Exportar (0) Imprimir
Expandir Tudo

Usando o proxy IAS para equilíbrio de carga

Usando o proxy IAS para equilíbrio de carga

Este tópico descreve como os proxies IAS, colocados entre servidores de acesso e servidores IAS, podem ser usados para equilibrar a carga de um grande volume de tráfego de autenticação. Sem os proxies IAS, cada servidor de acesso equilibra as respectivas solicitações RADIUS entre os diversos servidores RADIUS e detecta os servidores que não estão disponíveis. Utilizando o proxy IAS, você obtém um equilíbrio de carga consistente usado para distribuir a carga do tráfego de autenticação, autorização e estatística entre todos os servidores IAS da organização. Além disso, existe um esquema consistente para detecção de falha e failover do servidor RADIUS.

A seguinte configuração é usada para uma organização que usa:

  • Domínios do Active Directory.
    Os domínios do Active Directory contêm as contas de usuários, senhas e propriedades de discagem de que cada servidor IAS precisa para autenticar credenciais de usuário e avaliar restrições de autorização e de conexão. Para otimizar os tempos de resposta de autenticação e autorização do IAS e minimizar o tráfego de rede, o IAS é instalado em controladores de domínio.
  • Vários servidores IAS.
    Para equilibrar a carga de autenticação, autorização e estatística RADIUS entre vários controladores de domínio, o IAS é instalado como um servidor RADIUS nesses controladores.
  • Diretivas de acesso remoto.
    As diretivas de acesso remoto são configuradas para especificar, com base nos membros do grupo, os tipos diferentes de restrições de conexão para usuários.
  • Dois proxies IAS.
    Dois proxies IAS são usados para proporcionar tolerância a falhas para solicitações RADIUS que são enviadas de servidores de acesso.

A ilustração a seguir mostra proxies IAS usados para equilibrar a carga do tráfego RADIUS entre vários servidores IAS.

IAS em uma rede de perímetro

Observação

  • Este tópico descreve somente como configurar o IAS. A configuração de domínios do Active Directory ou de servidores de acesso não é descrita. Para obter mais informações sobre como implantar esses componentes, consulte os tópicos da Ajuda apropriados.

Para configurar o IAS para esse exemplo, execute as seguintes etapas:

  • Configurar as florestas do Active Directory para contas de usuário e grupos.
  • Configurar o servidor IAS em controladores de domínio.
  • Configurar o proxy IAS primário.
  • Configurar o proxy IAS secundário.
  • Configurar estatísticas e autenticação RADIUS em servidores de acesso.

Configurando florestas para contas de usuário e grupos

Para configurar o Active Directory para contas de usuário e grupos, faça o seguinte:

  1. Certifique-se de que todos os usuários que estão estabelecendo conexões de acesso à rede têm uma conta de usuário correspondente.
  2. Gerencie o acesso à rede por grupo definindo a permissão de acesso remoto em contas de usuário como Controlar acesso através de diretiva de acesso remoto. Para obter mais informações, consulte Configurar a permissão de acesso remoto para um usuário.
  3. Organize os usuários com acesso remoto nos grupos universais e nos grupos aninhados apropriados para se beneficiar das diretivas de acesso remoto baseadas em grupos. Para obter mais informações, consulte Escopo de grupo.
  4. Se você estiver usando o protocolo de autenticação de handshake de desafio (CHAP), ative o suporte para senhas criptografadas de forma reversível nos domínios apropriados. Para obter mais informações, consulte Habilitar senhas com criptografia reversível em um domínio.

Configurando o servidor IAS em controladores de domínio

Para configurar o IAS como um servidor RADIUS em cada controlador de domínio, faça o seguinte:

  1. No controlador de domínio, instale o IAS como um componente de rede opcional. Para obter mais informações, consulte Instalar o IAS.
  2. Configure o computador servidor IAS (o controlador de domínio) para que leia as propriedades das contas de usuário no domínio. Para obter mais informações, consulte Permitir que o servidor IAS leia contas de usuário no Active Directory.
  3. Se o servidor IAS autenticar tentativas de conexão de contas de usuário de outros domínios, verifique se esses domínios têm uma relação de confiança bidirecional com o domínio do qual o computador servidor IAS é membro. Em seguida, configure o computador servidor IAS para que leia as propriedades das contas de usuário de outros domínios. Para obter mais informações, consulte Permitir que o servidor IAS leia contas de usuário no Active Directory. Para obter mais informações sobre relações de confiança, consulte Direção da relação de confiança.
  4. Ative o log de arquivos para eventos de estatísticas e autenticação. Para obter mais informações, consulte Configurar propriedades do arquivo de log.
  5. Adicione os proxies IAS como clientes RADIUS do servidor IAS. Para obter mais informações, consulte Adicionar clientes RADIUS. Verifique se você está configurando o nome ou endereço IP e os segredos compartilhados corretos. Para obter mais informações, consulte Segredos compartilhados.
  6. Crie as diretivas de acesso remoto apropriadas para clientes de acesso.
    Para obter exemplos de diretivas de acesso remoto, consulte Exemplos de Diretivas de Acesso Remoto.

