Table of contents
TOC
İçindekiler tablosunu daralt
İçindekiler tablosunu genişlet

Ağ ilke Server en iyi uygulamalar

James McIllece|Son Güncellenme Tarihi: 10.03.2017
|
1 Katkıda Bulunan

İçin geçerlidir: Windows Server 2016

Bu konuda dağıtma ve ağ ilke sunucusu yönetmek için en iyi yöntemler hakkında bilgi edinmek için kullanabileceğiniz (NPS).

Aşağıdaki bölümler, NPS dağıtımlarını farklı yönlerini için en iyi yöntemler sağlar.

Hesap oluşturma

NPS oturum açmak için en iyi uygulamalar şunlardır.

Hesap veya, NPS'de oturum iki tür vardır:

  • NPS için engellenir. Sistem ve güvenlik olayını kayıtlar engellenir NPS olayları kaydetmek için kullanabilirsiniz. Bu öncelikle denetim ve bağlantı denemesi sorun giderme için kullanılır.

  • Kullanıcı kimlik doğrulaması ve hesap istekleri kaydetme. Dosyaları metin veya veritabanı biçimindeki'da oturum açmak için kullanıcı kimlik doğrulama ve hesap istekleri oturum açabilir veya bir SQL Server 2000 veritabanı saklı yordam oturum açabilirsiniz. İsteği günlük öncelikle bağlantı çözümlemesi ve faturalama amacıyla kullanılır ve saldırganın etkinliğini izleme yöntemi sağlayan bir güvenlik araştırması aracı de yararlıdır.

NPS günlük kullanımı en verimli hale getirmek için:

  • Üzerinde oturum açma (başlangıçta) kimlik doğrulama ve hesap kayıtlarınız için. Bu seçimleri, ortam için uygundur saptanmıştır sonra değiştirin.

  • Engellenir, kayıtlar tutmak yeterli bir kapasitede yapılandırılmış emin olun.

  • Zarar görmüş veya silinen açtığınızda bunlar yeniden çünkü tüm günlük dosyalarını düzenli olarak yedekleyin.

  • RADIUS sınıf hem kullanımını izleme ve kullanım için şarj etmek için hangi bölümünün veya kullanıcı kimliği basitleştirmek için kullanın. Yinelenen kayıt otomatik olarak oluşturulan sınıf özellik her istek için benzersiz olsa da, burada erişim sunucusuna yanıt kayıp ve istek yeniden gönderilir durumlarda mevcut. Yinelenen istekleri doğru bir şekilde kullanımını izlemek için silmeniz gerekebilir.

  • Ağ erişim sunucusu ve RADIUS Ara sunucu sunucular NPS sunucusu çevrimiçi olduğundan emin olun, kullanın Biçimde için düzenli aralıklarla hayal ürünü bağlantı isteği iletilerini göndermek, ping kullanıcı adı kayıt defteri ayarını. Bu ayar işleme olmadan bu yanlış bağlantı isteklerini otomatik olarak reddeder Biçimde yapılandırır. Ayrıca, NPS yüklenirken yorumlar kolay hale getiren hayal ürünü kullanıcı adı herhangi bir günlük dosyası ile ilgili hareketler kaydetmek değil.

  • NAS bildirimi iletme devre dışı bırakın. Başlangıç iletme devre dışı bırakabilirsiniz ve BU OLDUĞU NPS'de yapılandırılmış bir uzak RADIUS sunucu üyeleri için ağ erişim sunucularına (NAS'lar) gelen durdurma iletileri gruplandırın. Daha fazla bilgi için bkz: Devre dışı bırakma NAS bildirimi iletme.

Daha fazla bilgi için bkz: Ağ ilke Server hesabı yapılandırma.

  • SQL Server günlüğü ile yerine çalışma ve yedek sağlamak için farklı alt ağlarda SQL Server çalıştıran iki bilgisayar yerleştirin. SQL Server kullanma Oluşturma yayın Sihirbazı iki sunucu arasında veritabanı çoğaltma ayarlanır. Daha fazla bilgi için bkz: SQL Server Technical belgelerine ve SQL Server çoğaltma.

Kimlik doğrulaması

Kimlik doğrulaması için en iyi uygulamalar şunlardır.

