(0) exportieren Drucken
Alle erweitern
Dieser Artikel wurde noch nicht bewertet - Dieses Thema bewerten.

Empfehlungen zu IAS

Letzte Aktualisierung: Januar 2005

Betrifft: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

 

Empfehlungen zu IAS

Dieser Abschnitt enthält Empfehlungen zum Implementieren und Konfigurieren von IAS, basierend auf Empfehlungen von Microsoft Support Services.

Installationsvorschläge

Führen Sie vor der Installation von IAS die folgenden Aktionen aus:

  • Installieren und testen Sie alle Zugriffsserver mithilfe lokaler Authentifizierungsmethoden, bevor Sie sie als RADIUS-Clients einrichten.

  • Speichern Sie nach dem Installieren und Konfigurieren von IAS die Konfiguration mit dem Befehl netsh aaaa show config > Pfad\Datei.txt. Weitere Informationen finden Sie unter Netsh-Befehle für AAAA. Speichern Sie die IAS-Konfiguration jedes Mal, wenn eine Änderung vorgenommen wird, mit dem Befehl netsh aaaa show config > Pfad\Datei.txt.

  • Installieren Sie Windows Server 2003 Standard Edition; Windows Server 2003 Enterprise Edition oder Windows Server 2003 Datacenter Edition nicht auf derselben Partition wie Windows 2000. Diese Betriebssysteme verwenden gemeinsame Dateien im Ordner systemroot\Programme für den Zugriff auf die IAS-Datenbank. Wenn Sie Windows Server 2003 Standard Edition; Windows Server 2003 Enterprise Edition oder Windows Server 2003 Datacenter Edition auf derselben Partition wie Windows 2000 installieren, kann IAS unter Windows 2000 nicht mehr auf RAS-Richtlinien oder die RAS-Protokollierung zugreifen.

  • Konfigurieren Sie einen Server unter Windows Server 2003, auf dem IAS oder Routing und RAS ausgeführt wird, nicht als Mitglied einer Windows NT Server 4.0-Domäne, wenn die Benutzerkontendatenbank auf einem Domänencontroller unter einem Betriebssystem der Windows Server 2003-Produktfamilie in einer anderen Domäne gespeichert ist. Sollten Sie dies dennoch ausführen, verursachen Abfragen mit Lightweight Directory Access-Protokollen (LDAP) Fehler, die vom IAS-Server an den Domänencontroller unter der Windows Server 2003-Produktfamilie ausgeführt werden.

  • Konfigurieren Sie den Server, der IAS oder Routing und RAS und ein Betriebssystem der Windows Server 2003-Produktfamilie ausführt, als Mitglied der Windows Server 2003-Domäne. Alternativ können Sie einen Server, der IAS und ein Betriebssystem der Windows Server 2003-Produktfamilie ausführt, als Proxyserver konfigurieren, der Authentifizierungs- und Kontoführungsanforderungen an einen anderen Server weiterleitet, der IAS und ein Betriebssystem der Windows Server 2003-Produktfamilie ausführt und auf die Benutzerkontendatenbank auf einem Domänencontroller unter einem Betriebssystem der Windows Server 2003-Produktfamilie zugreifen kann. Weitere Informationen finden Sie unter Bereitstellen von IAS als RADIUS-Proxy.

Sicherheitsprobleme

Senden Sie bei der Remoteverwaltung eines IAS-Servers kritische oder vertrauliche Daten (z. B. gemeinsame geheime Schlüssel oder Kennwörter) nicht im Nur-Text-Format über das Netzwerk. Zwei Methoden werden für die Remoteverwaltung von IAS-Servern empfohlen:

