Migration von On-Premises RADIUS (NPS) zu RADIUS as a Service

Dieser maßgebliche Leitfaden beschreibt die technische Architektur, die Implementierungsmethode und die geschäftlichen Auswirkungen der Migration von einem lokalen Microsoft Network Policy Server (NPS) zu einem Cloud-nativen RADIUS as a Service-Modell. Er bietet IT-Leitern und Netzwerkarchitekten praktische Frameworks zur Reduzierung des Betriebsaufwands, zur Eliminierung von Single Points of Failure und zur Absicherung der Unternehmensauthentifizierung an verteilten Standorten.

📖 5 Min. Lesezeit📝 1,066 Wörter🔧 2 ausgearbeitete Beispiele❓ 3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen

PODCAST-SKRIPT: Migration von On-Premises-RADIUS (NPS) zu RADIUS as a Service
Dauer: ~10 Minuten | Stimme: Britisches Englisch, männlich, Tonfall eines Senior Consultants

---

SEGMENT 1: EINFÜHRUNG UND KONTEXT

Willkommen zur technischen Briefing-Reihe von Purple WiFi. Heute befassen wir uns mit einer Migration, die derzeit auf der Roadmap einer beträchtlichen Anzahl von IT-Teams in Unternehmen steht: dem Wechsel von On-Premises-RADIUS – konkret dem Network Policy Server von Microsoft – zu einem Cloud-basierten RADIUS as a Service-Modell.

Wenn Sie die WiFi-Authentifizierung in einer Hotelgruppe, einem Einzelhandelsnetz, einem Stadion oder einem Campus im öffentlichen Sektor verwalten, ist dies für Sie von direkter Relevanz. Das On-Premises-NPS-Modell hat uns fast zwei Jahrzehnte lang gute Dienste geleistet, aber der betriebliche Aufwand, das Risiko eines Single-Point-of-Failure und die Skalierungsbeschränkungen lassen sich immer schwerer rechtfertigen – insbesondere, da Cloud-native Alternativen mittlerweile Zuverlässigkeit auf Enterprise-Niveau zu einem Bruchteil der Gesamtbetriebskosten bieten.

In den nächsten zehn Minuten werden wir die technische Architektur beider Ansätze behandeln, eine strukturierte Migrationsmethodik durchgehen, zwei reale Implementierungsszenarien betrachten und mit den wichtigsten Entscheidungsrahmen abschließen, die Sie benötigen, um diese Entscheidung mit gutem Gefühl zu treffen.

Legen wir los.

---

SEGMENT 2: TECHNISCHER DEEP-DIVE

Zunächst sollten wir sicherstellen, dass wir uns einig sind, was RADIUS in Ihrem Netzwerk-Stack eigentlich tut. RADIUS – Remote Authentication Dial-In User Service – ist das in RFC 2865 definierte Protokoll, das die Authentifizierung, Autorisierung und Abrechnung für den Netzwerkzugriff übernimmt. Im WiFi-Kontext ist es das Rückgrat der portbasierten Zugriffskontrolle nach IEEE 802.1X. Wenn sich ein Gerät mit einer WPA2-Enterprise- oder WPA3-Enterprise-SSID verbindet, fungiert der Access Point als RADIUS-Client – was wir als Network Access Server bezeichnen – und leitet die Authentifizierungsanfrage an den RADIUS-Server weiter. Der Server validiert die Anmeldedaten, in der Regel gegen Active Directory oder ein LDAP-Verzeichnis, und gibt eine Access-Accept- oder Access-Reject-Antwort zurück. Das ist der grundlegende Ablauf.

Beim On-Premises-NPS-Modell – Network Policy Server ist die in Windows Server integrierte RADIUS-Implementierung von Microsoft – führen Sie diese Authentifizierungslogik auf eigener Hardware aus, in einem Rechenzentrum oder Serverraum, den Sie selbst warten. Der NPS-Server enthält Ihre Netzwerkrichtlinien, Ihre Zertifikatsinfrastruktur für EAP-TLS oder PEAP-MSCHAPv2 und Ihre Verbindungsanforderungsrichtlinien. Es funktioniert. Es ist ausgereift. Aber es bringt eine Reihe von betrieblichen Realitäten mit sich, die sich im Laufe der Zeit summieren.

