So wird 's gemacht: Konfigurieren Sie einen primären Internet Authentication Service-Server auf einem Domänencontroller

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 317588 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Hinweis
Dieser Artikel bezieht sich auf Windows 2000. Unterstützung für Windows 2000 endet am Juli 13, 2010. Das Windows 2000 End-of-Support Solution Center ist ein Ausgangspunkt für die Planung der Strategie für die Migration von Windows 2000. Weitere Informationen finden Sie in den Microsoft Support Lifecycle Policy.
Hinweis
Dieser Artikel bezieht sich auf Windows 2000. Unterstützung für Windows 2000 endet am Juli 13, 2010. Das Windows 2000 End-of-Support Solution Center ist ein Ausgangspunkt für die Planung der Strategie für die Migration von Windows 2000. Weitere Informationen finden Sie in den Microsoft Support Lifecycle Policy.
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Dieser Artikel beschreibt Schritt für Schritt, wie zum Installieren und Konfigurieren der Internetauthentifizierungsdienst (IAS) auf einem Domänencontroller.

IAS kann als RADIUS (Remote Authentication Dial-in User Service) Server ausgeführt werden. Sie können IAS für die zentrale Authentifizierung und Kontoführung von mehreren Servern für Routing und RAS-Dienst (RRAS) verwenden.

Installieren Sie IAS

Zum Installieren von IAS:
  1. Klicken Sie auf Start, zeigen Sie auf Einstellungen, und klicken Sie dann auf Systemsteuerung.
  2. Doppelklicken Sie auf Software, und klicken Sie dann auf Windows-Komponenten hinzufügen/entfernen.
  3. Klicken Sie in der Liste Komponenten auf die Wörter Netzwerkdienste (aber aktivieren oder deaktivieren Sie das Kontrollkästchen nicht), und klicken Sie dann auf Details.
  4. Aktivieren Sie das Kontrollkästchen Internetauthentifizierungsdienst, und klicken Sie dann auf OK.
  5. Klicken Sie auf Weiter, und klicken Sie dann auf Fertig stellen.
  6. Klicken Sie im Dialogfeld Software auf Schließen.
  7. Um IAS zu starten, klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Verwaltung, und klicken Sie dann auf Internetauthentifizierungsdienst.

Aktivieren Sie IAS zum Authentifizieren in Active Directory-Benutzer

So registrieren Sie IAS-Dienst in Active Directory
  1. Starten Sie den IAS-Snap-in. Dazu klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Verwaltung, und klicken Sie dann auf Internetauthentifizierungsdienst.
  2. Klicken Sie im Menü Aktion auf Dienst im Active Directory registrieren.
  3. Klicken Sie auf OK, um die IAS-Registrierung in der lokalen Domäne zu bestätigen, und klicken Sie dann auf OK.

Konfigurieren von IAS-Eigenschaften

  1. Starten Sie den IAS-Snap-in. Dazu klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Verwaltung, und klicken Sie dann auf Internetauthentifizierungsdienst.
  2. Klicken Sie mit der rechten Maustaste auf Internetauthentifizierungsdienst (lokal), und klicken Sie dann auf Eigenschaften.
  3. Geben Sie im Feld Beschreibung den Anzeigenamen, den Sie diesem IAS-Server anrufen möchten.
  4. Deaktivieren Sie das Kontrollkästchen Protokoll Abgewiesene oder verworfene Authentifizierungsanforderungen Wenn Sie diese Ereignisse aufzeichnen möchten.

    Hinweis: Sie können diese Protokolldatei verwenden, um Ihnen dabei helfen, festzustellen, wenn nicht autorisierte Personen versuchen, in der Domäne authentifiziert werden.
  5. Deaktivieren Sie das Kontrollkästchen Erfolgreiche Authentifizierungsanforderungen protokollieren, wenn Sie diese Ereignisse aufzeichnen möchten.

