Exporteren (0) Afdrukken
Alles uitvouwen

Aanbevolen procedures voor IAS

 

Aanbevolen procedures voor IAS

In deze sectie vindt u aanbevolen procedures voor de implementatie en configuratie van IAS. Deze procedures zijn samengesteld op basis van aanbevelingen van Microsoft Productondersteuning.

Suggesties voor de installatie

Voordat u IAS installeert, gaat u als volgt te werk:

  • Installeer en test alle toegangsservers door middel van lokale verificatie voordat u er RADIUS-clients van maakt.
  • Na de installatie en configuratie van IAS slaat u de configuratie op met de opdracht netsh aaaa show config > pad\bestand.txt. Zie Netsh-opdrachten voor AAAA voor meer informatie. Sla de IAS-configuratie na elke wijziging op met de opdracht netsh aaaa show config > pad\bestand.txt.
  • Installeer Windows Server 2003, Standard Edition; Windows Server 2003, Enterprise Edition; of Windows Server 2003, Datacenter Edition niet in dezelfde partitie als Windows 2000. Deze besturingssystemen gebruiken gemeenschappelijke bestanden in de hoofdmap van het systeem\Program Files om toegang te krijgen tot de IAS-database. Als u Windows Server 2003, Standard Edition; Windows Server 2003, Enterprise Edition; of Windows Server 2003, Datacenter Edition wel in dezelfde partitie als Windows 2000 installeert, heeft IAS in Windows 2000 geen toegang meer tot RAS-beleid en RAS-logboeken.
  • Configureer een server waarop IAS of Routering en RAS en Windows Server 2003 wordt uitgevoerd, niet als lid van een Windows NT Server 4.0-domein indien uw UAS-database is opgeslagen op een Windows Server 2003-domeincontroller in een ander domein. Dit heeft namelijk tot gevolg dat LDAP-query's (Lightweight Directory Access Protocol) van de IAS-server naar de Windows Server 2003-domeincontroller mislukken.
  • Configureer in plaats daarvan de server met IAS of Routering en RAS en Windows Server 2003 als lid van een Windows Server 2003-domein. U kunt ook een server met IAS en Windows Server 2003 configureren als een proxyserver die account- en verificatieaanvragen doorstuurt naar een andere server met IAS en Windows Server 2003 die toegang heeft tot de UAS-database op de Windows Server 2003-domeincontroller. Zie IAS distribueren als een RADIUS-proxy voor meer informatie.

Beveiligingsproblemen

Verzend gevoelige of vertrouwelijke gegevens (zoals gedeelde geheimen of wachtwoorden) nooit ongecodeerd via het netwerk wanneer u een IAS-server extern beheert. Er zijn twee aanbevolen methoden voor het extern beheren van IAS-servers:

  • Gebruik Terminal Services voor toegang tot de IAS-server.
    Bij het gebruik van Terminal Services worden er geen gegevens uitgewisseld tussen client en server. Alleen de gebruikersinterface van de server (bijvoorbeeld het bureaublad van het besturingssysteem en de weergave van de IAS-console) wordt verzonden naar de Terminal Services-client, die in Windows XP de benaming 'Verbinding met extern bureaublad' heeft. De client verzendt toetsenbord- en muisinvoer, die lokaal wordt verwerkt door de server waarop Terminal Services actief is. Gebruikers van Terminal Services die zich aanmelden, kunnen uitsluitend hun eigen clientsessies zien. Deze worden door de server beheerd en zijn onafhankelijk van elkaar. Verbinding met extern bureaublad voorziet bovendien in 128-bits codering op client en server. Zie Terminal Services voor meer informatie.
  • Gebruik IPSec voor de codering van vertrouwelijke gegevens.
    Met IPSec kunt u de gegevens coderen die worden uitgewisseld tussen de IAS-server en de externe clientcomputer waarop het beheer wordt uitgevoerd. Extern beheer van de server is alleen mogelijk als de Windows Server 2003-beheerprogramma's op de clientcomputer zijn geïnstalleerd en de IAS-module aan Microsoft Management Console (MMC) is toegevoegd. Zie IPSec-beleidsregels voor meer informatie.

De IAS-server zorgt voor verificatie, machtiging en accounting bij pogingen om verbinding te maken met het netwerk van uw organisatie. U kunt de IAS-server en RADIUS-berichten beveiligen tegen zowel interne en externe inbraak. Zie IAS beveiligen voor meer informatie over het beveiligen van uw IAS-server.