  • Verwenden der Terminaldienste für den Zugriff auf den IAS-Server

    Wenn Sie Terminaldienste verwenden, werden zwischen Client und Server keine Daten gesendet. Nur die Benutzeroberfläche des Servers (z. B. der Desktop des Betriebssystems und das IAS-Konsolenabbild) wird an den Terminaldiensteclient gesendet, was in Windows XP als Remotedesktopverbindung bezeichnet wird. Der Client sendet Tastatur- und Mauseingaben, die lokal von dem Server verarbeitet werden, auf dem die Terminaldienste aktiviert sind. Wenn sich Terminaldienstebenutzer anmelden, sehen sie nur ihre eigenen Clientsitzungen, die vom Server verwaltet werden und voneinander unabhängig sind. Darüber hinaus ermöglicht die Remotedesktopverbindung die 128-Bit-Verschlüsselung zwischen Client und Server. Weitere Informationen finden Sie unter Terminaldienste.

  • Verwenden von IPSec zum Verschlüsseln vertraulicher Daten

    Mit IPSec können Sie die Kommunikation zwischen dem IAS-Server und dem Remoteclientcomputer, der für die Verwaltung verwendet wird, verschlüsseln. Für die Remoteverwaltung des Servers müssen die Windows Server 2003-Verwaltungsprogramme auf dem Clientcomputer installiert sein, und das IAS-Snap-In muss zur Microsoft Management Console (MMC) hinzugefügt werden. Weitere Informationen finden Sie unter IPSec-Richtlinienregeln.

Ihr IAS-Server bietet Authentifizierung, Autorisierung sowie Kontoführung für Verbindungsversuche mit dem Netzwerk Ihrer Organisation. Sie können Ihren IAS-Server und RADIUS-Meldungen vor unerwünschten internen und externen Zugriffen schützen. Weitere Informationen zum Schützen Ihres IAS-Servers finden Sie unter Schützen von IAS.

Zusätzliche Informationen zum Schützen des RADIUS-Datenverkehrs bei Verwendung von IAS als RADIUS-Server finden Sie unter Sicherheitsüberlegungen bei Verwendung von IAS als RADIUS-Server. Zusätzliche Informationen zum Schützen des RADIUS-Datenverkehrs bei Verwendung von IAS als RADIUS-Proxy finden Sie unter IAS als RADIUS-Proxy (Sicherheitsüberlegungen).

Verwalten lokaler IAS-Server mit dem Befehl 'Runas'

Mit dem Befehl Runas führen Sie Verwaltungsaufgaben aus, wenn Sie als Mitglied einer Gruppe angemeldet sind, die nicht über die erforderlichen administrativen Anmeldeinformationen verfügt (z. B. die Gruppe Benutzer oder die Gruppe Hauptbenutzer). Das Anmelden am Server ohne administrative Anmeldeinformationen wird empfohlen, weil dadurch der Computer vor einer Vielzahl möglicher Sicherheitsproblemen geschützt wird, z. B. die versehentliche Installation eines Computervirus.

Protokollierung

In IAS gibt es zwei Protokollierungstypen:

  1. Ereignisprotokollierung für IAS Mit der Ereignisprotokollierung werden IAS-Ereignisse im Systemereignisprotokoll aufgezeichnet. Dieser Protokollierungstyp wird in erster Linie zur Überwachung und Problembehandlung von Verbindungsversuchen verwendet.

  2. Protokollieren von Anforderungen für Benutzerauthentifizierung und -kontoführung Sie können Anforderungen für Benutzerauthentifizierung und Kontoführung in Protokolldateien im Text- oder Datenbankformat aufzeichnen, oder aber als gespeicherte Prozedur in einer SQL Server 2000-Datenbank. Die Anforderungsprotokollierung wird hauptsächlich zur Verbindungsanalyse und zu Abrechnungszwecken verwendet; sie ist aber auch bei der Sicherheitsüberprüfung hilfreich, da damit Aktivitäten eines Angreifers ermittelt werden können.

So nutzen Sie die IAS-Protokollierung am effizientesten:

  • Aktivieren Sie zunächst die Protokollierung für Authentifizierungs- und Kontoführungseinträge. Bearbeiten Sie diese Einträge, nachdem Sie die für Ihre Umgebung geeigneten Einstellungen ermittelt haben.

