Gestion de l'infrastructure RADIUS et de la sécurité du réseau local sans fil

Article
02/23/2009

Dernière mise à jour le 08 juin 2004

Sur cette page

Dans ce module
Objectifs
S'applique à
Comment utiliser ce module
Tâches de maintenance essentielles
Rôles administratifs pour RADIUS et la sécurité du réseau local sans fil
Tâches de zone d'exploitation
Prise en charge des tâches de zone
Tâches d'optimisation de zone
Tâches de changement de zone
Tableaux de configuration
Informations complémentaires

Dans ce module

Ce module décrit les procédures opérationnelles requises pour gérer l'infrastructure RADIUS (Remote Authentication Dial-In User Service) et la sécurité de réseau local sans fil mise en œuvre dans le cadre de Sécurisation de réseaux locaux sans fil - Une solution des services de certificats de Microsoft® Windows Server™ 2003. Sa structure est basée sur les catégories et concepts MOF (Microsoft Operational Framework) abordés dans le premier module du Guide d'exploitation.

L'objectif de ce module est de vous permettre la mise en œuvre d'un système de gestion complet pour votre infrastructure RADIUS et la sécurisation de votre réseau local sans fil. Ceci inclut toutes les tâches de configuration requises pour commencer à surveiller et à gérer le système, ainsi que les tâches opérationnelles à effectuer à intervalle régulier, afin d'assurer son bon fonctionnement, et des procédures pour vous aider à gérer les incidents de prise en charge ou les modifications d'environnement et à optimiser les performances du système.

Objectifs

Ce module vous permettra d'effectuer les opérations suivantes :

comprendre les tâches à effectuer pour assurer une gestion sécurisée du système ;
affecter les rôles administratifs nécessaires à l'administration du système ;
disposer d'un document de référence pour la gestion de votre infrastructure RADIUS.

S'applique à

Ce module s'applique aux produits et technologies suivants :

Microsoft Windows Server 2003 ;
services d'authentification Microsoft IAS (Internet Authentication Services) ;
service d'annuaire Microsoft Active Directory®.

Comment utiliser ce module

Ce module décrit les étapes requises pour assurer la bonne gestion de l'environnement de votre infrastructure RADIUS. Le reste de ce module est destiné à servir de support de référence.

Pour tirer le meilleur parti de ce module :

Lisez le module « Introduction au Guide de sécurisation des opérations réseau sans fil ». Ceci vous permettra de comprendre le Microsoft Operations Framework (MOF), le module étant structuré sous la forme d'un Guide d'exploitation MOF.

Tâches de maintenance essentielles

Cette section dresse la liste des tâches clés à accomplir pour réussir l'exploitation de l'infrastructure RADIUS et de la sécurité du réseau local sans fil. Les tâches sont répertoriées sous la forme de deux tableaux : tâches de configuration uniques et tâches opérationnelles permanentes. Les tâches dont les noms apparaissent dans les tableaux sont décrites en détails dans la suite du document. Les tâches sont regroupées par zone MOF et la fonction de gestion des services (SMF) MOF dont la tâche fait partie apparaît en regard de la tâche pour vous permettre de retrouver plus facilement la tâche requise.

Cette section comprend également une liste d'outils et de technologies utilisés dans les procédures de ce module.

Tâches de configuration initiales

Ce tableau présente les tâches à effectuer pour démarrer l'exploitation de l'infrastructure RADIUS et de la sécurisation du réseau local sans fil. Selon votre standard et vos pratiques d'exploitation, vous ne devrez peut-être pas exécuter la totalité de ces tâches, mais il vous faudra tout de même consulter les informations détaillées relatives aux tâches pour déterminer de leur pertinence. Certaines de ces tâches peuvent également nécessiter une nouvelle exécution à un moment donné. Par exemple, si un nouveau serveur IAS est installé, vous devrez configurer des travaux de sauvegarde et de surveillance pour celui-ci.

Tableau 1 : Tâches de configuration initiales

Nom de la tâche	Cluster de rôle	MOF SMF
Zone d'exploitation
Ajout de clients RADIUS à des serveurs IAS	Infrastructure	Administration du réseau
Ajout d'ordinateurs à des groupes de stratégie de réseau sans fil	Infrastructure	Administration des services d'annuaire
Ajout d'ordinateurs et d'utilisateurs à des groupes de stratégie d'accès distant	Infrastructure	Administration des services d'annuaire
Catégorisation des alertes de surveillance	Infrastructure	Surveillance et contrôle des services
Surveillance des contraintes de capacité IAS	Infrastructure	Surveillance et contrôle des services
Configuration de l'exportation de configuration IAS	Opérations	Gestion du stockage
Exportation de la configuration de client RADIUS	Opérations	Gestion du stockage
Configuration de la sauvegarde des répertoires de données IAS	Opérations	Gestion du stockage
Test de la sauvegarde IAS	Opérations	Gestion du stockage
Optimisation de zone
Détermination de la charge maximum du serveur IAS	Infrastructure	Gestion de la capacité
Détermination des exigences de stockage et de sauvegarde pour un serveur IAS	Infrastructure	Gestion de la capacité
Changement de zone
Gestion des correctifs de système d'exploitation	Infrastructure	Gestion des modifications Gestion des versions

Bien qu'il n'y ait pas de tâche documentée pour la création d'un système de gestion de configuration pour l'infrastructure RADIUS et la sécurité du réseau local sans fil, vous devriez examiner les procédures dans la section Gestion des configurations. Elles décrivent les types d'informations à réunir et à maintenir pour la gestion des configurations.

Tâches de maintenance

Ce tableau présente les tâches à effectuer de façon régulière pour assurer le bon fonctionnement de votre infrastructure RADIUS et la sécurité de votre réseau local sans fil. Vous pouvez vous servir de ce tableau pour planifier les ressources nécessaires et le calendrier opérationnel pour l'administration du système.

L'exécution de certaines tâches ne sera peut-être pas nécessaire, mais vous devriez néanmoins consulter les informations détaillées relatives aux tâches afin de déterminer leur pertinence. Certaines de ces tâches devront également être exécutées occasionnellement ou selon un calendrier défini. Par exemple, si un client RADIUS est ajouté à un serveur IAS, vous devrez effectuer une exportation/sauvegarde de la configuration du serveur, même si cette opération n'est pas planifiée. Quand ce cas se présente, cela est mentionné dans la colonne de fréquence. Ce type de dépendances est également signalé directement dans les informations détaillées relatives aux tâches.

Tableau 2 : Tâches de maintenance permanentes

Nom de la tâche	Cluster de rôle	Fréquence
Ajout de clients RADIUS aux serveurs IAS	Infrastructure	Quand des points d'accès sans fil (AP) sont ajoutés au réseau.
Retrait de clients RADIUS du serveur IAS	Infrastructure	Quand des points d'accès sans fil (AP) sont retirés du réseau.
Ajout d'ordinateurs à des groupes de stratégie de réseau sans fil	Infrastructure	Quand des ordinateurs sont ajoutés au réseau.
Ajout d'ordinateurs et d'utilisateurs à des groupes de stratégie d'accès distant	Infrastructure	Quand des employés obtiennent un accès au réseau local sans fil.
Exportation de la configuration de client RADIUS	Opérations	Quand des points d'accès sans fil sont ajoutés au réseau.
Test de la sauvegarde IAS	Opérations	Mensuellement
Accès aux journaux de requêtes IAS RADIUS	Sécurité	Quotidiennement ou hebdomadairement (selon les exigences de sécurité)
Révision des entrées de journal des événements d'authentification IAS RADIUS	Sécurité	Quotidiennement ou hebdomadairement (selon les exigences de sécurité)
Archivage et suppression d'entrées de journal IAS RADIUS	Sécurité	Mensuellement
Gestion des correctifs de système d'exploitation		Quotidiennement

Technologies requises dans le guide d'exploitation

Le tableau suivant dresse une liste des outils ou technologies utilisées dans les procédures décrites dans ce guide.

Tableau 3 : Technologies requises

Nom de l'élément	Source
Console de gestion (MMC) pour utilisateurs et ordinateurs Active Directory	Windows Server 2003
MSS Scripts	Cette solution
Éditeur de texte	Bloc-notes – Windows Server 2003
Service Planificateur de tâches de Windows	Windows Server 2003
SchTasks.exe	Windows Server 2003
Windows Backup	Windows Server 2003
Observateur d'événements	Windows Server 2003
Analyseur de performances	Windows Server 2003
Net.exe	Windows Server 2003
Operational Alert Console	Microsoft Operations Manager (MOM)
Support amovible pour stockage hors machine	Disquette, CD-RW ou bande
Sauvegarde de serveur IAS	Service de sauvegarde professionnel ou périphérique de sauvegarde local
Console de gestion des stratégies de groupes	Téléchargement Web sur Microsoft.com
IASParse	Outils de support de Windows Server 2003
Microsoft Access 2002	Microsoft Office XP

Tableau 4 : Technologies recommandées

Nom de l'élément	Source
Operational Alert Console	Microsoft Operations Manager ou un autre système de surveillance de services
Infrastructure de courrier électronique – pour les alertes opérationnelles (alternative à MOM)	Serveur et client SMTP/POP3/IMAP, tel que Microsoft Exchange Server et un client de messagerie et de collaboration Microsoft Outlook®
Eventquery.vbs	Windows Server 2003
Outils de planification de capacité	Microsoft Operations Manager ou d'autres outils de planification de capacité
Système de distribution des correctifs	Microsoft Systems Management Server ou Microsoft Software Update Services

Rôles administratifs pour RADIUS et la sécurité du réseau local sans fil

Toute une série de rôles différents est impliquée dans la gestion d'une infrastructure RADIUS et de la sécurité du réseau local sans fil. Dans les deux sections suivantes, nous avons distingué entre rôles principaux et rôles secondaires.

Rôles principaux de RADIUS et de réseau local sans fil

Il s'agit des rôles tenant une place centrale dans la gestion d'une infrastructure RADIUS et de la sécurité du réseau local sans fil. Ces rôles correspondent à divers clusters de rôle MOF décrits dans le module « Introduction au Guide de planification de la sécurisation des réseaux locaux sans fil ».

Tableau 5 : Rôles principaux de RADIUS et de sécurité du réseau local sans fil

Nom du rôle	Cluster de rôle MOF	Finalité	Description
Administrateur du Service d'authentification Internet	Infrastructure	Entreprise	Responsable de l'administration et de la configuration globale des services IAS pour l'entreprise.
Auditeur du Service d'authentification Internet	Sécurité	Entreprise	Responsable de la révision, de l'archivage et de la suppression des journaux RADIUS situés sur des ordinateurs serveurs IAS.
Opérateur de sauvegarde du Service d'authentification Internet	Exploitation	Entreprise	Responsable de la sauvegarde et de la restauration de l'état de la configuration et des données d'historique IAS.
Personnel d'assistance du réseau local sans fil	Support	Entreprise	Chargés d'assistance senior responsables de la résolution des problèmes de réseau local sans fil.

Prise en charge des rôles pour RADIUS et la sécurité du réseau local sans fil

Il s'agit de rôles non essentiels à la gestion de l'infrastructure RADIUS et de la sécurité du réseau local sans fil, mais offrant des fonctions de prise en charge pour les rôles principaux.

Tableau 6 : Prise en charge des rôles pour RADIUS et la sécurité du réseau local sans fil

Nom du rôle	Cluster de rôle MOF	Finalité	Description
Opérateur de surveillance	Opérations	Entreprise	Responsable de la surveillance des événements.
Planificateur de capacité	Infrastructure	Entreprise	Responsable de l'analyse des performances et des charges afin de prévoir les besoins de capacité à venir.
Administrateur Active Directory	Infrastructure et prise en charge	Entreprise	Responsable de la configuration et de la prise en charge de l'infrastructure Active Directory.
Opérations Active Directory	Opérateur	Entreprise	Responsable de la maintenance au jour le jour des services d'annuaire, tels que la gestion des groupes de sécurité, la création de compte, etc.
Administrateur de bureau	Infrastructure et prise en charge	Entreprise	Responsable de la configuration et de la prise en charge des ordinateurs de bureau.
Comité d'approbation des modifications	Version	Entreprise	Réponses commerciales et techniques requises pour approuver les modifications de l'infrastructure.

Mappage de rôles aux groupes de sécurité

Le tableau ci-dessous dresse une liste des groupes de sécurité qui sont définis pour cette solution et décrit brièvement les privilèges et permissions de chaque groupe.

