Exporter (0) Imprimer
Développer tout

Méthodes conseillées pour IAS

Mis à jour: janvier 2005

S'applique à: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

 

Méthodes conseillées pour IAS

Cette rubrique indique les méthodes conseillées pour la mise en œuvre et la configuration du service IAS (Internet Authentication Service) ; elle s'inspire des recommandations des Services de Support Technique de Microsoft.

Suggestions d'installation

Avant d'installer le service IAS, effectuez les opérations suivantes :

  • Installez et testez chacun de vos serveurs d'accès (à l'aide de méthodes d'authentification locales) avant d'en faire des clients RADIUS.

  • Après avoir installé et configuré le service IAS, enregistrez la configuration à l'aide de la commande netsh aaaa show config >chemin_d'accès\fichier.txt. Pour plus d'informations, voir Commandes Netsh pour le contexte AAAA. Enregistrez la configuration IAS à l'aide de la commande netsh aaaa show config >chemin_d'accès\fichier.txt à chaque fois qu'une modification y est apportée.

  • N'installez pas Windows Server 2003, Standard Edition ; Windows Server 2003, Enterprise Edition ; ou Windows Server 2003, Datacenter Edition sur la même partition que Windows 2000. Ces systèmes d'exploitation utilisent des fichiers communs situés dans le dossier systemroot\Program Files pour accéder à la base de données IAS. Si vous décidez d'installer Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise Edition ou Windows Server 2003 Datacenter Edition sur la même partition que Windows 2000, IAS dans Windows 2000 ne peut plus accéder aux stratégies d'accès distant ni à la connexion par accès distant.

  • Ne configurez pas un serveur qui exécute IAS ou Routage et accès distant et Windows Server 2003 en tant que membre d'un domaine Windows NT Server 4.0 si votre base de comptes d'utilisateurs est stockée sur un contrôleur de domaine Windows Server 2003 d'un autre domaine. Une telle action entraînera l'échec des requêtes LDAP (Lightweight Directory Access Protocol) du serveur IAS adressées au contrôleur de domaine Windows Server 2003.

  • Configurez le serveur qui exécute IAS ou Routage et accès distant et Windows Server 2003 en tant que membre d'un domaine Windows Server 2003. Vous pouvez également configurer un serveur qui exécute IAS et Windows Server 2003 en tant que serveur proxy qui transfère les demandes d'authentification et de gestion de comptes à un autre serveur exécutant IAS et Windows Server 2003 et qui peut accéder à la base de données des comptes d'utilisateurs sur le contrôleur de domaine Windows Server 2003. Pour plus d'informations, voir Déploiement du service IAS en tant que proxy RADIUS.

Problèmes de sécurité

Lorsque vous administrez un serveur IAS à distant, n'envoyez pas de données sensibles ou confidentielles (telles que des secrets ou des mots de passe partagés) sur le réseau en texte clair. Il existe deux méthodes recommandées pour l'administration à distance des serveurs IAS :

  • Utiliser les services Terminal Server pour accéder au serveur IAS.

    Lorsque vous utilisez les services Terminal Server, aucune donnée n'est envoyée entre le client et le serveur. Seule l'interface utilisateur du serveur (par exemple le bureau du système d'exploitation et l'image de la console IAS) est envoyée au client des services Terminal Server, nommé Connexion Bureau à distance dans Windows XP. Le client envoie l'entrée du clavier et de la souris, qui est traitée localement par le serveur sur lequel les services Terminal Server sont activés. Lorsque des utilisateurs des services Terminal Server se connectent, ils ne peuvent afficher que leurs propres sessions clientes, qui sont gérées par le serveur et sont indépendantes les unes des autres. De plus, la Connexion Bureau à distance procure un cryptage 128 bits entre le client et le serveur. Pour plus d'informations, voir Services Terminal Server.

  • Utiliser le protocole IPSec pour crypter les données confidentielles.

    Vous pouvez utiliser le protocole IPSec pour crypter les communications entre le serveur IAS et l'ordinateur client distant utilisé pour l'administrer. Pour pouvoir administrer le serveur à distance, vous devez installer le jeu des Outils d'administration Windows Server 2003 sur l'ordinateur client et ajouter le composant logiciel enfichable IAS à la console MMC (Microsoft Management Console). Pour plus d'informations, voir Règles de stratégies IPSec.

Votre serveur IAS fournit une authentification, une autorisation et une comptabilité des tentatives de connexion au réseau de votre organisation. Vous pouvez protéger votre serveur IAS et les messages RADIUS contre toute intrusion interne et externe indésirable. Pour plus d'informations sur la sécurisation de votre serveur IAS, voir Sécurisation du service IAS.