    Hinweis: Sie können diese Protokolldatei verwenden, um Ihnen beim Bestimmen der Verwendungsmuster der Remotebenutzer helfen.
  6. Klicken Sie auf die Registerkarte "RADIUS- und Hinweis Portnummern Authentifizierung und-Kontoführung. Wenn sich der IAS-Server hinter einer Firewall konfiguriert ist, müssen Sie zum Öffnen dieser Ports, um Authentifizierung und Kontoführung der Remotebenutzer zu ermöglichen.
  7. Klicken Sie auf die Registerkarte Bereiche. Die Bereiche Regeln dienen zum definieren, wie die Identität des Benutzers bearbeitet wird, bevor der Name Vorhandensein aktiviert ist. So fügen Sie einen Bereich hinzu
    1. Klicken Sie auf Hinzufügen.
    2. Geben Sie im Feld Suchen das Formular der Benutzeridentität, die Sie während eines Authentifizierungsversuchs erwarten. Geben Sie im Feld Ersetzen die Art und Weise, in der Sie möchten, formatieren Sie die Identität, und klicken Sie dann auf OK. Beispiel:
      • Um einen Bereich zu entfernen (Beispiel: @ example.com) aus dem eine Identität stammen kann, geben Sie @ example.com in das Feld Suchen, und lassen Sie den Inhalt des Feldes Ersetzen leer.
      • Zum Ersetzen einer User Principal Name (UPN)(user@domain.com)-Format mit der Universal Naming Convention (UNC-)(domain.com\user) Format Typ (.*) @(.*) in das Feld Suchen, und geben Sie dann 2\ $ $ 1 im Feld Ersetzen.
      • Ersetzen Sie die domain \ user mit specific_domain \ user, Typ (.*) @(.*) in das Feld Suchen und Typ specific_domain \$2 im Feld Ersetzen.
      • Geben Sie einen Benutzernamen in einen UPN Namen, z. B. so ändern Sie die user in user@domain.com, konvertieren $ in das Feld Suchen und Typ @domain.com im Feld Ersetzen.
  8. Wenn Sie die Elemente der Realm-Liste hinzugefügt haben, klicken Sie auf OK.
  9. Beenden Sie das IAS-Snap-in.

Konfigurieren von IAS-Clientcomputern

Hinzufügen von Clientcomputern NAS (Network Access Server) an den IAS-Server. Die NAS-Clients sind RAS- oder VPN (Virtual Private Network)-Server, die Authentifizierungsanforderungen an den IAS-Server im Auftrag von remote Benutzern senden. NAS-Clients zu konfigurieren:
  1. Starten Sie den IAS-Snap-in. Dazu klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Verwaltung, und klicken Sie dann auf Internetauthentifizierungsdienst.
  2. Klicken Sie mit der rechten Maustaste auf Clients, und klicken Sie dann auf Neuer Client.
  3. Geben Sie im Feld Angezeigter Name den Namen ein, dem diesem NAS-Client aufgerufen werden soll, und klicken Sie dann auf Weiter.
  4. Geben Sie im Feld Clientadresse (IP oder DNS) den vollqualifizierten Domänennamen (FQDN) des Clientcomputers, und klicken Sie dann auf Überprüfen.
  5. Klicken Sie auf Auflösen, um den DNS-Namen auflösen.
  6. Wenn die richtige IP-Adresse für den Routing- und RAS-Server (RRAS) im Feld Suchergebnisse angezeigt wird, klicken Sie auf diese IP-verwenden.
  7. Lassen Sie in der Liste Clienthersteller die Standardauswahl von RADIUS-Standard, es sei denn, Sie nicht standardmäßigen RADIUS-Client konfigurieren.
  8. Geben Sie im Feld Gemeinsamer geheimer Schlüssel ein Kennwort ein, das sowohl den IAS-Server als auch der NAS-Client verwenden soll sich gegenseitig authentifizieren.

    Hinweis: Sie müssen dieses Kennwort auf dem NAS-Client-Computer eingeben.