Pour les serveurs IAS, les groupes de sécurité du domaine et local sont utilisés pour appliquer les permissions applicables à chaque rôle. Les comptes de domaine sont utilisés pour peupler les groupes de rôle. Là aussi, des comptes uniques peuvent être membres de plusieurs groupes de rôles si ceci permet la prise en charge des stratégies de sécurité et informatique de votre organisation.

Tableau 7 : Mappage de rôles pour RADIUS et la sécurité du réseau local sans fil aux groupes de sécurité

Nom du rôle	Groupe de sécurité du domaine	Groupe de sécurité local	Privilèges
Administrateur du Service d'authentification Internet	IAS Admins	Administrateurs	Privilèges d'administration intégraux sur le serveur IAS, y compris le démarrage/l'arrêt du service IAS et la modification de sa configuration.
Auditeurs du Service d'authentification Internet	IAS Security Auditors	N/A	Capacité à lire et à détruire des fichiers-journaux de requêtes RADIUS sur le volume de consignation.
Opérateurs de sauvegarde IAS	N/A	Opérateurs de sauvegarde	Sauvegarde et restauration intégrale de l'état du système d'exploitation et des données de configuration IAS.
Personnel d'assistance du réseau local sans fil	N/A	N/A	Collabore avec les administrateurs IAS pour résoudre des problèmes d'authentification IAS (peut bénéficier de permissions de lecture sur les mêmes ressources que les auditeurs de sécurité IAS dans certains cas).

Tâches de zone d'exploitation

La zone d'exploitation englobe les standards, processus et procédures informatiques régulièrement appliqués aux solutions de service pour atteindre et maintenir les niveaux de service en conformité avec les paramètres prédéfinis. L'objectif de la zone d'exploitation est d'obtenir une exécution hautement prévisible des tâches quotidiennes, aussi bien manuelles qu'automatisées.

Cette section comporte des informations ayant trait aux fonctions de gestion des services ci-après :

Administration du réseau
Administration des services d'annuaire
Administration de la sécurité
Gestion du stockage
Surveillance et contrôle des services
Planification des travaux

Aucune tâche n'appartient aux fonctions de gestion des services restantes :

Gestion des systèmes
Gestion du réseau
Gestion des impressions et des sorties

Administration du réseau

Le rôle d'Administration du réseau est responsable de la conception et de la maintenance des composants physiques formant le réseau de l'organisation, tels que les serveurs, les routeurs, les commutateurs et les pare-feu. Dans le cas de réseaux sans fil, ceci comprend les points d'accès sans fil et la configuration des serveurs RADIUS pour assurer leur prise en charge.

Ajout de clients RADIUS à des serveurs IAS

Les points d'accès sans fil doivent bénéficier d'une autorisation pour procéder à l'authentification et à la comptabilité avec des serveurs IAS. L'activation de nouveaux points d'accès sans fil en tant que clients RADIUS est une des seules modifications incrémentielles nécessaires sur un serveur IAS de production déployé. Cette tâche autorise le point d'accès sans fil à prendre part à l'authentification et à la comptabilisation RADIUS avec le serveur IAS. Exécutez cette tâche chaque fois que de nouveaux points d'accès sans fil sont déployés et configurés pour prendre part à l'authentification réseau.

Responsable de cluster de rôle :	Infrastructure
Fréquence :	Quand de nouveaux points d'accès sans fil sont ajoutés au réseau.
Exigences de sécurité :	Être membre du groupe de sécurité IAS Admins.
Dépendances :	Informations concernant le point d'accès à ajouter Accès au disque des clients RADIUS pour chaque serveur (situé dans une zone de stockage sécurisée).
Technologie requise :	Module enfichable MMC (Microsoft Management Console) pour serveur d'authentification Internet (IAS) MSS Scripts (for GenPwd) Lecteur de disquette ou autre lecteur pour support amovible, accessible en écriture Disquette ou autre support amovible, accessible en écriture

Détail des tâches

Pour un maximum de sécurité, vous devriez ajouter chaque point d'accès sans fil à chaque serveur IAS avec un mot de passe pseudo-aléatoire (secret) unique dans ce couple. Le partage des secrets RADIUS entre points d'accès sans fil et serveurs RADIUS accroît le risque de voir le secret partagé ne pas rester secret pour très longtemps.

Windows Server 2003, Enterprise Edition, permet aux administrateurs d'ajouter des points d'accès sans fil sous forme groupée à IAS, en ajoutant le sous-réseau de client RADIUS dédié et en utilisant le secret partagé. Cette stratégie présente toutefois un risque de sécurité et devrait être mûrement réfléchie.

Cette solution met en œuvre des secrets cryptographiques aléatoires, qui sont générés par le script GenPwd inclus avec ces guides.

Pour ajouter individuellement des clients RADIUS à IAS
1. Depuis le module enfichable MMC du service d'authentification Internet (IAS), cliquez avec le bouton droit de la souris sur le dossier Clients RADIUS, puis sélectionnez Ajouter un client RADIUS.
2. Saisissez le Nom convivial et l' Adresse du client (IP ou DNS) correspondant au point d'accès sans fil. Optez pour l'adresse IP (Internet Protocol) plutôt que le nom de DNS (Domain Name System) si possible, car IAS tentera de résoudre chaque client RADIUS au démarrage du serveur, ce qui peut se répercuter sur les mesures de capacité du serveur dans des environnements de grande envergure comportant de nombreux points d'accès sans fil. Cliquez sur Suivant.
3. Sélectionnez RADIUS Standard en guise d'attribut client-fournisseur et saisissez le secret partagé correspondant à ce point d'accès sans fil en particulier.
  
  Remarque : les étapes suivantes nécessitent l'utilisation d'une disquette ou d'un autre support amovible, accessible en écriture. Munissez-vous d'un support de données formaté et étiquetez-le « Clients RADIUS pour serveur MSS-IAS-01 », en remplaçant « MSS-IAS-01 » par le nom de votre serveur IAS.
4. Vous pouvez utiliser le script GenPwd fourni avec ces guides pour générer un secret pseudo-aléatoire fort destiné à l'usage individuel de chaque WAP configuré comme client RADIUS. GenPwd génère un secret pour chaque client RADIUS et le stocke dans un fichier Clients.txt en l'associant à un nom convivial. GenPwd ajoute automatiquement les informations à un fichier Clients.txt, situé dans le répertoire actuel, sous la forme de valeurs séparées par des virgules. Si vous disposez cependant d'une méthode permettant de générer et de stocker des secrets RADIUS forts, vous pouvez l'utiliser en lieu et place des étapes GenPwd suivantes.
5. Ouvrez une ligne de commande et placez-vous dans le répertoire A:\. L'emplacement du répertoire au sein de votre système de fichiers est important car les nouvelles informations seront automatiquement ajoutées au fichier Clients.txt du répertoire actuel. Si le fichier Clients.txt n'existe pas, il est créé.
6. Exécutez la commande suivante, en remplaçant [nom client] par le nom convivial du point d'accès sans fil. Il peut s'agir d'un nom de DNS, d'une adresse IP ou d'une autre chaîne :
  
  cscript //job:GenPwd C:\MSSScripts\wl_tools.wsf /client:[nom client]
  
  Une fois créé, le fichier délimité par des virgules peut être facilement importé dans une feuille de calcul ou une application de base de données pour servir de référence ou être édité.
  
  Remarque : les secrets RADIUS devraient être modifiés à intervalle régulier pour chaque serveur IAS et point d'accès sans fil. Veillez à utiliser GenPwd ou un autre utilitaire pour générer des secrets forts et à stocker le nouveau secret et le nom de point d'accès sans fil dans le fichier Clients.txt.
7. Saisissez le secret partagé RADIUS dans les champs Secret partagé et Confirmer le secret partagé. Sélectionnez Les requêtes doivent contenir l'attribut de l'authentificateur de message et cliquez sur Terminer :
Remarque : la configuration d'attributs spécifiques à un constructeur peut être nécessaire pour assurer le bon fonctionnement de certains clients RADIUS. Consultez la documentation de votre constructeur pour en savoir plus sur les attributs qui lui sont spécifiques.

Retrait de clients RADIUS d'un serveur IAS

Le retrait de points d'accès sans fil existant en tant que clients RADIUS est une des seules modifications incrémentielles nécessaire sur un serveur IAS de production déployé. Cette tâche retire au point d'accès sans fil l'autorisation de prendre part à l'authentification et à la comptabilisation RADIUS avec le serveur IAS. Effectuez cette opération chaque fois que des points d'accès sans fil sont retirés, afin de désactiver leur droit à l'authentification et à la comptabilité avec des serveurs IAS.

Responsable de cluster de rôle :	Infrastructure
Fréquence :	Quand des points d'accès sans fil (AP) sont retirés du réseau.
Exigences de sécurité :	Membre du groupe des administrateurs IAS
Dépendances :	Informations client RADIUS, telles que l'adresse IP ou le nom
Technologie requise :	- module enfichable MMC du service d'authentification Internet (IAS) - éditeur de fichiers texte Notepad.exe

Détail de la tâche

Vous devriez retirer chaque point d'accès sans fil du serveur IAS indépendamment des autres et détruire l'entrée correspondante dans le fichier Clients.txt situé sur la disquette de sauvegarde des clients RADIUS. Le fichier Clients.txt est créé à l'aide de la procédure présentée dans le cadre de la tâche Exportation de la configuration de client RADIUS.

Pour retirer des clients RADIUS du serveur IAS
1. Depuis le module enfichable MMC du serveur d'authentification Internet (IAS), sélectionnez le dossier Clients RADIUS.
2. Dans le volet de droite, sélectionnez l'entrée correspondant au client RADIUS à supprimer et appuyez sur Supprimer.
3. Lorsque le programme vous demande de confirmer, choisissez Oui.
  
  Remarque : les étapes suivantes nécessitent l'utilisation de la disquette ou de tout autre support amovible accessible en écriture, étiqueté « Clients RADIUS Clients pour le serveur MSS-IAS-01 », qui a été créé dans une section précédente. Remplacez « MSS-IAS-01 » par le nom de votre serveur IAS. Veillez à utiliser le bon disque avec le serveur approprié pour éviter toute perte de données.
4. Munissez-vous de la disquette des clients RADIUS correspondant à ce serveur et ouvrez le fichier A:\Clients.txt avec le Bloc-notes.
5. Cherchez et supprimez l'entrée associée au client RADIUS à retirer.

Administration des services d'annuaire

Les services d'annuaire permettent aux utilisateurs et aux applications de trouver des ressources réseau telles que des utilisateurs, des serveurs, des applications, des outils, des services et d'autres informations à travers le réseau. L'administration des services d'annuaire traite du fonctionnement quotidien, de la maintenance et de la prise en charge de l'annuaire d'entreprise. L'objectif de l'administration des services d'annuaire consiste à garantir que les informations sont accessibles via le réseau à tout demandeur autorisé, par l'intermédiaire d'un processus simple et organisé.

Ajout d'ordinateurs à des groupes de stratégie de réseau sans fil

L'ajout d'ordinateurs à des groupes de sécurité de stratégie de groupe de réseau sans fil basée sur Active Directory permet la configuration automatisée des paramètres de réseau sans fil sur les ordinateurs clients. Exécutez cette tâche chaque fois qu'un nouvel ordinateur devant utiliser le réseau sans fil est adjoint à l'environnement.

Responsable de cluster de rôle :	Infrastructure
Fréquence :	Quand des ordinateurs mobiles sont ajoutés au réseau.
Exigences de sécurité :	- Administrateur de domaine ou permission d'ajouter des utilisateurs au groupe de sécurité Wireless Network Policy - Computer dans Active Directory
Dépendances :	- Wireless Network Group Policy Object (GPO) créé - Wireless Network Policy - Computer security group créé
Technologie requise :	Console de gestion (MMC) pour utilisateurs et ordinateurs Active Directory

Détail des tâches

Une fois que les stratégies de réseau sans fil sont configurées et fonctionnelles, l'ajout d'ordinateurs supplémentaires à l'application de contrôle des groupes de sécurité de la stratégie est relativement aisé.

Pour ajouter des ordinateurs au groupe de sécurité de stratégie de groupe de réseau sans fil
1. Dans Utilisateurs et ordinateurs Active Directory, cherchez le groupe de sécurité Wireless Network Policy
  - Computer correspondant à la stratégie de réseau sans fil à appliquer. Vous devez être connecté en tant qu'utilisateur possédant des autorisations de modification d'adhésion sur le groupe.
2. Ajoutez l'ordinateur au groupe de sécurité sélectionné.