Die erste ist die Hardware-Abhängigkeit. Ihr NPS-Server ist eine physische oder virtuelle Maschine, die Patches, Kapazitätsplanung und letztendlich einen Hardware-Austausch erfordert. Bei einer Bereitstellung an mehreren Standorten – beispielsweise einer Hotelgruppe mit Häusern in ganz Großbritannien – betreiben Sie entweder ein zentralisiertes NPS mit WAN-Abhängigkeit oder Sie stellen NPS-Instanzen an jedem Standort bereit und verwalten sie einzeln. Beides ist nicht elegant.

Der zweite Punkt ist die Verfügbarkeit. Eine einzelne NPS-Instanz stellt einen Single Point of Failure für Ihre gesamte Authentifizierungsinfrastruktur dar. Natürlich können Sie NPS in einem Failover-Paar bereitstellen, aber das verdoppelt Ihren Hardware- und Lizenzierungsaufwand und bietet Ihnen immer noch nicht die geografische Redundanz, die ein Cloud-Dienst von Haus aus bietet.

Der dritte Punkt ist die Skalierbarkeit. NPS wurde für Unternehmens-LAN-Umgebungen entwickelt. Wenn Sie während einer Stadionveranstaltung oder zu Spitzenzeiten in einem Konferenzzentrum Tausende von gleichzeitigen Authentifizierungsanfragen verarbeiten, werden die Durchsatzgrenzen einer einzelnen NPS-Instanz sehr deutlich. Die Authentifizierungslatenz steigt sprunghaft an, und Benutzer erleben Verbindungsfehler genau in dem Moment, in dem Sie es sich am wenigsten leisten können.

RADIUS as a Service löst alle drei dieser Einschränkungen architektonisch. Der Cloud-RADIUS-Anbieter betreibt ein verteiltes, georedundantes Cluster von RADIUS-Servern. Ihre Access Points verweisen auf in der Cloud gehostete RADIUS-Endpunkte und nicht auf einen lokalen Server. Authentifizierungsanfragen werden über das Cluster hinweg lastverteilt, und das Failover erfolgt automatisch und transparent. Der Anbieter kümmert sich um Patching, Kapazitätsskalierung und Zertifikatsverwaltung. Aus Ihrer Sicht als Netzwerkbetreiber wird RADIUS zu einem konsumierten Dienst statt zu einer verwalteten Komponente.

Die Authentifizierungsprotokolle selbst ändern sich nicht. Sie führen weiterhin IEEE 802.1X mit EAP-TLS, PEAP-MSCHAPv2 oder EAP-TTLS aus, je nach Ihrem Client-Geräte-Mix. Der Unterschied liegt darin, wo der RADIUS-Server betrieben wird und wer für dessen betriebliche Kontinuität verantwortlich ist.

Es gibt hier einen wichtigen Sicherheitsaspekt, den ich direkt ansprechen möchte, da er in fast jedem Kundengespräch zur Sprache kommt. Die Verlagerung von RADIUS in die Cloud bedeutet, dass Ihr Authentifizierungsverkehr das öffentliche Internet durchquert, um den Cloud-RADIUS-Endpunkt zu erreichen. Dies wird durch zwei Mechanismen entschärft. Erstens wird der RADIUS-Verkehr zwischen dem Network Access Server und dem RADIUS-Server durch ein Shared Secret und eine MD5-basierte Nachrichtenauthentifizierung geschützt. Zweitens, und das ist für moderne Bereitstellungen noch wichtiger, sollten Sie RadSec nutzen – RADIUS über TLS, definiert in RFC 6614 –, wodurch die gesamte RADIUS-Kommunikation in einen TLS-Tunnel verpackt wird. Dies bietet Ihnen eine Verschlüsselung auf Transportebene, die mit HTTPS vergleichbar ist, wodurch die MD5-Schwachstelle beseitigt und eine gegenseitige Authentifizierung zwischen dem NAS und dem RADIUS-Server gewährleistet wird. Jeder Cloud-RADIUS-Anbieter, der in Betracht gezogen wird, sollte RadSec standardmäßig unterstützen.

Auf der Seite der Identitätsintegration unterstützen Cloud-RADIUS-Dienste in der Regel LDAP- und LDAPS-Verbindungen zurück zu Ihrem lokalen Active Directory oder eine native Integration mit Azure Active Directory und Entra ID über SAML oder SCIM. Das bedeutet, dass Sie Ihr Benutzerverzeichnis nicht migrieren müssen – der Cloud-RADIUS-Dienst fragt Ihren vorhandenen Identitätsspeicher ab und behält Ihre bestehenden Prozesse für das Benutzer-Lifecycle-Management bei.

