TechNet
Dışarıya aktar (0) Yazdır
Tümünü Genişlet

IAS için En İyi Yöntemler

 

IAS için En İyi Yöntemler

Bu konuda Microsoft Ürün Destek Hizmetleri'nin önerilerini temel alan, IAS'yi uygulamak ve yapılandırmak için kullanılabilecek en iyi yöntemler veriliyor.

Yükleme önerileri

IAS'yi yüklemeden önce şunları yapın:

  • Erişim sunucularınızı RADIUS istemcileri haline getirmeden önce, herbirini yerel kimlik doğrulama yöntemlerini kullanarak yükleyin ve sınayın.
  • IAS'yi yükleyip yapılandırdıktan sonra, netsh aaaa show config > yol\dosya.txt komutunu kullanarak yapılandırmayı kaydedin. Daha fazla bilgi için, bkz: AAAA için Netsh komutları. Yapılan her değişikliğin ardından netsh aaaa show config > yol\dosya.txt komutuyla IAS yapılandırmasını kaydedin.
  • Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition veya Windows Server 2003, Datacenter Edition sürümlerini Windows 2000 ile aynı disk bölümüne yüklemeyin. Bu işletim sistemleri IAS veritabanına erişmek için systemroot\Program Files klasöründeki ortak dosyalar kullanır. Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition veya Windows Server 2003, Datacenter Edition sürümlerini Windows 2000 ile aynı disk bölümüne yüklemeye karar verirseniz, Windows 2000'deki IAS artık uzaktan erişim ilkelerine veya uzaktan erişim günlüğüne erişemez.
  • Kullanıcı hesapları veritabanınız başka bir etki alanındaki Windows Server 2003 etki alanı denetleyicisinde depolanıyorsa, IAS veya Yönlendirme ve Uzaktan Erişim ve Windows Server 2003 çalıştıran bir sunucuyu Windows NT Server 4.0 etki alanının bir üyesi olarak yapılandırmayın. Bunun yapılması, IAS sunucusundan Windows Server 2003 etki alanı denetleyicisine yapılan Basit Dizin Erişimi Protokolü (LDAP) sorgularının başarısız olmasına yol açar.
  • Bunun yerine, IAS veya Yönlendirme ve Uzaktan Erişim ile Windows Server 2003 çalıştıran sunucunuzu Windows Server 2003 etki alanının bir üyesi olarak yapılandırın. Diğer bir seçenek olarak, IAS ve Windows Server 2003 çalıştıran bir sunucuyu, kimlik doğrulama ve hesap oluşturma isteklerini, IAS ve Windows Server 2003 çalıştıran ve Windows Server 2003 etki alanı denetleyicisinde bulunan kullanıcı hesapları veritabanına erişebilen başka bir sunucuya ileten bir proxy sunucusu olarak yapılandırabilirsiniz. Daha fazla bilgi için, bkz: IAS’yi RADIUS Proxy Olarak Dağıtma.

Güvenlik sorunları

Bir IAS sunucusunu uzaktan yönetirken, hassas veya gizli verileri (örneğin paylaşılan gizli kod dizelerini veya parolaları) ağ üzerinden düz metin olarak göndermeyin. IAS sunucularının uzaktan yönetilmesi için önerilen iki yöntem vardır:

  • IAS sunucusuna erişmek için Terminal Hizmetleri'ni kullanın.
    Terminal Hizmetleri'ni kullandığınızda, istemci ile sunucu arasında veri gönderilmez. Windows XP'de Uzak Masaüstü Bağlantısı olarak adlandırılan Terminal Hizmetleri istemcisine, yalnızca sunucunun kullanıcı arabirimi (örneğin, işletim sistemi masaüstü ve IAS konsol resmi) gönderilir. İstemci, Terminal Hizmetleri'nin etkinleştirildiği sunucu tarafından yerel olarak işlenen klavye ve fare girdilerini gönderir. Terminal Hizmetleri kullanıcıları oturum açtıklarında, yalnızca sunucu tarafından yönetilen ve birbirinden bağımsız olan kendi istemci oturumlarını görüntüleyebilirler. Ayrıca Uzak Masaüstü Bağlantısı istemci ile sunucu arasında 128 bit şifreleme sağlar. Daha fazla bilgi için, bkz: Terminal Hizmetleri.
  • Gizli verileri şifrelemek için IPSec kullanın.
    IAS sunucusu ile bunu yönetmek için kullanılan uzak istemci bilgisayar arasındaki iletişimi şifrelemek için IPSec kullanabilirsiniz. Sunucuyu uzaktan yönetmek için istemci bilgisayarda Windows Server 2003 Yönetimsel Araçlar Paketi yüklü olmalıdır ve IAS ek bileşeni Microsoft Yönetim Konsolu'na (MMC) eklenmelidir. Daha fazla bilgi için bkz: IPSec İlke Kuralları.