Ajout d'ordinateurs et d'utilisateurs à des groupes de stratégie d'accès distant

L'ajout d'ordinateurs et d'utilisateurs à des groupes de stratégie d'accès distant permet leur accès autorisé au réseau local sans fil. IAS utilise l'adhésion de ce groupe au sein de la stratégie d'accès distant comme une condition devant être vérifiée avant d'autoriser l'accès. Vous devez ajouter les ordinateurs et les utilisateurs aux groupes de stratégie d'accès distant pour leur permettre d'être autorisés à accéder au réseau local sans fil.

Responsable de cluster de rôle :	Infrastructure
Fréquence :	Quand des utilisateurs se voient accorder l'accès au réseau local sans fil.
Exigences de sécurité :	Administrateur de domaine ou permission de modifier l'adhésion aux groupes de sécurité Remote Access Policy - Wireless Users et Remote Access Policy - Wireless Computers dans Active Directory.
Dépendances	Les groupes de sécurité de stratégie d'accès distant doivent avoir été créés au préalable. Des comptes ordinateur et utilisateur doivent exister dans Active Directory.
Technologie requise	Console de gestion (MMC) pour utilisateurs et ordinateurs Active Directory

Détail des tâches

Une fois les groupes de sécurité de stratégie d'accès distant créés, l'ajout d'ordinateurs supplémentaires à l'application de contrôle des groupes de sécurité de la stratégie est relativement aisé.

Pour ajouter des utilisateurs au groupe de sécurité de stratégie d'accès distant
1. Connectez-vous à un ordinateur d'administration en tant qu'administrateur de domaine ou avec un compte d'utilisateur possédant une autorisation de sécurité permettant de modifier l'adhésion au groupe de sécurité Remote Access Policy - Wireless Users.
2. Dans Utilisateurs et ordinateurs Active Directory, cherchez le groupe de sécurité Remote Access Policy - Wireless Users qui correspond à la stratégie d'accès distant contrôlant l'accès au réseau local sans fil.
3. Ajoutez l'utilisateur au groupe de sécurité sélectionné.

Pour ajouter des ordinateurs au groupe de sécurité de stratégie d'accès distant
1. Connectez-vous à un ordinateur d'administration en tant qu'administrateur de domaine ou avec un compte d'utilisateur possédant une autorisation de sécurité permettant de modifier l'adhésion au groupe de sécurité Remote Access Policy - Wireless Computers.
2. Dans Utilisateurs et ordinateurs Active Directory, cherchez le groupe de sécurité Remote Access Policy - Wireless Computers qui correspond à la stratégie d'accès distant contrôlant l'accès au réseau local sans fil.
3. Ajoutez l'ordinateur au groupe de sécurité sélectionné.

Surveillance et contrôle des services

La surveillance des services permet au personnel des opérations de contrôler la santé d'un service informatique en temps réel.

Quand cette section fait référence à MOM, nous supposerons que vous avez déployé MOM conformément aux instructions du MOM Operations Guide.

MOM n'est cependant pas indispensable ; il est simplement utilisé à titre d'illustration. Pour obtenir des informations à propos du MOM Operations Guide, consultez la section « Informations complémentaires » à la fin de ce module.

Catégorisation des alertes de surveillance

Votre système de surveillance devrait uniquement transmettre les alertes les plus importantes au personnel des opérations. Si toutes les erreurs mineures étaient remontées sous forme d'alertes d'incident, le personnel d'opérations aurait rapidement du mal à faire la part des choses entre ce qui est urgent et ce qui ne l'est pas, mais nécessite une prise en charge à long terme.

Cluster de rôle :	Infrastructure
Fréquence :	Tâche de configuration
Exigences de sécurité :	Aucune
Dépendances :	- Processus de planification de capacité en place dans l'organisation - Outils d'analyse prenant en charge le processus
Exigences technologiques :	Operational Alert Console (telle que MOM)

Détail des tâches

Les catégories d'alerte suivantes sont utilisées dans ce document. Parmi celles-ci, seules les trois premières doivent générer des alertes sur la console d'opérateur. Les descriptions de tâches ultérieures feront référence à ces catégories.

Tableau 8 : Catégories d'alerte

Catégorie d'alerte	Description
Service non disponible	Quand une application ou un composant est indisponible à 100 %.
Violation de la sécurité	Quand une application est piratée ou a été infectée.
Erreur critique	Quand l'application a rencontré une erreur critique nécessitant une intervention administrative rapide (mais pas nécessairement immédiate). L'application ou le composant fonctionne à un niveau de performances intermédiaire mais reste en mesure de traiter les opérations les plus critiques.
Erreur	Quand l'application rencontre un problème passager ne nécessitant pas d'intervention administrative ou de résolution immédiate. L'application ou le composant fonctionne à un niveau de performances acceptable et reste en mesure de traiter toutes les opérations critiques.
Avertissement	Quand l'application génère un message d'alerte ne nécessitant pas d'intervention administrative ou de résolution immédiate. L'application ou le composant fonctionne à un niveau de performances acceptable et reste en mesure de traiter toutes les opérations critiques. Cette situation peut néanmoins évoluer en Erreur, Erreur critique ou Service non disponible si le problème persiste.
Information	Quand l'application génère un événement d'information. L'application ou le composant fonctionne à un niveau de performances acceptable et effectue toutes les opérations critiques et non critiques.
Réussite	Quand l'application génère un événement de succès. L'application ou le composant fonctionne à un niveau de performances acceptable et effectue toutes les opérations critiques et non critiques.

Surveillance des contraintes de capacité IAS

La détection de contraintes de capacité potentielles est essentielle pour maintenir le service à un niveau optimal. Quand les sous-systèmes s'approchent des limites de leurs capacités de fonctionnement, leurs performances se dégradent fortement (généralement de façon non linéaire). Il est par conséquent important de surveiller l'évolution des capacités afin d'identifier et de traiter très tôt les tendances de contraintes qui se dessinent.

Cluster de rôle :	Infrastructure
Fréquence :	Tâche de configuration
Exigences de sécurité :	Permission requise par la solution de surveillance.
Dépendances :	La sortie tient dans Capacity Management SMF
Exigences technologiques :	- Analyseur de performances - Performance counter consolidator (tel que MOM) - Operational Alerts Console (telle que MOM) - Outils de planification de capacité

Détail de la tâche

Les compteurs de performances suivants sont les plus utiles pour identifier les contraintes de capacité dans IAS. Le processeur et le disque dur sont les deux ressources les plus fortement utilisées par IAS et indiqueront donc d'éventuelles contraintes plus tôt que le réseau ou la mémoire.

Tableau 9 : Éléments à surveiller pour les contraintes de capacité IAS

Objet Performance	Compteur de performance	Instance
Processeur	% Temps processeur	_Total
Disque physique	% Temps du disque	_Total
Disque physique	Long. moy. de file d'attente lecture disque	_Total
Disque physique	Long. moy. de file d'attente écriture disque	D: (IAS - DATA)
Interface réseau	Total octets/s	Adaptateur réseau
Mémoire	% Octets dédiés utilisés	---

Pour des informations générales à propos des contraintes de capacité et les compteurs de performances correspondants, consultez l'article Q146005 de la Base de connaissances Microsoft, « Optimisation des performances de Windows NT », à l'adresse https://support.microsoft.com/default.aspx?scid=146005.

Il est aussi important de surveiller les indicateurs de capacité sur les infrastructures de prise en charge. Les éléments clés sont :

Les communications IAS vers Active Directory. IAS utilise abondamment Active Directory pour l'authentification et certains services d'autorisation.
Les clients RADIUS tels que les points d'accès sans fil communiquent à la fois avec les clients et IAS via les protocoles EAP (Extensible Authentication Protocol) et RADIUS.
Communications vers Active Directory liées aux clients. Les clients du réseau local sans fil utilisent les contrôleurs de domaine Active Directory pour les stratégies de groupe et l'authentification de domaine native.

Gestion du stockage

La gestion du stockage englobe le stockage des données sur site et hors site à des fins de restauration de données ou d'archivage historique. L'équipe de gestion du stockage doit assurer la sécurité physique des sauvegardes et des archives. L'objectif de la gestion du stockage est de définir, suivre et assurer la maintenance des données et ressources de données dans l'environnement informatique de production.

Configuration de l'exportation de configuration IAS

L'objectif de cette tâche est de planifier une opération nocturne assurant l'exportation partielle de l'état de configuration IAS pour faciliter la restauration système après une catastrophe. L'état intégral de la configuration IAS comprend la configuration de client RADIUS, qui peut comporter des informations de sécurité sensibles. C'est pourquoi, les instructions d'exportation de la partie client RADIUS de l'état de la configuration sont détaillées séparément. Les deux types de sauvegarde vous seront nécessaires pour effectuer une restauration intégrale des services de production de chaque serveur IAS.

Une sauvegarde complète du serveur IAS comprend toute configuration de système d'exploitation et autres informations d'état nécessaires au serveur IAS. Cette tâche a été développée de manière à permettre la réinstallation d'un serveur et du composant IAS optionnel, ainsi que la restauration de l'état de la configuration. Ceci facilite la restauration des services pour un serveur qui n'est plus dans un état de configuration connu (non fiable) ou dont la sécurité a été compromise.

Responsable de cluster de rôle :	Opérations
Fréquence :	Tâche de configuration
Exigences de sécurité :	Être membre du groupe de sécurité Administrateurs local.
Dépendances :	Les installation ou processus suivants doivent être en place : - Sauvegarde disque/fichier de serveur d'entreprise - Emplacements de stockage sécurisés - Système d'alerte et de surveillance (tel que MOM)
Technologie requise :	- MSS Scripts - Service Planificateur de tâches de Windows - SchTasks.exe

Détail de la tâche

Cette tâche configure une opération planifiée pour effectuer une sauvegarde nocturne de l'état de la configuration du serveur IAS. La sauvegarde IAS suppose que vous disposez d'un système de sauvegarde de serveur d'entreprise actuellement en place. En effet, la sauvegarde effectuée dans le cadre de cette procédure produit un fichier de sauvegarde pouvant, à son tour, être sauvegardé par le système de sauvegarde de l'entreprise. Il peut s'agir d'une sauvegarde réseau ou d'une sauvegarde de périphérique local. La solution suppose également que le système de sauvegarde du serveur d'entreprise s'exécute de nuit pour sauvegarder les disques du serveur IAS.

Pour configurer une sauvegarde de configuration IAS
1. Planifiez le travail de sauvegarde pour qu'il s'exécute la nuit à l'aide de la commande suivante. Cette commande fixe l'heure d'exécution du travail à 02h00.
  
  SCHTASKS /Create /RU system /SC Daily /TN "IAS Backup" /TR C:\MSSScripts\IASExport.bat /ST 02:00
  
  Remarque : la commande est affichée sur deux lignes pour des impératifs liés à l'impression. Saisissez-la sur une seule ligne.
2. Configurez le système de sauvegarde de votre serveur d'entreprise de façon à sauvegarder chaque nuit le contenu du répertoire D:\IASConfig sur un support amovible. Dans la mesure du possible, définissez un script de condition préalable pour vérifier que la date et l'heure des fichiers texte de configuration IAS créés par le fichier IASExport.bat datent de moins de 24 heures. Des indications d'horodatage des fichiers datant de plus de 24 heures indiquent que la sauvegarde précédente a échoué ou qu'elle est encore en cours d'exécution.

Remarque : le script IASExport.bat fourni peut servir de point de départ à cette tâche. Modifiez la logique du script IASExport.bat de manière à ce que les événements d'erreur de l'outil netsh, au sein du script, génèrent des événements ou des notifications détectées par le personnel des opérations.

Réfléchissez à l'éventualité d'activer l'audit de fichiers Windows sur le répertoire D:\IASConfig et de demander aux auditeurs de sécurité de serveur d'analyser régulièrement les données d'audit à la recherche d'activités inhabituelles (accès échoué, par exemple). Les informations du répertoire D:\IASConfig pourraient aider un éventuel intrus à comprendre comment compromettre le contrôle d'accès au réseau.

Exportation de la configuration de client RADIUS

Vous devez exporter la configuration de client RADIUS du serveur IAS pour assurer une possibilité de restauration en cas d'incident majeur sur le serveur. Les informations de client RADIUS sont sensibles à la sécurité car elles contiennent les secrets RADIUS, uniques entre chaque serveur et point d'accès sans fil. C'est pourquoi, les exportations de client RADIUS sont stockées sur des supports amovibles que vous devriez ranger en lieu sûr. Chaque sauvegarde de configuration de client RADIUS est unique pour chaque serveur IAS.