Zie Beveiligingsoverwegingen bij IAS als een RADIUS-server voor meer informatie over de beveiliging van RADIUS-verkeer wanneer IAS wordt gebruikt als RADIUS-server. Zie Beveiligingsoverwegingen bij IAS als een RADIUS-proxy voor meer informatie over de beveiliging van RADIUS-verkeer wanneer IAS wordt gebruikt als RADIUS-proxy.

De opdracht Runas gebruiken voor het beheer van lokale IAS-servers

Met de opdracht Runas kunt u beheertaken uitvoeren wanneer u bent aangemeld als lid van een groep die niet over beheerdersreferenties beschikt (zoals de groep Gebruikers of Hoofdgebruikers). Aanmelding bij de server zonder beheerdersreferenties wordt aanbevolen, omdat de computer dan is beveiligd tegen een aantal risico's, bijvoorbeeld de onbedoelde installatie van een computervirus.

Logboekregistratie

IAS kent twee typen logboekregistraties:

  1. Logboekregistratie voor IAS U kunt gebruikmaken van logboekregistratie om IAS-gebeurtenissen vast te leggen in het logboek voor systeemgebeurtenissen. Deze methode wordt vooral toegepast voor controle en probleemoplossing bij verbindingspogingen.
  2. Verificatie- en accountingaanvragen van gebruikers registreren in een logboek U kunt aanvragen voor gebruikersverificatie en accounting in tekstindeling of in database-indeling vastleggen in logboekbestanden of in een procedure die is opgeslagen in een SQL Server 2000-database. Het registreren van aanvragen wordt vooral gebruikt bij verbindingsanalyse en verrekening, maar is bij het onderzoeken van beveiligingproblemen een nuttig hulpmiddel om de gangen van onbevoegden te achterhalen.

Ga voor een zo efficiënt mogelijk gebruik van IAS-logboeken als volgt te werk:

  • Schakel aan het begin de logboekregistratie in voor zowel verificatie als accounting. U kunt deze selecties eventueel wijzigen nadat u hebt vastgesteld welke gegevens relevant zijn voor uw omgeving.
  • Zorg ervoor dat de logboekregistratie met voldoende capaciteit is geconfigureerd.
  • Maak regelmatig back-ups van alle logboekbestanden, aangezien beschadigde of verwijderde logboekbestanden niet kunnen worden hersteld.
  • Gebruik het RADIUS-kenmerk Klasse om het gebruik te controleren en om eenvoudig te kunnen vaststellen bij welke afdeling of gebruiker de kosten moeten worden geboekt. Hoewel het kenmerk Klasse automatisch wordt gegenereerd en voor elke aanvraag uniek is, kunnen er identieke vermeldingen voorkomen in gevallen waar het antwoord aan de toegangsserver verloren is gegaan en de aanvraag opnieuw is verzonden. Voor een nauwkeurig beeld van het gebruik kan het daarom nodig zijn om dubbele vermeldingen uit de logboeken te verwijderen.
  • Als u failover en redundatie wilt opnemen in de SQL-serverregistratie, plaatst u twee computers met SQL Server in verschillende subnetwerken. Stel met de wizard Publicatie maken van SQL Server databasereplicatie in tussen de twee servers. Zie de documentatie bij SQL Server 2000 voor meer informatie.

Met het hulpprogramma Iasparse.exe in de map \Support\Tools op de cd-rom van Windows Server 2003, Standard Edition; Windows Server 2003, Enterprise Edition; of Windows Server 2003, Datacenter Edition kunt u IAS-logboeken weergeven.

Zie Logboekregistratie voor RAS voor meer informatie.

