第 12 章:管理 RADIUS 和 WLAN 安全性基礎結構

發佈日期: 2004 年 11 月 10 日 | 更新日期: 2005 年 5 月 26 日


本頁內容

簡介
基本維護工作
作業指南中所要求的技術
RADIUS 和 WLAN 安全性系統管理角色
作業象限工作
支援象限工作
最佳化象限工作
變更象限工作
設定表格
其他資訊

簡介

本章說明管理「遠端驗證撥號使用者服務 (RADIUS)」基礎結構和無線區域網路(WLAN) 安全性 (實作為「保護無線 LAN」指南的一部分) 所需的操作程序。其結構是以第 10 章<作業指南簡介>中討論的 Microsoft 作業結構 (MOF) 類別和概念為基礎。

本章將協助您實作完整的 RADIUS 基礎結構和 WLAN 安全性管理系統,包括開始監視與維護系統的所有設定工作。本章還包括使基礎結構正常運作的定期操作工作,以及協助您管理支援事件、管理環境變更以及最佳化系統效能的程序。

本章分為兩個主要部分。第一部分包含<基本維護工作>及<RADIUS 和 WLAN 安全性系統管理角色>兩個小節。這兩個小節是簡要說明,必須通讀其全文,因為它提供有關為系統設定妥善管理的環境之基本資訊。本章其餘部分則主要作為參考材料。部署系統時您必須實作參考資料小節中的部分工作,但這些工作已在<基本維護工作>一節中明確指出。

雖然您不必瞭解參考資料小節中的所有詳細資料,但應快速瀏覽一遍以熟悉其內容,以便將來能夠迅速找到自己所需的項目。

本章先決條件

您應該熟悉第 10 章<作業指南簡介>中所述的 MOF 概念,但不需要深入瞭解 MOF。

您尤其應熟悉 RADIUS 與 Microsoft® 網際網路驗證服務 (IAS) 概念,以及 802.11、802.1X 和 EAP-TLS 概念。如需更多有關這些技術主題的資訊,請參閱《規劃指南》各章中的參考資料。

您還需熟悉 Microsoft Windows® 2000 Server (或更新版本) 以下方面的內容:

  • Microsoft Windows Server™ 2003 的基本操作與維護 (包括使用事件檢視器、電腦管理和 NTBackup 等工具)。

  • Active Directory® 目錄服務概念和工作。這包括 Active Directory 結構、工具、操作使用者、群組及其他 Active Directory 物件,以及使用群組原則。

  • Windows 系統安全性概念,如使用者、群組、稽核、存取控制清單;使用安全性範本;使用群組原則或命令列工具應用安全性範本。

  • 網際網路驗證服務系統管理。

  • Windows Scripting Host (WSH) 和 Microsoft Visual Basic® Scripting Edition (VBScript) 語言。瞭解批次程式設計語法有助於您充分利用提供的指令碼,但這並不是必需的。

此外,在閱讀本章之前,您應閱讀《規劃指南》和《建置指南》的相關章節,全面瞭解解決方案的架構與設計。

本章概觀

下列清單說明本章的每個主要小節。

  • 基本維護工作。包含兩個表格,分別列出了設定管理系統需要執行的工作,以及維護系統需要執行的定期工作清單。

  • 系統管理角色。說明解決方案中使用的系統管理角色、每種角色的功能、這些角色如何對應至 MOF 角色叢集,以及為解決方案定義的系統管理安全性群組。

  • 作業象限工作。包括所有與日常維護 RADIUS 基礎結構和 WLAN 安全性相關的工作。本節包括監視、備份、目錄及安全性作業。

  • 支援象限工作。包括所有與修復系統問題相關的程序。本節包括從備份還原,以及處理發生故障的 IAS 伺服器作業。

  • 最佳化象限工作。包括部分容量管理規劃程序。

  • 變更象限工作。包括與變更 IAS 伺服器設定,以及在適當控制下將其發佈至生產環境相關的常見工作。同時還包括協助您蒐集與維護有關 IAS 伺服器基本設定資訊的程序。

