Exporter (0) Imprimer
Développer tout

Utilisation du proxy IAS pour l'équilibrage de la charge

Mis à jour: janvier 2005

S'applique à: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

Utilisation du proxy IAS pour l'équilibrage de la charge

Cette rubrique explique comment les proxy IAS, placés entre des serveurs d'accès et des serveurs IAS, peuvent être utilisés pour équilibrer la charge d'un volume élevé de trafic d'authentification. Sans les proxy IAS, chaque serveur d'accès répartit ses requêtes RADIUS sur plusieurs serveurs RADIUS et détecte les serveurs RADIUS non disponibles. L'utilisation de proxy IAS permet d'équilibrer la charge du trafic d'authentification, d'autorisation et de gestion de comptes en la répartissant sur tous les serveurs IAS de l'organisation. De plus, il existe un plan cohérent de détection de panne et de basculement de serveur RADIUS.

La configuration suivante concerne une organisation qui utilise :

  • des domaines Active Directory.

    Les domaines Active Directory contiennent les comptes d'utilisateurs, les mots de passe et les propriétés d'accès distant nécessaires à chaque serveur IAS pour authentifier les informations d'identification des utilisateurs et évaluer les contraintes d'autorisation et de connexion. Pour optimiser les temps de réponse relatifs à l'authentification et à l'autorisation du service IAS et minimiser le trafic réseau, le service IAS est installé sur des contrôleurs de domaine ;

  • plusieurs serveurs IAS.

    Pour équilibrer la charge de trafic RADIUS d'authentification, d'autorisation et de gestion de comptes sur plusieurs contrôleurs de domaine, le service IAS est installé sur ces contrôleurs de domaine en tant que serveur RADIUS ;

  • des stratégies d'accès distant.

    Les stratégies d'accès distant sont configurées pour spécifier, en fonction de l'appartenance au groupe, les différents types de contraintes de connexion pour les utilisateurs ;

  • deux proxy IAS.

    Deux proxy IAS sont utilisés pour fournir la tolérance de panne pour les requêtes RADIUS envoyées à partir des serveurs d'accès.

L'illustration suivante montre des proxy IAS utilisés pour équilibrer la charge du trafic RADIUS sur plusieurs serveurs IAS.

IAS dans un réseau périphérique

Remarque

  • Cette rubrique traite uniquement de la configuration du service IAS. Elle ne décrit pas la configuration des domaines Active Directory ni celle des serveurs d'accès. Pour plus d'informations sur la procédure à suivre pour déployer ces composants, voir les rubriques d'aide appropriées.

Pour configurer le service IAS pour cet exemple, procédez comme suit :

  • Configurez les forêts Active Directory pour les comptes d'utilisateurs et les groupes.

  • Configurez le serveur IAS sur les contrôleurs de domaine.

  • Configurez le proxy IAS principal.

  • Configurez le proxy IAS secondaire.

  • Configurez l'authentification et la gestion de comptes RADIUS sur les serveurs d'accès.

Configuration des forêts pour les comptes d'utilisateurs et les groupes

Pour configurer Active Directory pour les comptes d'utilisateurs et les groupes, procédez comme suit :

  1. Assurez-vous que tous les utilisateurs établissant des connexions d'accès réseau disposent d'un compte d'utilisateur correspondant.

  2. Gérez votre accès réseau par groupe en définissant l'autorisation d'accès distant sur les comptes d'utilisateurs sur Contrôler l'accès via la Stratégie d'accès distant. Pour plus d'informations, voir Configurer une autorisation d'accès distant pour un utilisateur.

  3. Organisez vos utilisateurs d'accès distants dans les groupes universels et imbriqués appropriés afin de pouvoir bénéficier des stratégies d'accès distant de groupe. Pour plus d'informations, voir Étendue du groupe.

  4. Si vous utilisez le protocole CHAP (Challenge-Handshake Authentication Protocol), activez la prise en charge des mots de passe cryptés réversibles pour les domaines appropriés. Pour plus d'informations, voir Activer les mots de passe à cryptage réversible dans un domaine.

Configuration du serveur IAS sur les contrôleurs de domaine

Pour configurer le service IAS en tant que serveur RADIUS sur chaque contrôleur de domaine, procédez comme suit :

  1. Sur le contrôleur de domaine, installez le service IAS en tant que composant de gestion de réseau optionnel. Pour plus d'informations, voir Installer le service IAS.

  2. Configurez l'ordinateur serveur IAS (le contrôleur de domaine) pour lire les propriétés des comptes d'utilisateurs dans le domaine. Pour plus d'informations, voir Activer le serveur IAS pour lire les comptes d'utilisateurs dans Active Directory.

  3. Si le serveur IAS authentifie les tentatives de connexion pour les comptes d'utilisateurs dans d'autres domaines, vérifiez que les autres domaines disposent d'une relation d'approbation bidirectionnelle avec le domaine auquel appartient l'ordinateur serveur IAS. Ensuite, configurez l'ordinateur serveur IAS pour lire les propriétés des comptes d'utilisateurs dans les autres domaines. Pour plus d'informations, voir Activer le serveur IAS pour lire les comptes d'utilisateurs dans Active Directory. Pour plus d'informations sur les relations d'approbation, voir Direction de l'approbation.

  4. Activez l'enregistrement des événements de gestion de comptes et d'authentification dans un fichier. Pour plus d'informations, voir Configurer les propriétés du fichier journal.

  5. Ajoutez les proxy IAS en tant que clients RADIUS du serveur IAS. Pour plus d'informations, voir Ajouter des clients RADIUS. Assurez-vous de configurer correctement le nom ou l'adresse IP et les secrets partagés. Pour plus d'informations, voir Secrets partagés.