  • Stellen Sie bei der Konfiguration der Ereignisprotokollierung sicher, dass zum Verwalten der Protokolle ausreichend Speicherkapazität zur Verfügung steht.

  • Sichern Sie regelmäßig alle Protokolldateien, da Protokolle nicht wiederhergestellt werden können, wenn sie beschädigt oder gelöscht werden.

  • Verwenden Sie das Class-RADIUS-Attribut zum Protokollieren der Verwendung und zum einfacheren Identifizieren, welcher Abteilung bzw. welchem Benutzer die Verwendung zugerechnet werden kann. Zwar ist das automatisch generierte Class-Attribut für jede Anforderung eindeutig, aber doppelte Datensätze können vorhanden sein, wenn die Antwort an den Zugriffsserver verloren geht und die Anforderung erneut gesendet wird. Möglicherweise müssen Sie doppelte Anforderungen in den Protokollen löschen, um die Verwendung ordnungsgemäß zu überwachen.

  • Um Failover und Redundanz für die SQL Server-Protokollierung zu unterstützen, verwenden Sie zwei Computer mit SQL Server in verschiedenen Subnetzen. Richten Sie mit dem Publikationserstellungs-Assistenten von SQL Server die Datenbankreplikation zwischen den beiden Servern ein. Weitere Informationen finden Sie in der Dokumentation zu SQL Server 2000.

Mit dem Programm Iasparse.exe im Ordner \Support\Tools auf der CD zu Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise Edition oder Windows Server 2003 Datacenter Edition können Sie IAS-Protokolle anzeigen.

Weitere Informationen finden Sie unter RAS-Protokollierung.

Optimieren von IAS

  • Installieren Sie IAS auf einem Domänencontroller, um die IAS-Authentifizierung und die Autorisierungsantwortzeiten zu optimieren und den Netzwerkverkehr zu reduzieren.

  • Wenn UPNs (Universal Principal Names) oder Windows Server 2003-Domänen verwendet werden, authentifiziert IAS die Benutzer mithilfe des globalen Katalogs. Um den Zeitaufwand hierfür zu reduzieren, installieren Sie IAS auf einem globalen Katalogserver oder auf einem Server, der zum selben Subnetz gehört. Weitere Informationen finden Sie unter "Funktion des globalen Katalogs". Informationen zur Domänenfunktionalität finden Sie unter "Domänen- und Gesamtstrukturfunktionalität".

  • Wenn Sie Remote-RADIUS-Servergruppen konfiguriert haben und in IAS unter Verbindungsanforderungsrichtlinien das Kontrollkästchen Kontoführungsinformationen auf Servern in der folgenden Remote-RADIUS-Servergruppe aufzeichnen deaktivieren, werden weiterhin Start- und Stoppnachrichten des Netzwerkzugriffsservers (Network Access Server, NAS) an diese Gruppen gesendet. Dadurch entsteht unnötiger Netzwerkverkehr. Um diesen Verkehr zu eliminieren, deaktivieren Sie das Weiterleiten von NAS-Nachrichten für einzelne Server in jeder Remote-RADIUS-Servergruppe, indem Sie das Kontrollkästchen für die Weiterleitung der Start- und Stoppbenachrichtigungen des Netzwerkzugriffsservers an diesen Server deaktivieren. Weitere Informationen finden Sie unter Konfigurieren der Authentifizierungs- und Kontoführungseinstellungen eines Gruppenmitglieds und Konfigurieren der Kontoführung.

