Migration von On-Premises RADIUS (NPS) zu RADIUS-as-a-Service
Dieser maßgebliche Leitfaden beschreibt die technische Architektur, die Implementierungsmethodik und die geschäftlichen Auswirkungen der Migration von einem lokalen Microsoft Network Policy Server (NPS) zu einem Cloud-nativen RADIUS-as-a-Service-Modell. Er bietet IT-Leitern und Netzwerkarchitekten praktische Rahmenbedingungen, um den operativen Aufwand zu reduzieren, Single Points of Failure zu eliminieren und die Authentifizierung in Unternehmen über verteilte Standorte hinweg zu sichern.
Diesen Leitfaden anhören
Podcast-Transkript ansehen
- Management-Zusammenfassung
- Technischer Deep-Dive: Architektur und Standards
- Die Einschränkungen von On-Premises NPS
- Cloud RADIUS Architektur
- Implementierungsleitfaden: Die 5-Phasen-Methodik
- Phase 1: Audit und Inventarisierung
- Phase 2: Pilotbereitstellung
- Phase 3: Parallelbetrieb (Risikominderung)
- Phase 4: Umstellung
- Phase 5: Außerbetriebnahme
- Best Practices und Compliance
- Fehlerbehebung und Risikominderung
- ROI und geschäftliche Auswirkungen

Management-Zusammenfassung
Seit fast zwei Jahrzehnten ist der Network Policy Server (NPS) von Microsoft die Standard-RADIUS-Implementierung für Unternehmensnetzwerke. Da Betreiber jedoch über verteilte Standorte hinweg skalieren - von Einzelhandelsketten bis hin zu globalen Hotelgruppen -, ist der betriebliche Aufwand für die Verwaltung einer On-Premises-Authentifizierungsinfrastruktur zu einer erheblichen Belastung geworden.
Die Migration zu RADIUS-as-a-Service transformiert die Authentifizierung von einer verwalteten Hardwarekomponente in einen genutzten Cloud-Service. Dieser architektonische Wandel eliminiert die Single Points of Failure, die mit eigenständigen NPS-Bereitstellungen einhergehen, macht Hardware-Aktualisierungszyklen überflüssig und bietet die elastische Skalierbarkeit, die für Umgebungen mit hoher Dichte wie Stadien und Konferenzzentren erforderlich ist. Für IT-Manager und Netzwerkarchitekten bietet dieser Leitfaden eine herstellerneutrale, strukturierte Methodik für die Migration der 802.1X-Authentifizierung in die Cloud, ohne den Produktionsverkehr zu beeinträchtigen, während gleichzeitig die Compliance mit PCI-DSS und GDPR gewährleistet und die OpEx für die Authentifizierungsinfrastruktur um bis zu 80 % gesenkt werden.
Technischer Deep-Dive: Architektur und Standards
Um diese Migration zu verstehen, müssen wir zunächst den architektonischen Wandel bei der Bereitstellung der portbasierten Zugriffskontrolle nach IEEE 802.1X untersuchen.
Die Einschränkungen von On-Premises NPS
In einer traditionellen Bereitstellung fungiert der Access Point als Network Access Server (NAS) und leitet Authentifizierungsanfragen an einen lokalen NPS-Server weiter. Der NPS-Server wertet Verbindungsanforderungsrichtlinien aus, validiert Anmeldeinformationen im Identitätsspeicher (in der Regel Active Directory über LDAP) und gibt eine Access-Accept- oder Access-Reject-Nachricht zurück.
Dieses Modell weist drei kritische Einschränkungen für moderne Netzwerke auf:
- Hardwareabhängigkeit und Wartung: NPS erfordert dedizierte physische oder virtuelle Maschinen, was kontinuierliches Patching, Kapazitätsplanung und Lifecycle-Management erfordert.
- Komplexität der Hochverfügbarkeit: Um Redundanz zu erreichen, müssen NPS-Instanzen in Failover-Paaren bereitgestellt werden, was die Lizenzkosten verdoppelt, ohne eine echte geografische Redundanz zu bieten.
- Engpässe beim Durchsatz: Bei Spitzenbelastungen (wie dem Einlass im Stadion oder den Hauptgeschäftszeiten im Einzelhandel) kann eine einzelne NPS-Instanz zum Engpass werden, was zu Authentifizierungs-Timeouts und einer schlechteren Benutzererfahrung führt.