  • 疑難排解。包含協助您排除可能會遇到的常見 RADIUS 基礎結構和 WLAN 安全性問題之程序。同時還包括有用疑難排解工具的說明,以及啟用不同元件記錄的程序。

  • 設定表格。包含《建置指南》各章中使用的設定參數子集。這些值在程序本文中用作範例。

  • 其他資訊。列出文中參考的額外資訊來源。


基本維護工作

本節列出了成功運作 RADIUS 基礎結構和 WLAN 安全性所必須執行的關鍵工作。這些工作列於以下兩個表格中:初始設定工作和進行中的操作工作。表格中所列的工作名稱,將在文件稍後的部分進行詳細說明。工作按 MOF 象限分類,並在其旁邊列出了所屬的 MOF 服務管理函式 (SMF),以協助您便利地找到所需的工作。

本節還包括本章所述程序中使用的工具和技術清單。

初始設定工作

下表顯示將 RADIUS 基礎結構和 WLAN 安全性操作投入生產所必須執行的工作。視您的操作標準和作法而定,您也許不必執行所有工作。但是,您應該先檢閱每項工作的詳細資訊,再決定是否需要執行。有些時候,可能會需要重複執行其中某些工作。例如,如果安裝了新的 IAS 伺服器,就需要設定其備份和監視工作。

表 12.1:初始設定工作

工作名稱

服務管理功能

作業象限

 

新增 RADIUS 用戶端至 IAS 伺服器

網路管理

在電腦上啟用無線設定

目錄服務管理

新增電腦和使用者至遠端存取原則群組

目錄服務管理

分類監視警告

服務監視和控制

監視 IAS 容量限制

服務監視和控制

設定 IAS 設定匯出

儲存管理

匯出 RADIUS 用戶端設定

儲存管理

設定 IAS 資料目錄的備份

儲存管理

測試 IAS 備份

儲存管理

最佳化象限

 

判斷 IAS 伺服器的最大負載

容量管理

判斷 IAS 伺服器的儲存和備份需求

容量管理

變更象限

 

管理作業系統更新

變更管理
版本管理

維護工作

下表顯示必須定期執行以保證 RADIUS 基礎結構和 WLAN 安全性正常運作的工作。您可以使用此表來協助您計劃所需的資源並計劃管理系統的工作排程。

有些工作可能不需要執行,但您應檢閱每項工作的詳細資訊,再決定是否需要執行。此外,某些工作可在需要時執行,而有些工作則要按排程執行。例如,如果 RADIUS 用戶端新增到 IAS 伺服器,即使沒有排程伺服器設定的匯出/備份,您也需要執行這些操作。此類工作在 [頻率] 欄中會指明。類似的相依性也會在工作詳細資訊中指明。

表 12.2:進行中的維護工作

工作名稱

頻率

新增 RADIUS 用戶端至 IAS 伺服器

當無線 AP 新增至網路時

從 IAS 伺服器移除 RADIUS 用戶端

當無線 AP 自網路移除時

在電腦上啟用無線設定

當電腦新增至網路時

新增電腦和使用者至遠端存取原則群組

當授予員工 WLAN 存取權時

匯出 RADIUS 用戶端設定

當無線 AP 新增至網路時

測試 IAS 備份

每月

存取 IAS RADIUS 要求記錄檔

每日或每週
(視安全性需求而定)

檢閱 IAS RADIUS 驗證事件日誌項目

每日或每週
(視安全性需求而定)

保存並刪除 IAS RADUS 記錄項目

每月

管理作業系統更新

每日


作業指南中所要求的技術

下表列出了本章所述程序使用的工具或技術。

表 12.3:所需的技術

項目名稱

來源

Active Directory 使用者及電腦 MMC 嵌入式管理單元。

Windows Server 2003

MSS 指令碼

此解決方案

文字編輯器

記事本 – Windows Server 2003

Windows 工作排程器服務

Windows Server 2003

SchTasks.exe

Windows Server 2003

Windows 備份

Windows Server 2003

事件檢視器

Windows Server 2003

效能監視器

Windows Server 2003

Net.exe

Windows Server 2003

工作警告主控台

Microsoft Operations Manager (MOM)

