Seite 2: Basis einrichten

Zertifikatsquerelen

Die Microsoft-eigene Radius-Implementierung setzt zumindest auf Seiten des Windows-Servers ein Zertifikat voraus, mit dem sich die Clients von seiner Vertrauenswürdigkeit überzeugen können. Will man kein offizielles Zertifikat kaufen, hilft ein selbst erzeugtes. Der Home Server 2011 und Essentials 2012 R2 generieren die nötigen Zertifikate automatisch, nicht jedoch die anderen Varianten. Auf diesen benötigen Sie eine Zertifizierungsstelle, die mit einem Active Directory verbunden ist.

Sollte Ihr Server bisher ohne laufen: Fügen Sie im Server-Manager die Rolle "Active Directory-Domänendienste" hinzu und folgen Sie den Hinweisen zur Konfiguration. Anschließend wählen Sie in der Rolle "Active Directory-Zertifikatsdienste" den Punkt "Zertifizierungsstelle" aus. Im Anschluss hilft wieder ein Assistent beim Einrichten der eigenen CA -- seine Vorgaben können Sie akzeptieren.

Bei den regulären Server-Varianten (Standard und Datacenter) müssen Sie abschließend die Zertifizierungsstelle benutzen, um das eigentliche Zertifikat zur Authentifizierung zu erstellen. Starten Sie dazu über Ausführen eine leere Management-Console (mmc.exe) und fügen Sie das Snap-In "Zertifikate" hinzu. Bearbeiten Sie die Zertifikate für das "Computerkonto".

Mit einem Rechtsklick auf "Eigene Zertifikate" können Sie ein neues Zertifikat anfordern. Die Vorgaben des Assistenten übernehmen Sie bis zum Schritt "Zertifikate anfordern". Dort wählen Sie "Domänencontrollerauthentifizierung" aus und klicken auf "Registrieren". Zwei Anmerkungen noch: Ohne Active Directory fehlen der Zertifizierungsstelle in diesem Schritt die Vorlagen. Und: Microsoft rät davon ab, die genannten Rollen auf dem selben Server zu installieren.