  • Korumalı Genişletilmiş Kimlik Doğrulama Protokolü gibi sertifika tabanlı kimlik doğrulama yöntemleri kullanın (PEAP) ve genişletilmiş kimlik doğrulama protokolünü (EAP) güçlü kimlik doğrulaması için. Çeşitli saldırılara karşı savunmasız ve güvenli olmayan yalnızca parola kimlik doğrulama yöntemleri kullanmayın. PEAP kullanarak güvenli kablosuz kimlik doğrulaması için-MS-CHAP v2 önerilir, çünkü kullanıcılar kendi kullanıcı adı ve parola ile kimliğini doğrulamak çalışırken bir sunucu sertifikası kullanarak NPS sunucusu kimliğini kablosuz istemcileri kanıtlar. ' Da, kablosuz dağıtımlarını NPS kullanma hakkında daha fazla bilgi için bkz: Dağıtan parola tabanlı 802.1 X kimlik doğrulaması kablosuz erişimi.
  • Kendi sertifika yetkisi dağıtan (CA) ile Active Directory® Sertifika Hizmetleri (AD CS) PEAP ve EAP gibi sertifika tabanlı güçlü kimlik doğrulama yöntemleri kullandığınızda gerektiren bir sunucu sertifikası NPS sunucularında kullanımı. Yetkiliniz bilgisayar sertifikaları ve kullanıcı sertifikaları kaydetmek için de kullanabilirsiniz. Sunucu sertifikaları NPS ve Uzaktan erişim sunucularına dağıtma hakkında daha fazla bilgi için bkz: Dağıtan 802.1 X kablolu ve kablosuz dağıtımlar için sunucu sertifikaları.

İstemci bilgisayar yapılandırması

İstemci bilgisayar yapılandırması için en iyi uygulamalar şunlardır.

  • Otomatik olarak Grup İlkesi kullanarak 802.1 X istemci bilgisayarlar, etki alanı üyesi tüm yapılandırabilirsiniz. Daha fazla bilgi için konudaki "yapılandırma kablosuz ağ (IEEE 802.11) ilkeleri" bölümüne bakın Kablosuz erişim dağıtımı.

Yükleme önerileri

NPS yüklemek için en iyi uygulamalar şunlardır.

  • NPS kurmadan önce yükleyin ve her bir ağ erişim sunucusuna RADIUS istemcileri olarak olarak, bunları yapılandırmanız önce yerel kimlik doğrulama yöntemleri kullanarak sınayın.

  • En iyi performans için bir etki alanı denetleyicisine NPS yükleyin.

  • Windows PowerShell komutunu kullanarak yapılandırmayı yükleyin ve NPS'yi yapılandırma sonra kaydedin İhracat NpsConfiguration. Her zaman size NPS sunucusunu yapılandırmak bu komutu ile NPS yapılandırmayı kaydedin.

Uyarı
  • Verilen NPS yapılandırma dosyayı RADIUS istemcileri ve uzak RADIUS sunucu grupları üyeleri için şifrelenmemiş paylaşılan parolaların içerir. Bu nedenle, dosyayı güvenli bir konuma kaydedin emin olun.
  • Verme işlemi için Microsoft SQL Server günlük ayarlarını verilen dosyada dahil değildir. Başka bir NPS sunucusuna verilen dosyayı alırsanız, SQL Server günlüğü el ile yeni sunucusunda yapılandırmanız gerekir.

Performans NPS ayarlama

Performansını NPS ayarlamak için en iyi uygulamalar şunlardır.

  • NPS kimlik doğrulama ve yetkilendirme yanıt süreleri en iyi duruma getirmek ve ağ trafiği en aza indirmek için bir etki alanı denetleyicisine NPS yükleyin.

  • Zaman Evrensel asıl adları (UPN'ler) veya Windows Server 2008 ve Windows Server 2003 etki alanları kullanılır, NPS kullanıcıların kimlik doğrulaması için genel kataloğu kullanır. Bunu yapmak için geçen süreyi en aza indirmek için bir katalog sunucusu veya aynı alt genel katalog sunucusu üzerinde olan bir sunucusu NPS yükleyin.

