Exportar (0) Imprimir
Expandir todo

Prácticas recomendadas de IAS

Actualizado: enero de 2005

Se aplica a: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

 

Prácticas recomendadas de IAS

En este tema se proporcionan las prácticas recomendadas para implementar y configurar IAS en base a las recomendaciones del Servicio de soporte técnico de Microsoft.

Sugerencias de instalación

Antes de instalar IAS, realice lo siguiente:

  • Instale y compruebe cada uno de los servidores de acceso mediante métodos de autenticación local antes de convertirlos en clientes RADIUS.

  • Después de instalar y configurar IAS, guarde la configuración con el comando netsh aaaa show config > rutaDeAcceso\archivo.txt. Para obtener más información, vea Comandos Netsh para AAAA. Cada vez que se realice un cambio, guarde la configuración de IAS con el comando netsh aaaa show config > rutaDeAcceso\archivo.txt.

  • No instale Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition o Windows Server 2003, Datacenter Edition en la misma partición que Windows 2000. Estos sistemas operativos utilizan archivos comunes de la carpeta raízDelSistema\Archivos de programa para obtener acceso a la base de datos de IAS. Si decide instalar Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition o Windows Server 2003, Datacenter Edition en la misma partición que Windows 2000, puede que IAS de Windows 2000 ya no pueda tener acceso a las directivas de acceso remoto o al registro de acceso remoto.

  • No configure un servidor que ejecuta IAS o Enrutamiento y acceso remoto y Windows Server 2003 como miembro de un dominio de Windows NT Server 4.0 si la base de datos de cuentas de usuario está almacenada en un controlador de dominio de Windows Server 2003 en otro dominio. Si lo hace, las consultas del Protocolo ligero de acceso a directorios (LDAP) desde el servidor IAS al controlador de dominio de Windows Server 2003 producirán un error.

  • En su lugar, configure el servidor que ejecuta IAS o Enrutamiento y acceso remoto y Windows Server 2003 como miembro de un dominio de Windows Server 2003. Como alternativa, puede configurar un servidor que ejecuta IAS y Windows Server 2003 como un servidor proxy que reenvía las solicitudes de autenticación y administración de cuentas a otro servidor que ejecuta IAS y Windows Server 2003 que puede tener acceso a la base de datos de cuentas de usuario en el controlador de dominio de Windows Server 2003. Para obtener más información, vea Implementar IAS como un proxy RADIUS.

cuestiones de seguridad

Cuando administre un servidor IAS de forma remota, no envíe datos confidenciales (por ejemplo, contraseñas o secretos compartidos) a través de la red en texto sin formato. Se recomiendan dos métodos para la administración remota de servidores IAS:

  • Utilice Servicios de Terminal Server para obtener acceso al servidor IAS.

    Al utilizar Servicios de Terminal Server, los datos no se envían entre el cliente y el servidor. Sólo se envía la interfaz de usuario del servidor (por ejemplo, el escritorio del sistema operativo y la imagen de la consola de IAS) al cliente de Servicios de Terminal Server, que se denomina Conexión a Escritorio remoto en Windows XP. El cliente envía información del teclado y el <i>mouse</i> (ratón), que procesa localmente el servidor que tiene habilitados los Servicios de Terminal Server. Cuando los usuarios de Servicios de Terminal Server inician la sesión, sólo pueden ver sus sesiones de cliente individuales, que administra el servidor y que son independientes unas de otras. Además, Conexión a Escritorio remoto proporciona un cifrado de 128 bits entre el cliente y el servidor. Para obtener más información, vea Servicios de Terminal Server.

  • Utilice IPSec para cifrar datos confidenciales.

    Puede utilizar IPSec para cifrar la comunicación entre el servidor IAS y el equipo cliente remoto que se utiliza para administrarlo. Para poder administrar el servidor de manera remota, se debe instalar el Paquete de herramientas de administración de Windows Server 2003 en el equipo cliente y agregar el complemento IAS a Microsoft Management Console (MMC). Para obtener más información, vea Reglas de directiva IPSec.