Verwenden von IAS in großen Organisationen

  • Wenn Sie RAS-Richtlinien verwenden, um den Zugriff auf bestimmte Gruppen zu beschränken, erstellen Sie eine universelle Gruppe für alle Benutzer, denen Zugriff gewährt werden soll, sowie eine RAS-Richtlinie, mit der dieser universellen Gruppe Zugriff gewährt wird. Machen Sie nicht alle Benutzer zu Mitgliedern der universellen Gruppe, vor allem dann nicht, wenn die Anzahl der Benutzer im Netzwerk sehr groß ist. Erstellen Sie stattdessen separate Gruppen, die Mitglieder der universellen Gruppe sind, und fügen Sie Benutzer zu diesen Gruppen hinzu. Weitere Informationen zu universellen Gruppen finden Sie unter Gruppenbereich. Weitere Informationen zum Beschränken oder Gewähren des Zugriffs auf eine Gruppe finden Sie unter Zulassen von DFÜ-Verbindungen über die Gruppenmitgliedschaft.

  • Verwenden Sie für Verweise auf Benutzer möglichst immer den Prinzipalnamen des Benutzers. Ein Benutzer kann unabhängig von der Domänenmitgliedschaft denselben Benutzerprinzipalnamen aufweisen. Dies bietet die für Organisationen mit vielen Domänen notwendige Skalierbarkeit.

  • Wenn sich der IAS-Server auf einem Computer befindet, der kein Domänencontroller ist und pro Sekunde eine große Anzahl von Authentifizierungsanforderungen empfängt, können Sie die Leistung optimieren, indem Sie die Anzahl gleichzeitiger Authentifizierungen zwischen dem IAS-Server und dem Domänencontroller erhöhen.

    Bearbeiten Sie zu diesem Zweck den folgenden Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters. Fügen Sie einen neuen Wert mit dem Namen MaxConcurrentApi hinzu, und weisen Sie ihm einen Wert zwischen 2 und 5 zu.

Vorsicht

  • Durch eine fehlerhafte Bearbeitung der Registrierung können ernsthafte Computerschäden verursacht werden. Bevor Sie Änderungen an der Registrierung vornehmen, sollten Sie alle wichtigen Computerdaten sichern.

Hinweise

  • Wenn Sie MaxConcurrentApi einen zu hohen Wert zuweisen, kann dies zu einer starken Beanspruchung des Domänencontrollers durch den IAS-Server führen.

  • Um die Last zahlreicher Autorisierungen bzw. eines hohen RADIUS-Authentifizierungsverkehrs (z. B. bei einer großen drahtlosen Implementierung, die die zertifikatbasierte Authentifizierung verwendet) auszugleichen, installieren Sie IAS als RADIUS-Server auf allen Ihren Domänencontrollern. Im nächsten Schritte konfigurieren Sie mindestens zwei IAS-Proxys für die Weiterleitung der Authentifizierungsanforderungen zwischen den Zugriffsservern und den RADIUS-Servern. Anschließend konfigurieren Sie für die Zugriffsserver die Verwendung der IAS-Proxys als RADIUS-Server. Weitere Informationen finden Sie unter Verwenden von IAS-Proxys für den Lastenausgleich.

  • Sie können IAS unter Windows Server 2003 Standard Edition konfigurieren, und zwar mit bis zu maximal 50 RADIUS-Clients und mit maximal 2 Remote-RADIUS-Servergruppen. Sie können einen RADIUS-Client definieren, indem Sie einen vollqualifizierten Domänennamen oder eine IP-Adresse verwenden. Allerdings können Sie keine RADIUS-Clientgruppen definieren, indem Sie einen IP-Adressbereich angeben. Wenn der vollqualifizierte Domänenname eines RADIUS-Clients in mehrere IP-Adressen aufgelöst wird, verwendet der IAS-Server die erste in einer DNS-Abfrage zurückgegebene IP-Adresse. Mit IAS unter Windows Server 2003 Enterprise Edition und Windows Server 2003 Datacenter Edition können Sie eine unbegrenzte Anzahl von RADIUS-Clients und Remote-RADIUS-Servergruppen konfigurieren. Sie können darüber hinaus RADIUS-Clients konfigurieren, indem Sie einen IP-Adressbereich angeben.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft. Alle Rechte vorbehalten.