離機儲存區的卸除式媒體

磁片、CD–RW 或磁帶

IAS 伺服器備份

網路備份服務
或者
本機備份裝置

群組原則管理主控台

從 Microsoft.com 下載的網頁

IASParse

Windows Server 2003 支援工具

Microsoft Access 2002

Microsoft Office XP


表 12.4:建議的技術

項目名稱

來源

工作警告主控台

Microsoft Operations Manager 或其他服務監視系統

電子郵件基礎結構 – 用於操作警告 (MOM 的替代方式)

SMTP/POP3/IMAP 伺服器和用戶端,例如 Microsoft Exchange Server 和 Microsoft Outlook®

Eventquery.vbs

Windows Server 2003

容量計劃工具

Microsoft Operations Manager 或其他容量計劃工具

安全性更新發佈系統

Microsoft Systems Management Server
或者
Microsoft Software Update Services


RADIUS 和 WLAN 安全性系統管理角色

管理 RADIUS 基礎結構和 WLAN 安全性涉及許多不同角色。下面兩節中,將這些角色分為核心角色和支援角色。

核心 RADIUS 和 WLAN 角色

下表中的角色對於管理 RADIUS 基礎結構和 WLAN 安全性而言非常重要。

表 12.5:核心 RADIUS 和 WLAN 安全性角色

角色名稱

範圍

說明

網際網路驗證服務系統管理員

企業

負責企業 IAS 的整體管理和設定

網際網路驗證服務稽核員

企業

負責檢閱、保存和刪除 IAS 伺服器電腦上的 RADIUS 記錄檔

網際網路驗證服務備份操作員

企業

負責 IAS 設定狀態和歷史資料的備份和還原

WLAN 服務支援人員

企業

負責疑難排解 WLAN 問題的資深服務支援人員

支援 RADIUS 和 WLAN 安全性角色

下表中的操作角色對於管理 RADIUS 基礎結構和 WLAN 安全性的而言並不重要,但它們會對核心角色提供支援功能。

表 12.6:支援 RADIUS 和 WLAN 安全性角色

角色名稱

範圍

說明

監視器操作員

企業

負責監視事件

容量計劃員

企業

負責分析效能並載入,以預測未來容量需求

Active Directory 系統管理員

企業

負責 Active Directory 基礎結構的設定和支援

Active Directory 作業

企業

負責日常目錄維護,例如安全性群組維護和帳戶建立等

桌面系統管理員

企業

負責桌上型電腦的設定和支援

變更核准委員

企業

核准基礎結構變更所需的業務和技術代表

角色與安全性群組的對應

下表列出了為此解決方案定義的安全性群組,並簡要說明每個群組的容量或權限。

對於 IAS 伺服器而言,網域和本機安全性群組的作用是將適用的權限套用至每一個角色。網域帳戶用於填入角色群組。單一帳戶也可以是多個角色群組的成員,只要這種情況支援您組織的安全性和 IT 原則。

表 12.7:RADIUS 和 WLAN 安全性角色與安全性群組的對應

角色名稱

網域安全性群組

本機安全性群組

能力

網際網路驗證服務系統管理員

IAS 系統管理員

系統管理員

IAS 伺服器上的完整管理能力,包括啟動/停止 IAS 服務和變更其設定

網際網路驗證服務稽核員

IAS 安全性稽核員

不適用

讀取和刪除記錄磁碟區上 RADIUS 要求記錄檔的能力

IAS 備份操作員

不適用

備份操作員

完整備份和還原作業系統狀態和 IAS 設定資料

WLAN 服務支援人員

不適用

不適用

與 IAS 系統管理員合作,共同解決 IAS 驗證問題 (在某些情況下,可能會對同一資源授予與 IAS 安全性稽核員相同的讀取權限)。


作業象限工作

作業象限包括 IT 作業標準以及程序,它們一般套用於服務解決方案,以實現和維護預定參數內服務層級。作業象限的目標是,無論手動或自動的日常工作,其執行都能具備高度的可預測性。

本節包含與下列 SMF 相關的資訊:

  • 網路管理

  • 目錄服務管理

  • 安全性管理

  • 儲存管理

  • 服務監視和控制

  • 工作排程

沒有工作屬於其餘 SMF:

  • 系統管理

  • 網路管理

  • 列印和輸出管理

    附註:每項工作的說明都包含下列摘要資訊:安全性需求、頻率及技術需求。

網路管理

網路管理角色負責設計和維護構成組織網路的實體元件,例如伺服器、路由器、交換器和防火牆。對於無線網路,這些元件包括無線存取點 (AP) 和對其進行支援的 RADIUS 伺服器。

新增 RADIUS 用戶端至 IAS 伺服器

需要授權無線 AP 才能執行 IAS 伺服器的驗證和帳戶處理。少數增量變更中包含啟用作為 RADIUS 用戶端的新無線 AP,對於已部署的生產 IAS 伺服器便有必要進行該變更。這個工作會授權無線 AP 參與 IAS 伺服器之 RADIUS 驗證及帳戶處理。每次執行此工作時,都會部署和設定新的無線 AP 以參與網路驗證。

摘要資訊
  • 安全性需求:IAS 系統管理員安全性群組中的成員資格

  • 頻率:當新的無線 AP 新增至網路時

  • 技術需求

    • 網際網路驗證伺服器 MMC 嵌入式管理單元

    • MSS 指令碼 (用於 GenPwd 指令碼命令)

    • 軟碟機或其他卸除式可寫入媒體磁碟機

    • 磁片或其他卸除式可寫入媒體

工作詳細資訊

在新增無線 AP 至每部 IAS 伺服器時,請對每個 AP 使用唯一的隨機密碼。多個無線 AP 使用相同 RADIUS 密碼,會增加共用密碼不能長期保密的風險。

Windows Server 2003 Enterprise Edition 允許系統管理員新增專用 RADIUS 用戶端子網路,並對該子網路上的所有 AP 使用共用密碼,以將大量無線 AP 新增至 IAS。雖然這種方法可簡化密碼管理,但會導致解決方案的安全性比使用唯一密碼低。

本解決方案以密碼編譯方式實作的隨機密碼,是由這些指南隨附的 GenPwd 指令碼所產生的。

個別新增 RADIUS 用戶端至 IAS

  1. 在網際網路驗證服務 MMC 嵌入式管理單元中,於 [RADIUS Clients] 資料夾上按一下滑鼠右鍵,再按 [新增 RADIUS 用戶端]。

  2. 輸入無線 AP 的 [好記的名稱] 和 [用戶端位址 (IP 或 DNS)]。您應該使用 IP 位址,而不要使用 DNS 名稱,因為 IAS 在伺服器啟動時會嘗試解析每個 RADIUS 用戶端。在擁有大量無線 AP 的大型環境中,透過其 DNS 名稱解析用戶端會延長啟動時間。按一下 [下一步]。

  3. 選取 [RADIUS 標準] 作為用戶端–廠商屬性,然後再輸入這個特定無線 AP 的共用密碼。

    附註:下列步驟包括使用磁片或其他卸除式可寫入媒體程序。請找出已格式化的媒體磁碟,並將它標示為「<Server Name> 的 RADIUS 用戶端」。

  4. 您可以使用這些指南隨附的 GenPwd 指令碼,產生隨機增強式密碼,分別讓每個設定為 RADIUS 用戶端的 AP 使用。GenPwd 會為每個 RADIUS 用戶端產生一個密碼並將該密碼與好記的名稱一起儲存在 Clinents.txt 檔案中。GenPwd 會自動將資訊附加至目前目錄中的 Clients.txt 檔案,並採用逗號分隔值的形式。但是,如果您有產生增強式 RADIUS 密碼的方法,則可在下列幾個步驟中用您自己的方法取代 GenPwd。

    附註:GenPwd 會使用 CryptoAPI 功能產生 base64 編碼的密碼編譯隨機字串。它不使用 VBScript 隨機數字功能。

  5. 開啟命令提示字元,並將 A:\ 目錄設定為目前目錄。由於新的資訊會自動附加到目前目錄中的 Clients.txt 檔案,因此檔案系統的目錄位置很重要。如果 Clients.txt 檔案不存在,則會建立一個。

