Exporteren (0) Afdrukken
Alles uitvouwen

Ontwerpoverwegingen bij IAS als een RADIUS-server

Ontwerpoverwegingen bij IAS als een RADIUS-server

Neem de volgende punten in overweging voordat u IAS implementeert als RADIUS-server:

  • Algemeen gebruik van IAS als RADIUS-server
    Zie IAS als een RADIUS-server voor meer informatie over de algemene manieren om IAS als een RADIUS-server te gebruiken.
  • Domeinlidmaatschap IAS-server
    Bepaal van welk domein de IAS-server lid is. In omgevingen met meerdere domeinen kan een IAS-server de referenties van gebruikersaccounts verifiëren in het domein waarvan de server lid is en in alle domeinen die dat domein vertrouwen. Om de inbeleigenschappen van gebruikersaccounts echter te kunnen lezen moet u de computeraccount van de IAS-server toevoegen aan de RAS- en IAS-servergroep in elk domein. Zie De IAS-server in staat stellen om gebruikersaccounts in Active Directory te lezen voor meer informatie. Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition en Windows Server 2003, Datacenter Edition zorgen ook voor verificatie in verschillende forests. Zie Bronnen in verschillende forests gebruiken voor meer informatie.
  • RADIUS-poorten
    U kunt de IAS-server configueren voor het ontvangen van RADIUS-berichten die worden verzonden naar andere UDP-poorten dan de standaardpoorten 1812 en 1645 (voor RADIUS-verificatie) en de poorten 1813 en 1646 (voor RADIUS-accounting). Zie IAS-poortinformatie configureren voor meer informatie.
  • RADIUS-clients
    Een RADIUS-client kan een toegangsserver zijn (bijvoorbeeld een inbel- of VPN-server, een draadloos toegangspunt of een Ethernet-switch) of een RADIUS-proxy. IAS biedt ondersteuning voor alle toegangsservers en RADIUS-proxy's die voldoen aan RFC 2865, 'Remote Authentication Dial-in User Service (RADIUS)'.
    Configureer elke toegangsserver of RADIUS-proxy die RADIUS-aanvraagberichten naar de IAS-server verzendt als een RADIUS-client op de IAS-server. Voor elke RADIUS-client kunt u een beschrijvende naam, een IP-adres of DNS-naam, de clientleverancier en het gedeelde geheim configureren en aangeven of het RADIUS-kenmerk Message Authenticator moet worden gebruikt. Zie RADIUS-clients configureren voor meer informatie.
    U kunt IP-adressen of DNS-namen opgeven voor RADIUS-clients. In de meeste gevallen is het beter om voor RADIUS-clients IP-adressen op te geven. Wanneer u IP-adressen gebruikt, hoeft IAS bij het opstarten geen hostnamen om te zetten en verloopt het opstarten sneller. Dit is vooral nuttig als u een netwerk hebt met een groot aantal RADIUS-clients. U kunt adressen van RADIUS-clients als DNS-namen opgeven wanneer u meer dan de gebruikelijke administratieve flexibiliteit nodig hebt, omdat u bijvoorbeeld meerdere IP-adressen van RADIUS-clients wilt koppelen aan één DNS-naam.
    Met IAS in Windows Server 2003, Enterprise Edition en Windows Server 2003, Datacenter Edition kunt u een RADIUS-client opgeven door middel van een adresbereik. Het adresbereik van RADIUS-clients wordt uitgedrukt in de netwerkprefixlengtenotatie w.x.y.z/p, waarbij w.x.y.z de decimale notatie van de adresprefix is en p de prefixlengte (het aantal hooggeplaatste bits waarmee de netwerkprefix wordt gedefinieerd). Dit wordt ook wel de CIDR-notatie (Classless Inter-Domain Routing) genoemd. Een voorbeeld hiervan is 192.168.21.0/24. Bij de conversie van subnetmaskernotatie naar netwerkprefixlengtenotatie is p het aantal hooggeplaatste bits dat in het subnetmasker is ingesteld op 1.
  • Toegangspunten van derden
    Raadpleeg de informatie over RADIUS-kenmerken en leverancierspecifieke kenmerken in de documentatie bij een toegangspunt van een derde partij om te bepalen of het toegangspunt kan worden gebruikt met IAS als RADIUS-server.
    Configureer het toegangspunt en de toegangsclient voor PAP (Password Authentication Protocol) om de basisinteroperabiliteit voor PPP-verbindingen te testen. Ga door met de PPP-verificatieprotocollen totdat de protocollen die u gebruikt voor netwerktoegang zijn getest.
  • Configuratie van een beleid voor verbindingsaanvragen
    Het standaardbeleid voor verbindingsaanvragen Windows-verificatie voor alle gebruikers gebruiken is geconfigureerd voor IAS als RADIUS-server. Zie Beleid voor verbindingsaanvragen voor meer informatie over de instellingen van het standaardbeleid voor verbindingsaanvragen. Met aanvullende beleidsregels voor verbindingsaanvragen kunt u specifiekere voorwaarden definiëren, kenmerken bewerken en geavanceerde kenmerken opgeven. Met de wizard Beleid voor nieuwe verbindingsaanvragen kunt u zowel algemene als aangepaste beleidsregels voor verbindingsaanvragen maken. Zie Verbindingsaanvraag verwerken - inleiding voor meer informatie over beleidsregels voor verbindingsaanvragen en hoe u deze configureert wanneer IAS wordt gebruikt als RADIUS-server.
