-Client nicht meckert:
Im Server-Manager die Abfolge „Manage/Add Roles and Features/Next/Next/Active Directory Certificate Services/Obere vier Kästchen ankreuzen/Next/Remote Server Administration Tools/Role Administration Tools/Active Directory Certificate Services Tools/Certification Authority Management Tools ankreuzen/Next/Install“ ausführen um die CA zu installieren. Achtung: den Wizard nicht schliessen
Sobald die Installation durchgelaufen ist auf „Configure Active Directory Certificate Services on the destination server“ klicken und mit den zuvor auserwählten Enterprise-Admin-Credentials authentifizieren, falls man den default-Administrator auserwählt hat entfällt das Eingeben von Username/Passwort.
Auf „Next“ klicken.
In den „Role Services“ „Certification Authority“ anklicken und auf „Next“ klicken.
Auf der Seite „Setup Type“ sicherstellen, dass „Enterprise CA“ ausgewählt ist und „Next“ klicken
Auf der Seite „Specify the type of the CA“ sicherstellen, dass „Root CA“ ausgewählt ist und auf „Next“ klicken.
Auf der Seite „Specify the type of the private key“ sicherstellen, dass die Option „Create a new private key“ angewählt ist, dann „Next“
Unter „Cryptography for CA“ die Default-Settings für CSP behalten und den Hash-Algorithmus zwecks pfSense-Kompatibilität auf SHA256 ändern, die RSA-Länge auf den defaultmässigen 2048 Bit lassen. Next auswählen.
Unter „CA Name“, einen Common Name auswählen der ganz ganz sicher den Namenskonventionen entspricht, dieser kann danach nicht mehr geändert werden.
Auf der „Validity Period“-Seite, in „Specify the validity period“ 3650 Tage auswählen.
Unter „CA Database/Specify the database locations“ die Defaults beibehalten.
Bei „Confirmation“, „Configure“ anklicken um die Auswahlen anzuwenden und dann „Close“ klicken.

2.5 Hinzufügen des VPN-Servers als RADIUS-Client

1. In der NPS-Konsole auf „RADIUS-Clients and Servers“ doppelklicken. 2. Auf „RADIUS-Clients“ rechtsklicken. 3. Sicherstellen, dass das Kästchen „Enable this RADIUS client“ angekreuzt ist. 4. „New“ anklicken 5. Bei „Friendly Name“ einen Namen eingeben, der mit dem auf der pfSense übereinstimmt. 6. Unter „Address (IP or DNS)“ die IP-Adresse der pfSense eingeben 7. Bei „Shared secret“ „Manual“ auswählen, das Shared Secret des OpenVPN-Services auf der pfSense zweimal eingeben und „OK“ drücken, worauf der VPN-Server in der Liste der im NPS konfigurierten RADIUS-Clients erscheinen sollte

2.6 NPS als RADIUS für VPN-Verbindungen konfigurieren

1. In der NPS-Konsole unter „Standard Configuration“ sicherstellen, dass „RADIUS server for Dial-Up or VPN Connections“ ausgewählt ist.
2. „Configure VPN or Dial-Up“ auswählen, worauf sich der „Configure VPN or Dial-Up Wizard“ öffnet. 3. „Virtual Private Network (VPN) Connections“ anwählen und Next klicken
4. Unter „Specify Dial-Up or VPN Server/RADIUS-Clients“ den NetBIOS-Namen des VPN-Servers auswählen.
5. Zum nächsten Schritt gehen.
6. Bei „Configure Authentication Methods“ folgende Schritte ausführen:

  a. das Kästchen "Microsoft Encrypted Authentication version 2 (MS-CHAPv2)" leeren.
  b. das "Extensible Authentication Protocol"-Kästchen aktivieren.
  c. bei Type, Microsoft: Protected EAP (PEAP) auswählen, dann "Configure" anklicken worauf sich eine Dialogbox öffnen sollte,
  c1. sollte "Configure" eine Fehlermeldung geben fehlt eine CA.
  d. "Remove" auswählen um den Typ "Secured Password (EAP-MSCHAP v2) EAP" zu entfernen
  e. "Add" auswählen worauf sich die Dialogbox zum Hinzufügen von EAP öffnet.
  f. "Smart Card or other certificate" auswählen und "OK" drücken
  g. "OK" anklicken um die Dialogbox "Edit Protected EAP Properties" zu schliessen.

7. Zum nächsten Schritt gehen.
8. In „Specify User Groups“ die folgenden Schritte durchführen:

  a. "Add" auswählen, worauf sich die Dialogbox "Select Users, Computers, Service Accounts, or Groups" öffnet.
  b. VPN-User eingeben, dann OK drücken.
  c. zum nächsten Schritt gehen.

9. Bei „Specify IP Filters“ direkt zum nächsten Schritt gehen,
10. Unter „Specify Encryption Settings“ den gleichen Typ auswählen wie auf der pfSense, dann „Next“ auswählen. keine weiteren änderungen machen.
11. Bei „Specify a realm name“, „Next“ auswählen.
12. Mit Klick auf „Finish“ den Wizard schliessen.

2.6.1 Das NPS-Serverzertifikat autoenrollen

In dieser Prozedur refresht man die Group Policy auf dem lokalen NPS-Server manuell. Wenn Zertifikats-Autoenrollment korrekt funktioniert bekommt der lokale Computer bei Group Policy-Refreshes automatisch ein Zertifikat von der CA ausgestellt.

Prozedur:
1. Auf dem Server eine Powershell öffnen.
2. Diesen PS-Befehl ausführen: 

gpupdate


3. Glossar

NPS == Network Policy Server, die Microsoft-Implementation von RADIUS.
RADIUS == Remote Authentication Dial-in User Service, Nomen est Omen.
AD == Active Directory, die Microsoft-Implementation von LDAP.
LDAP == Lightweight Directory Access Protocol, ein Protokoll zur zentralisierten Userverwaltung.
VPN == Virtual Private Network, eine Art Tunnel der es erlaubt über eine verschlüsselte Verbindung in einem anderen als dem lokalen Netz zu sein.
CA == Certificate Authority, eine Zertifikatsstelle die Zertifikate signieren kann.
PS == Abkürzung für die Windows-Powershell.

4. Quellenverzeichnis

https://www.dokuwiki.org/wiki:syntax
https://learn.microsoft.com/de-de/windows-server/remote/remote-access/vpn/always-on-vpn/deploy/vpn-deploy-nps
https://learn.microsoft.com/de-de/windows-server/networking/technologies/nps/nps-accounting-configure
https://learn.microsoft.com/en-us/windows-server/networking/core-network-guide/cncg/server-certs/install-the-certification-authority//

de.bkp/intern/dokumentationen/nps.txt · Zuletzt geändert: 2023/02/20 16:04 von 127.0.0.1