  6. 執行下列命令。請務必將 <client_name> 替代為無線存取點的好記名稱。可以是 DNS 名稱、IP 位址或其他字串:

    cscript //job:GenPwd C:\MSSScripts\wl_tools.wsf /client:client_name

    檔案建立後,就能輕鬆地將逗號分隔檔案匯入試算表或資料庫應用程式,進行參照及編輯。

    重要:每個 IAS 伺服器和無線 AP 的 RADIUS 密碼均應定期變更。請務必使用 GenPwd 或其他公用程式產生增強式密碼,並將新密碼和無線 AP 名稱儲存在 Clients.txt 檔案中。clients.txt 檔案中的資料非常機密。請勿將此檔案複製到伺服器,而應將它儲存在安全的地方,如保險箱。

  7. 在網際網路驗證服務 MMC 嵌入式管理單元中,於 [共用密碼] 和 [確認共用密碼] 欄位中輸入 RADIUS 共用秘密。選取 [要求必須包含訊息驗證者] 屬性,再按 [完成]。

    附註:有些 RADIUS 用戶端可能要求設定廠商專用屬性 (VSA),才能確保運作正確。請參閱廠商專用的說明文件,取得有關 VSA 需求的資訊。

從 IAS 伺服器移除 RADIUS 用戶端

少數增量變更中包含移除作為 RADIUS 用戶端的不必要無線 AP,對於已部署的生產 IAS 伺服器便有必要進行該變更。這個工作會禁止無線 AP 參與 IAS 伺服器之 RADIUS 驗證及帳戶處理。每次執行此工作時,都會排除無線 AP,以防止其使用 RADIUS 驗證和帳戶處理服務。

摘要資訊
  • 安全性需求:IAS 系統管理員群組的成員

  • 頻率:當無線 AP 自網路移除時

  • 技術需求

    • 網際網路驗證伺服器 MMC 嵌入式管理單元

    • Notepad.exe 或其他文字檔案編輯器

工作詳細資訊

請獨立地從 IAS 移除每個無線存取點。您還應該刪除 Clients.txt 檔案 (位於儲存在安全儲存區內的 RADIUS 用戶端磁片上) 中的相應項目。該 Clients.txt 檔案是按照「新增 RADIUS 用戶端至 IAS 伺服器」工作中所述程序建立的。

從 IAS 伺服器移除 RADIUS 用戶端

  1. 從「網際網路驗證服務 MMC」嵌入式管理單元中,選取 [RADIUS Clients] 資料夾。

  2. 選取右邊窗格中代表要移除之 RADIUS 用戶端的項目,再按一下 [刪除]。

  3. 當提示您進行確認時,請按一下 [是]。

    附註:下列步驟包括使用前一節中建立的磁片或其他卸除式可寫入媒體 (標示為「<Server Name> 的 RADIUS 用戶端」) 程序。請務必對適當的伺服器使用正確的磁碟,以免遺失資料。

  4. 找出這個伺服器的 RADIUS 用戶端磁片,使用記事本開啟 A:\Clients.txt 檔案。

  5. 找出並刪除要排除的 RADIUS 用戶端之項目。

目錄服務管理

目錄服務讓使用者和應用程式可以透過網路尋找網路資源,例如使用者、伺服器、應用程式、工具、服務以及其他資訊。目錄服務管理涉及對企業目錄的日常操作、維護和支援。目錄服務管理可確保任何授權要求者均可透過簡單且有組織的程序,經由網路存取資訊。

為使用者及電腦啟用 WLAN 存取權

若要啟用對 WLAN 的存取權,必須執行三項獨立的工作。這些工作均受安全性群組成員資格控制,因此可以使用 VBScript、Jscript 或命令 (批次) 檔案指令碼,輕易地加以自動化。這些工作將單獨進行討論,因為許多組織會在其 WLAN 首展的不同階段執行這些工作。