Pour des informations supplémentaires sur la sécurisation du trafic RADIUS lorsque le service IAS est utilisé en tant que serveur RADIUS, voir Considérations relatives à la sécurité du service IAS en tant que serveur RADIUS. Pour des informations supplémentaires sur la sécurisation du trafic RADIUS lorsque le service IAS est utilisé en tant que proxy RADIUS, voir Considérations relatives à la sécurité du service IAS en tant que proxy RADIUS.

Utiliser la commande Runas pour administrer des serveurs IAS locaux

Vous pouvez utiliser la commande Runas pour exécuter des tâches administratives lorsque vous avez ouvert une session en tant que membre d'un groupe ne disposant pas des informations d'identification administratives obligatoires (tel que le groupe Utilisateurs ou le groupe Utilisateurs avec pouvoir). L'ouverture de session sur votre serveur sans informations d'identification administratives est recommandée car cela protège l'ordinateur contre différentes menaces pour la sécurité, telles que l'installation accidentelle d'un virus informatique.

Journalisation

Il existe deux types de journalisation dans IAS :

  1. Enregistrement des événements pour le service IAS Vous pouvez utiliser l'enregistrement des événements pour consigner des événements IAS dans le journal des événements système. Cette fonctionnalité s'utilise principalement pour l'audit et la résolution des problèmes liés aux tentatives de connexion.

  2. Journalisation des demandes d'authentification et de gestion des comptes utilisateurs Vous pouvez enregistrer les demandes d'authentification et de gestion de comptes soumises par les utilisateurs au format texte ou au format base de données, ou vous pouvez effectuer l'enregistrement dans une procédure stockée dans une base de données SQL Server 2000. L'enregistrement des demandes s'utilise principalement à des fins de facturation et d'analyse des connexions. Il est également utile en tant qu'outil d'investigation en cas de problème de sécurité, par exemple pour effectuer le suivi de l'activité d'un agresseur.

Pour tirer le meilleur parti des fonctionnalités de journalisation du service IAS

  • Dans un premier temps, activez la journalisation des enregistrements d'authentification et de comptabilité. Modifiez ces sélections après avoir déterminé ce qui est approprié pour votre environnement.

  • Vérifiez que l'enregistrement des événements est configuré avec une capacité suffisante pour gérer vos journaux.

  • Sauvegardez régulièrement tous les fichiers journaux car ils ne peuvent pas être recréés en cas de dommage ou de suppression.

  • Utilisez l'attribut de classe RADIUS pour assurer le suivi de l'utilisation et simplifier l'identification du service ou de l'utilisateur à qui facturer l'utilisation. Bien que l'attribut de classe généré automatiquement soit unique pour chaque demande, il est possible que des enregistrements dupliqués soient générés lorsque la réponse destinée au serveur d'accès est perdue et que la demande est renvoyée. Vous devrez peut-être supprimer les demandes dupliquées de vos journaux afin d'effectuer un suivi exact de l'utilisation.

  • Pour permettre le basculement et la redondance avec l'enregistrement SQL Server, placez deux ordinateurs SQL Server sur des sous-réseaux différents. Utilisez l'Assistant Création de publication de SQL Server pour configurer la réplication de la base de données entre les deux serveurs. Pour plus d'informations, voir la documentation de SQL Server 2000.

Pour afficher les journaux IAS, vous pouvez utiliser l'outil Iasparse.exe qui se trouve dans le dossier \Support\Tools sur le CD de Windows Server 2003 Standard Edition, de Windows Server 2003 Enterprise Edition ou de Windows Server 2003.

Pour plus d'informations, voir Journalisation des accès à distance.

Réglage des performances du service IAS

  • Pour optimiser les temps de réponse relatifs à l'authentification et à l'autorisation du service IAS et minimiser le trafic réseau, installez le service IAS sur un contrôleur de domaine.

  • Lorsque des noms UPN (Universal Principal Names) ou des domaines Windows Server 2003 sont utilisés, le service IAS utilise le catalogue global pour authentifier les utilisateurs. Pour minimiser le temps nécessaire à cette opération, installez le service IAS sur un serveur de catalogue global ou sur un serveur qui se trouve sur le même sous-réseau. Pour plus d'informations, voir Rôle du catalogue global. Pour plus d'informations sur la fonctionnalité du domaine, voir Fonctionnalité des domaines et des forêts.