Für compliance-bewusste Unternehmen – und das betrifft jeden, der Zahlungskartendaten unter PCI DSS oder personenbezogene Daten unter der GDPR verarbeitet – bieten Cloud-RADIUS-Anbieter mit SOC 2 Type II-Zertifizierung und ISO 27001-Akkreditierung ein höheres Sicherheits- und Compliance-Niveau, als es die meisten Organisationen mit einer selbstverwalteten NPS-Infrastruktur erreichen können.

---

SEGMENT 3: IMPLEMENTIERUNGSEMPFEHLUNGEN UND STOLPERSTEINE

Lassen Sie uns nun darüber sprechen, wie Sie diese Migration tatsächlich durchführen, ohne Ihre Authentifizierungsinfrastruktur offline zu nehmen.

Die von mir empfohlene Methodik ist ein Fünf-Phasen-Ansatz. Phase eins ist die Auditierung und Inventarisierung. Dokumentieren Sie jeden RADIUS-Client – jeden Access Point, jeden Switch, jeden VPN-Konzentrator – zusammen mit seinem aktuellen Shared Secret, der verwendeten EAP-Methode und allen herstellerspezifischen Attributen in Ihren NPS-Richtlinien. Das ist zwar eine mühsame Arbeit, aber das Überspringen dieses Schritts ist die Hauptursache für das Scheitern von Migrationen.

Phase zwei ist die Pilotbereitstellung. Richten Sie Ihre Cloud-RADIUS-Instanz ein und verweisen Sie mit einer Nicht-Produktions-SSID oder einem einzelnen Teststandort darauf. Validieren Sie, dass Ihre EAP-Methode durchgängig funktioniert, dass Ihre Identitätsintegration aktiv ist und dass Ihre Accounting-Daten korrekt fließen.

Phase drei ist der Parallelbetrieb. Dies ist der entscheidende Schritt zur Risikominimierung. Konfigurieren Sie Ihre Access Points sowohl mit dem lokalen NPS-Server als auch mit dem Cloud-RADIUS-Server als Authentifizierungsziele, wobei der Cloud-Dienst als primärer Dienst und der NPS als Fallback dient. Führen Sie diese Konfiguration mindestens zwei Wochen lang über einen vollständigen Geschäftszyklus hinweg aus. Überwachen Sie die Erfolgsraten der Authentifizierung, die Latenzzeiten und etwaige Abweichungen bei den Richtlinien.

Phase vier ist die Umstellung. Entfernen Sie die NPS-Fallback-Konfiguration und setzen Sie Cloud-RADIUS als Ihre einzige Authentifizierungsinfrastruktur ein. Führen Sie dies während eines geplanten Wartungsfensters durch und halten Sie ein dokumentiertes und getestetes Rollback-Verfahren bereit.

Phase fünf ist die Außerbetriebnahme. Sobald Sie nach der Umstellung dreißig Tage lang einen stabilen Betrieb nachgewiesen haben, nehmen Sie die NPS-Server außer Betrieb und geben Sie die Hardware- oder VM-Ressourcen wieder frei.

Die am häufigsten auftretenden Stolpersteine sind: Probleme mit der Zertifikatsvertrauenskette – insbesondere Client-Geräte, die dem Zertifikat des Cloud-RADIUS-Servers nicht vertrauen, weil sich die CA nicht in ihrem vertrauenswürdigen Speicher befindet. Beheben Sie dies vor der Umstellung über Ihr MDM oder Ihre Gruppenrichtlinien. Der zweite häufige Stolperstein sind Firewall-Regeln. Cloud-RADIUS erfordert ausgehendes UDP 1812 und 1813 von Ihren Access Points zu den Cloud-Endpunkten oder TCP 2083 für RadSec. Stellen Sie sicher, dass Ihre Netzwerkperipherie diesen Datenverkehr zulässt. Drittens: Die Komplexität von Shared Secrets. Wenn Ihre bestehenden NPS Shared Secrets schwach sind, nutzen Sie die Migration als Gelegenheit, auf kryptografisch starke Secrets umzustellen oder, noch besser, auf RadSec umzusteigen und Shared Secrets ganz abzuschaffen.

---

SEGMENT 4: SCHNELLE FRAGEN & ANTWORTEN

Lassen Sie mich die Fragen durchgehen, die mir zu diesem Thema am häufigsten gestellt werden.

