Exporteren (0) Afdrukken
Alles uitvouwen

IAS-proxy gebruiken voor taakverdeling

IAS-proxy gebruiken voor taakverdeling

In dit onderwerp wordt beschreven hoe IAS-proxy's tussen toegangsservers en IAS-servers kunnen worden geplaatst om de werklast van druk verificatieverkeer te verdelen. Zonder IAS-proxy's worden de RADIUS-aanvragen van elke toegangsserver over meerdere RADIUS-servers verdeeld en detecteert elke toegangsserver zelf de niet-beschikbare RADIUS-servers. Met IAS als proxy wordt de werklast van verificatie-, machtigings- en accountingverkeer evenwichtig verdeeld over alle IAS-servers in de organisatie. Ook wordt er een consistent patroon gehanteerd voor foutdetectie en RADIUS-server-failover.

De volgende configuratie is voor een organisatie met de volgende onderdelen:

  • Active Directory-domeinen
    Active Directory-domeinen bevatten de gebruikersaccounts, wachtwoorden en inbeleigenschappen die elke IAS-server nodig heeft voor het verifiëren van gebruikersreferenties en het evalueren van beperkingen op machtigingen en verbindingen. Om IAS-verificatie en de reactietijden bij de machtiging te optimaliseren en het netwerkverkeer te minimaliseren, wordt IAS geïnstalleerd op domeincontrollers.
  • Meerdere IAS-servers
    Voor een evenwichtige verdeling van RADIUS-verificatie, -machtiging en -accounting over meerdere domeincontrollers, wordt IAS als RADIUS-server op de domeincontrollers geïnstalleerd.
  • RAS-beleid
    Het RAS-beleid wordt geconfigureerd om op basis van groepslidmaatschap de verschillende typen verbindingsbeperkingen voor gebruikers op te geven.
  • Twee IAS-proxy's
    Er worden twee IAS-proxy's gebruikt om fouttolerantie mogelijk te maken voor RADIUS-aanvragen van toegangsservers.

In de volgende afbeelding ziet u hoe IAS-proxy's worden gebruikt voor een evenwichtige verdeling van RADIUS-verkeer over meerdere IAS-servers.

IAS in een perimeter-netwerk

Opmerking

  • In dit onderwerp wordt alleen beschreven hoe IAS moet worden geconfigureerd. De configuratie van Active Directory-domeinen en toegangsservers wordt niet beschreven. Zie de betreffende Help-onderwerpen voor informatie over het implementeren van deze onderdelen.

Voer de volgende stappen uit om IAS voor dit voorbeeld te configureren:

  • Configureer de Active Directory-forests voor gebruikersaccounts en -groepen.
  • Configureer de IAS-server op domeincontrollers.
  • Configureer de primaire IAS-proxy.
  • Configureer de secundaire IAS-proxy.
  • Configureer RADIUS-verificatie en -accounting op toegangsservers.

Forests configureren voor gebruikersaccounts en groepen

Ga als volgt te werk om gebruikersaccounts en -groepen te configureren:

  1. Controleer of alle gebruikers die netwerkverbindingen maken een overeenkomstige gebruikersaccount hebben.
  2. Beheer netwerktoegang op basis van groepen door de RAS-machtiging voor gebruikersaccounts in te stellen op Toegang beheren via RAS-beleid. Zie RAS-machtiging configureren voor een gebruiker voor meer informatie.
  3. Orden de gebruikers die gebruikmaken van externe toegang, in relevante universele en geneste groepen zodat u op groepen gebaseerd RAS-beleid kunt gebruiken. Zie Groepsbereik voor meer informatie.
  4. Als u CHAP (Challenge Handshake Authentication Protocol) gebruikt, moet u ondersteuning inschakelen voor omkeerbaar gecodeerde wachtwoorden voor de betreffende domeinen. Zie Wachtwoorden met omkeerbare codering inschakelen in een domein voor meer informatie.

De IAS-server configureren op domeincontrollers

Ga als volgt te werk om IAS als RADIUS-server te configureren op elke domeincontroller:

  1. Installeer IAS op de domeincontroller als een optioneel netwerkonderdeel. Zie IAS installeren voor meer informatie.
  2. Configureer de IAS-servercomputer (de domeincontroller) zo dat de eigenschappen van gebruikersaccounts in het domein worden gelezen. Zie De IAS-server in staat stellen om gebruikersaccounts in Active Directory te lezen voor meer informatie.
  3. Als de IAS-server verbindingspogingen verifieert voor gebruikersaccounts in andere domeinen, controleert u of de andere domeinen een tweerichtingsvertrouwensrelatie hebben met het domein waarvan de IAS-servercomputer lid is. Configureer vervolgens de IAS-servercomputer zo dat de eigenschappen van gebruikersaccounts in andere domeinen worden gelezen. Zie De IAS-server in staat stellen om gebruikersaccounts in Active Directory te lezen voor meer informatie. Zie Richting van vertrouwensrelaties voor meer informatie over vertrouwensrelaties.
  4. Schakel logboekregistratie in voor accounting en verificatie. Zie Eigenschappen van logboekbestanden configureren voor meer informatie.
  5. Voeg de IAS-proxy's toe als RADIUS-clients van de IAS-server. Zie RADIUS-clients toevoegen voor meer informatie. Controleer of u de juiste naam of het juiste IP-adres en de juiste gedeelde geheimen configureert. Zie Gedeelde geheimen voor meer informatie.
  6. Maak het betreffende RAS-beleid voor toegangsclients.
    Zie RAS-beleid - voorbeelden voor voorbeelden van RAS-beleid.