Cloud RADIUS Architektur
RADIUS-as-a-Service abstrahiert die Authentifizierungsschicht. Der Cloud-Anbieter betreibt verteilte, geografisch redundante Cluster von RADIUS-Servern. Der NAS verweist auf diese Cloud-Endpunkte, und die Anfragen werden automatisch per Load Balancing verteilt.

Transportsicherheit: Die Rolle von RadSec Wenn RADIUS in die Cloud verlagert wird, läuft der Authentifizierungsverkehr über das öffentliche Internet. Während das herkömmliche RADIUS auf Shared Secrets und MD5-Hashing setzt, müssen moderne Implementierungen RadSec (RADIUS über TLS, RFC 6614) implementieren. RadSec kapselt die gesamte RADIUS-Kommunikation in einem TLS-Tunnel (normalerweise TCP-Port 2083) und bietet eine Transportverschlüsselung, die HTTPS entspricht, sowie eine gegenseitige Authentifizierung zwischen dem NAS und dem Cloud RADIUS-Endpunkt.
Identitätsintegration Cloud RADIUS erfordert keine Migration Ihres Benutzerverzeichnisses. Die Dienste unterstützen in der Regel LDAPS-Verbindungen zurück zum lokalen Active Directory oder eine native API-Integration mit Azure Active Directory (Entra ID) über SAML oder SCIM. Dadurch wird sichergestellt, dass Ihre bestehenden Prozesse für das Benutzer-Lifecycle-Management unverändert bleiben.
Für Standorte, die eine Guest WiFi -Plattform nutzen, lässt sich Cloud RADIUS direkt integrieren. Dies bietet eine einheitliche Steuerungsebene für die 802.1X-Authentifizierung in Unternehmen sowie für den Gastnetzwerkzugriff, komplett mit fortschrittlicher WiFi Analytics .
Implementierungsleitfaden: Die 5-Phasen-Methodik
Um die Migration ohne Dienstunterbrechung durchzuführen, ist ein strukturierter, phasenweiser Ansatz erforderlich.

Phase 1: Audit und Inventarisierung
Dokumentieren Sie den aktuellen Zustand, bevor Sie Änderungen vornehmen:
- RADIUS-Clients: Identifizieren Sie jedes NAS (Wireless Access Points, Switches, VPN-Konzentratoren).
- Richtlinien: Dokumentieren Sie bestehende NPS-Verbindungsanforderungen und Netzwerkrichtlinien, einschließlich herstellerspezifischer Attribute (VSAs), die für die VLAN-Zuweisung verwendet werden.
- EAP-Methoden: Identifizieren Sie, welche Extensible Authentication Protocol-Methoden verwendet werden (z. B. EAP-TLS, PEAP-MSCHAPv2).
Phase 2: Pilotbereitstellung
Stellen Sie die Cloud RADIUS-Instanz bereit und konfigurieren Sie eine Nicht-Produktions-SSID oder einen einzelnen Teststandort. Validieren Sie die Integration des Identitätsverzeichnisses (z. B. Entra ID-Synchronisierung) und bestätigen Sie, dass die EAP-Methoden durchgängig korrekt funktionieren.
Phase 3: Parallelbetrieb (Risikominderung)
Konfigurieren Sie Produktions-NAS-Geräte so, dass sie sowohl die Cloud RADIUS-Server (primär) als auch die alten NPS-Server (Backup) gleichzeitig verwenden. Behalten Sie diese Konfiguration mindestens zwei Wochen lang bei. Überwachen Sie die Erfolgsraten der Authentifizierung, Latenzmetriken und Abrechnungsdatenflüsse, um etwaige Richtlinienabweichungen vor der Umstellung zu erkennen.
Phase 4: Umstellung
Entfernen Sie während eines geplanten Wartungsfensters die alte NPS-Backup-Konfiguration von den NAS-Geräten. Gehen Sie vollständig auf die Cloud-Infrastruktur über. Stellen Sie sicher, dass Ihr Rollback-Verfahren dokumentiert und getestet ist.
Phase 5: Außerbetriebnahme
Nach 30 Tagen stabilem Betrieb nehmen Sie die alten NPS-Server sicher außer Betrieb und fordern die Compute-Ressourcen zurück.
Best Practices und Compliance
Halten Sie sich bei der Entwicklung Ihrer Cloud RADIUS-Architektur an die folgenden Standards:
- RadSec vorschreiben: Wenn Ihre NAS-Hardware RadSec (TCP 2083) unterstützt, senden Sie RADIUS-Datenverkehr niemals über das öffentliche Internet mit Standard-UDP 1812/1813.
- Zertifikatsvertrauenskette: Stellen Sie sicher, dass Client-Geräte der Zertifizierungsstelle (CA) vertrauen, die die Cloud-RADIUS-Serverzertifikate ausstellt. Verteilten Sie die Root-CA vor der Migration über MDM oder Gruppenrichtlinien auf verwaltete Geräte.
- Compliance-Status: Wählen Sie einen Cloud-RADIUS-Anbieter, der eine SOC 2 Type II-Bescheinigung und eine ISO 27001-Zertifizierung vorweisen kann. Dies vereinfacht Ihre jährlichen PCI-DSS-Bewertungen erheblich, insbesondere für Einzelhandels- und Gastronomieumgebungen .
Für allgemeinere Prinzipien des Netzwerkdesigns lesen Sie unsere Leitfäden: WiFi für Unternehmen einrichten: Ein Leitfaden für 2026 und Verständnis von RSSI und Signalstärke für eine optimale Kanalplanung .
Fehlerbehebung und Risikominderung
| Fehlerart | Ursache | Minderungsstrategie |
|---|---|---|
| Authentifizierungs-Timeouts | Firewall blockiert ausgehenden UDP-Datenverkehr 1812/1813 oder TCP 2083. | Überprüfen Sie, ob die Perimeter-Firewall-Regeln ausgehenden Datenverkehr zu den spezifischen IP-Bereichen des Cloud-RADIUS-Anbieters zulassen. |
| Zertifikatsvertrauensfehler | Root-CA fehlt im Vertrauensspeicher des Client-Geräts. | Stellen Sie die Root-CA vor Phase 3 (Parallelbetrieb) über MDM/GPO bereit. |
| VLAN-Zuweisungsfehler | Herstellerspezifische Attribute (VSAs) sind in der Cloud-Richtlinie nicht korrekt zugeordnet. | Replizieren Sie in Phase 1 die genauen VSA-Stringformate aus NPS in der Cloud-RADIUS-Richtlinien-Engine. |
| WAN-Ausfall-Auswirkungen | Verlust der Internetverbindung verhindert den Zugriff auf Cloud-RADIUS. | Richten Sie redundante WAN-Verbindungen ein oder implementieren Sie einen lokalen RADIUS-Proxy, der Anmeldedaten für bekannte Geräte zwischenspeichert. |
ROI und geschäftliche Auswirkungen
Die Migration zu RADIUS-as-a-Service liefert messbare Geschäftsergebnisse:
- Kostensenkung: Macht Hardwarebeschaffung, Windows Server-Lizenzierung und die für Patching und Wartung aufgewendeten Engineering-Stunden überflüssig. Typische OpEx-Reduzierungen liegen bei 60 - 80 %.
- Zuverlässigkeits-SLAs: Cloud-Anbieter bieten finanziell abgesicherte SLAs mit 99,99 % Verfügbarkeit, verglichen mit den typischen 97 - 98 % Verfügbarkeit einer NPS-Bereitstellung an einem einzelnen Standort.
- Agilität: Schalten Sie neue Standorte sofort online, ohne lokale Authentifizierungshardware bereitzustellen, was die Bereitstellungszeiten für Transportknotenpunkte und Gesundheitsorganisationen verkürzt.
Hören Sie sich an, wie unser Senior-Consultant-Team die strategischen Auswirkungen in diesem 10-minütigen Briefing diskutiert:
Schlüsseldefinitionen
RADIUS (Remote Authentication Dial-In User Service)
Ein Netzwerkprotokoll, das eine zentrale Verwaltung von Authentifizierung, Autorisierung und Accounting (AAA) für Benutzer bietet, die sich mit einem Netzwerkdienst verbinden und diesen nutzen.
Das Kernprotokoll, das von Unternehmens-WiFi-Netzwerken verwendet wird, um Benutzeranmeldedaten zu validieren, bevor der Netzwerkzugriff gewährt wird.
NPS (Network Policy Server)
Microsofts Implementierung eines RADIUS-Servers und -Proxys, gebündelt als Rolle in Windows Server.
Die veraltete On-Premises-Infrastruktur, von der Unternehmen aktiv wegmigrieren, um den Wartungsaufwand zu reduzieren.
NAS (Network Access Server)
Das Gerät, das als Gateway zum Netzwerk fungiert und Authentifizierungsanfragen an den RADIUS-Server weiterleitet.
In einem Wireless-Kontext ist der NAS in der Regel der WiFi Access Point oder Wireless LAN Controller.
RadSec (RADIUS over TLS)
Ein in RFC 6614 definiertes Protokoll, das RADIUS-Pakete über eine mit TLS verschlüsselte TCP-Verbindung transportiert.
Unerlässlich für Cloud-RADIUS-Bereitstellungen, um sicherzustellen, dass Anmeldedaten bei der Übertragung über das öffentliche Internet verschlüsselt sind.
EAP (Extensible Authentication Protocol)
Ein Authentifizierungs-Framework, das häufig in drahtlosen Netzwerken und Point-to-Point-Verbindungen verwendet wird.
Bestimmt, wie Client und Server Anmeldedaten sicher austauschen (z. B. Zertifikate über EAP-TLS oder Passwörter über PEAP).
VSA (Vendor-Specific Attribute)
Benutzerdefinierte Attribute, die von Hardwareherstellern innerhalb des RADIUS-Protokolls definiert werden, um proprietäre Funktionen zu unterstützen.
Entscheidend bei der Migration; VSAs werden häufig verwendet, um authentifizierten Benutzern dynamisch bestimmte Netzwerk-VLANs zuzuweisen.
LDAPS (Lightweight Directory Access Protocol over SSL)
Ein sicheres Protokoll zur Abfrage und Änderung von Verzeichnisdiensten wie Active Directory.
Wird von Cloud-RADIUS-Diensten verwendet, um On-Premises-Identitätsverzeichnisse sicher abzufragen, ohne das Benutzerverzeichnis in die Cloud migrieren zu müssen.
802.1X
Ein IEEE-Standard für die portbasierte Netzwerkzugriffskontrolle (PNAC).
Der zugrunde liegende Standard, der RADIUS nutzt, um sicherzustellen, dass nur authentifizierte Geräte Datenverkehr an das Unternehmens-LAN oder -WLAN übermitteln können.
Ausgearbeitete Beispiele
Eine Hotelgruppe mit 200 Standorten betreibt derzeit an jedem Standort lokale NPS-Server für die 802.1X-Authentifizierung der Mitarbeiter. Sie migriert zu Entra ID (Azure AD) und möchte die lokalen Server stilllegen. Wie sollte sie bei der Migration vorgehen?
- Bereitstellen eines Cloud-RADIUS-Dienstes, der sich nativ über SAML/SCIM in Entra ID integriert.
- Konfigurieren der Cloud-RADIUS-Richtlinien, um Entra ID-Gruppen (z. B. "Front Desk", "Management") bestimmten VLAN-VSAs zuzuordnen.
- An einem Pilotstandort die Access Points so konfigurieren, dass sie RadSec verwenden, um eine Verbindung zum Cloud-RADIUS-Endpunkt herzustellen.
- Verteilen der Root-CA des Cloud-RADIUS-Servers auf alle Mitarbeitergeräte über Microsoft Intune.
- Durchführung einer parallelen Authentifizierung am Pilotstandort, gefolgt von einer schrittweisen Einführung an den verbleibenden 199 Standorten.
Ein Stadion mit einer Kapazität von 50.000 Zuschauern verzeichnet bei Großveranstaltungen Authentifizierungsfehler in der Unternehmens-SSID, da der lokale NPS-Server den Durchsatz von Tausenden von Geräten, die gleichzeitig das Roaming nutzen, nicht bewältigen kann.
- Überprüfung der bestehenden NPS-Richtlinien und EAP-Methoden.
- Bereitstellung eines Cloud-RADIUS-Dienstes, der in der Lage ist, sich automatisch zu skalieren, um hohe Authentifizierungsraten pro Sekunde (APS) zu bewältigen.
- Einrichtung einer LDAPS-Verbindung vom Cloud-RADIUS-Dienst zum lokalen Active Directory des Stadions.
- Aktualisierung der High-Density Wireless LAN Controller des Stadions, sodass diese auf die Cloud-RADIUS-Endpunkte als primäre Authentifizierungsserver verweisen.
Übungsfragen
Q1. Ihre Organisation migriert zu Cloud RADIUS. Das Sicherheitsteam schreibt vor, dass kein Authentifizierungsverkehr im Klartext oder unter Verwendung veralteter Hashing-Algorithmen wie MD5 über das Internet übertragen werden darf. Welches Protokoll müssen Sie auf Ihren Wireless-LAN-Controllern konfigurieren?
Hinweis: Suchen Sie nach dem Protokoll, das RADIUS in einen TLS-Tunnel verpackt.
Musterlösung anzeigen
Sie müssen RadSec (RADIUS über TLS) konfigurieren. RadSec baut einen TLS-Tunnel über TCP-Port 2083 zwischen dem NAS und dem Cloud-RADIUS-Server auf. Dies bietet eine Verschlüsselung auf Transportebene sowie gegenseitige Authentifizierung und erfüllt somit die Anforderungen des Sicherheitsteams.
Q2. Während Phase 3 (Parallelbetrieb) Ihrer Migration stellen Sie fest, dass sich Benutzer erfolgreich am Cloud-RADIUS-Server authentifizieren, aber nicht den korrekten Netzwerksegmenten zugewiesen werden. Was ist die wahrscheinlichste Konfigurationslücke?
Hinweis: Wie teilt ein RADIUS-Server einem Access Point mit, welches Netzwerksegment zu verwenden ist?
Musterlösung anzeigen
Die herstellerspezifischen Attribute (VSAs) für die dynamische VLAN-Zuweisung wurden in den Cloud-RADIUS-Richtlinien nicht korrekt konfiguriert. Sie müssen sicherstellen, dass die genauen VSA-Strings aus dem alten NPS-Server in der Cloud-Umgebung repliziert werden, damit der NAS weiß, welches VLAN dem Benutzer zugewiesen werden soll.
Q3. Ein Client-Gerät scheitert wiederholt bei der EAP-TLS-Authentifizierung am neuen Cloud-RADIUS-Dienst, funktioniert aber am alten NPS-Server einwandfrei. Die Geräte-Logs zeigen den Fehler "Nicht vertrauenswürdiger Server". Wie lösen Sie dieses Problem?
Hinweis: EAP-TLS erfordert, dass der Client der Identität des Servers vertraut.
Musterlösung anzeigen
Das Client-Gerät verfügt nicht über die Root-Zertifizierungsstelle (CA), die das Zertifikat des Cloud-RADIUS-Servers ausgestellt hat, in seinem Speicher für vertrauenswürdige Stammzertifikate. Sie müssen die Root-CA mithilfe einer MDM-Lösung (Mobile Device Management) oder einer Gruppenrichtlinie auf dem Client-Gerät bereitstellen.
Weiterlesen in dieser Reihe
Die Sicherheitsvorteile von RADIUS as a Service für hybride Belegschaften
Dieser technische Leitfaden erklärt, wie RADIUS as a Service den Netzwerkzugriff für hybride Belegschaften an verteilten Standorten sichert. Er behandelt die Architektur, die Sicherheitsvorteile und die Bereitstellungsschritte für den Ersatz von On-Premises-RADIUS-Infrastrukturen durch einen cloudverwalteten Authentifizierungsdienst. Für IT-Manager und Netzwerkarchitekten in Hotels, Einzelhandelsketten, Stadien und Organisationen des öffentlichen Sektors liefert dieser Leitfaden die notwendigen Argumente, um eine Migration zu Cloud-RADIUS in diesem Quartal zu bewerten und umzusetzen.
Integration von RADIUS as a Service mit Cloud-Verzeichnissen (Azure AD & Google Workspace)
Dieser technische Referenzleitfaden beschreibt detailliert, wie Sie RADIUS as a Service mit Cloud-Verzeichnissen – Microsoft Entra ID und Google Workspace – für die WiFi-Authentifizierung in Unternehmen integrieren. Er behandelt den architektonischen Wechsel von On-Premises-NPS zu Cloud-nativem RADIUS, die Bereitstellung der zertifikatsbasierten EAP-TLS-Authentifizierung sowie die bewährten Betriebsmethoden zur Absicherung des drahtlosen Zugangs in den Bereichen Gastgewerbe, Einzelhandel und im öffentlichen Sektor. Für IT-Manager und Netzwerkarchitekten, die bereits in Cloud-Identitäten investieren, schließt dieser Leitfaden die Lücke zwischen Verzeichnisverwaltung und physischer Netzwerksicherheit.
So implementieren Sie die 802.1X-Authentifizierung mit Cloud RADIUS
Dieser technische Leitfaden bietet einen umfassenden Rahmen für die Implementierung der 802.1X-Authentifizierung mit Cloud RADIUS in verteilten Unternehmensstandorten. Er beschreibt detailliert die Architektur, die Auswahl der EAP-Methode, die Bereitstellungsreihenfolge und die Strategien zur Risikominderung, die zur Sicherung des Netzwerkzugriffs erforderlich sind, während gleichzeitig der betriebliche Aufwand für eine On-Premises-Infrastruktur entfällt.