Können wir Active Directory lokal behalten? Ja, absolut. Cloud-RADIUS verbindet sich über LDAPS mit Ihrem lokalen AD. Ihr Verzeichnis bleibt genau dort, wo es ist.

Was passiert, wenn unsere Internetverbindung ausfällt? Dies ist die entscheidende Verschiebung der Abhängigkeiten. Mit Cloud-RADIUS wird die Internetverbindung zu einer Voraussetzung für die Authentifizierung. Mindern Sie dieses Risiko durch redundante WAN-Verbindungen oder einen lokalen RADIUS-Proxy, der die Authentifizierung für bekannte Geräte bei Ausfällen zwischenspeichert.

Beeinflusst dies unsere PCI DSS-Konformität? Der Wechsel zu einem zertifizierten Cloud-RADIUS-Anbieter verbessert in der Regel Ihr Compliance-Niveau. Stellen Sie sicher, dass Ihr Anbieter SOC 2 Typ II-Berichte bereitstellen kann und in Ihren jährlichen QSA-Bewertungsumfang einbezogen ist.

Wie lange dauert eine vollständige Migration? Für einen einzelnen Standort zwei bis vier Wochen. Für ein standortübergreifendes Unternehmen mit fünfzig oder mehr Standorten sollten Sie drei bis sechs Monate für einen schrittweisen Rollout einplanen.

---

SEGMENT 5: ZUSAMMENFASSUNG UND NÄCHSTE SCHRITTE

Zusammenfassend lässt sich sagen: Die Argumente für eine Migration von On-Premises-NPS zu RADIUS as a Service sind aus betrieblicher, finanzieller und Compliance-Sicht überzeugend. Die Migration selbst ist risikoarm, wenn sie mit einer strukturierten Parallelbetriebsphase durchgeführt wird. Die wichtigsten technischen Entscheidungen sind die Wahl Ihrer EAP-Methode, Ihr Ansatz zur Identitätsintegration und die Frage, ob Sie RadSec für die Transportsicherheit implementieren – was ich für jede Neuinstallation dringend empfehlen würde.

Ihre nächsten Schritte: Führen Sie ein Audit Ihrer aktuellen RADIUS-Clients und -Richtlinien durch, binden Sie Ihren Cloud-RADIUS-Anbieter für eine Pilotumgebung ein und überprüfen Sie Ihre Firewall-Regeln und Zertifikats-Vertrauensketten, bevor Sie beginnen.

Für Unternehmen, die die Plattform für den Gastzugang von Purple WiFi nutzen, lässt sich die RADIUS as a Service-Funktion direkt in den Authentifizierungsfluss des Gast-WiFi integrieren. So erhalten Sie eine einzige Steuerungsebene sowohl für die 802.1X-Authentifizierung in Unternehmen als auch für die Verwaltung des Gastnetzwerkzugangs – inklusive integrierter Analysen und Compliance-Berichte.

Vielen Dank fürs Zuhören. Der vollständige technische Leitfaden ist auf der Purple-Website verfügbar, und unser Solutions-Team steht Ihnen für ein Sondierungsgespräch zur Verfügung, wenn Sie bereit sind, den nächsten Schritt zu gehen.

---
ENDE DES SKRIPTS

Wichtigste Erkenntnisse

✓RADIUS as a Service eliminiert die Hardwareabhängigkeit und den Wartungsaufwand von On-Premises-NPS-Servern.
✓Cloud RADIUS bietet native geografische Redundanz und elastische Skalierbarkeit für Umgebungen mit hoher Dichte.
✓Die Implementierung von RadSec (TCP 2083) ist unerlässlich, um den Authentifizierungsverkehr über das öffentliche Internet zu sichern.
✓Cloud RADIUS lässt sich über LDAPS/SAML nahtlos in bestehende Identitätsspeicher wie Entra ID und Active Directory integrieren.
✓Eine strukturierte 5-Phasen-Migration – einschließlich einer kritischen Phase des Parallelbetriebs – gewährleistet eine Ausfallzeit von Null während der Umstellung.
✓Die Migration in die Cloud reduziert die OpEx für die Authentifizierungsinfrastruktur in der Regel um 60-80 %.
✓Cloud RADIUS verbessert die Compliance-Richtlinien für Standards wie PCI DSS und GDPR durch zentralisierte Auditierung und Zugriffsprotokollierung.