重要:本解決方案使用自訂安全性群組控制接收 WLAN 憑證和原則設定的使用者及電腦,以及控制允許透過 IAS 存取 WLAN 的使用者及電腦。這三個項目均使用獨立的群組,以便按階段部署憑證、原則設定和 WLAN 存取權。如果您不想進行如此準確的控制,則可針對任何或所有這些項目啟用所有使用者及電腦。啟用所有使用者及電腦的最簡單方式是,將 [網域使用者] 或 [網域電腦] 新增至相關的憑證註冊群組、[WLAN 群組原則] 群組 (僅限於電腦) 及 [WLAN 存取權] 群組。

為電腦啟用 WLAN 存取權

  1. 執行第 11 章中的「為使用者或電腦啟用憑證類型註冊 (或自動註冊)」程序,將電腦帳戶新增至 [自動註冊用戶端驗證 – 電腦憑證] 憑證註冊群組。

  2. 執行「在電腦上啟用無線設定」程序 (本節後面),以將正確的網路設定部署至電腦。將電腦帳戶新增至 [無線網路原則 – 電腦] 原則群組。

  3. 執行「新增電腦和使用者至遠端存取原則群組」程序 (本節後面),以授權電腦連線至 WLAN。將電腦帳戶新增至 [遠端存取原則 – 無線電腦] 遠端存取安全性群組。

    重要:這些步驟可以按任何順序執行。在大型部署過程中,所有這些步驟均可在啟用 WLAN 硬體之前執行妥當。在上述每個程序中,「必須」將電腦重新開機至少一次,以讓其接收指派的群組成員資格。不久,電腦登入語彙基元將會逾時,從而導致群組成員資格重新整理,但此程序可能最多需要一週的時間。
    電腦「必須」連線至有線網路,才能接收初始憑證和初始無線設定。憑證更新和無線設定未來變更將透過 WLAN 來接收。

為使用者啟用 WLAN 存取權

  1. 執行第 11 章中的「為使用者或電腦啟用憑證類型註冊 (或自動註冊)」程序,將使用者帳戶新增至 [自動註冊用戶端驗證 – 使用者憑證] 憑證註冊群組。

  2. 確定使用者登入時使用的是已授權且已設定的 WLAN 電腦 (如上一程序所述)。尤其是,該電腦必須已使用正確的 WLAN 原則設定進行設定。

  3. 執行「新增電腦和使用者至遠端存取原則群組」程序 (本節後面),以授權電腦連線至 WLAN。將電腦帳戶新增至 [遠端存取原則 – 無線使用者] 遠端存取安全性群組。

    重要:這些步驟可以按任何順序執行,也可以在實際部署和啟用 WLAN 硬體之前的任何時間執行。在上述每個程序中,使用者「必須」先登出然後再登入至少一次,以接收指派的群組成員資格。不久,使用者登入語彙基元將會逾時,從而導致群組成員資格重新整理,但此程序可能最多需要一週的時間。
    電腦「必須」連線至有線網路,才能讓使用者接收初始憑證。憑證更新將透過 WLAN 來接收。

在電腦上啟用無線設定

在用戶端電腦上設定無線網路設定 (如 802.11 和 802.1X 設定) 的工作,可以使用 Active Directory 群組原則加以自動化。您可以透過將電腦新增至安全性群組,控制哪些電腦將接收這些無線網路設定。安全性群組用於篩選群組原則物件 (GPO),使得只有該群組的成員才能接收原則設定。每次將新電腦加入需要使用無線網路的環境時,請執行此工作。

摘要資訊
  • 安全性需求:網域系統管理員中的成員資格,或在 Active Directory 中新增使用者至 [無線網路原則 – 電腦] 安全性群組的權限

  • 頻率:當行動電腦新增至網路時

  • 技術需求:Active Directory 使用者及電腦 MMC 嵌入式管理單元

工作詳細資訊

無線網路原則經過設定並正常運作後,將電腦新增至控制原則應用程式的安全性群組就相當簡單。

新增電腦至無線網路群組原則安全性群組

  1. 在 Active Directory 使用者及電腦 MMC 嵌入式管理單元中,找到與要套用之 [無線網路] 原則對應的 [無線網路原則 – 電腦] 安全性群組。您必須以對群組擁有「修改成員資格」權限的使用者身分登入。