Pour permettre une restauration intégrale de l'état de configuration IAS, la configuration de client RADIUS créée en effectuant cette opération devrait être associée à la configuration système IAS créée en utilisant le script IASClientExport.bat, présenté en détails dans une autre partie de ce module.

Responsable de cluster de rôle :	Infrastructure
Fréquence :	Tâche de configuration
Exigences de sécurité :	Être membre du groupe de sécurité IAS Admins.
Dépendances :	Les installations ou processus suivants doivent être en place : - Sauvegarde disque/fichier de serveur d'entreprise - Emplacements de stockage sécurisés
Technologie requise :	- MSS Scripts - Disquette ou autre support amovible, accessible en écriture

Détail de la tâche

Les informations de client RADIUS sont exportées à l'aide de la commande netsh. Cette solution comprend un fichier de commandes qui exporte les informations de client RADIUS vers une disquette ou un autre support amovible, accessible en écriture.

Pour exporter la configuration de client RADIUS
1. Exécutez la commande suivante depuis une invite de commandes sur le serveur IAS qui exporte l'état du client RADIUS :
  
  C:\MSSScripts\IASClientExport.bat
2. Identifiez toute erreur ou alerte obtenue et rectifiez-la. Une fois la situation corrigée, exécutez à nouveau le script.
3. Stockez le support de sauvegarde comme il se doit. Les données de sauvegarde qu'il contient sont sensibles car elles contiennent des secrets qui pourraient être utilisés pour accéder au réseau local sans fil de votre entreprise. Déplacez et stockez-le en usant des mêmes précautions et mesures de sécurité que vous accordez au serveur IAS. Les données de sauvegarde devraient être conservées dans un endroit physiquement différent du serveur IAS lui-même. Ceci vous permettra de restaurer le serveur IAS au cas où tout l'équipement informatique du site serait détruit ou deviendrait inaccessible.

Configuration de la sauvegarde des répertoires de données IAS

L'objectif de cette tâche est de fournir des conseils sur les répertoires de votre serveur IAS qui doivent être sauvegardés pour assurer une restauration système complète de l'état de configuration IAS et des données de journal RADIUS après un incident majeur sur le serveur. Une sauvegarde complète du serveur IAS comprend toute configuration de système d'exploitation et autres informations d'état nécessaires au serveur IAS.

Responsable de cluster de rôle :	Infrastructure
Fréquence :	Tâche de configuration
Exigences de sécurité :	Être membre du groupe de sécurité local des opérateurs de sauvegarde.
Dépendances :	Les installations ou processus suivants doivent être en place : - Sauvegarde disque/fichier de serveur d'entreprise - Emplacements de stockage sécurisés - Système d'alerte et de surveillance (tel que MOM)
Technologie requise :	- Windows Backup ou Corporate Backup System - Service Planificateur de tâches de Windows - SchTasks.exe

Détail de la tâche

Cette tâche détaille les principaux répertoires à sauvegarder pour assurer la restauration complète de l'état des configurations IAS et des données de fichier-journal. Cette tâche suppose que vous disposez d'un système de sauvegarde de serveur d'entreprise actuellement en place. Il peut s'agir d'une sauvegarde réseau ou d'une sauvegarde de périphérique local. La solution suppose également que le système de sauvegarde du serveur d'entreprise s'exécute de nuit, à l'issue de la sauvegarde de l'état de configuration IAS (02h00), pour sauvegarder les disques du serveur IAS.

Pour configurer une sauvegarde de répertoire de données IAS
1. Vérifiez que la sauvegarde de l'état de configuration IAS est correctement planifiée et fonctionne avec succès. La tâche de sauvegarde de l'état de configuration IAS planifiée envoie l'état de configuration IAS vers des fichiers situés sur le disque dur.
2. Utilisez le Bloc-notes pour créer un fichier nommé backuptest.txt dans le répertoire D:\IASLogs. Dans ce fichier, saisissez Utilisé à des fins de vérification des opérations de sauvegarde et de restauration. Enregistrez le fichier et fermez le Bloc-notes. Ce fichier sera utilisé ultérieurement dans le cadre de procédures de vérification de restauration.
3. Configurez le système de sauvegarde de votre serveur d'entreprise de façon à effectuer une sauvegarde complète, incrémentielle ou différentielle, des répertoires suivants :
  - D:\IASConfig
  - D:\IASLogs
4. Consultez les fichiers de consignation du système de sauvegarde de votre serveur d'entreprise, afin de vous assurer qu'aucune erreur ou alerte ne s'est produite. Si vous y rencontrez des erreurs ou des avertissements, exécutez manuellement les scripts d'exportation de configuration IAS et effectuez une nouvelle sauvegarde intégrale des deux répertoires.
5. Stockez le support de sauvegarde comme il se doit. Les données de sauvegarde qu'il contient sont sensibles car elles contiennent la configuration des logiciels serveur, donnant accès au réseau local sans fil de votre entreprise. Déplacez et stockez-le en usant des mêmes précautions et mesures de sécurité que vous accordez au serveur IAS. Les données de sauvegarde devraient être conservées dans un endroit physiquement différent que le serveur IAS lui-même. Ceci vous permettra de restaurer le serveur IAS au cas où tout l'équipement informatique du site est détruit ou devient inaccessible.

Test de la sauvegarde IAS

L'objectif de cette tâche est de tester le bon fonctionnement du processus et de la technologie de sauvegarde en procédant à un test de restauration. La restauration complète des sauvegardes sur du matériel serveur de réserve assure le meilleur niveau de confiance dans le bon fonctionnement des procédures de sauvegarde. Cette procédure a toutefois été conçue de manière à permettre aux clients n'ayant pas accès à un serveur de réserve de tester leurs procédures de restauration directement sur le matériel de production, avec un certain risque toutefois. Le test des procédures de restauration sur des serveurs de production comporte le risque d'endommager un serveur en cas de restauration partielle. Tester les sauvegardes garantit la maîtrise des étapes de restauration en cas d'incident majeur et évite les erreurs de procédure ou techniques, susceptibles d'empêcher le bon déroulement de l'opération.

Les données de restauration d'un serveur IAS se composent des éléments suivants :

Données d'exportation de l'état de configuration IAS : situées dans le répertoire D:\IASConfig. En cas de restauration depuis une bande, ces informations sont utilisées pour réimporter la configuration sur le serveur IAS.
Données d'exportation de client RADIUS : situées sur la disquette ou un autre support amovible accessible en écriture, étiqueté « Clients RADIUS pour serveur MSS-IAS-01 ». Sur l'étiquette, « MSS-IAS-01 » est remplacé par le nom de votre serveur IAS. Ces informations sont utilisées pour restaurer la configuration de client RADIUS sur le serveur IAS.
Données du journal de requêtes RADIUS : situées dans le répertoire D:\IASLogs. En cas de restauration depuis une bande, ces informations contiennent des données historiques utilisées par les auditeurs de sécurité IAS.

Avant de procéder à une restauration de test, effectuez une exportation manuelle des données d'exportation de configuration IAS et de client RADIUS. Procédez ensuite à une sauvegarde non planifiée des données de serveur et mettez ces sauvegardes de côté, afin de les utiliser en cas de problème durant le test de restauration. Ceci minimise le risque de restauration partielle d'un serveur de production, dû à des bandes endommagées ou des erreurs qui seraient passées inaperçues durant la sauvegarde normale.

Responsable de cluster de rôle :	Opérations
Fréquence :	- Avant la mise en service opérationnelle du serveur IAS - Mensuellement - Retester en cas de modification de la technologie ou du processus de sauvegarde
Exigences de sécurité :	Faire partie des administrateurs locaux ou des opérateurs de sauvegarde sur l'ordinateur test.
Dépendances :	Sauvegarde disque/fichier de serveur d'entreprise
Technologie requise :	- Windows Backup ou Corporate Backup System - MSS Scripts

Détail de la tâche

Cette opération détaille la restauration et la vérification des données IAS. Les trois types de données seront restaurés et des procédures spéciales seront utilisées pour valider la restauration. À moins que vous ne procédiez à des tests de restauration avancés, assurez-vous d'utiliser une sauvegarde complète récente (celle de la nuit précédente) qui s'est terminée avec succès. De même, assurez-vous durant les tests qu'aucune opération d'administration n'a été effectuée sur le serveur cible depuis la dernière sauvegarde.

Si cette tâche est effectuée pour tester la restauration d'un serveur de l'installation initiale de Windows Server 2003 à la configuration IAS, les étapes préalables de création du serveur, décrites dans le module « Implémentation de l'infrastructure RADIUS pour la sécurité de réseau local sans fil », doivent être exécutées afin de s'assurer que le matériel et les logiciels du serveur sont configurés convenablement pour IAS. L'ordre recommandé pour une restauration de serveur depuis la réinstallation est le suivant :

Installer et configurer le serveur conformément aux instructions du module « Implémentation de l'infrastructure RADIUS pour la sécurité de réseau local sans fil » dans le guide de mise en œuvre.
Procéder à la restauration en suivant les étapes de cette tâche.

Remarque : vous pouvez être amené à resélectionner les certificats d'authentification de serveur RAS et IAS nouvellement installés au sein de la stratégie d'accès distant du réseau local sans fil restaurée.

Pour tester la sauvegarde IAS

Remarque : la première étape de cette procédure est facultative et s'utilise dans un environnement de laboratoire de test sur du matériel serveur non utilisé en production. Elle est utile pour s'assurer qu'un serveur peut être restauré à partir d'un état instable ou de sécurité compromise.

Pour restaurer un serveur devenu instable ou dont la sécurité a été compromise, réinstallez Windows Server 2003 conformément aux instruction du module « Implémentation de l'infrastructure RADIUS pour la sécurité de réseau local sans fil » du guide de mise en œuvre, et assurez-vous de copier les scripts MSS du support de distribution vers le répertoire C:\MSSScripts de votre serveur.
Naviguez jusqu'au répertoire D:\IASLogs et recherchez un fichier bakuptest.txt. Si ce fichier n'existe pas, passez à l'étape suivante. Si vous trouvez un fichier backuptest.txt, supprimez-le. Le fichier backuptest.txt a été créé durant la tâche de configuration de la sauvegarde des répertoires de données IAS pour simuler la restauration d'un fichier-journal de requête IAS RADIUS, afin de valider les supports et la procédure de sauvegarde. Si vous préférez, vous pouvez restaurer les données réelles du fichier-journal de requêtes RADIUS depuis D:\IASLogs à la place. Notez toutefois que l'écrasement des données de fichier-journal peut entraîner une perte de données en cas de restauration partielle.
Ouvrez le module enfichable MMC du service d'authentification Internet (IAS), sélectionnez les propriétés de l'objet Service authentification Internet (local) et consultez l'onglet Général. Ajoutez (Test de restauration) dans le champ Description du serveur. Cliquez sur OK pour fermer la boîte de dialogue des propriétés IAS. La modification de la chaîne de description du serveur permet de tester la restauration des paramètres de configuration IAS. À l'issue de la restauration des paramètres de configuration IAS, la chaîne de description du serveur ne devrait pas être présente.
À l'aide du module enfichable MMC Internet Authentication Service (IAS), cliquez sur le dossier Clients RADIUS avec le bouton droit de la souris, puis sélectionnez Ajouter un client RADIUS. Tapez Test de restauration en guise de Nom convivial et saisissez 127.0.0.1 comme Adresse du client (IP ou DNS). Indiquez un mot de passe dans les champs Secret partagé et Confirmer le secret partagé correspondant au client RADIUS, puis cliquez sur Terminer. La création d'un nouveau client RADIUS sert à tester les supports et la procédure de restauration de client RADIUS. Après la restauration, le client RADIUS Test de restauration ne devrait pas être présent.
Munissez-vous des supports de sauvegarde que vous souhaitez tester (par exemple, la sauvegarde de la nuit précédente) de façon régulière et utilisez-les pour restaurer les données suivantes sur le disque dur du serveur :
- D:\IASConfig\*.*
- D:\IASLogs\BACKUPTEST.TXT
Attention : La restauration partielle du dossier D:\IASLogs complet sur un serveur de production risque d'écraser les données de fichier-journal de production RADIUS.
Exécutez la commande ci-dessous depuis une invite de commande pour restaurer vers la base de données IAS la configuration IAS précédemment enregistrée sous forme de fichiers texte. Veillez à identifier toute erreur ou alerte apparaissant durant l'exécution du script :

C:\MSSScripts\IASImport.bat

Remarque : les étapes suivantes nécessitent l'utilisation de la disquette ou de tout autre support amovible accessible en écriture, étiqueté « Clients RADIUS Clients pour le serveur MSS-IAS-01 », qui a été créé dans une étape précédente. Remplacez « MSS-IAS-01 » par le nom de votre serveur IAS. Veillez à utiliser le bon disque avec le serveur approprié pour éviter toute perte de données.
Munissez-vous de la disquette (ou de tout autre support amovible accessible en écriture) de configuration du client RADIUS correspondant à ce serveur et insérez-la dans le lecteur du serveur. Exécutez la commande ci-dessous depuis une invite de commande. Veillez à identifier toute erreur ou alerte apparaissant durant l'exécution du script :

C:\MSSScripts\IASClientImport.bat
Fermez et rouvrez le module enfichable MMC Internet Authentication Service (IAS), sélectionnez les propriétés de l'objet Service authentification Internet (local) et consultez l'onglet Général pour vous assurer que le texte (Test de restauration) n'apparaît plus dans le champ Description du serveur. Cliquez sur OK pour fermer la boîte de dialogue des propriétés IAS.
Sélectionnez le dossier Clients RADIUS et assurez-vous que le client RADIUS Test de restauration n'apparaît plus dans le champ de droite.
Tous les autres champs de configuration au sein du module enfichable MMC Internet Authentication Service (IAS) devraient afficher les paramètres antérieurs à la sauvegarde utilisée durant le test.
Rendez-vous dans le répertoire D:\IASLogs et assurez-vous que le fichier backuptest.txt est présent. Si les étapes de restauration de cette procédure ont été exécutées sur un serveur de production, demandez à un auditeur de sécurité IAS d'inspecter les fichiers-journaux afin de s'assurer qu'ils sont intacts et récents, au moins jusqu'au point de sauvegarde.
Restaurez les supports de sauvegarde et la disquette pour sécuriser le stockage.

Administration de la sécurité

L'administration de la sécurité est chargée de maintenir un environnement informatique sûr. La sécurité constitue un élément important de l'infrastructure de l'entreprise. Un système d'information basé sur une sécurité trop fragile, finira par connaître des failles de sécurité.

Accès aux journaux de requêtes IAS RADIUS

IAS peut enregistrer facultativement divers événements, en provenance de requêtes RADIUS de points d'accès sans fil, dans des journaux de requêtes RADIUS situés sur le disque dur du serveur. Les journaux RADIUS sont utiles pour diverses raisons y compris l'identification d'attaques potentielles du système et de tentatives d'accès non autorisées au réseau d'entreprise. Cette tâche couvre les méthodes d'examen des journaux de requêtes RADIUS, bien qu'une réflexion détaillée sur l'analyse des journaux de requêtes RADIUS dépasse l'objet de ce guide.

Toute une série de méthodes peut être utilisée pour analyser les journaux de requêtes RADIUS, qui sont stockés sous forme de texte au format IAS ou dans un format d'importation de base de données. Cette solution a opté pour le format d'importation de base de données pour les fichiers de consignation en raison de la relative simplicité d'importation de ces fichiers dans des applications gérant le texte délimité par des virgules. Les méthodes d'examen des journaux de requêtes IAS RADIUS sont les suivantes :

Parcourir directement les fichiers de consignation à l'aide de l'utilitaire IASPARSE, fourni dans les outils de support de Windows Server 2003. Cet outil étant généralement installé et exécuté sur le serveur IAS lui-même, une session de services distants Telnet ou Terminal Server est requise. Par défaut, cette solution n'est pas configurée pour prendre en charge cette méthode de visualisation des fichiers de consignation.

Importer les fichiers de consignation dans Microsoft Access 2002 depuis un ordinateur d'administration à distance. Cette méthode permet à un administrateur d'importer les journaux dans une table Microsoft Access pour effectuer des requêtes occasionnelles ou dans le cadre d'un schéma plus étendu de création de rapport et d'archivage. C'est cette méthode de visualisation des fichiers de consignation qui a été retenue par cette solution. Les clients professionnels seront peut-être intéressés par la consignation basée sur Microsoft SQL Server™ 2000, décrite ci-dessous.

Accéder aux informations de consignation par l'intermédiaire d'un cluster central SQL Server 2000 qui a répliqué les données sur le serveur IAS à l'aide d'une consignation basée sur MSDE 2000. La configuration de ce scénario est assez complexe, mais Microsoft propose un livre blanc et du code pour vous aider à mener ce processus à bien. Pour obtenir de l'aide sur le paramétrage de la consignation SQL de cette manière, veuillez consulter votre partenaire Microsoft ou contacter votre responsable de compte Microsoft, qui peut vous mettre en relation avec le partenaire approprié ou des spécialistes des services de conseil Microsoft.

Responsable de cluster de rôle :	Sécurité
Fréquence :	Quotidiennement ou hebdomadairement, selon les exigences de sécurité.
Exigences de sécurité :	Être membre du groupe de sécurité IAS Security Auditors.
Dépendances :	Stockage sur disque pour le stockage temporaire des journaux de requêtes RADIUS
Technologie requise :	IASPARSE Microsoft Access Microsoft Excel

Détail de la tâche

Dans cette solution, les journaux de requêtes RADIUS sont générés sur chaque serveur et stockés sur un volume de disque dédié aux fichiers de consignation. Les étapes permettant d'accéder à ces fichiers de consignation comprennent l'établissement d'une connexion réseau vers chaque serveur IAS et la révision puis la suppression des fichiers de consignation lorsqu'ils ne sont plus requis. Les serveurs IAS de cette solution sont configurés pour créer un nouveau fichier-journal de requêtes RADIUS chaque mois. Les administrateurs IAS peuvent modifier cet intervalle pour l'adapter à leurs besoins spécifiques.

La table que vous créez avec Access est mise en forme d'après le type de données contenu dans chaque champ. Bien que cet exemple vous montre comment créer une nouvelle table, vous pouvez également importer un journal dans une table existante.

Pour importer des fichiers-journaux de requêtes RADIUS dans Microsoft Access
1. Connectez-vous à une station d'administration en tant que membre du groupe de sécurité IAS Security Auditors Active Directory et définissez une connexion de lecteur vers un serveur à examiner, en exécutant la commande suivante dans une invite de commande. Veillez à remplacer MSS-IAS-01 par le nom de votre serveur IAS :
  
  NET USE X: \\MSS-IAS-01\IASLogs
2. Recherchez le fichier journal correspondant au mois que vous souhaitez consulter en utilisant le nom du fichier de consignation ainsi que la date et l'heure de celui-ci. Le nom du fichier de consignation comporte un format de nommage intégrant la date de création du fichier. Faites une copie de la base de données que vous souhaitez importer et donnez-lui l'extension de fichier . txt.
3. Avant de créer la table, ajoutez l'intégralité des deux lignes indiquées dans le fichier texte « C:\MSSScripts\IASAccessPrep.txt » au début du fichier de consignation créé par IAS. La première ligne contient les noms d'attributs de chaque champ du journal, que Access utilise pour créer les noms de champ dans sa table. L'utilisation des noms d'attributs dans la table simplifie l'interprétation des entrées de journal. La seconde ligne est utilisée par Access pour définir le type de données approprié pour chaque colonne de la table. Après avoir importé le fichier journal, vous devriez supprimer ces entrées dans la table Access.
4. Dans Access 2002, cliquez sur Base de données vide. Indiquez un nom de fichier dans Fichier Nouvelle base de données, puis cliquez sur Créer une table en entrant des données. Cliquez sur Fichier, puis sur Données externes et enfin sur Importer.
5. Cliquez sur Importer, Types de fichiers, puis Fichiers texte. Ensuite, repérez le fichier journal IAS, sélectionnez-le et cliquez sur Importer. Dans l' Assistant Importation de texte, cliquez sur Avancé.
6. Cliquez sur Spécification d'importation :
7. Dans Format du fichier, cliquez sur Délimité.
8. Dans Séparateur de champ, sélectionnez la , (virgule).
9. Dans Délimiteur de texte, sélectionnez " (guillemet).
10. Dans Dates, heures et nombres, sélectionnez Années (quatre chiffres) et Zéros non significatifs, puis indiquez l' Ordre de date (par exemple MJA), le Délimiteur de date (par exemple / ou barre oblique ), le Délimiteur d'heure (par exemple : ou deux-points) et le Symbole décimal (par exemple . ou point) appropriés.
11. Dans la boîte de dialogue de l' Assistant Importation de texte, cliquez sur Suivant, sélectionnez Première ligne contient les noms des champs et cliquez sur Suivant. Sélectionnez Dans une nouvelle table et cliquez sur Suivant.
12. Laissez les valeurs par défaut dans Options des champs et cliquez sur Suivant. Cliquez sur Laisser Access ajouter une clé primaire, puis sur Suivant. Dans Importer vers la table, tapez le nom de la nouvelle table. Cliquez sur Terminer.
13. Dans la boîte de dialogue FileName:Database, sélectionnez le nom de votre base de données et cliquez sur Ouvrir pour voir la table.

Révision des entrées de journal des événements d'authentification IAS RADIUS

Les auditeurs de sécurité peuvent utiliser cette tâche périodiquement pour rechercher des tentatives d'accès non autorisées au réseau sans fil. Votre stratégie de sécurité interne peut imposer un examen régulier des événements d'authentification RADIUS dans le journal des événements, afin de détecter les tentatives d'authentification ou l'utilisation d'informations de certificats volés.

Cette tâche est facultative et figure uniquement ici pour les petites organisations dont le personnel informatique est peu nombreux et ayant choisi de désactiver les événements de réussite et de rejet IAS dans les journaux d'événements système. Cette tâche nécessite soit l'adhésion au groupe IAS Admins, soit l'adhésion directe au groupe Administrateurs local. Les tâches prévues pour cette solution permettent aux auditeurs de sécurité IAS de lire les événements d'authentification sur le partage IASLogs sans nécessiter l'intégralité des droits d'accès au serveur d'un administrateur.

Responsable de cluster de rôle :	Sécurité
Fréquence :	Quotidiennement ou hebdomadairement, selon les exigences de sécurité.
Exigences de sécurité :	Adhésion au groupe IAS Admins ou Administrateurs local/Builtin
Dépendances :	Cette tâche est facultative et dépend des droits d'administrateur local pour le rôle d'auditeur de sécurité.
Technologie requise :	Observateur d'événements ou éventuellement EventCombMT du kit de ressources de Windows Server 2003

Détail de la tâche

Cette tâche est prévue pour les petits environnements où les auditeurs de sécurité IAS et les administrateurs système IAS sont les mêmes. Cette solution est configurée par défaut de façon à ne pas fournir de droits d'administrateur local aux auditeurs de sécurité. Par conséquent, avant de pouvoir effectuer cette tâche, vous devez ajouter l'auditeur au groupe de sécurité IAS Admins dans Active Directory.

Pour analyser le journal des événements à la recherche de tentatives d'authentification qui ont échoué
1. Connectez-vous à un des serveurs IAS en tant que membre du groupe de sécurité Administrateurs du Service d'authentification Internet.
2. Ouvrez l'Observateur d'événements (en cliquant sur Démarrer, Tous les programmes, puis sur Outils d'administration ).
3. Consultez le Journal des événements système.
4. Dans le menu Affichage, cliquez sur Filtrer.
5. Sélectionnez IAS en guise de **Source de l'événement ** et 2 comme ID de l'événement.
6. Identifiez les échecs d'authentification qui se produisent fréquemment.

Archivage et suppression des fichiers de consignation IAS RADIUS

Les auditeurs de sécurité IAS doivent régulièrement archiver et supprimer les fichiers-journaux de requêtes IAS RADIUS pour s'assurer qu'IAS ne se retrouve pas à court d'espace sur le disque dur et s'arrête de traiter les requêtes d'authentification et de comptabilisation des points d'accès sans fil. Ce processus doit être effectué manuellement, à moins d'avoir recours à une solution de script ou de s'appuyer sur la stratégie de réplication automatisée SQL Server 2000, décrite dans la tâche « Accès aux journaux de requêtes IAS RADIUS » de ce module.

Responsable de cluster de rôle :	Sécurité
Fréquence :	Mensuellement
Exigences de sécurité :	Adhésion au groupe de sécurité IAS Security Auditors d'Active Directory
Dépendances :	Support amovible pour stocker les fichiers de consignation RADIUS archivés
Technologie requise :	Commandes Windows natives

Détail de la tâche

Les journaux de requêtes d'authentification et de comptabilisation RADIUS ne contiennent pas d'informations de sécurité particulièrement sensibles. C'est pourquoi, il existe toute une série de méthodes d'archivage et de suppression. Par exemple, un script de sauvegarde basé sur le serveur peut notifier les auditeurs de sécurité IAS par courrier électronique quand la sauvegarde des fichiers de consignation s'est terminée avec succès. Les auditeurs de sécurité peuvent alors se connecter au serveur IAS et supprimer les fichiers de consignation les plus anciens, qui ne sont plus requis.

Un auditeur de sécurité IAS peut effectuer une sauvegarde des fichiers de consignation RADIUS sur une bande ou un CD-RW relié à son ordinateur d'administration. L'auditeur peut alors se connecter au serveur IAS et supprimer les fichiers de consignation les plus anciens, qui ne sont plus requis. Dans cette solution, IAS est configuré de façon à créer un nouveau fichier de consignation chaque mois. C'est pourquoi vous devriez choisir une stratégie avec laquelle vous gardez suffisamment de données en ligne pour reconstruire les informations d'accès réseau correspondant à divers scénarios. Par exemple, si vous avez l'équivalent de trois mois de données en ligne dans trois fichiers de consignation séparés, vous pouvez demander aux deux fichiers de consignation les plus récents de reconstruire les informations d'accès réseau pour suivre les événements de sécurité ou procéder à une facturation rétroactive. À cet effet, vous devriez archiver et supprimer le plus ancien des trois fichiers de consignation et conserver les deux plus récents.

Des informations sur la sauvegarde des journaux de requêtes RADIUS ainsi que d'autres données IAS sont disponibles dans la tâche « Configuration de la sauvegarde des répertoires de données IAS » décrite dans ce module. Cette tâche fournit des instructions pour l'archivage et la suppression des journaux RADIUS depuis une station d'administration.

Pour archiver et supprimer des fichiers-journaux de requêtes RADIUS
1. Connectez-vous à une station de travail d'administration en tant que membre du groupe de sécurité IAS Security Auditors.
2. Mappez un lecteur au serveur IAS sur lequel les fichiers de consignation seront archivés et supprimés en exécutant la commande suivante depuis une invite. Veillez à remplacer « MSS-IAS-01 » par le nom de votre serveur IAS :
  
  NET USE X: \\MSS-IAS-01\IASLogs
3. Identifiez les fichiers de consignation les plus anciens du serveur IAS qui doivent être archivés et supprimés du serveur. Utilisez NTBACKUP, la commande copy ou un autre utilitaire pour archiver les fichiers de consignation sélectionnés du partage en ligne vers un support secondaire.
4. Utilisez la commande del pour supprimer les fichiers de consignation du partage en ligne.

Prise en charge des tâches de zone

Les fonctions de gestion des services (SMF) au sein de cette zone prennent en charge cet objectif en assurant que des fonctions aussi bien réactives que proactives sont en place pour gérer les niveaux de service. Les fonctions réactives dépendent de la capacité d'une organisation à réagir et à résoudre rapidement incidents et problèmes. Plus intéressantes encore, les fonctions proactives tentent d'éviter toute interruption du service en identifiant et en résolvant les problèmes avant qu'un quelconque niveau de service ne soit touché. Ceci est obtenu par une bonne surveillance de la solution de service par rapport aux seuils prédéfinis et en donnant au personnel des opérations le temps de réagir à des problèmes potentiels avant que ceux-ci ne se manifestent par des perturbations de service.

Cette section comporte des informations ayant trait aux fonctions de gestion des services (SMF) ci-après :

Gestion des incidents

Aucune tâche n'appartient aux fonctions de gestion des services restantes :

Gestion des problèmes
Centre de service

Gestion des incidents

La gestion des incidents est le processus de gestion et de contrôle des défauts et des perturbations survenant durant l'utilisation ou la mise en œuvre de services informatiques signalés par des clients ou des partenaires informatiques. L'objectif principal de la gestion des incidents est de restaurer le fonctionnement normal du service dans les meilleurs délais, tout en réduisant au minimum l'impact négatif sur les activités stratégiques de l'entreprise, afin d'assurer le maintien de la meilleure qualité et disponibilité possible des niveaux de service. Le fonctionnement normal du service est défini ici comme une opération de service dans le cadre de l'accord sur le niveau de service (SLA).

Remarque : pour le dépannage général des problèmes de client Windows XP sans fil, consultez l'article Q313242, « Procédures pour résoudre les problèmes de connexion aux réseaux sans fil dans Windows XP », dans la Base de connaissances, à l'adresse https://support.microsoft.com/default.aspx?scid=313242.

Vérification de l'état du dossier Connexions réseau client

Le dossier Connexions réseau et l'icône de notification de Windows XP fournissent des informations concernant l'état de l'authentification. Cette tâche permet à un utilisateur final ou un membre du personnel d'assistance de vérifier l'état de la connexion sans fil sur un ordinateur client. Si une authentification nécessite des informations complémentaires de l'utilisateur, par exemple la sélection d'un ou plusieurs certificats utilisateur, une info-bulle apparaît pour en informer l'utilisateur. Cette tâche est utilisée durant le dépannage.

Responsable de cluster de rôle :	Support
Fréquence :	Lors du dépannage d'un problème utilisateur
Exigences de sécurité :	Être membre du groupe de sécurité Administrateurs local pour apporter des modifications aux paramètres du réseau local sans fil.
Dépendances :	Une connexion au réseau local peut être requise pour l'Assistance à distance durant le dépannage.
Technologie requise :	Windows XP Édition Professionnel

Détail de la tâche

Au sein du dossier Connexions réseau, le texte affiché sous le nom de la connexion correspondant à l'adaptateur réseau sans fil décrit l'état de l'authentification.

Par ailleurs, une fois que vous connaissez l'état de la connexion, vous pouvez visualiser la force du signal sous l'onglet Général et la configuration d'adresse IP sous l'onglet Prise en charge. Si l'adaptateur sans fil possède une adresse APIPA (Automatic Private IP Addressing), 169.254.0.0/16, ou s'il est configuré avec une adresse IP alternative, l'authentification échoue et le client Windows XP sans fil reste associé au point d'accès sans fil. Si l'authentification échoue et que l'association est encore en place, l'adaptateur sans fil est activé et TCP/IP (Transmission Control Protocol/Internet Protocol) effectue son processus normal de configuration. Si aucun serveur DHCP (Dynamic Host Configuration Protocol) n'est trouvé, il configure automatiquement une adresse APIPA ou alternative.

Pour vérifier l'état du dossier Connexions réseau
1. Dans le menu Démarrer, choisissez Exécuter, tapez ncpa.cpl et cliquez sur OK.

Activation et désactivation du suivi sur les ordinateurs client

Windows prend en charge des informations de suivi détaillées pour aider le personnel d'assistance et les développeurs à résoudre les problèmes de composants logiciel. Le suivi offre un niveau de détail supérieur à celui des journaux d'événements et stocke ces informations dans des fichiers de consignation texte.

Pour obtenir des informations détaillées à propos du processus d'authentification EAP, vous devez activer le suivi pour les composants EAPOL (EAP over LAN) et RASTLS (Remote Access Service - Transport Layer Security).

Responsable de cluster de rôle :	Support
Fréquence :	Si nécessaire lors du dépannage d'un problème client sur le réseau local sans fil.
Exigences de sécurité :	Être membre du groupe de sécurité Administrateurs local.
Dépendances :	Une connexion au réseau local peut être requise pour l'Assistance à distance durant le dépannage.
Technologie requise :	- Windows XP Édition Professionnel - Notepad.exe

Détail de la tâche

Après l'exécution des commandes suivantes, réessayez le processus d'authentification et consultez les fichiers Eapol.log et Rastls.log du dossier %SystemRoot%\Tracing.

Pour activer le suivi sur les ordinateurs clients
1. Exécutez les commandes suivantes :
  - netsh ras set tracing eapol enabled
  - netsh ras set tracing rastls enabled

Pour désactiver le suivi sur les ordinateurs clients
1. Exécutez les commandes suivantes :
  - netsh ras set tracing eapol disabled
  - netsh ras set tracing rastls disabled

Remarque : le suivi consomme des ressources système et génère des fichiers de consignation, dont la taille augmente avec le temps. Veillez donc à désactiver le suivi lorsque le dépannage est terminé.

Vérification de la chaîne de nom de domaine sur les ordinateurs clients

Les ordinateurs clients ne peuvent pas effectuer de vérification de révocation de certificat au cours de l'authentification EAP - TLS mutuelle, car les emplacements de la liste de révocation de certificats ne sont généralement pas disponibles tant que l'accès n'est pas accordé. Les clients Windows possèdent par conséquent la possibilité de valider tout ou partie du nom de serveur dans le certificat présenté par le serveur IAS.

Si le client sans fil valide le certificat serveur (activé par défaut) et que vous avez saisi une valeur incorrecte pour le domaine du serveur IAS dans le champ Connect if the server name ends with, l'authentification va échouer. Exécutez cette tâche lors de la résolution de problèmes d'authentification client si vous avez choisi d'activer l'option Connexion à ces serveurs. Ce paramètre n'est pas activé dans cette solution car il risque de générer des boîtes de dialogue de réseau local sans fil pour les utilisateurs finaux. Windows XP Édition Professionnel SP1 est configuré avec cette option désactivée par défaut.

Responsable de cluster de rôle :	Support
Fréquence :	À l'installation ou durant le dépannage de problèmes d'utilisateur sur le réseau local sans fil.
Exigences de sécurité :	Être membre du groupe de sécurité Administrateurs local.
Dépendances :	Connaître l'emplacement du domaine IAS.
Technologie requise :	Windows XP Édition Professionnel

Détail de la tâche

Vérifiez que cette chaîne est correcte en ouvrant la boîte de dialogue Propriétés de la connexion réseau correspondant à l'adaptateur de réseau local sans fil. Affichez le réglage en sélectionnant les propriétés du type EAP Smart Card and Other Certificate sous l'onglet Authentification.

Pour vérifier la chaîne de nom de domaine sur les ordinateurs clients
1. Dans le menu Démarrer, choisissez Exécuter, tapez ncpa.cpl et cliquez sur OK.
2. Affichez les propriétés de la connexion réseau sans fil.
3. Sous l'onglet Configuration réseaux sans fil, sélectionnez le SSID (Service Set Identifier) du réseau cible parmi les réseaux favoris et affichez ses propriétés.
4. Consultez les propriétés sous l'onglet Authentification et assurez-vous que la chaîne Connect if the server name ends with correspond au nom de domaine du(des) serveur(s) IAS.

Consultation d'événements d'authentification IAS dans le journal des événements

Les échecs et les réussites d'authentification client sont consignés par défaut dans le journal des événements système et peuvent être utiles pour les dépannages. La consignation d'événements est activée pour tous types d'événements IAS (événements d'authentification rejetés, ignorés et réussis) par défaut sous l'onglet Service des propriétés de serveur IAS dans le module enfichable du service d'authentification Internet (IAS).

Cette tâche permet aux administrateurs IAS d'aider le personnel d'assistance pour le dépannage des problèmes d'authentification d'ordinateurs et d'utilisateurs, en consultant les événements d'authentification dans les journaux d'événements du serveur IAS.

Notez que si le personnel d'assistance du service informatique doit pouvoir accéder aux informations d'authentification des clients sans fil dans les journaux d'événements système IAS, vous avez le choix entre plusieurs options :

Demander l'aide d'un administrateur IAS membre du groupe de sécurité IAS Admins et ayant donc accès aux messages du journal des événements système IAS. Cette option est détaillée dans cette tâche.
Utiliser un système de gestion des journaux d'événements d'entreprise tel que MOM pour exporter les journaux vers un emplacement accessible au service d'assistance.
Attribuer au personnel d'assistance des autorisations d'accès en lecture aussi bien au partage IASLogs, qu'au répertoire NTFS D:\IASLogs sous-jacent, et lui indiquer comment parcourir les fichiers de consignation à l'aide d'outils comme IASPARSE, décrits dans la tâche « Accès aux journaux de requêtes IAS RADIUS » de ce module. La plupart des clients opteront pour cette solution, dans la mesure où elle exige une infrastructure minime et ne présente pas de risque excessif pour la sécurité.

L'attribution de permissions d'accès aux journaux d'événements système à des utilisateurs non administrateurs constitue un risque de sécurité et devrait être évitée dans la mesure du possible. Ceci est notamment vrai pour les serveurs combinant les rôles de serveurs IAS et de contrôleur de domaine.

Responsable de cluster de rôle :	Support
Fréquence :	Lors du dépannage de problèmes d'authentification client
Exigences de sécurité :	Adhésion au groupe de sécurité local des administrateurs IAS ou à un groupe doté de droits d'accès en lecture/écriture au journal des événements système.
Dépendances :	Approbation de l'adhésion au groupe de sécurité approprié par les administrateurs des services d'annuaire et le personnel de sécurité.
Technologie requise :	Module enfichable MMC d'observateur d'événements ou EventCombMT du kit de ressources de Windows Server 2003

Détail de la tâche

La consultation des tentatives d'authentification consignées dans ce journal est utile pour le dépannage des tentatives d'authentification rejetées par IAS. Si vous avez configuré plusieurs stratégies d'accès distant, vous pouvez utiliser le Journal des événements système pour déterminer le nom de la stratégie d'accès distant ayant accepté ou rejeté la tentative de connexion (voir Policy - Name dans la description de l'événement). Par ailleurs, l'événement d'authentification (source : IAS, ID d'événement 1 pour l'acceptation et 2 pour le rejet) affiche des codes de raison dont les descriptions correspondantes figurent dans Windows Server 2003 Help and Support.

Activer la consignation des événements IAS et lire le texte des événements d'authentification IAS dans le Journal des événements système est l'outil le plus utile pour dépanner des authentifications IAS qui ont échoué.

Pour consulter le journal des événements système des événements d'authentification
1. Cliquez sur Démarrer, puis sur Exécuter, saisissez Eventvwr, puis cliquez sur OK.
2. Sélectionnez Journal des événements système.
3. Dans le menu Affichage, sélectionnez Filtrer, choisissez IAS comme Source de l'événement, puis cliquez sur OK.

Activation et désactivation du suivi sur le serveur IAS

Windows Server 2003 possède une fonctionnalité de suivi complète, que vous pouvez utiliser pour résoudre des problèmes complexes relatifs à des composants spécifiques. Vous pouvez activer les composants dans Windows Server 2003 pour consigner les informations de suivi dans des fichiers à l'aide de la commande netsh.

Responsable de cluster de rôle :	Support
Fréquence :	Si nécessaire lors du dépannage de problèmes de connexion client au réseau local sans fil.
Exigences de sécurité :	Être membre du groupe de sécurité Administrateurs local sur le serveur IAS.
Dépendances :	La génération de trafic réseau est requise durant le dépannage.
Technologie requise :	commande netsh Bloc-notes

Détail de la tâche

Vous pouvez utiliser la commande netsh pour activer et désactiver le suivi de composants spécifiques ou de tous les composants. Les composants les plus utiles à activer pour le suivi des problèmes d'authentification EAP - TLS basée sur 802.1X sont les suivants :

IASSAM (fichier Iassam.log dans le dossier SystemRoot \tracing) : Ceci est le fichier de suivi le plus couramment utilisé pour les problèmes IAS, car il décrit les fonctions liées au piratage de noms d'utilisateur, à la liaison à un contrôleur de domaine, à la vérification des informations d'authentification, etc. Il constitue le « cœur » des fichiers de suivi IAS et est généralement requis pour déboguer des problèmes liés à l'authentification.
RASTLS (fichier Rastls.log dans le dossier SystemRoot \tracing) : Pour toutes les authentifications liées à EAP et PEAP (Protected EAP), ce journal contient la plupart des informations capitales de débogage. Sa lecture est toutefois complexe. Microsoft s'attache à fournir des informations pouvant faciliter l'interprétation de ces données.

Les informations de suivi ci-après pour IAS ne sont généralement pas requises pour dépanner l'authentification 802.1X avec EAP - TLS, mais peuvent servir au dépannage d'autres tâches :

IASRAD (fichier Iasrad.log dans le dossier SystemRoot \tracing) : Décrit toutes les opérations liées au protocole RADIUS. Ce fichier décrit les ports écoutés par le serveur, etc. Il est rarement utilisé pour les problèmes de débogage sur le serveur IAS.
IASSDO (fichier Iassdo.log dans le dossier SystemRoot \tracing) : Le journal de consignation IASSDO traite des transactions entre l'interface utilisateur et les fichiers MDB où sont stockés la configuration et le dictionnaire du serveur. Ce journal sert au débogage des problèmes de service ou liés à l'interface utilisateur.

Pour activer le suivi sur le serveur IAS
1. Exécutez les commandes netsh ci-après qui correspondent aux informations de suivi requises. Pour le dépannage des problèmes d'authentification EAP - TLS avec 802.1X, les journaux IASSAM et RASTLS sont recommandés :
2. Les commandes netsh correspondantes sont :
  - netsh ras set tracing iassam enabled
  - netsh ras set tracing rastls enabled
  - netsh ras set tracing iasrad enabled
  - netsh ras set tracing iassdo enabled

Pour désactiver le suivi sur le serveur IAS
1. Exécutez les commandes netsh ci-après qui correspondent aux informations de suivi que vous souhaitez désactiver.
2. Les commandes netsh correspondantes sont :
  - netsh ras set tracing iassam disabled
  - netsh ras set tracing rastls disabled
  - netsh ras set tracing iassam disabled
  - netsh ras set tracing iassdo disabled

Remarque : le suivi consomme des ressources système. Utilisez-le donc avec modération pour identifier les problèmes réseau. Une fois le suivi effectué ou le problème identifié, désactivez immédiatement le suivi.

Activation de la consignation SChannel sur le serveur IAS

Schannel (Secure channel) est un fournisseur de prise en charge de sécurité (SSP) prenant en charge une série de protocoles de sécurité pour Internet, comme SSL (Secure Sockets Layer) et TLS (Transport Level Security).

Responsable de cluster de rôle :	Support
Fréquence :	Si nécessaire lors de la résolution des problèmes de connexion client sur le serveur IAS
Exigences de sécurité :	Être membre du groupe de sécurité Administrateurs local.
Dépendances :	Capacité de charge suffisante sur le serveur pour supporter la consignation supplémentaire. Besoins minimes d'espace disque sur le volume hébergeant le système d'exploitation.
Technologie requise :	REGEDIT Bloc-notes

Détail de la tâche

La consignation des échecs de validation de certificats clients est un événement de canal sécurisé, non activé par défaut sur le serveur IAS.

Activation de la consignation SChannel sur le serveur IAS

Vous pouvez activer des événements de canal sécurisé supplémentaires en modifiant la valeur de la clé de Registre suivante de 1 (type REG_DWORD, données 0x00000001 ) à 3 (type REG_DWORD, données 0x00000003 ) :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\EventLogging

Attention : Toute erreur d'édition du Registre peut sévèrement endommager votre système. Avant de modifier le Registre, sauvegardez les données importantes de votre ordinateur.

Veillez à désactiver la consignation SChannel lorsque vous avez terminé le dépannage.

Tâches d'optimisation de zone

L'optimisation de zone englobe les fonctions de gestion des services permettant de gérer les coûts, tout en maintenant ou en améliorant les niveaux de service. Ceci comprend l'étude des pannes/incidents, l'examen des structures de coût, l'évaluation du personnel, la disponibilité, l'analyse des performances et la prévision des capacités.

Cette section comporte des information ayant trait aux fonctions de gestion des services (SMF) ci-après :

Gestion de la capacité

Aucune tâche n'appartient aux fonctions de gestion des services restantes :

Gestion des niveaux de service
Gestion financière
Gestion de la disponibilité
Gestion de la continuité des services informatiques
Gestion des effectifs

Gestion de la capacité

La gestion de capacité est le processus de planification, de calibrage et de contrôle de capacité des solutions de services de façon à satisfaire la demande des utilisateurs dans le cadre des niveaux de performance définis dans l'accord sur le niveau de service (SLA). Ceci nécessite des informations à propos des scénarios d'usage, modèles et caractéristiques de pic de charge de la solution de service, ainsi que sur les exigences de performances définies.

Détermination de la charge maximum du serveur IAS

Cette section fournit des informations sur la charge maximum probable du serveur IAS.

Les performances sont rarement source de problème pour les serveurs IAS RADIUS correctement calibrés et configurés. Les serveurs IAS RADIUS sont les plus sollicités aux heures de pic de charge, par exemple le matin quand beaucoup d'utilisateurs se connectent simultanément, brièvement après une panne réseau majeure, ou durant un incident de serveur RADIUS quand les points d'accès sans fil basculent vers un serveur de sauvegarde.

Cluster de rôle :	Infrastructure
Fréquence :	Si nécessaire
Exigences de sécurité :	Aucune
Dépendances :	Aucune
Exigences technologiques :	Aucune

Détail de la tâche

Les tests internes réalisés par Microsoft ont montré que IAS est capable d'atteindre un pic de charge sur un matériel assez modeste, qui comblera les besoins de la plupart des clients. Les estimations du nombre d'authentifications gérées par IAS sont les plus parlantes lorsqu'elles sont exprimées en authentifications par seconde. IAS a obtenu les chiffres suivants sur un serveur Intel Pentium 4 cadencé à 2 GHz exécutant Windows Server 2003 avec Active Directory sur un serveur Intel Pentium 4 à 2 GHz séparé. Ces informations sont fournies sans garantie de précision et devraient uniquement servir de repère pour la planification des capacités et non pour les comparaisons de performances :

Tableau 10 : Détermination de la charge sur le serveur IAS

Type d'authentification	Authentifications par seconde
Nouvelles authentifications EAP - TLS	36
Nouvelles authentifications EAP - TLS avec prise en charge de carte de décharge	50
Authentifications avec reconnexion rapide	166

IAS peut être configuré de manière à générer des journaux texte basé sur un disque, contenant des quantités variables d'informations de requêtes RADIUS. Vous devez soigneusement tenir compte de la surcharge que la consignation RADIUS représente sur les serveurs RADIUS, car les sous-systèmes basés sur des disques lents peuvent retarder les réponses IAS RADIUS destinées aux WAP, entraînant des expirations de protocole et des basculement inutiles de WAP sur des serveurs RADIUS secondaires.

De même, l'activation des fonctions de suivi des logiciels de Windows Server 2003 constitue une charge supplémentaire pour les serveurs IAS, mais peut être requise occasionnellement pour résoudre des problèmes d'accès réseau. Les serveurs IAS devraient par conséquent être en mesure de fonctionner avec un suivi pendant des plages de temps limitées, tout en continuant à gérer normalement la charge de production.

Détermination des exigences de stockage et de sauvegarde pour un serveur IAS

Cette section fournit des détails de capacité pour les paramètres de stockage IAS. Ces données aideront les planificateurs de capacité à calculer leurs futurs besoins de stockage pour les sauvegardes sur disque en ligne ou hors ligne.

Cluster de rôle :	Infrastructure
Fréquence :	Si nécessaire
Exigences de sécurité :	Aucune
Dépendances :	Aucune
Exigences technologiques :	Aucune

Détail de la tâche

Les fichiers de consignation IAS RADIUS constituent le seul composant des serveurs IAS nécessitant une planification du stockage. Les journaux de requêtes RADIUS pour cette solution sont configurés pour créer un nouveau journal chaque mois et le matériel testé durant le développement de cette solution comprenait un volume de disque dur de 18 Go dédié aux fichiers de consignation.

Calculez la charge estimée des serveurs IAS dans votre environnement, sélectionnez les options de consignation et procédez à un test dans un environnement de laboratoire pour simuler l'authentification de clients de production sans fil sur IAS, générant des données de consignation. Les estimations peuvent se baser sur une logique semblable à ce qui suit :

Le nombre maximum d'utilisateurs par point d'accès sans fil est d'environ 25 utilisateurs avec 25 ordinateurs, qui procèdent à une authentification initiale, puis se réauthentifient toutes les 10 minutes. Chaque authentification génère 1 kilo-octet d'informations de consignation, à condition de consigner les requêtes d'authentification et les requêtes d'audit, tandis que les requêtes intermédiaires ne sont pas consignées (la taille du fichier varie selon les options de consignation). Calculez la quantité d'espace disque requise pour la consignation par point d'accès sans fil par heure pour assurer la prise en charge de 25 utilisateurs et 25 ordinateurs, soit 50 clients. Estimez ensuite le nombre maximum de points d'accès sans fil que votre serveur IAS primaire peut prendre en charge en cas de forte sollicitation du réseau ou de basculement du serveur.