IAS sunucunuz, kuruluş ağınıza bağlantı girişimleri için kimlik doğrulama, yetkilendirme ve hesap oluşturma hizmetleri sunar. IAS sunucunuzu ve RADIUS iletilerini, istenmeyen iç ve dış yetkisiz erişime karşı koruyabilirsiniz. IAS sunucunuzun güvenliğini sağlama yöntemi hakkında daha fazla bilgi için, bkz: IAS güvenliğini sağlama.

IAS bir RADIUS sunucusu olarak kullanıldığında, RADIUS trafiğinin güvenliğini sağlama hakkında daha fazla bilgi için, bkz: RADIUS sunucusu olarak IAS güvenlik konuları. IAS bir RADIUS proxy'si olarak kullanıldığında, RADIUS trafiğinin güvenliğini sağlama hakkında daha fazla bilgi için, bkz: RADIUS proxy’si olarak IAS güvenlik konuları.

Yerel IAS sunucularını yönetmek için Runas komutunu kullanma

Gerekli yönetici kimlik bilgilerine (örneğin, Users grubu veya Power Users grubu) sahip olmayan bir grubun üyesi olarak oturum açtığınızda, yönetim görevlerini gerçekleştirmek için Runas komutunu kullanabilirsiniz. Bilgisayarı, bir bilgisayar virüsünün yanlışlıkla yüklenmesi gibi çeşitli olası güvenlik saldırılarına karşı koruması nedeniyle, sunucunuza yönetici kimlik bilgileri olmadan oturum açmanız önerilir.

Günlüğe kaydetme

IAS'de iki tür günlük vardır:

  1. IAS için olay günlüğü Olay günlüğünü kullanarak IAS olaylarını sistem olay günlüğüne kaydedebilirsiniz. Bu, esas olarak bağlantı girişimlerini denetlemek ve sorunları gidermek için kullanılır.
  2. Kullanıcı kimlik doğrulama ve hesap oluşturma isteklerinin günlüğünü tutma Kullanıcı kimlik doğrulama ve hesap oluşturma isteklerini metin veya veritabanı biçimindeki günlük dosyalarında tutabilir veya bir SQL Server 2000 veritabanında depolanan yordama kaydedebilirsiniz. İstekleri günlüğe kaydetme, esas olarak bağlantı çözümlemesi ve faturalama amacıyla kullanılır ve bir saldırganın etkinliğini izleme yöntemi sağlayan bir güvenlik araştırması aracı olarak da yararlıdır.

IAS günlüğünden en etkin biçimde yararlanmak için:

  • Başlangıçta hem kimlik doğrulama, hem de hesap oluşturma kayıtlarının günlüğünü açın. Ortamınız için neyin uygun olduğunu belirledikten sonra, bu seçimleri değiştirin.
  • Olay günlüğünün, günlüklerinizi tutmak için yeterli kapasite ile yapılandırılmasına dikkat edin.
  • Günlükler zarar gördüğünde veya silindiğinde yeniden oluşturulamadıkları için tüm günlük dosyalarını düzenli olarak yedekleyin.
  • Hem kullanımı izlemek, hem de kullanımdan sorumlu olan bölüm veya kullanıcının tanımlanmasını basitleştirmek için RADIUS Class özniteliğini kullanın. Otomatik olarak oluşturulan Class özniteliği her istek için benzersiz olmasına rağmen, erişim sunucusuna verilen yanıtın kaybolduğu ve isteğin yeniden gönderildiği durumlarda birden çok kayıt olabilir. Kullanımı doğru olarak izlemek için, yinelenen istekleri günlüklerinizden silmeniz gerekebilir.
  • SQL Server günlüğü ile yerine çalışma ve yedek sağlamak için, farklı alt ağlara SQL Server çalıştıran iki bilgisayar yerleştirin. İki sunucu arasında veritabanı çoğaltması kurmak için SQL Server Yayım Oluşturma Sihirbazını kullanın. Daha fazla bilgi için, SQL Server 2000 belgelerine bakın.

IAS günlüklerini görüntülemek için Windows Server 2003, Standard Edition; Windows Server 2003, Enterprise Edition veya Windows Server 2003, Datacenter Edition diskindeki \Support\Tools klasöründe bulunan Iasparse.exe aracını kullanabilirsiniz.

Daha fazla bilgi için bkz: Uzaktan Erişim Günlüğü.