    Dieses Kennwort wird die Groß-und Kleinschreibung berücksichtigt, kann alphanumerische Zeichen sowie Sonderzeichen und kann bis zu 255 Zeichen lang sein. Ein "gemeinsamer länger geheimer Schlüssel" ist sicherer als einen kürzeren ein.
  9. Geben Sie in das Feld gemeinsamen geheimen Schlüssel bestätigen das Kennwort erneut ein, und klicken Sie dann auf Fertig stellen.

    Der Client wird im rechten Fensterbereich im Internetauthentifizierungsdienst-Snap-in-Fenster aufgeführt.

Konfigurieren von RAS-Richtlinien

Wenn Sie die RRAS-Server für die Verwendung ein IAS-Servers für die Authentifizierung konfigurieren, werden die RAS-Richtlinien auf den einzelnen RRAS-Servern nicht mehr verwendet. Stattdessen müssen Sie RAS-Richtlinien auf dem IAS-Server zur Steuerelement-Authentifizierung für alle RAS-Clients konfigurieren.

Erstellen einer RAS-Richtlinie

  1. Starten Sie den IAS-Snap-in. Dazu klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Verwaltung, und klicken Sie dann auf Internetauthentifizierungsdienst.
  2. Klicken Sie auf RAS-Richtlinien.
  3. Klicken Sie im rechten Fenster Internetauthentifizierungsdienst-Snap-Ins klicken Sie mit der rechten Maustaste auf Zugriff zulassen, wenn Einwählrechte erteilt worden, und klicken Sie dann auf Löschen. Klicken Sie auf Ja, um den Löschvorgang zu bestätigen.
  4. Klicken Sie im Menü Aktion auf Neue RAS-Richtlinie.
  5. Erstellen Sie eine neue RAS-Richtlinie. Weitere Informationen über das Erstellen von RAS-Richtlinien finden Sie im Artikel der Microsoft Knowledge Base:
    313082So wird 's gemacht: Erzwingen eine RAS-Security-Richtlinie

Kopieren Sie die RAS-Richtlinien

Wenn Sie bereits auf einem lokalen RRAS-Server RAS-Richtlinien erstellt haben, können Sie Sie an den IAS-Server kopieren. Gehen Sie dazu folgendermaßen vor:
  1. Melden Sie sich auf dem RRAS-Server auf dem die Richtlinien, die Sie kopieren möchten, konfiguriert werden.
  2. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie Cmd in das Feld Öffnen ein, und klicken Sie dann auf OK.
  3. Geben Sie den folgenden Befehl ein, und drücken Sie die [EINGABETASTE]
    Netsh Aaaa show Config >path \ txt file
    in dem path und file sind den vollständigen Pfad und Dateinamen in dem Sie die Richtlinieneinstellungen speichern möchten. Geben Sie z. B. Netsh Aaaa Show Config > a:\policy.txt, die Richtlinieneinstellungen auf Laufwerk A: mit einem Dateinamen des Policy.txt zu speichern.
  4. Kopieren Sie die Textdatei, die die Richtlinieneinstellungen auf den IAS-Servercomputer enthält.
  5. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie Cmd in das Feld Öffnen ein, und klicken Sie dann auf OK, auf dem IAS-Server.
  6. Geben Sie den folgenden Befehl ein, und drücken Sie die [EINGABETASTE]
    Netsh Exec path \ txt file
    in dem path und file der Pfad und Dateiname der Richtlinieneinstellungen, die Sie von der RRAS-Server kopiert sind.

    Die folgende Meldung wird angezeigt:
    Aaaa-Serverkonfiguration wurde erfolgreich festgelegt.
  7. Beenden Sie Internetauthentifizierungsdienst-Snap-in, falls er ausgeführt wird.
  8. Starten Sie den IAS-Snap-in. Dazu klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Verwaltung, und klicken Sie dann auf Internetauthentifizierungsdienst.
  9. Klicken Sie auf RAS-Richtlinien. Stellen Sie sicher, dass die Richtlinien im rechten Fensterbereich des IAS-Snap-Ins aufgelistet sind.