  • Si vous configurez des groupes de serveurs RADIUS distants et si, dans les Stratégies de demande de connexion de IAS, vous désactivez la case à cocher Enregistrer les informations de gestion des comptes sur les serveurs dans le groupe de serveurs RADIUS distants suivant, ces groupes reçoivent toujours des messages de notification de démarrage et d'arrêt du serveur d'accès réseau. Cette situation génère un trafic réseau inutile. Pour éliminer ce trafic, désactivez la transmission des notifications du serveur d'accès réseau pour les différents serveurs de chaque groupe de serveurs RADIUS distants en désactivant la case à cocher Transmettre les notifications de démarrage et d'arrêt du serveur d'accès réseau vers ce serveur. Pour plus d'informations, voir Configurer les paramètres d'authentification et de gestion de comptes d'un membre du groupe et Configurer la gestion des comptes.

Utilisation du service IAS dans les grandes organisations

  • Si vous utilisez des stratégies d'accès distant pour limiter l'accès pour l'ensemble des groupes avec quelques exceptions, créez un groupe universel pour tous les utilisateurs auxquels vous souhaitez autoriser l'accès, puis créez une stratégie d'accès distant qui autorise l'accès pour ce groupe universel. N'incluez pas l'ensemble de vos utilisateurs directement dans le groupe universel, surtout si un grand nombre d'entre eux est connecté à votre réseau. Au lieu de cela, créez des groupes distincts membres du groupe universel et ajoutez des utilisateurs à ces groupes. Pour plus d'informations sur les groupes universels, voir Étendue du groupe. Pour plus d'informations sur la configuration des restrictions et des autorisations d'accès pour un groupe, voir Autoriser la connexion d'accès à distance en utilisant l'appartenance à un groupe.

  • Utilisez un nom d'utilisateur principal pour faire référence aux utilisateurs aussi souvent que possible. Un utilisateur peut avoir le même nom d'utilisateur principal quel que soit le domaine auquel il appartient. Cette pratique offre une adaptabilité qui peut être nécessaire dans les organisations ayant un nombre important de domaines.

  • Si le serveur IAS se trouve sur un ordinateur autre qu'un contrôleur de domaine et qu'il reçoit un très grand nombre de demandes d'authentification par seconde, vous pouvez améliorer les performances en augmentant le nombre d'authentifications simultanées entre le serveur IAS et le contrôleur de domaine.

    Pour cela, modifiez la clé de Registre suivante : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters. Ajoutez une nouvelle valeur MaxConcurrentApi et affectez-lui une valeur entre 2 et 5.

Attention

  • Une modification incorrecte du Registre peut endommager gravement votre système. Avant d'apporter des modifications au Registre, sauvegardez toutes les données de valeur présentes sur l'ordinateur.

Remarques

  • Si vous affectez une valeur trop élevée à MaxConcurrentApi, votre serveur IAS risque de placer une charge excessive sur votre contrôleur de domaine.

  • Pour équilibrer efficacement la charge imposée par un grand nombre d'autorisations ou par un trafic d'authentifications RADIUS élevé (par exemple dans le cas d'une grande implémentation sans fil utilisant une authentification basée sur certificats), installez le service IAS en tant que serveur RADIUS sur tous vos contrôleurs de domaine. Ensuite, configurez plusieurs proxy IAS pour transférer les demandes d'authentification entre les serveurs d'accès et les serveurs RADIUS. Pour finir, configurez vos serveurs d'accès de manière à utiliser les proxy IAS en tant que serveurs RADIUS. Pour plus d'informations, voir Utilisation du proxy IAS pour l'équilibrage de la charge.

  • Vous pouvez configurer IAS dans Windows Server 2003 Standard Edition avec un maximum de 50 clients RADIUS et deux groupes de serveurs RADIUS distants. Vous pouvez définir un client RADIUS en utilisant un nom de domaine complet ou une adresse IP, mais vous ne pouvez pas définir des groupes de clients RADIUS en spécifiant une plage d'adresses IP. Si le nom de domaine complet d'un client RADIUS est résolu en plusieurs adresses IP, le serveur IAS utilise la première adresse IP retournée dans la requête DNS. L'utilisation du service IAS dans Windows Server 2003 Enterprise Edition et Windows Server 2003 Datacenter Edition permet de configurer un nombre illimité de clients RADIUS et de groupes de serveurs RADIUS distants. De plus, vous pouvez configurer des clients RADIUS en spécifiant une plage d'adresses IP.

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Microsoft réalise une enquête en ligne pour recueillir votre opinion sur le site Web de MSDN. Si vous choisissez d’y participer, cette enquête en ligne vous sera présentée lorsque vous quitterez le site Web de MSDN.

Si vous souhaitez y participer,
Afficher:
© 2014 Microsoft