IAS Performans ayarları

  • IAS kimlik doğrulama ve yetkilendirme yanıtı sürelerini en iyi hale getirmek ve ağ trafiğini en düşük düzeye indirmek için, IAS'yi bir etki alanı denetleyicisine yükleyin.
  • Evrensel asıl adlar (UPN) veya Windows Server 2003 etki alanları kullanıldığında, IAS kullanıcıların kimliklerini doğrulamak için genel kataloğu kullanır. Bunu yapmak için gereken süreyi en aza indirmek için, IAS'yi genel katalog sunucusuna veya aynı alt ağda bulunan bir sunucuya yükleyin. Daha fazla bilgi için Genel katalog rolü konusuna bakın. Etki alanı işlevselliği hakkında daha fazla bilgi için Etki alanı ve orman işlevselliği konusuna bakın.
  • Yapılandırılmış uzak RADIUS sunucu gruplarınız varsa ve IAS Bağlantı İsteği İlkeleri’nde Hesap işlemi bilgilerini aşağıdaki RADIUS sunucu grubundaki sunucularda kaydet onay kutusundaki işareti kaldırdıysanız, bu gruplara hala ağ erişimi sunucusu (NAS) başlatma ve durdurma bildirimi iletileri gönderilir. Bu da gereksiz bir ağ trafiği oluşturur. Bu trafiği engellemek için, Ağ başlatma ve durdurma bildirimlerini bu sunucuya ilet onay kutusundaki işareti kaldırarak, her uzak RADIUS sunucu grubundaki sunucular için NAS bildirimi iletme özelliğini devre dışı bırakın. Daha fazla bilgi için, bkz: Grup üyesinin kimlik doğrulama ve hesap oluşturma ayarlarını yapılandırma ve Hesap oluşturma yapılandırması.

IAS'yi büyük kuruluşlarda kullanma

  • Belli gruplar dışındaki herkesin erişimini sınırlamak için uzaktan erişim ilkeleri kullanıyorsanız, erişim izni vermek istediğiniz tüm kullanıcılar için bir evrensel grup oluşturun, sonra da bu evrensel gruba erişim sağlayan bir uzaktan erişim ilkesi oluşturun. Özellikle ağınızda çok sayıda kullanıcı varsa, tüm kullanıcıları doğrudan evrensel gruba koymayın. Bunun yerine, evrensel grubun üyesi olan ayrı gruplar oluşturun ve kullanıcıları bu gruplara ekleyin. Evrensel gruplar hakkında daha fazla bilgi için bkz: Grup kapsamı. Bir gruba erişimin sınırlandırılması veya erişim sağlanması hakkında daha fazla bilgi için, bkz: Grup üyeliği yoluyla çevirmeli bağlantıya izin verme.
  • Mümkün olduğunda kullanıcıları belirtirken asıl adlarını kullanın. Bir kullanıcı, etki alanı üyeliğinden bağımsız olarak, aynı kullanıcı asıl adına sahip olabilir. Bu uygulama, çok sayıda etki alanı olan kuruluşlarda gerekli olabilecek ölçeklenebilirliği sağlar.
  • IAS sunucusu etki alanı denetleyicisi dışındaki bir bilgisayardaysa ve saniyede çok sayıda kimlik doğrulama isteği alıyorsa, IAS sunucusu ile etki alanı denetleyicisi arasındaki eşzamanlı kimlik doğrulamalarının sayısını artırarak performansı geliştirebilirsiniz.
    Bunun için aşağıdaki kayıt anahtarını düzenleyin: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters. MaxConcurrentApi adlı yeni bir değer ekleyin ve bu değere 2 ile 5 arasında bir değer atayın.

Dikkat

  • Kayıt defterinin hatalı düzenlenmesi, sisteminize ciddi bir hasar verebilir. Kayıt defterinizde değişiklik yapmadan önce, bilgisayarınızdaki önemli verilerin tümünü yedeklemelisiniz.

Notlar

  • MaxConcurrentApi'a çok büyük bir değer atarsanız, IAS sunucunuz etki alanı denetleyicinize aşırı yüklenebilir.
  • Çok sayıda yetkilendirmenin veya büyük hacimli RADIUS kimlik doğrulama trafiğinin (sertifika tabanlı kimlik doğrulamanın kullanıldığı büyük bir kablosuz uygulaması gibi) yükünü etkin biçimde dengelemek için, IAS'yi, bir RADIUS sunucusu olarak tüm etki alanı denetleyicilerinize yükleyin. Daha sonra, erişim sunucuları ile RADIUS sunucuları arasında kimlik doğrulama isteklerini iletmek için iki veya daha çok IAS proxy'si yapılandırın. Ardından erişim sunucularınızı, RADIUS sunucuları olarak IAS proxy'lerini kullanmak üzere yapılandırın. Daha fazla bilgi için, bkz: Yük dengelemesi için IAS proxy’sini kullanma.
  • Windows Server 2003 Standard Edition'da IAS'yi, en çok 50 RADIUS istemcisi ve 2 uzak RADIUS sunucu grubuyla yapılandırabilirsiniz. Tam etki alanı adı veya bir IP adresiyle bir RADIUS istemcisi tanımlayabilirsiniz, ancak IP adres aralığı belirleyerek RADIUS istemci grupları tanımlayamazsınız. RADIUS istemcisinin tam etki alanı adı birden çok IP adresi olarak çözümlenirse, IAS sunucusu DNS sorgusundan dönen ilk IP adresini kullanır. Windows Server 2003 Enterprise Edition ve Windows Server 2003 Datacenter Edition'da IAS kullanarak sınırsız sayıda RADIUS istemcisi ve uzak RADIUS sunucu grubu yapılandırabilirsiniz. Buna ek olarak, RADIUS istemcilerini IP adres aralığı kullanarak yapılandırabilirsiniz.

Topluluk İçeriği

Show:
© 2016 Microsoft