De primaire IAS-proxy configureren

Ga als volgt te werk om de primaire IAS-proxy te configureren:

  1. Installeer IAS als optioneel netwerkonderdeel op een computer met Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition of Windows Server 2003, Datacenter Edition. Zie IAS installeren voor meer informatie. De computer waarop IAS is geïnstalleerd, hoeft niet te zijn gereserveerd voor het doorsturen van RADIUS-berichten. U kunt IAS bijvoorbeeld installeren op een webserver, bestandsserver of DNS-server.
  2. Configureer zo nodig extra UDP-poorten voor RADIUS-berichten van de toegangsservers. Zie IAS-poortinformatie configureren voor meer informatie. IAS maakt standaard gebruik van UDP-poort 1812 en 1645 voor verificatie en van poort 1813 en 1646 voor accounting.
  3. Voeg de toegangsservers toe als RADIUS-clients van de IAS-server. Zie RADIUS-clients toevoegen voor meer informatie. Controleer of u de juiste naam of het juiste IP-adres en de juiste gedeelde geheimen configureert. Zie Gedeelde geheimen voor meer informatie.
  4. Maak met de wizard Nieuwe externe RADIUS-servergroep een aangepaste externe RADIUS-servergroep. Voeg elke IAS-server toe als lid van de externe RADIUS-servergroep en geef elk groepslid de prioriteit 1 en het gewicht 50.
  5. Maak een beleid voor verbindingsaanvragen waarmee RADIUS-aanvraagberichten worden doorgestuurd naar IAS-servers waarbij de realm-naam overeenkomt met de accounts in het domein.
    Maak met de wizard Beleid voor nieuwe verbindingsaanvragen een beleid voor nieuwe verbindingsaanvragen waarmee verbindingsaanvragen worden doorgestuurd naar een externe RADIUS-server en waarbij de realm-naam overeenkomt met de realm-naam van de gebruikersaccounts in het forest. Schakel het selectievakje uit waarmee de realm-naam voor verificatie wordt verwijderd. Selecteer de eerder gemaakte externe RADIUS-servergroep als de groep die de verbindingsaanvragen doorstuurt.
    Zie Beleid voor verbindingsaanvragen toevoegen voor meer informatie.
  6. Verwijder het standaardbeleid voor verbindingsaanvragen met de naam Windows-verificatie voor alle gebruikers gebruiken. Zie Een beleid voor verbindingsaanvragen verwijderen voor meer informatie.

De secundaire IAS-proxy configureren

Ga als volgt te werk om de secundaire IAS-proxy op een andere computer te configureren:

  1. Installeer IAS als optioneel netwerkonderdeel op een andere computer met Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition of Windows Server 2003, Datacenter Edition. Zie IAS installeren voor meer informatie.
  2. Kopieer de configuratie van de primaire IAS-proxy naar de secundaire IAS-proxy. Zie IAS-configuratie naar een andere server kopiëren voor meer informatie.

RADIUS-verificatie en -accounting configureren op toegangsservers

Ga als volgt te werk om elke toegangsserver zo te configureren dat de primaire en secundaire IAS-proxy's worden gebruikt voor de verificatie, machtiging en accounting van netwerkverbindingen:

  1. Als de inbel- of VPN-server een computer is met Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition, Windows Server 2003, Datacenter Edition of Windows 2000 en de Routing and Remote Access-service, configureert u de primaire en secundaire IAS-proxy als RADIUS-servers voor zowel RADIUS-verificatie als -accounting. Zie RADIUS-verificatie gebruiken en RADIUS-accounting gebruiken voor meer informatie.
  2. Zie de on line Help van Windows NT Server 4.0 voor informatie over het configureren van de primaire en secundaire IAS-proxy's als RADIUS-servers voor RADIUS-verificatie als de inbel- of VPN-server een computer met Windows NT Server 4.0 en Routering en RAS (RRAS) is.
  3. Zie de documentatie voor de NAS (Network Access Server) voor informatie over hoe u deze moet configureren als een RADIUS-client met twee RADIUS-servers (de primaire en secundaire IAS-server) wanneer de VPN-server een NAS van een andere fabrikant is.

Opmerking

  • In Windows Server 2003, Standard Edition kunt u met IAS maximaal 50 RADIUS-clients en maximaal 2 externe RADIUS-servergroepen definiëren. U kunt een RADIUS-client definiëren door middel van een volledige domeinnaam of een IP-adres, maar u kunt geen groepen RADIUS-clients definiëren door een IP-adresbereik op te geven. Als de volledige domeinnaam van een RADIUS-client kan worden omgezet in meerdere IP-adressen, gebruikt de IAS-server het eerste IP-adres dat met de DNS-query wordt gevonden. Bij Windows Server 2003, Enterprise Edition, en Windows Server 2003, Datacenter Edition, kunt u voor IAS een onbeperkt aantal RADIUS-clients en externe RADIUS-servergroepen configureren. Bovendien kunt u RADIUS-clients configureren door een IP-adresbereik op te geven.
Vindt u dit nuttig?
(1500 tekens resterend)
Bedankt voor uw feedback

Community-inhoud

Toevoegen
Weergeven:
© 2014 Microsoft