  • Ne zaman yapılandırılmış uzak RADIUS sunucu grupları sahip ve, NPS bağlantı isteği ilkeleri'da, siz temizleyin sunucularında hesap bilgilerini aşağıdaki RADIUS sunucu grubunda kaydetmek onay kutusunu ve bu grupları hala gönderilir ağ erişim sunucusu (NAS) başlatmak ve durdurmak bildirim iletileri. Bu gereksiz ağ trafiği oluşturur. Bu trafiği engellemek için her uzak RADIUS sunucu grubundaki ayrı sunucular için NAS bildirimi iletme kaldırarak devre dışı İleri ağ Başlat ve durdur bildirimlerini bu sunucusuna onay kutusunu.

Büyük kuruluşta NPS kullanma

Büyük kuruluşta NPS kullanarak için en iyi uygulamalar şunlardır.

  • Erişimini sınırlamak için ağ ilkeleri kullanıyorsanız, tüm ancak bazı grupları erişimine izin vermek istediğiniz tüm kullanıcıları için evrensel bir grup oluşturun ve sonra bu evrensel gruba erişim sağlayan bir ağ ilke oluşturun. Özellikle, çok sayıda bunları, ağınızdaki varsa, tüm kullanıcıların doğrudan Evrensel Grup içerisine bırakmayın. Bunun yerine, evrensel grup üyesi olan ve bu gruplara kullanıcılar ekleyin ayrı grupları oluşturun.

  • Mümkün olduğunda kullanıcıları ifade etmek için bir kullanıcı asıl adı kullanın. Bir kullanıcı aynı kullanıcı asıl adı etki alanı üyeliğini bağımsız olarak sahip olabilir. Bu uygulama, çok sayıda etki alanları ile kuruluşlar gerekli olabilir ölçeklenebilirliği sağlar.

  • Ağ İlkesi Sunucusu yüklediyseniz (NPS) bir etki alanı denetleyicisi ve NPS dışındaki bir bilgisayarda server çok sayıda kimlik doğrulama istekleri saniyede alıyor, NPS sunucusu ve etki alanı denetleyicisi arasında izin verilen eşzamanlı kimlik doğrulama sayısını artırarak NPS performansını iyileştirebilirsiniz. Daha fazla bilgi için bkz:

Güvenlik sorunları

Güvenlik sorunları azaltmak için en iyi uygulamalar şunlardır.

NPS sunucusu uzaktan yönetme açtığınızda, hassas veya gizli verileri (örneğin, paylaşılan gizlilik veya parolaları) düz metin ağ üzerinden göndermeyin. NPS sunucuların uzaktan yönetim için önerilen iki yöntem vardır:

  • Uzak Masaüstü Hizmetleri NPS sunucusu erişmek için kullanın. Uzak Masaüstü Hizmetleri kullandığınızda, veri istemci ve sunucu arasında gönderilmez. Uzak Masaüstü Bağlantısı Windows adlı Uzak Masaüstü Hizmetleri istemci yalnızca kullanıcı arabirimini (örneğin, işletim sistemi Masaüstü ve NPS konsol görüntüsü) sunucusunun gönderilir® 10. İstemci klavye ve fare girişi, hangi Uzak Masaüstü Hizmetleri etkinleştirilmiş olan sunucusu tarafından yerel olarak işlenir gönderir. Uzak Masaüstü Hizmetleri kullanıcılar oturum açtığında, bunlar sunucu tarafından yönetilir ve birbirinden bağımsız yalnızca kendi bağımsız istemci oturumları, görüntüleyebilirsiniz. Ayrıca, Uzak Masaüstü Bağlantısı istemci ve sunucu arasında 128 bit şifreleme sağlar.

  • Gizli veri şifreleme Internet Protokolü güvenliği (IPSec) kullanın. NPS sunucusu ve NPS yönetmek için kullanmakta olduğunuz uzak istemci bilgisayar arasında iletişim şifrelenir için IPSec kullanabilirsiniz. Sunucu uzaktan yönetmek için yükleyebilirsiniz Uzak Server yönetim araçlarını Windows 10 için istemci bilgisayarda. Yüklemenin ardından NPS sunucu eklentisi için konsol eklemek için Microsoft Yönetim Konsolu (MMC) kullanın.

Önemli

Uzak Server yönetim araçlarını Windows 10 için yalnızca tam sürümü Windows 10 Professional veya Windows 10 Enterprise üzerinde yükleyebilirsiniz.

NPS hakkında daha fazla bilgi için bkz: Ağ ilke sunucusu (NPS).

© 2017 Microsoft