  2. 新增電腦至所選的安全性群組。

    附註:必須重新啟動電腦才能反映新的群組成員資格並套用無線原則。第一次套用無線原則時,「必須」將電腦連線至有線網路才能接收無線設定。後續變更可透過 WLAN 來套用。

新增電腦和使用者至遠端存取原則群組

新增電腦和使用者至遠端存取原則安全性群組,會授與對 WLAN 的存取權。IAS 在遠端存取原則中將此群組的成員資格作為一項條件,只有符合該條件才允許存取。您必須將電腦和使用者新增至遠端存取原則群組,才能啟用 WLAN 的成功授權。

摘要資訊
  • 安全性需求:網域系統管理員中的成員資格,或在 Active Directory 中修改 [遠端存取原則 – 無線使用者] 和 [遠端存取原則 – 無線電腦] 安全性群組成員資格的權限

  • 頻率:當授與使用者對 WLAN 的存取權時

  • 技術需求:Active Directory 使用者及電腦 MMC 嵌入式管理單元

工作詳細資訊

建立遠端存取原則安全性群組後,將額外的電腦和使用者新增至控制 WLAN 存取權的安全性群組就相當簡單。

將使用者新增至遠端存取原則安全性群組

  1. 以「網域系統管理員」成員身分,或具有修改 [遠端存取原則 – 無線使用者] 安全性群組成員資格之權限的使用者身分登入管理電腦。

  2. 在 Active Directory 使用者及電腦 MMC 嵌入式管理單元中,找到與控制無線區域網路存取權的遠端存取原則相對應的 [遠端存取原則 – 無線使用者] 安全性群組。

  3. 新增使用者至所選的安全性群組。

    附註:使用者必須先登出然後再登入,才能接收新的群組成員資格並存取 WLAN。

將電腦新增至遠端存取原則安全性群組

  1. 以「網域系統管理員」成員身分,或具有修改 [遠端存取原則 – 無線電腦] 安全性群組成員資格之安全性權限的使用者身分登入管理電腦。

  2. 在 Active Directory 使用者及電腦 MMC 嵌入式管理單元中,找到與控制無線區域網路存取權的遠端存取原則相對應的 [遠端存取原則 – 無線電腦] 安全性群組。

  3. 新增電腦至所選的安全性群組。

    附註:必須重新啟動電腦才能讓其接收新的群組成員資格並存取 WLAN。

服務監視和控制

服務監視允許作業人員即時觀察 IT 服務的狀態。

本節中參考到 Microsoft Operations Manager (MOM) 之處都作了以下假設,即您遵照《MOM 作業指南》中的指南部署 MOM。但 MOM 不是必需的,只用作範例。如需有關《MOM 作業指南》的資訊,請參閱本章結尾的<其他資訊>一節。

分類監視警告

您的監視系統應該只向作業人員發出重大的警告。如果將所有輕微錯誤都擴大並產生事件警告,則作業人員很快便無法確定哪些警告緊急而哪些不緊急,因此需要更長的時間進行調查。

摘要資訊
  • 安全性需要:無

  • 頻率:設定工作

  • 技術需求:操作警告主控台 (例如 MOM)

工作詳細資訊

在此文件中使用了下列警告類別。其中,只有前三類 (「無法使用的服務」、「安全性破壞」及「嚴重錯誤」) 才應在操作員主控台上產生警告,以立即引起注意。「錯誤」和「警告」不屬於緊急事件,應提交給 RADIUS 和 WLAN 作業支援人員解決。這些事件類別是 MOM 使用的預設值,本節中稍後的工作說明將會提及。

表 12.8:警告類別

警告類別

說明

無法使用的服務

當應用程式或元件完全無法使用時。

安全性破壞

當應用程式受到駭客攻擊或洩漏時。

嚴重錯誤

當應用程序遇到嚴重錯誤,需要盡快執行系統管理動作 (但不必立即執行) 時。應用程式或元件在效能的 sub-par 層操作,但仍能執行大部分重要操作。

錯誤

當應用程式遇到暫時性問題,不需要立即執行 (甚至可能不需要) 任何系統管理動作或解決方案時。應用程式或元件在效能的可接受層作業,且仍能執行所有重要作業。

警告

當應用程式產生「警告」訊息,不需要立即執行 (甚至可能不需要) 系統管理動作或解決方案時。應用程式或元件在效能的可接受層作業,但仍能執行所有重要作業。如果問題持續存在,則情況可能會演變成「錯誤」、「嚴重錯誤」或「無法使用的服務」。