  6. Créez les stratégies d'accès distant appropriées pour les clients d'accès.

    Pour obtenir des exemples de stratégies d'accès distant, voir Exemples de stratégies d'accès distant.

Configuration du proxy IAS principal

Pour configurer le proxy IAS principal, procédez comme suit :

  1. Sur un ordinateur exécutant Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition ou Windows Server 2003, Datacenter Edition, installez le service IAS en tant que composant de gestion de réseau optionnel. Pour plus d'informations, voir Installer le service IAS. Il n'est pas nécessaire que l'ordinateur sur lequel le service IAS est installé soit dédié au transfert des messages RADIUS. Par exemple, vous pouvez installer le service IAS sur un serveur Web, un serveur de fichiers ou un serveur DNS.

  2. Si nécessaire, configurez des ports UDP supplémentaires pour les messages RADIUS envoyés par les serveurs d'accès. Pour plus d'informations, voir Configurer les informations de port IAS. Par défaut, le service IAS utilise les ports UDP 1812 et 1645 pour l'authentification et les ports 1813 et 1646 pour la gestion de comptes.

  3. Ajoutez les serveurs d'accès en tant que clients RADIUS du serveur IAS. Pour plus d'informations, voir Ajouter des clients RADIUS. Assurez-vous de configurer correctement le nom ou l'adresse IP et les secrets partagés. Pour plus d'informations, voir Secrets partagés.

  4. Utilisez l'Assistant Nouveau groupe de serveurs distants RADIUS pour créer un groupe de serveurs RADIUS distants personnalisé. Ajoutez chaque serveur IAS en tant que membre du groupe de serveurs RADIUS distants et configurez chaque membre du groupe avec une priorité de 1 et un poids de 50.

  5. Créez une stratégie de demande de connexion qui transfère les messages de requête RADIUS vers les serveurs IAS lorsque le nom de domaine correspond aux comptes du domaine.

    Utilisez l'Assistant Stratégie de demande de nouvelle connexion pour créer une stratégie de demande de connexion qui transfère les demandes de connexion vers un serveur RADIUS distant et dans laquelle nom du domaine correspond au nom de domaine des comptes d'utilisateurs de la forêt. Désactivez la case à cocher qui supprime le nom de domaine pour l'authentification. Sélectionnez le groupe de serveurs RADIUS distants créé précédemment comme groupe auquel transférer les demandes de connexion.

    Pour plus d'informations, voir Ajouter une stratégie de demande de connexion.

  6. Supprimez la stratégie de demande de connexion par défaut nommée Utiliser l'authentification Windows pour tous les utilisateurs. Pour plus d'informations, voir Supprimer une stratégie de demande de connexion.

Configuration du proxy IAS secondaire

Pour configurer le proxy IAS secondaire sur un autre ordinateur, procédez comme suit :

  1. Sur un autre ordinateur exécutant Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition ou Windows Server 2003, Datacenter Edition, installez le service IAS en tant que composant de gestion de réseau optionnel. Pour plus d'informations, voir Installer le service IAS.

  2. Copiez la configuration du proxy IAS principal sur le proxy IAS secondaire. Pour plus d'informations, voir Copier la configuration IAS sur un autre serveur.

Configuration de l'authentification et de la gestion de comptes RADIUS sur les serveurs d'accès

Pour configurer chaque serveur d'accès de manière à utiliser les proxy IAS principal et secondaire pour l'authentification, l'autorisation et la gestion de comptes des connexions réseau, procédez comme suit :

  1. Si le serveur d'accès distant ou VPN est un ordinateur exécutant Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition, Windows Server 2003, Datacenter Edition ou Windows 2000 et le service de routage et d'accès distant, configurez les proxy IAS principal et secondaire en tant que serveurs RADIUS pour l'authentification et la gestion de comptes RADIUS. Pour plus d'informations, voir Utiliser l'authentification RADIUS et Utiliser la gestion de comptes RADIUS.

  2. Si le serveur d'accès distant ou VPN est un ordinateur exécutant Windows NT Server 4.0 et le service de routage et d'accès distant (RRAS, Routing and Remote Access Service), voir l'aide en ligne de Windows NT Server 4.0 pour obtenir des informations sur la configuration des proxy IAS principal et secondaire en tant que serveurs RADIUS pour l'authentification RADIUS.

  3. Si le serveur VPN ou d'accès distant est un serveur d'accès réseau tiers, voir la documentation de ce dernier pour déterminer la procédure à suivre pour le configurer en tant que client RADIUS avec deux serveurs RADIUS (proxy IAS principal et secondaire).

Remarque

  • Sous Windows Server 2003, Standard Edition, vous pouvez configurer IAS avec un nombre maximum de 50 clients RADIUS et un maximum de deux groupes de serveurs RADIUS distants. Vous pouvez définir un client RADIUS en utilisant un nom de domaine complet ou une adresse IP, mais vous ne pouvez pas définir des groupes de clients RADIUS en spécifiant une plage d’adresses IP. Si le nom de domaine complet d’un client RADIUS se résout en plusieurs adresses IP, le serveur IAS utilise la première adresse IP retournée dans la requête DNS. Le nombre de clients RADIUS et de groupes de serveurs RADIUS distants que vous pouvez configurer est illimité avec IAS sur Windows Server 2003 Enterprise Edition et Windows Server 2003 Datacenter Edition. De plus, vous pouvez configurer des clients RADIUS en spécifiant une plage d’adresses IP.

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

Afficher:
© 2014 Microsoft