IAS-prestaties optimaliseren

  • Installeer IAS op een domeincontroller om IAS-verificatie en de reactietijden bij de verificatie te optimaliseren en het netwerkverkeer te minimaliseren.
  • Wanneer UPN's (Universal Principal Names) of Windows Server 2003-domeinen worden gebruikt, wordt de verificatie van gebruikers door IAS uitgevoerd aan de hand van de globale catalogus. U kunt de hiervoor benodigde tijd beperken door IAS te installeren op een globale-catalogusserver of een server die zich in hetzelfde subnet bevindt. Zie De functie van de globale catalogus voor meer informatie. Zie Domein- en forest-functionaliteit voor meer informatie.
  • Als u externe RADIUS-servergroepen hebt geconfigureerd en u in Beleid voor verbindingsaanvragen van IAS het selectievakje Accounting-gegevens vastleggen over de servers in de volgende externe RADIUS-servergroep uitschakelt, stuurt de netwerktoegangsserver (NAS) nog steeds meldingsberichten voor starten en stoppen naar deze groepen. Dit veroorzaakt onnodig netwerkverkeer. Als u dit verkeer wilt voorkomen, schakelt u het doorsturen van NAS-meldingen voor afzonderlijke servers uit in elke externe RADIUS-servergroep door het selectievakje Kennisgevingen over start- en stopgebeurtenissen van de netwerktoegangsserver naar deze server doorsturen uit te schakelen. Zie De verificatie- en accountinginstellingen van een groepslid configureren en Accounting configureren voor meer informatie.

IAS gebruiken in grote organisaties

  • Als u RAS-beleid gebruikt om de toegang tot bepaalde groepen te beperken, kunt u het beste een universele groep maken voor de gebruikers die u toegang wilt geven en een RAS-beleid instellen waarmee de groep toegang krijgt. Plaats niet alle gebruikers rechtstreeks in de universele groep, met name wanneer er veel netwerkgebruikers zijn. Maak liever afzonderlijke groepen die deel uitmaken van de universele groep en voeg vervolgens gebruikers toe aan deze groepen. Zie Groepsbereik voor meer informatie over universele groepen. Zie Inbelverbinding toestaan op basis van groepslidmaatschap voor meer informatie over het beperken of toestaan van toegang tot een groep.
  • Gebruik waar mogelijk de UPN (user principal name) om naar een gebruiker te verwijzen. Een gebruiker kan dezelfde UPN hebben, ongeacht het domein waartoe hij of zij behoort. Op die manier wordt de schaalbaarheid gerealiseerd die nodig is in bedrijven met veel domeinen.
  • Als de IAS-server zich op een andere computer dan een domeincontroller bevindt en een zeer groot aantal verificatieaanvragen per seconde ontvangt, kunt u de prestaties verbeteren door het aantal gelijktijdige verificaties tussen de IAS-server en de domeincontroller te verhogen.
    Daarvoor moet u de volgende registersleutel bewerken: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters. Voeg een nieuwe waarde met de naam MaxConcurrentApi en daaraan de waarde 2 t/m 5 toe.

Waarschuwing

  • Het onoordeelkundig bewerken van het register kan ernstige gevolgen hebben voor uw systeem. Maak een back-up van alle belangrijke gegevens op de computer voordat u het Register wijzigt.

Opmerkingen

  • Als u een te hoge waarde toekent aan MaxConcurrentApi, is het mogelijk dat de IAS-server de domeincontroller te zwaar belast.
  • Voor een goed evenwicht van de werklast bij een groot aantal verificaties of veel RADIUS-verificatieverkeer (bijvoorbeeld een uitgebreide draadloze configuratie waarin verificatie wordt uitgevoerd op basis van certificaten), installeert u IAS op alle domeincontrollers als RADIUS-server. Configureer vervolgens twee of meer IAS-proxy's voor de uitwisseling van de verificatie-aanvragen tussen de toegangsservers en de RADIUS-servers. Tot slot configureert u de toegangsservers voor het gebruik van de IAS-proxy's als RADIUS-servers. Zie IAS-proxy gebruiken voor taakverdeling voor meer informatie.
  • In Windows Server 2003, Standard Edition kunt u met IAS maximaal 50 RADIUS-clients en maximaal 2 externe RADIUS-servergroepen definiëren. U kunt een RADIUS-client definiëren door middel van een volledige domeinnaam of een IP-adres, maar u kunt geen groepen RADIUS-clients definiëren door een IP-adresbereik op te geven. Als de volledige domeinnaam van een RADIUS-client kan worden omgezet in meerdere IP-adressen, gebruikt de IAS-server het eerste IP-adres dat met de DNS-query wordt gevonden. In Windows Server 2003, Enterprise Edition, en Windows Server 2003, Datacenter Edition kunt u met IAS een onbeperkt aantal RADIUS-clients en externe RADIUS-servergroepen definiëren. Bovendien kunt u RADIUS-clients configureren door een IP-adresbereik op te geven.
Vindt u dit nuttig?
(1500 tekens resterend)
Bedankt voor uw feedback

Community-inhoud

Weergeven:
© 2014 Microsoft