  • Realm-vervanging
    Om realm-namen in de gebruikersnaam van een verbindingsaanvraag correct te vervangen of te converteren, moet u in het juiste beleid voor verbindingsaanvragen regels configureren voor het bewerken van het kenmerk User-Name. Zie Beleid voor verbindingsaanvragen en Het bewerken van kenmerken configureren voor meer informatie.
  • Configuratie van het RAS-beleid
    Het RAS-beleid kan worden gebruikt om specifieke voorwaarden op te geven, inbelbeperkingen in te stellen, toegestane verificatieprotocollen en coderingssterkte in te stellen en geavanceerde kenmerken op te geven. Met de wizard Nieuw RAS-beleid kunt u zowel algemene als aangepaste beleidsregels maken. Zie RAS-beleid - inleiding voor meer informatie.
  • RAS-beleidsregels en machtiging op basis van gebruiker of groep
    In kleine organisaties kunt u machtigingen beheren door de RAS-machtiging in te stellen voor elke gebruikersaccount. In grote organisaties kunt u de RAS-machtiging voor elke gebruikersaccount instellen via het RAS-beleid. Vervolgens configureert u RAS-beleidsregels om toegang te verschaffen aan de hand van groepslidmaatschappen. Zie RAS-beleid - inleiding voor meer informatie.
  • Het gebruik van aanvullende RADIUS-kenmerken en leverancierspecifieke kenmerken
    Als u aanvullende RADIUS-kenmerken en leverancierspecifieke kenmerken wilt retourneren met de antwoorden op RADIUS-aanvragen, voegt u de RADIUS-kenmerken en leverancierspecifieke kenmerken toe aan het juiste RAS-beleid. Zie Leverancierspecifieke kenmerken - overzicht en Kenmerken voor een profiel configureren voor meer informatie.
  • Het gebruik van logboekregistratie
    U kunt logboekregistratie van verificatiegebeurtenissen inschakelen voor probleemoplossing en foutopsporing bij verbindingspogingen. Zie Logboekregistratie voor IAS voor meer informatie. Zie Verificatie- en accountingaanvragen van gebruikers registreren in een logboek voor informatie over het vastleggen van gebruikersverificatie en accountingaanvragen ten behoeve van analyse en verrekening.
  • Interim-accounting
    Als u interim-accounting wilt gebruiken, moet u eerst nagaan of de toegangsserver ondersteuning biedt voor de verzending van interim-accountingberichten. Vervolgens voegt u het RADIUS-kenmerk Acct-Interim-Interval vanaf het tabblad Geavanceerd toe aan de profielinstellingen van het juiste RAS-beleid. Geef in het kenmerk Acct-Interim-Interval het gewenste interval (in minuten) op voor de verzending van periodieke interim-accountingberichten. Zie RADIUS-kenmerken toevoegen aan een RAS-beleid voor meer informatie. Schakel vervolgens logboekregistratie in voor periodieke status. Zie Selectie van te registreren aanvragen voor meer informatie.
    De Routing and Remote Access-service ondersteunt het verzenden van tussentijdse accountingberichten en wordt ingeschakeld op basis van de eigenschappen van een RADIUS-server tijdens het configureren van de RADIUS-accountingprovider. Zie RADIUS-accounting gebruiken voor meer informatie.
  • Prestaties en capaciteitsplanning
    Zie Aanbevolen procedures voor IAS voor informatie over het afstemmen van prestaties en het gebruik van IAS in grote organisaties.
  • Meerdere IAS-servers
    Om fouttolerantie mogelijk te maken voor verificatie en accounting op basis van RAS, moet u altijd ten minste twee IAS-servers gebruiken. Eén IAS-server wordt gebruikt als de primaire RADIUS-server en de andere als reserve. Toegangsservers worden voor beide IAS-servers geconfigureerd. Er wordt naar de reserve-IAS-server overgeschakeld wanneer de primaire IAS-server niet beschikbaar is. Zie Meerdere IAS-servers beheren voor informatie over het synchroniseren van de configuratie van meerdere IAS-servers.

Opmerking

  • In Windows Server 2003, Standard Edition kunt u met IAS maximaal 50 RADIUS-clients en maximaal 2 externe RADIUS-servergroepen definiëren. U kunt een RADIUS-client definiëren door middel van een volledige domeinnaam of een IP-adres, maar u kunt geen groepen RADIUS-clients definiëren door een IP-adresbereik op te geven. Als de volledige domeinnaam van een RADIUS-client kan worden omgezet in meerdere IP-adressen, gebruikt de IAS-server het eerste IP-adres dat met de DNS-query wordt gevonden. Bij Windows Server 2003, Enterprise Edition, en Windows Server 2003, Datacenter Edition, kunt u voor IAS een onbeperkt aantal RADIUS-clients en externe RADIUS-servergroepen configureren. Bovendien kunt u RADIUS-clients configureren door een IP-adresbereik op te geven.
Vindt u dit nuttig?
(1500 tekens resterend)
Bedankt voor uw feedback

Community-inhoud

Toevoegen
Weergeven:
© 2014 Microsoft