執行摘要

近二十年來，Microsoft 的網路原則伺服器 (NPS) 一直是企業網路的預設 RADIUS 實作。然而，隨著場域營運商在分散的據點（從零售連鎖店到全球餐旅集團）進行擴充，管理地端驗證基礎架構的營運負擔已成為一項重大責任。

遷移至 RADIUS as a Service 將驗證從受管理的硬體元件轉變為取用的雲端服務。這種架構轉型消除了獨立 NPS 部署中固有的單一故障點，免除了硬體更新週期，並提供了體育場和會議中心等高密度環境所需的彈性擴充能力。對於 IT 經理和網路架構師，本指南提供了一套廠商中立、結構化的方法，可在不影響生產流量的情況下，將 802.1X 驗證遷移至雲端，確保符合 PCI DSS 和 GDPR，並將驗證基礎架構的營運成本 (OpEx) 降低高達 80%。

技術深入探討：架構與標準

要了解此遷移，我們必須首先檢視 IEEE 802.1X 埠型存取控制交付方式的架構轉變。

地端 NPS 的限制

在傳統部署中，存取點充當網路存取伺服器 (NAS)，將驗證請求轉發到地端 NPS 伺服器。NPS 伺服器評估連線要求原則，比對身分識別存放區（通常是透過 LDAP 的 Active Directory）驗證憑證，並傳回 Access-Accept 或 Access-Reject 訊息。

此模型對現代網路提出了三個關鍵限制：

硬體依賴與維護：NPS 需要專用的實體或虛擬機器，需要持續的修補、容量規劃和生命週期管理。
高可用性複雜度：實現備援需要將 NPS 部署在容錯移轉配對中，這會使授權成本加倍，卻無法提供真正的地理備援。
吞吐量瓶頸：在尖峰並行期間（例如體育場入場或零售尖峰營業時間），單一 NPS 執行個體可能會成為瓶頸，導致驗證逾時和使用者體驗下降。

雲端 RADIUS 架構

RADIUS as a Service 抽象化了驗證層。雲端供應商營運分散式、地理備援的 RADIUS 伺服器叢集。NAS 指向這些雲端端點，且請求會自動進行負載平衡。

傳輸安全：RadSec 的角色 當將 RADIUS 移至雲端時，驗證流量會經過公開網路。雖然傳統的 RADIUS 使用共享金鑰和 MD5 雜湊，但現代部署必須實作 RadSec（RADIUS over TLS，RFC 6614）。RadSec 將整個 RADIUS 對話封裝在 TLS 通道中（通常為 TCP 連接埠 2083），提供等同於 HTTPS 的傳輸層加密，以及 NAS 與雲端 RADIUS 端點之間的雙向驗證。

身分整合 雲端 RADIUS 不需要遷移您的使用者目錄。服務通常支援連回本地 Active Directory 的 LDAPS 連線，或透過 SAML 或 SCIM 與 Azure Active Directory (Entra ID) 進行原生 API 整合。這可確保您現有的使用者生命週期管理流程保持不變。

對於利用 Guest WiFi 平台的場域，雲端 RADIUS 可直接整合，為企業 802.1X 驗證和訪客網路存取提供統一的控制介面，並配有先進的 WiFi Analytics 。

實作指南：五階段方法論

在不中斷服務的情況下執行遷移，需要結構化、分階段的方法。

第一階段：稽核與盤點

在進行任何變更之前，請記錄目前的狀態：

RADIUS 用戶端：識別每個 NAS（無線基地台、交換器、VPN 集中器）。
原則：記錄現有的 NPS 連線要求和網路原則，包括用於 VLAN 指派的廠商專屬屬性 (VSA)。
EAP 方法：識別正在使用哪些可延伸驗證協定方法（例如 EAP-TLS、PEAP-MSCHAPv2）。

第二階段：試點部署

佈建雲端 RADIUS 執行個體，並設定非生產 SSID 或單一測試站點。驗證身分目錄整合（例如 Entra ID 同步），並確保 EAP 方法端到端正常運作。

第三階段：平行運作（風險緩釋）

將生產環境的 NAS 裝置設定為同時使用雲端 RADIUS 伺服器（主要）和舊版 NPS 伺服器（備用）。維持此設定運作至少兩週。監控驗證成功率、延遲指標和計費資料流，以便在切換前識別任何原則差異。