Konfigurieren der NAS Server für die Verwendung der IAS-Servers

  1. Melden Sie sich auf dem RRAS-Server-Computer als Administrator.
  2. Klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Verwaltung, und klicken Sie dann auf Routing und RAS.
  3. Klicken Sie unter Routing und RAS mit der rechten Maustaste auf den gewünschten Server, und klicken Sie dann auf Eigenschaften.
  4. Klicken Sie auf die Registerkarte Sicherheit, und klicken Sie dann in der Liste Authentifizierungsanbieter auf RADIUS-Authentifizierung.
  5. Klicken Sie auf die Schaltfläche Konfigurieren, die neben den RADIUS-Authentifizierung ist.
  6. Klicken Sie auf Hinzufügen, geben Sie im Feld Servername den FQDN-Namen des IAS-Servers, und klicken Sie dann auf Ändern.
  7. Geben Sie im Feld Neue geheime Schlüssel das "geheime"-Kennwort, das Sie auf den IAS-Servercomputer konfiguriert.
  8. Geben Sie dieses Kennwort in das Feld neue geheimen Schlüssel bestätigen erneut ein, und klicken Sie dann auf OK.
  9. Klicken Sie auf OK, und klicken Sie dann auf OK.
  10. Wenn Sie die Benachrichtigung, die besagt erhalten, dass Sie den Routing- und RAS-Dienst neu starten müssen, klicken Sie auf OK.
  11. Klicken Sie in der Liste Provider Accounting auf RADIUS-Kontoführung.
  12. Klicken Sie auf die Schaltfläche Konfigurieren, die neben den RADIUS-Kontoführung ist.
  13. Klicken Sie auf Hinzufügen, geben Sie im Feld Servername den FQDN-Namen des IAS-Servers, und klicken Sie dann auf Ändern.
  14. Geben Sie im Feld Neue geheime Schlüssel das "geheime"-Kennwort, das Sie auf den IAS-Servercomputer konfiguriert.
  15. Geben Sie dieses Kennwort in das Feld neue geheimen Schlüssel bestätigen erneut ein, und klicken Sie dann auf OK.
  16. Klicken Sie auf OK, klicken Sie auf OK, klicken Sie auf "OK", auf die Nachricht, die besagt, dass Sie den Routing- und RAS-Dienst neu starten müssen, und klicken Sie dann auf OK.
  17. In der Nachricht angezeigt, die besagt, dass müssen Sie den Routing- und RAS-Dienst neu starten, klicken Sie auf Ja klicken, und klicken Sie dann auf Ja, auf die Meldung, die besagt, dass Sie den Routing- und RAS-Dienst (um einen neuen Kontoführungsanbieter verwenden) neu starten müssen.
  18. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf den RRAS-Server, den Sie neu starten, zeigen Sie auf Alle Tasks, und klicken Sie dann auf Beenden möchten.
  19. Klicken Sie mit der rechten Maustaste auf demselben Server, zeigen Sie auf Alle Tasks, und klicken Sie dann auf Starten.
  20. Beenden Sie den Routing- und RAS-Snap-in.

Informationsquellen

Weitere Informationen über Bereiche klicken Sie im Startmenü auf Hilfe, klicken Sie auf die Registerkarte Suchen, geben Sie Bereiche und klicken Sie dann auf Themenliste.

Weitere Informationen zu IAS klicken Sie im Startmenü auf Hilfe, klicken Sie auf die Registerkarte Suchen, geben Sie IAS und klicken Sie dann auf Themenliste.

Weitere Informationen zu RADIUS-ist in den folgenden Dokumenten Request for Comment enthalten:
RFC 2138
RFC 2139
Diese Dokumente anzuzeigen, können Sie den folgenden Websites:
http://www.rfc-archive.org/getrfc.php?rfc=2138
http://www.rfc-archive.org/getrfc.php?rfc=2139

Eigenschaften

Artikel-ID: 317588 - Geändert am: Freitag, 14. September 2007 - Version: 2.5
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Keywords: 
kbmt kbhowto kbhowtomaster kbnetwork KB317588 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 317588
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns