Esporta (0) Stampa
Espandi tutto

Procedure ottimali per IAS

Aggiornamento: gennaio 2005

Si applica a: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

 

Procedure ottimali per IAS

Di seguito è riportato l'elenco delle procedure ottimali per implementare e configurare il servizio IAS, definito in base ai suggerimenti del Servizio Supporto Tecnico Clienti Microsoft.

Consigli per l'installazione

Prima di installare il servizio IAS, effettuare le seguenti operazioni:

  • Installare e verificare ciascuno dei server di accesso utilizzando metodi di autenticazione locali prima di configurarli come client RADIUS.

  • Dopo avere installato e configurato il servizio IAS, salvare la configurazione utilizzando il comando netsh aaaa show config > percorso\file.txt. Per ulteriori informazioni, vedere Comandi Netsh per AAAA. Salvare la configurazione IAS mediante il comando netsh aaaa show config > percorso\file.txt ogni volta che viene effettuata una modifica.

  • Non installare Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition o Windows Server 2003, Datacenter Edition nella stessa partizione di Windows 2000. Per accedere al database IAS, questi sistemi operativi utilizzano file comuni della cartella systemroot\Programmi. Se si decide di installare Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition o Windows Server 2003, Datacenter Edition nella stessa partizione di Windows 2000, il servizio IAS di Windows 2000 non sarà più in grado di accedere ai criteri di accesso remoto o alla registrazione di accesso remoto.

  • Non configurare un server che esegue il servizio IAS o Routing e Accesso remoto e Windows Server 2003 come membro di un dominio di Windows NT Server 4.0 se il database degli account utente si trova in un controller di dominio di Windows Server 2003 in un altro dominio. In questo caso, infatti, le query LDAP (Lightweight Directory Access Protocol) inviate dal server IAS al controller di dominio di Windows Server 2003 non vengono eseguite.

  • Configurare il server che esegue il servizio IAS o Routing e Accesso remoto e Windows Server 2003 come membro di un dominio di Windows Server 2003. In alternativa, è possibile configurare un server che esegue il servizio IAS e Windows Server 2003 come server proxy che inoltra le richieste di autenticazione e accounting a un altro server che esegue il servizio IAS e Windows Server 2003 che può accedere al database degli account utente nel controller di dominio di Windows Server 2003. Per ulteriori informazioni, vedere Distribuzione di IAS come proxy RADIUS.

Problemi relativi alla protezione

Quando si amministra un server IAS in remoto, non inviare attraverso la rete dati riservati o confidenziali (ad esempio chiavi segrete o password condivise) non crittografati. Per l'amministrazione remota dei server IAS si consiglia di adottare uno dei seguenti metodi:

  • Utilizzare Servizi terminal per accedere al server IAS.

    Quando si utilizza Servizi terminal, i dati non vengono inviati tra client e server. Solo l'interfaccia utente del server, ad esempio il desktop del sistema operativo e l'immagine della console IAS, viene inviata al client di Servizi terminal, denominato Connessione desktop remoto in Windows XP. Il client invia un input da tastiera o mouse, che viene elaborato localmente dal server su cui è abilitato Servizi terminal. Una volta effettuato l'accesso a Servizi terminal, gli utenti possono visualizzare solo le rispettive sessioni client, che vengono gestite dal server e sono indipendenti l'una dall'altra. Connessione desktop remoto fornisce inoltre la crittografia a 128 bit tra client e server. Per ulteriori informazioni, vedere Servizi terminal.

  • Utilizzare IPSec per crittografare dati riservati.

    È possibile utilizzare IPSec per crittografare la comunicazione tra il server IAS e il computer client remoto utilizzato per amministrarlo. Per amministrare il server in remoto, è necessario installare Strumenti di amministrazione di Windows Server 2003 nel computer client e aggiungere lo snap-in IAS a Microsoft Management Console (MMC). Per ulteriori informazioni, vedere Regole dei criteri IPSec.

Il server IAS fornisce servizi di autenticazione, autorizzazione e accounting per i tentativi di connessione alla rete dell'organizzazione. È possibile impedire l'accesso indesiderato da parte di utenti interni ed esterni al server IAS e ai messaggi RADIUS. Per ulteriori informazioni sulle modalità di protezione del server IAS, vedere Protezione di IAS.

Per ulteriori informazioni sulla protezione del traffico RADIUS quando il servizio IAS viene utilizzato come server RADIUS, vedere Considerazioni sulla protezione di IAS come server RADIUS. Per ulteriori informazioni sulla protezione del traffico RADIUS quando il servizio IAS viene utilizzato come proxy RADIUS, vedere Considerazioni sulla protezione relative all'utilizzo del servizio IAS come proxy RADIUS.

Utilizzo del comando Runas per amministrare i server IAS locali

È possibile utilizzare il comando Runas per eseguire operazioni di amministrazione quando l'accesso è stato eseguito come membro di un gruppo che non dispone delle credenziali amministrative richieste, ad esempio il gruppo Users o il gruppo Power Users. L'accesso al server senza credenziali amministrative è consigliato poiché consente di proteggere il computer da una serie di possibili attacchi al sistema di protezione, ad esempio l'installazione accidentale di un virus nel computer.

Registrazione

Il servizio IAS fornisce due tipi di registrazione:

  1. Registrazione eventi per il servizio IAS È possibile utilizzare la registrazione eventi per registrare gli eventi IAS nel registro eventi di sistema. Questo tipo di registrazione viene utilizzato principalmente per il controllo e la risoluzione dei problemi relativi ai tentativi di connessione.

  2. Registrazione delle richieste di autenticazione utente e di accounting Le richieste di autenticazione utente e le richieste di accounting possono essere registrate in file registro in formato testo o database oppure registrate in stored procedure in un database SQL Server 2000. La registrazione delle richieste viene utilizzata principalmente per l'analisi della connessione e per scopi di fatturazione. Costituisce inoltre un utile strumento di controllo della protezione poiché consente di rilevare l'attività di un utente non autorizzato.

Per utilizzare la registrazione IAS nel modo più efficiente:

  • Attivare l'accesso (inizialmente) per entrambi i record di autenticazione e di amministrazione. Dopo aver determinato le impostazioni appropriate all'ambiente, modificare queste selezioni.

  • Assicurarsi che la registrazione eventi sia configurata con una capacità sufficiente per la gestione dei registri.

  • Eseguire regolarmente il backup di tutti i file. I file danneggiati o eliminati non possono essere ricreati.

  • Utilizzare l'attributo RADIUS Class sia per tenere traccia dell'utilizzo che per facilitare l'identificazione del reparto o dell'utente a cui imputare l'utilizzo. Sebbene l'attributo Class generato automaticamente sia univoco per ciascuna richiesta, è possibile che vengano generati record duplicati nei casi in cui la risposta al server di accesso viene persa e viene nuovamente inviata la richiesta. Per tenere traccia dell'utilizzo in modo accurato può essere necessario eliminare dai registri le richieste duplicate.

  • Per fornire funzionalità di failover e ridondanza mediante la registrazione del server SQL, collocare due computer che eseguono SQL Server su subnet differenti. Per configurare la replica del database tra i due server, utilizzare la procedura guidata per la pubblicazione di un server SQL. Per ulteriori informazioni, consultare la documentazione relativa a SQL Server 2000.

Per visualizzare i registri IAS, è possibile utilizzare lo strumento Iasparse.exe disponibile nella cartella \Support\Tools del CD di Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition o Windows Server 2003, Datacenter Edition.

Per ulteriori informazioni, vedere Registrazione Accesso remoto.

Regolazione delle prestazioni del servizio IAS

  • Per ottimizzare i tempi di risposta dell'autenticazione e dell'autorizzazione del servizio IAS e per ridurre al minimo il traffico di rete, installare il servizio IAS in un controller di dominio.

  • Quando vengono utilizzati nomi principali utente (UPN) o domini di Windows Server 2003, il servizio IAS utilizza il catalogo globale per autenticare gli utenti. Per ridurre al minimo il tempo necessario per eseguire questa operazione, installare il servizio IAS su un server del catalogo globale o su un server che si trova nella stessa subnet. Per ulteriori informazioni, vedere l'argomento relativo al ruolo del catalogo globale. Per ulteriori informazioni sulla funzionalità del dominio, vedere l'argomento relativo alle funzionalità del dominio e dell'insieme di strutture.

  • Dopo aver configurato i gruppi di server RADIUS remoti e aver deselezionato la casella di controllo Registra le informazioni sull'accounting sui server nel seguente gruppo di server RADIUS remoto in Criteri richiesta di connessione del servizio IAS, il server di accesso alla rete continua a inviare ai gruppi i messaggi di notifica NAS di inizio e di fine. Questo processo genera un inutile traffico di rete. Per eliminare questo traffico, disabilitare l'inoltro delle notifiche NAS per i singoli server in ogni gruppo di server RADIUS remoto deselezionando la casella di controllo Inoltra notifiche di avvio e di fine accesso alla rete a questo server. Per ulteriori informazioni, vedere Configurare le impostazioni di autenticazione e di accounting di un membro di un gruppo e Configurare l'accounting.

Utilizzo del servizio IAS nelle organizzazioni di grandi dimensioni

  • Se vengono utilizzati criteri di accesso remoto per limitare l'accesso a tutti i gruppi eccetto alcuni, creare un gruppo universale per tutti gli utenti a cui si desidera consentire l'accesso, quindi creare un criterio di accesso remoto che fornisca l'accesso al gruppo universale creato. Non aggiungere tutti gli utenti direttamente al gruppo universale, soprattutto se molti di questi si trovano sulla rete dell'organizzazione. Creare invece dei gruppi distinti che siano membri del gruppo universale e aggiungere quindi gli utenti a tali gruppi. Per ulteriori informazioni sui gruppi universali, vedere Ambiti dei gruppi. Per ulteriori informazioni sulla limitazione o la concessione dell'accesso a un gruppo, vedere Consentire la connessione remota mediante l'appartenenza a gruppi.

  • Per fare riferimento agli utenti utilizzare possibilmente dei nomi principali utente. Un utente può disporre dello stesso nome principale indipendentemente dall'appartenenza al dominio. Questo metodo assicura la scalabilità necessaria nelle organizzazioni che dispongono di un numero elevato di domini.

  • Se il server IAS si trova su un computer diverso da un controller di dominio e riceve un elevato numero di richieste di autenticazione al secondo, è possibile migliorare le prestazioni aumentando il numero di autenticazioni simultanee tra il server IAS e il controller di dominio.

    A tal scopo, modificare la seguente chiave del Registro di sistema: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters. Aggiungere un nuovo valore denominato MaxConcurrentApi e assegnargli un valore compreso tra 2 e 5.

Attenzione

  • Modifiche errate al Registro di sistema potrebbero danneggiare gravemente il sistema. Prima di apportare modifiche al Registro di sistema, è necessario eseguire il backup di tutti i dati rilevanti presenti nel computer.

Note

  • Se viene assegnato un valore troppo alto a MaxConcurrentApi, il server IAS potrebbe assegnare un carico eccessivo al controller di dominio.

  • Per bilanciare in modo efficiente il carico di numerose autorizzazioni o di un elevato volume di traffico di autenticazione RADIUS (ad esempio un'implementazione senza fili mediante l'autenticazione basata su certificati), installare il servizio IAS come server RADIUS in tutti i controller di dominio. Configurare quindi due o più proxy IAS per inoltrare le richieste di autenticazione tra i server di accesso e i server RADIUS. Configurare infine i server di accesso per l'utilizzo dei proxy IAS come server RADIUS. Per ulteriori informazioni, vedere Utilizzo di proxy IAS per il bilanciamento del carico.

  • È possibile configurare il servizio IAS in Windows Server 2003, Standard Edition con un massimo di 50 client RADIUS e un massimo di 2 gruppi di server RADIUS remoti. È possibile definire un client RADIUS utilizzando un nome di dominio completo o un indirizzo IP, mentre non è possibile definire i gruppi di client RADIUS mediante un intervallo di indirizzi IP. Se il nome di dominio completo di un client RADIUS viene risolto in più indirizzi IP, il server IAS utilizzerà il primo indirizzo IP restituito nella query DNS. Con IAS installato in Windows Server 2003, Enterprise Edition e Windows Server 2003, Datacenter Edition è possibile configurare un numero illimitato di client RADIUS e di gruppi di server RADIUS remoti. È inoltre possibile configurare i client RADIUS specificando un intervallo di indirizzi IP.

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.

Aggiunte alla community

Mostra:
© 2014 Microsoft