第四階段：切換

在排定的維護視窗期間，從 NAS 裝置中移除舊版 NPS 備用設定。完全切換至雲端基礎架構。確保您的還原程序已記錄並經過測試。

第五階段：除役

在穩定運作 30 天后，安全地將舊版 NPS 伺服器除役並回收運算資源。

最佳實踐與合規性

在設計您的雲端 RADIUS 架構時，請遵循以下標準：

強制使用 RadSec：如果您的 NAS 硬體支援 RadSec (TCP 2083)，切勿使用標準 UDP 1812/1813 透過公用網際網路傳送 RADIUS 流量。
憑證信任鏈：確保用戶端裝置信任核發雲端 RADIUS 伺服器憑證的憑證授權單位 (CA)。在移轉前，透過 MDM 或群組原則將根 CA 推送至受管理裝置。
合規性態勢：選擇維持 SOC 2 Type II 認證與 ISO 27001 認證的雲端 RADIUS 供應商。這能大幅簡化您的年度 PCI DSS 評估，特別是針對零售與旅宿環境。

如需更廣泛的網路設計原則，請參閱我們的指南：企業 WiFi 設定：2026 年指南以及了解 RSSI 與訊號強度以進行最佳通道規劃。

疑難排解與風險緩釋

故障模式	根本原因	緩釋策略
驗證逾時	防火牆阻擋了連外的 UDP 1812/1813 或 TCP 2083。	驗證周邊防火牆規則是否允許連外流量傳送至雲端 RADIUS 供應商的特定 IP 範圍。
憑證信任錯誤	用戶端裝置的信任存放區中缺少根 CA。	在第 3 階段（平行運作）之前，透過 MDM/GPO 部署根 CA。
VLAN 指派失敗	廠商特定屬性 (VSA) 未在雲端原則中正確對應。	在第 1 階段期間，將 NPS 的確切 VSA 字串格式複製到雲端 RADIUS 原則引擎中。
WAN 中斷影響	失去網際網路連線導致無法存取雲端 RADIUS。	部署備援 WAN 連結，或實作可為已知裝置快取憑證的本機 RADIUS 代理伺服器。

投資報酬率與業務影響

移轉至 RADIUS 即服務 (RADIUS as a Service) 可帶來可衡量的業務成果：

降低成本：免除硬體採購、Windows Server 授權，以及花費在修補和維護上的工程工時。典型的營運費用 (OpEx) 可減少 60-80%。
可靠性 SLA：雲端供應商提供具財務保障的 99.99% 可用性 SLA，而單一站點 NPS 部署的典型可用性僅為 97-98%。
敏捷性：無需配置本機驗證硬體即可立即讓新站點上線，從而縮短交通運輸樞紐與醫療保健機構的部署時程。

歡迎收聽我們的資深顧問團隊在這份 10 分鐘的簡報中討論策略性影響：

Schlüsseldefinitionen

RADIUS (Remote Authentication Dial-In User Service)

Ein Netzwerkprotokoll, das eine zentrale Verwaltung von Authentifizierung, Autorisierung und Accounting (AAA) für Benutzer bietet, die sich mit einem Netzwerkdienst verbinden und diesen nutzen.

Das Kernprotokoll, das von Enterprise-WiFi-Netzwerken verwendet wird, um Benutzeranmeldedaten zu validieren, bevor der Netzwerkzugriff gewährt wird.

NPS (Network Policy Server)

Microsofts Implementierung eines RADIUS-Servers und -Proxys, gebündelt als Rolle in Windows Server.

Die veraltete On-Premises-Infrastruktur, von der Unternehmen aktiv wegmigrieren, um den Wartungsaufwand zu reduzieren.

NAS (Network Access Server)

Das Gerät, das als Gateway zum Netzwerk fungiert und Authentifizierungsanfragen an den RADIUS-Server weiterleitet.

In einem Wireless-Kontext ist der NAS in der Regel der WiFi Access Point oder Wireless LAN Controller.

RadSec (RADIUS over TLS)

Ein in RFC 6614 definiertes Protokoll, das RADIUS-Pakete über eine mit TLS verschlüsselte TCP-Verbindung transportiert.

Unerlässlich für Cloud-RADIUS-Bereitstellungen, um sicherzustellen, dass Anmeldedaten bei der Übertragung über das öffentliche Internet verschlüsselt sind.

EAP (Extensible Authentication Protocol)

Ein Authentifizierungs-Framework, das häufig in drahtlosen Netzwerken und Punkt-zu-Punkt-Verbindungen verwendet wird.