Configurando o proxy IAS primário

Para configurar o proxy IAS primário, faça o seguinte:

  1. Em um computador que estiver executando o Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition ou o Windows Server 2003, Datacenter Edition, instale o IAS como um componente de rede opcional. Para obter mais informações, consulte Instalar o IAS. O computador no qual o IAS é instalado não precisa ser dedicado ao encaminhamento de mensagens RADIUS. Por exemplo, você pode instalar o IAS em um servidor Web, em um servidor de arquivos ou em um servidor DNS.
  2. Se necessário, configure portas UDP adicionais para mensagens RADIUS que são enviadas pelos servidores de acesso. Para obter mais informações, consulte Configurar informações das portas no IAS. Por padrão, o IAS usa as portas UDP 1812 e 1645 para autenticação e as portas 1813 e 1646 para estatísticas.
  3. Adicione os servidores de acesso como clientes RADIUS do servidor IAS. Para obter mais informações, consulte Adicionar clientes RADIUS. Verifique se você está configurando o nome ou endereço IP e os segredos compartilhados corretos. Para obter mais informações, consulte Segredos compartilhados.
  4. Use o Assistente para Novos Grupos de servidores Remotos RADIUS para criar um grupo de servidores remotos RADIUS personalizado. Adicione cada servidor IAS como um membro do grupo de servidores remotos RADIUS e configure cada membro do grupo com a prioridade 1 e a relevância 50.
  5. Crie uma diretiva de solicitação de conexão que encaminhe mensagens de solicitação RADIUS aos servidores IAS na qual o nome do território corresponda às contas do domínio.
    Use o Assistente para nova diretiva de solicitação de conexão para criar uma diretiva de solicitação de conexão que encaminhe solicitações de conexão a um servidor remoto RADIUS e na qual o nome do território corresponda ao nome de território das contas de usuário da floresta. Desmarque a caixa de seleção que remove o nome do território para autenticação. Selecione o grupo de servidores remotos RADIUS criado anteriormente como o grupo que deve encaminhar solicitações de conexão.
    Para obter mais informações, consulte Adicionar uma diretiva de solicitação de conexão.
  6. Exclua a diretiva de solicitação de conexão padrão chamada Usar autenticação do Windows para todos os usuários. Para obter mais informações, consulte Excluir uma diretiva de solicitação de conexão.

Configurando o proxy IAS secundário

Para configurar o proxy IAS secundário em outro computador, faça o seguinte:

  1. Em um computador que esteja executando o Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition ou o Windows Server 2003, Datacenter Edition, instale o IAS como um componente de rede opcional. Para obter mais informações, consulte Instalar o IAS.
  2. Copie a configuração do proxy IAS primário para o proxy IAS secundário. Para obter mais informações, consulte Copiar a configuração do IAS para outro servidor.

Configurando estatísticas e autenticação RADIUS nos servidores de acesso

Para configurar cada servidor de acesso para usar os proxies IAS primário e secundário para autenticação, autorização e estatísticas de conexões de rede, faça o seguinte:

  1. Se o servidor dial-up ou VPN for um computador que estiver executando o Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition, Windows Server 2003, Datacenter Edition ou o Windows 2000 e o serviço de Roteamento e Acesso Remoto, configure os proxies IAS primário e secundário como servidores RADIUS para autenticação e estatística RADIUS. Para obter mais informações, consulte Usar a autenticação RADIUS eUsar estatísticas RADIUS.
  2. Se o servidor dial-up ou VPN for um computador que esteja executando o Windows NT Server 4.0 e o Serviço Roteamento e Acesso Remoto (RRAS), consulte a Ajuda on-line do Windows NT Server 4.0 para obter informações sobre como configurar os proxies IAS primário e secundário como servidores RADIUS para autenticação RADIUS.
  3. Se o servidor dial-up ou VPN for um servidor de acesso de outro fabricante, consulte a documentação do servidor de acesso para saber como configurá-lo como um cliente RADIUS com dois servidores RADIUS (os proxies IAS primário e secundário).

Observação

  • Você pode configurar o IAS no Windows Server 2003, Standard Edition, com, no máximo, 50 clientes RADIUS e 2 grupos de servidores remotos RADIUS. Você pode definir um cliente RADIUS usando um endereço IP ou um nome de domínio totalmente qualificado, mas não pode definir grupos de clientes RADIUS especificando um intervalo de endereços IP. Se o nome de domínio totalmente qualificado de um cliente RADIUS resolve vários endereços IP, o servidor IAS usa o primeiro endereço IP retornado na consulta DNS. Com o IAS no Windows Server 2003, Enterprise Edition, e no Windows Server 2003, Datacenter Edition, você pode configurar um número ilimitado de clientes RADIUS e grupos de servidores remotos RADIUS. Também pode configurar clientes RADIUS especificando um intervalo de endereços IP.
Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
A Microsoft está realizando uma pesquisa online para saber sua opinião sobre o site do MSDN. Se você optar por participar, a pesquisa online lhe será apresentada quando você sair do site do MSDN.

Deseja participar?
Mostrar:
© 2014 Microsoft