El servidor IAS proporciona la autenticación, la autorización y el recuento de los intentos de conexión a la red de la organización. Puede proteger el servidor IAS y los mensajes RADIUS de intrusiones internas y externas no deseadas. Para obtener más información acerca de cómo proteger el servidor IAS, vea Proteger IAS.

Para obtener información adicional acerca de la seguridad del tráfico de RADIUS cuando se utiliza IAS como servidor RADIUS, vea Consideraciones de seguridad de IAS como servidor RADIUS. Para obtener información adicional acerca de la seguridad del tráfico de RADIUS cuando se utiliza IAS como proxy RADIUS, vea IAS como consideración de seguridad del proxy RADIUS.

Utilizar el comando Runas para administrar servidores IAS locales

Puede utilizar el comando Runas para realizar tareas administrativas cuando ha iniciado la sesión como miembro de un grupo que no tiene las credenciales administrativas necesarias (como el grupo Usuarios o el grupo Usuarios avanzados). Conviene iniciar la sesión en el servidor sin credenciales administrativas porque se protege al equipo de posibles ataques a la seguridad, como la instalación accidental de un virus informático.

Registro

Hay dos tipos de registros en IAS:

  1. Registro de sucesos para IAS Puede utilizar el registro de sucesos para introducir sucesos de IAS en el registro de sucesos del sistema. Se utiliza principalmente en la auditoría y solución de problemas de intentos de conexión.

  2. Registrar solicitudes de autenticación y cuentas de usuario Puede registrar solicitudes de autenticación y administración de cuentas de usuario en archivos de registro en formato de texto o de base de datos, o en un procedimiento almacenado en una base de datos de SQL Server 2000. El registro de solicitudes se utiliza principalmente en el reparto y el análisis de conexiones, y también resulta de utilidad como herramienta de investigación de la seguridad, al proporcionar un método de seguimiento de la actividad de un intruso.

Para aprovechar las posibilidades de registro de IAS de la forma más efectiva:

  • Primero, active el registro tanto en los registros de autenticación como en los de cuentas. Una vez que haya determinado qué es lo más adecuado para el entorno, modifique estas selecciones.

  • Asegúrese de que el registro de sucesos se ha configurado con capacidad suficiente para el mantenimiento de los registros.

  • Haga copias de seguridad de todos los archivos de registro de forma periódica, ya que los registros no se pueden volver a crear si han sufrido daños o han sido eliminados.

  • Utilice el atributo Class RADIUS para hacer un seguimiento del uso y simplificar la identificación del departamento o usuario al que se va a cargar el uso. Aunque el atributo Class, generado automáticamente, es único para cada solicitud, es posible que se produzcan registros duplicados si se pierde una respuesta enviada al servidor de acceso y éste vuelve a enviar la solicitud. Quizás necesite eliminar las solicitudes duplicadas de los registros para que el seguimiento del uso sea más preciso.

  • Para proporcionar capacidad de conmutación por error y redundancia con el registro de SQL Server, sitúe dos equipos que ejecuten SQL Server en subredes diferentes. Utilice el Asistente para creación de publicaciones de SQL Server para configurar la réplica de la base de datos entre los dos servidores. Para obtener más información, vea la documentación de SQL Server 2000.

Puede utilizar la herramienta Iasparse.exe que se encuentra en la carpeta \Support\Tools del disco compacto de Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition o Windows Server 2003, Datacenter Edition para ver registros de IAS.

Para obtener más información, vea Registro de acceso remoto.

Ajuste del rendimiento de IAS

  • Para optimizar los tiempos de respuesta de autenticación y autorización de IAS y minimizar el tráfico de la red, instale IAS en un controlador de dominio.

  • Cuando se utilizan nombres principales universales (UPN, Universal Principal Name) o dominios de Windows Server 2003, IAS emplea el catálogo global para autenticar a los usuarios. Para reducir el tiempo que tarda en hacer esto, instale IAS en un servidor de catálogo global o en uno que esté en la misma subred. Para obtener más información, vea Función del catálogo global. Para obtener más información acerca de la funcionalidad de los dominios, vea Funcionalidad de dominios y bosques.