Bestimmt, wie Client und Server Anmeldedaten sicher austauschen (z. B. Zertifikate über EAP-TLS oder Passwörter über PEAP).

VSA (Vendor-Specific Attribute)

Benutzerdefinierte Attribute, die von Hardwareherstellern innerhalb des RADIUS-Protokolls definiert werden, um proprietäre Funktionen zu unterstützen.

Entscheidend während der Migration; VSAs werden oft verwendet, um authentifizierte Benutzer dynamisch bestimmten Netzwerk-VLANs zuzuweisen.

LDAPS (Lightweight Directory Access Protocol over SSL)

Ein sicheres Protokoll zum Abfragen und Ändern von Verzeichnisdiensten wie Active Directory.

Wird von Cloud-RADIUS-Diensten verwendet, um On-Premises-Identitätsspeicher sicher abzufragen, ohne das Benutzerverzeichnis in die Cloud zu migrieren.

802.1X

Ein IEEE-Standard für die portbasierte Netzwerkzugriffskontrolle (PNAC).

Der zugrunde liegende Standard, der RADIUS verwendet, um sicherzustellen, dass nur authentifizierte Geräte Datenverkehr an das Enterprise-LAN oder -WLAN übermitteln können.

Ausgearbeitete Beispiele

Eine Hotelgruppe mit 200 Standorten betreibt derzeit lokale NPS-Server an jedem Standort für die 802.1X-Authentifizierung der Mitarbeiter. Sie migrieren zu Entra ID (Azure AD) und möchten die lokalen Server stilllegen. Wie sollten sie die Migration angehen?

Bereitstellen eines Cloud-RADIUS-Dienstes, der sich nativ über SAML/SCIM in Entra ID integriert.
Konfigurieren der Cloud-RADIUS-Richtlinien, um Entra ID-Gruppen (z. B. „Rezeption“, „Management“) bestimmten VLAN-VSAs zuzuordnen.
An einem Pilotstandort die Access Points so konfigurieren, dass sie RadSec für die Verbindung mit dem Cloud-RADIUS-Endpunkt verwenden.
Die Root-CA des Cloud-RADIUS-Servers über Microsoft Intune auf alle Mitarbeitergeräte verteilen.
Parallele Authentifizierung am Pilotstandort durchführen und anschließend ein schrittweises Rollout über die verbleibenden 199 Standorte hinweg ausführen.

Kommentar des Prüfers: Dieser Ansatz entfernt 200 physische/virtuelle Server aus der Infrastruktur, was die Angriffsfläche und den Wartungsaufwand drastisch reduziert. Die direkte Integration mit Entra ID erübrigt komplexe Site-to-Site-VPNs zurück zu einem zentralen Active Directory.

Ein Stadion mit einer Kapazität von 50.000 Zuschauern verzeichnet bei Großveranstaltungen Authentifizierungsfehler auf der Unternehmens-SSID, da der lokale NPS-Server den Durchsatz von Tausenden von Geräten, die gleichzeitig roamen, nicht bewältigen kann.

Auditierung der bestehenden NPS-Richtlinien und EAP-Methoden.
Bereitstellung eines Cloud-RADIUS-Dienstes, der automatisch skaliert werden kann, um hohe Authentifizierungen pro Sekunde (APS) zu verarbeiten.
Einrichten einer LDAPS-Verbindung vom Cloud-RADIUS-Dienst zum lokalen Active Directory des Stadions.
Aktualisieren der High-Density-Wireless-LAN-Controller des Stadions, sodass sie auf die Cloud-RADIUS-Endpunkte als primäre Authentifizierungsserver verweisen.

Kommentar des Prüfers: Durch die Auslagerung der RADIUS-Verarbeitung in ein Cloud-Cluster nutzt das Stadion elastische Rechenressourcen, die sich beim Einlass der Veranstaltung dynamisch anpassen. Dadurch wird der Engpass behoben, ohne dass der Veranstaltungsort teure lokale Hardware überdimensionieren muss.

Übungsfragen

Q1. Ihre Organisation migriert zu Cloud RADIUS. Das Sicherheitsteam schreibt vor, dass kein Authentifizierungsverkehr im Klartext oder unter Verwendung veralteter Hashing-Algorithmen wie MD5 über das Internet übertragen werden darf. Welches Protokoll müssen Sie auf Ihren Wireless LAN Controllern konfigurieren?