Les journaux de requêtes IAS RADIUS sont des données fortement compressibles. Bien qu'elle ne soit pas recommandée en usage normal, la compression peut être activée pour le fichier-journal des requêtes RADIUS, le cas échéant. Préparez-vous à une charge exceptionnelle sur votre serveur IAS, qui sera contraint de compresser les données à la volée.

Fenêtre de sauvegarde des fichiers-journaux IAS RADIUS

En supposant qu'une sauvegarde réseau s'effectue dans des conditions idéales sur un commutateur 100 Mbps dédié au serveur de sauvegarde, une base de données de 3 Go plus 500 Mo de données sur l'état du système peuvent être sauvegardés en environ 15-20 minutes.

Tâches de changement de zone

Le changement de zone comprend les processus et les procédures requis pour identifier, consulter, approuver et incorporer des modifications dans un environnement informatique géré. Le changement englobe les ressource matérielles et logicielles, ainsi que les modifications spécifiques de processus et de procédures.

L'objectif du processus de changement est l'introduction de technologies, systèmes, applications, matériels, outils et processus nouveaux, ainsi que l'apport de modifications aux rôles et aux responsabilités, au sein de l'environnement informatique, de façon rapide et avec une perturbation minime du service.

Gestion des modifications

La fonction de gestion des services de la gestion des modifications est chargée de la gestion du changement dans un environnement informatique. Un objectif clé du processus de gestion des modifications est de s'assurer que toutes les parties concernées par un changement donné sont conscientes de l'impact de celui-ci et le comprennent. Dans la mesure où la majorité des systèmes sont fortement en relation mutuelle, toute modification apportée à un composant d'un système est susceptible d'avoir un profond impact sur un autre. La gestion des modifications tente d'identifier tous les systèmes et processus concernés avant le déploiement de la modification, afin de limiter ou de résoudre les effets néfastes. En règle générale, l'environnement « cible » ou géré est l'environnement de production, mais il convient également d'inclure les environnements clés d'intégration, de test et intermédiaires.

Toute modification de l'infrastructure RADIUS et de la sécurité du réseau local sans fil devrait suivre le processus de gestion de modification MOF standard décrit ci-après :

Requête de modification : initiation formelle d'une modification par soumission d'une requête de modification (RFC).
Classification de la modification : affectation d'un ordre de priorité et d'une catégorie à la modification, en fonction de son urgence et de son impact sur l'infrastructure ou les utilisateurs. Cette classification conditionne la vitesse et la voie de mise en œuvre de la modification.
Autorisation de modification : prise en compte de la modification et approbation (ou désapprobation) par le responsable de modification et le conseil décidant des modifications (CAB), composé de représentants du service informatique et de l'entreprise.
Développement de la modification : planification et développement de la modification, un processus dont l'ampleur peut fortement varier et comprenant des examens aux étapes intermédiaires clés.
Publication de la modification : publication et déploiement de la modification dans l'environnement de production.
Révision de modification : processus post-mise en œuvre visant à vérifier si la modification a atteint les objectifs qu'elle s'était fixé et à déterminer si la modification doit rester en vigueur ou être annulée.

Les procédures de cette section décrivent les procédures de développement de modifications pour certaines modifications clés que vous serez probablement amené à effectuer régulièrement dans votre environnement. Chaque procédure de développement d'une modification est accompagnée d'une procédure de publication, expliquant comment la modification doit être déployée vers les moyens de production.

Gestion des correctifs de système d'exploitation

La gestion des correctifs pour les composants IAS et Windows XP 802.1X (qui sont couverts par la gestion générale des correctifs de Windows) est traitée dans deux guides d'exploitation Microsoft Solutions for Management. Vous trouverez des liens vers ces documents dans la section « Informations complémentaires » à la fin de ce module.

La gestion des correctifs comprend des composants de gestion des versions et de gestion de configuration, ainsi qu'un composant de gestion des modifications. Ces trois fonctions de gestion des services sont toutefois traitées dans les documents cités plus haut.

Tableaux de configuration

Les tableaux suivants contiennent des informations de configuration spécifiques aux sites et aux solutions, auxquelles les procédures de ce module font référence.

Paramètres de configuration par site

Tableau 11 : Éléments de configuration définis par l'utilisateur

Élément de configuration	Paramètre	Nom de variable
Nom DNS du domaine racine d'arborescence de Microsoft Active Directory	woodgrovebank.com	ForestRootDomain
Nom de domaine NetBIOS (Network basic input/output system)	WOODGROVEBANK	NBDomainName
Nom du serveur IAS principal	MSS-IAS-01	PrimaryIAShostname
Nom du serveur IAS secondaire	MSS-IAS-02	SecondaryIAShostname

Paramètres de configuration de la solution

Tableau 12 : Éléments de configuration prescrits par la solution

Élément de configuration	Paramètre	Nom de la variable
[Comptes] Nom complet du groupe administratif qui contrôle la configuration du Service d'authentification Internet (IAS)	IAS Admins	IASAdminsGroup
[Comptes] Nom antérieur à Windows 2000 du groupe administratif qui contrôle la configuration du Service d'authentification Internet (IAS)	IAS Admins	IASAdminsNTGroup
[Comptes] Nom complet du groupe révisant les journaux de requêtes d'authentification et de comptabilisation IAS (Internet Authentication Service) pour des raisons de sécurité	IAS Security Auditors	IASSecAuditGroup
[Comptes] Nom antérieur à Windows 2000 du groupe révisant les journaux de requêtes d'authentification et de comptabilisation IAS (Internet Authentication Service) pour des raisons de sécurité	IAS Security Auditors	IASSecAuditNTGroup
[Comptes] Groupe global Active Directory contenant les utilisateurs nécessitant des certificats d'authentification 802.1x	AutoEnroll Client Authentication - User Certificate	EnrollUserCertGroup
[Comptes] Groupe global Active Directory contenant les ordinateurs nécessitant des certificats d'authentification 802.1x	AutoEnroll Client Authentication - Computer Certificate	EnrollComputerCertGroup
[Comptes] Groupe global Microsoft Active Directory contenant les serveurs IAS nécessitant des certificats d'authentification 802.1x	AutoEnroll RAS et IAS Server Authentication Certificate	EnrollIASCertGroup
[Comptes] Nom antérieur à Windows 2000 du groupe global Microsoft Active Directory contenant les serveurs IAS nécessitant des certificats d'authentification 802.1x	AutoEnroll RAS et IAS Server Authentication Certificate	EnrollIASCertNTGroup
[Comptes] Groupe global Active Directory contenant les utilisateurs autorisés à accéder au réseau sans fil	Remote Access Policy - Wireless Users	WLANUsersGroup
[Comptes] Groupe global Active Directory contenant les ordinateurs autorisés à accéder au réseau sans fil	Remote Access Policy - Wireless Computers	WLANComputersGroup
[Comptes] Groupe universel Active Directory contenant les groupes Wireless Users et Wireless Computers	Remote Access Policy - Wireless Access	WLANAccessGroup
[Comptes] Groupe global Active Directory contenant les ordinateurs exigeant la configuration des propriétés de réseau sans fil via la stratégie de groupe Active Directory.	Wireless Network Policy - Computer	WLANConfigPolicyGroup
[Certificats] Modèle de certificat utilisé pour générer des certificats pour l'authentification client des utilisateurs	Client Authentication - User	UserClientAuthTemplate
[Certificats] Modèle de certificat utilisé pour générer des certificats pour l'authentification client des ordinateurs	Client Authentication - Computer	ComputerClientAuthTemplate
[Certificats] Modèle de certificat utilisé pour générer des certificats d'authentification serveur destinés à être utilisés par IAS	RAS et IAS Server Authentication	IASServerCertificate
[Scripts] Chemin d'accès aux scripts d'installation	C:\MSSScripts	ScriptPath
[Scripts] Fichier de commandes d'exportation de configuration IAS	IASExport.bat	IASExportBatch
[Scripts] Fichier de commandes d'importation de configuration IAS	IASImport.bat	IASImportBatch
[Scripts] Fichier de commandes d'exportation de configuration client IAS	IASClientExport.bat	IASClientExportBatch
[Scripts] Fichier de commandes d'importation de configuration client IAS	IASClientImport.bat	IASClientImportBatch
[Config] Chemin d'accès des fichiers de sauvegarde de configuration	D:\IASConfig	ConfigPath
[Journaux de requêtes] Emplacement des journaux de requêtes d'authentification et d'audit IAS (Internet Authentication Service)	D:\IASLogs	IASRequestLogLocation
[Journaux de requêtes] Nom de partage des journaux de requêtes RADIUS	IASLogs	IASLogShare
[Stratégie d'accès distant] Nom de la stratégie	Allow Wireless Access	IASRAPName
[stratégie de groupe] Nom d'objet de stratégie de groupe Active Directory	Wireless Network Policy	GPONameForWLAN
[Stratégie de groupe] Stratégie de réseau sans fil au sein de l'objet Stratégie de groupe	Client Computer Wireless Configuration	ClientWLANPolicy

Informations complémentaires

Pour de plus amples informations à propos de la surveillance des contraintes de capacité IAS et de la mesure des performances disques, consultez l'article Q146005 de la Base de connaissances Microsoft, « Optimisation des performances de Windows NT », à l'adresse https://support.microsoft.com/default.aspx?scid=146005.

Pour de plus amples informations sur les modèles de processus et d'équipe MOF (Microsoft Operations Framework), consultez le Guide d'exploitation.

Pour obtenir des informations sur le déploiement de MOM, consultez le Microsoft Operations Manager 2000 Operations Guide, à l'adresse https://technet.microsoft.com/en-us/library/cc722557.aspx.
Pour obtenir des informations sur la gestion des correctifs avec Microsoft Systems Management Server, consultez https://www.microsoft.com/france/technet/windowsserver/librairie/WSUS_processus_gestion_update.mspx.
Pour obtenir des informations sur la gestion des correctifs avec Microsoft Software Update Services, consultez https://www.microsoft.com/france/sysmans/decouvrez/securite.mspx.
Pour de plus amples informations sur l'obtention et l'utilisation de la console de gestion des stratégies de groupes (GPMC), consultez https://www.microsoft.com/windowsserver2003/gpmc/default.mspx.

Gestion de l'infrastructure RADIUS et de la sécurité du réseau local sans fil

Sur cette page

Dans ce module

Objectifs

S'applique à

Comment utiliser ce module

Tâches de maintenance essentielles

Tâches de configuration initiales

Tâches de maintenance

Technologies requises dans le guide d'exploitation

Rôles administratifs pour RADIUS et la sécurité du réseau local sans fil

Rôles principaux de RADIUS et de réseau local sans fil

Prise en charge des rôles pour RADIUS et la sécurité du réseau local sans fil

Mappage de rôles aux groupes de sécurité

Tâches de zone d'exploitation

Administration du réseau

Ajout de clients RADIUS à des serveurs IAS

Retrait de clients RADIUS d'un serveur IAS

Administration des services d'annuaire

Ajout d'ordinateurs à des groupes de stratégie de réseau sans fil

Ajout d'ordinateurs et d'utilisateurs à des groupes de stratégie d'accès distant

Surveillance et contrôle des services

Catégorisation des alertes de surveillance

Surveillance des contraintes de capacité IAS

Gestion du stockage

Configuration de l'exportation de configuration IAS

Exportation de la configuration de client RADIUS

Configuration de la sauvegarde des répertoires de données IAS

Test de la sauvegarde IAS

Administration de la sécurité

Accès aux journaux de requêtes IAS RADIUS

Révision des entrées de journal des événements d'authentification IAS RADIUS

Archivage et suppression des fichiers de consignation IAS RADIUS

Prise en charge des tâches de zone

Gestion des incidents

Vérification de l'état du dossier Connexions réseau client

Activation et désactivation du suivi sur les ordinateurs client

Vérification de la chaîne de nom de domaine sur les ordinateurs clients

Consultation d'événements d'authentification IAS dans le journal des événements

Activation et désactivation du suivi sur le serveur IAS

Activation de la consignation SChannel sur le serveur IAS

Tâches d'optimisation de zone

Gestion de la capacité

Détermination de la charge maximum du serveur IAS

Détermination des exigences de stockage et de sauvegarde pour un serveur IAS

Tâches de changement de zone

Gestion des modifications

Gestion des correctifs de système d'exploitation

Tableaux de configuration

Paramètres de configuration par site

Paramètres de configuration de la solution

Informations complémentaires

Ressources supplémentaires