  • Si tiene configurados grupos de servidores RADIUS remotos y, en Directivas de petición de conexión del servidor proxy RADIUS, desactiva la casilla de verificación Registrar información de control de cuentas de servidores en el grupo remoto de servidores RADIUS siguiente, se siguen enviando mensajes de notificación de inicio y término del servidor de acceso a la red (NAS) a estos grupos. Esto crea tráfico de red innecesario. Para eliminar dicho tráfico, deshabilite el reenvío de notificaciones de NAS para cada servidor de cada grupo de servidores remotos RADIUS mediante la desactivación de la casilla de verificación Reenviar a este servidor las notificaciones de inicio y término de servidores de acceso a red. Para obtener más información, vea Establecer la configuración de autenticación y cuentas de un miembro de grupo y Configurar las cuentas.

Utilizar IAS en grandes organizaciones

  • Si utiliza directivas de acceso remoto para limitar el acceso a todos los grupos a excepción de unos cuantos, cree un grupo universal para todos los usuarios a los que desee conceder acceso y cree una directiva de acceso remoto que conceda acceso a dicho grupo universal. No incluya todos los usuarios directamente en el grupo universal, sobre todo si hay un gran número de usuarios en la red. En su lugar, cree grupos distintos que sean miembros del grupo universal y agregue usuarios a dichos grupos. Para obtener más información acerca de los grupos universales, vea Ámbito de grupo. Para obtener más información acerca de cómo restringir y conceder acceso a un grupo, vea Permitir la conexión de acceso telefónico mediante la pertenencia a grupos.

  • Siempre que sea posible, utilice un nombre principal de usuario para hacer referencia a los usuarios. Los usuarios pueden tener el mismo nombre principal de usuario, sea cual sea el dominio al que pertenezcan. Esto proporciona la escalabilidad que puede ser necesaria para las organizaciones que dispongan de un gran número de dominios.

  • Si el servidor IAS se encuentra en un equipo que no es un controlador de dominio y está recibiendo una gran cantidad de solicitudes de autenticación por segundo, puede mejorar el rendimiento si aumenta el número de autenticaciones simultáneas entre el servidor IAS y el controlador de dominio.

    Para ello, modifique la siguiente clave del Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters. Agregue un nuevo valor denominado MaxConcurrentApi y asígnele un valor entre 2 y 5.

Precaución

  • La modificación incorrecta del Registro puede dañar gravemente el sistema. Antes de realizar cambios en el Registro, debe hacer una copia de seguridad de los datos de valor que contenga el equipo.

Notas

  • Si se asigna un valor demasiado alto a MaxConcurrentApi, el servidor IAS podría colocar una carga excesiva en el controlador de dominio.

  • Para equilibrar de manera efectiva la carga de un gran número de autorizaciones o un gran volumen de tráfico de autenticación de RADIUS (como una implementación inalámbrica a gran escala mediante autenticación basada en certificados), instale IAS como servidor RADIUS en todos los controladores de dominio. A continuación, configure dos o más servidores proxy IAS para reenviar las solicitudes de autenticación entre los servidores de acceso y los servidores RADIUS. Después, configure los servidores de acceso que van a utilizar los servidores proxy IAS como servidores RADIUS. Para obtener más información, vea Utilizar el proxy IAS para el equilibrio de carga.

  • Puede configurar IAS en Windows Server 2003, Standard Edition, con un máximo de 50 clientes de RADIUS y 2 grupos de servidores RADIUS remotos. Puede definir un cliente de RADIUS mediante un nombre de dominio completo o una dirección IP, pero no puede definir grupos de clientes de RADIUS mediante un intervalo de direcciones IP. Si el nombre de dominio completo de un cliente de RADIUS se resuelve como varias direcciones IP, el servidor IAS utiliza la primera dirección IP devuelta en la consulta DNS. Con IAS en Windows Server 2003, Enterprise Edition y Windows Server 2003, Datacenter Edition, puede configurar un número ilimitado de clientes de RADIUS y grupos de servidores RADIUS remotos. Además, puede configurar clientes de RADIUS si especifica un intervalo de direcciones IP.

¿Te ha resultado útil?
(Caracteres restantes: 1500)
Gracias por sus comentarios

Adiciones de comunidad

AGREGAR
Mostrar:
© 2014 Microsoft