Hinweis: Suchen Sie nach dem Protokoll, das RADIUS in einen TLS-Tunnel einpackt.

Musterlösung anzeigen

Sie müssen RadSec (RADIUS over TLS) konfigurieren. RadSec baut einen TLS-Tunnel über den TCP-Port 2083 zwischen dem NAS und dem Cloud-RADIUS-Server auf. Dies bietet eine Verschlüsselung auf Transportebene sowie gegenseitige Authentifizierung und erfüllt somit die Anforderungen des Sicherheitsteams.

Q2. Während Phase 3 (Parallelbetrieb) Ihrer Migration stellen Sie fest, dass sich Benutzer erfolgreich am Cloud-RADIUS-Server authentifizieren, aber nicht den korrekten Netzwerksegmenten zugewiesen werden. Was ist die wahrscheinlichste Konfigurationslücke?

Hinweis: Wie teilt ein RADIUS-Server einem Access Point mit, welches Netzwerksegment zu verwenden ist?

Musterlösung anzeigen

Die herstellerspezifischen Attribute (Vendor-Specific Attributes, VSAs) für die dynamische VLAN-Zuweisung wurden in den Cloud-RADIUS-Richtlinien nicht korrekt konfiguriert. Sie müssen sicherstellen, dass die exakten VSA-Strings, die im alten NPS-Server verwendet wurden, in der Cloud-Umgebung repliziert werden, damit das NAS weiß, welches VLAN dem Benutzer zugewiesen werden soll.

Q3. Ein Client-Gerät scheitert wiederholt an der EAP-TLS-Authentifizierung gegenüber dem neuen Cloud-RADIUS-Dienst, funktioniert aber problemlos mit dem alten NPS-Server. Die Geräte-Logs zeigen einen Fehler "untrusted server" (nicht vertrauenswürdiger Server). Wie lösen Sie dieses Problem?

Hinweis: EAP-TLS erfordert, dass der Client der Identität des Servers vertraut.

Musterlösung anzeigen

Das Client-Gerät verfügt nicht über die Root-Zertifizierungsstelle (Root CA), die das Zertifikat des Cloud-RADIUS-Servers ausgestellt hat, in seinem Speicher für vertrauenswürdige Stammzertifikate. Sie müssen die Root CA mithilfe einer Mobile Device Management (MDM)-Lösung oder einer Gruppenrichtlinie auf dem Client-Gerät bereitstellen.

Weiterlesen in dieser Reihe

The Security Benefits of RADIUS as a Service for Hybrid Workforces

This technical reference guide explains how RADIUS as a Service secures network access for hybrid workforces across distributed venues. It covers the architecture, security benefits, and deployment steps for replacing on-premise RADIUS infrastructure with a cloud-managed authentication service. For IT managers and network architects at hotels, retail chains, stadiums, and public-sector organisations, this guide provides the evidence needed to evaluate and act on a cloud RADIUS migration this quarter.

Integrating RADIUS as a Service mit Cloud-Verzeichnissen (Azure AD & Google Workspace)

Dieser technische Leitfaden beschreibt detailliert, wie Sie RADIUS as a Service in Cloud-Verzeichnisse – Microsoft Entra ID und Google Workspace – für die WiFi-Authentifizierung in Unternehmen integrieren. Er behandelt den architektonischen Wechsel von On-Premise-NPS zu Cloud-nativem RADIUS, die Bereitstellung von zertifikatsbasierter EAP-TLS-Authentifizierung sowie die bewährten Betriebsmethoden zur Absicherung des drahtlosen Netzzugangs in den Bereichen Gastgewerbe, Einzelhandel und im öffentlichen Sektor. Für IT-Manager und Netzwerkarchitekten, die bereits in Cloud-Identitäten investiert haben, schließt dieser Leitfaden die Lücke zwischen Verzeichnisverwaltung und physischer Netzwerksicherheit.

So implementieren Sie die 802.1X-Authentifizierung mit Cloud RADIUS

Dieser technische Leitfaden bietet einen umfassenden Rahmen für die Implementierung der 802.1X-Authentifizierung mit Cloud RADIUS in verteilten Unternehmensstandorten. Er beschreibt detailliert die Architektur, die Auswahl der EAP-Methode, die Bereitstellungsreihenfolge und die Strategien zur Risikominderung, die zur Sicherung des Netzwerkzugriffs erforderlich sind, während gleichzeitig der betriebliche Aufwand für eine On-Premises-Infrastruktur entfällt.