資訊

當應用程式產生「資訊事件」時。應用程式或元件在效能的可接受層作業,並執行所有重要和不重要作業。

成功

當應用程式產生「成功事件」時。應用程式或元件在效能的可接受層作業,並執行所有重要和不重要作業。

監視 IAS 容量限制

偵測潛在容量限制對於將服務維護在最佳層級很重要。當子系統接近其作業容量的極限時,效能會大幅降低 (通常不是直線型)。因此監視容量變化趨勢,同時盡早識別並處理將達到限制的趨勢很重要。

摘要資訊
  • 安全性需求:監視解決方案所需的權限

  • 頻率:設定工作

  • 技術需求

    • 效能監視器

    • 效能計數器合併器 (例如 MOM)

    • 操作警告主控台 (例如 MOM)

    • 容量計劃工具

工作詳細資訊

下列效能計數器在識別 IAS 中容量限制時最為有用。處理器和磁碟是 IAS 最常使用的兩項資源,相較網路或記憶體而言,它們可能會較早出現限制狀況。

表 12.9:用於監視 IAS 容量限制的項目

效能物件

效能計數器

例項

處理器

處理器時間的百分比

_總計

實體磁碟

磁碟時間的百分比

_總計

實體磁碟

磁碟讀取的平均佇列長度

_總計

實體磁碟

磁碟寫入的平均佇列長度

D: (IAS–DATA)

網路介面

位元總計/秒

網路介面卡

記憶體

使用中承諾位元的百分比

---


如需更多有關容量限制及相關效能計數器的一般資訊,請參閱本章結尾<其他資訊>一節中的參考資料。

在支援基礎結構上監視容量指示器也很重要。關鍵項目為:

  • IAS 與 Active Directory 間的通訊。IAS 大量使用 Active Directory 進行驗證並使用某些授權服務。

  • 無線 AP 之類的 RADIUS 用戶端。這些用戶端使用「可延伸的驗證通訊協定 (EAP)」和 RADIUS 通訊協定與用戶端及 IAS 進行通訊。

  • 與 Active Directory 間的用戶端相關通訊。無線區域網路用戶端使用 Active Directory 網域控制站進行群組原則與原始網域驗證。

儲存管理

儲存管理處理到站與離站資料儲存,以達到資料還原和歷史保存的目的。儲存管理小組必須確保備份及保存的實體安全性。儲存管理可定義、追蹤以及維護生產 IT 環境中的資料和資料資源。

設定 IAS 設定匯出

本工作可排定夜間工作,以匯出部分 IAS 設定狀態,便於在發生災難性事件後進行系統還原。完整 IAS 設定狀態包括 RADIUS 用戶端設定,該設定是機密資訊。因此,匯出設定狀態之 RADIUS 用戶端部份的指示另有詳細說明。您需要使用這兩種類型的備份,才能執行用於完整生產服務之每個 IAS 伺服器的完整還原。

IAS 伺服器的完整備份包括所有作業系統設定以及其他 IAS 伺服器所依賴的狀態資訊。開發此工作的目的是為了能夠重新安裝伺服器、重新安裝選用 IAS 元件以及還原設定狀態。此設定在伺服器不再為已知設定狀態 (不穩定) 或安全性受損時,有助於還原服務。

摘要資訊
  • 安全性需求:本機系統管理員安全性群組的成員

  • 頻率:設定工作

  • 技術需求

    • MSS 指令碼

    • Windows 工作排程器服務

    • SchTasks.exe

工作詳細資訊

此項工作設定排程工作,以在夜間執行 IAS 伺服器的設定狀態備份。IAS 備份假設您的組織目前擁有企業伺服器備份系統;此程序中的備份將輸出至檔案,而備份系統可以備份該檔案。您的主要備份系統可以是網路備份、存放區域網路 (SAN) 備份或本機裝置備份。該解決方案還假設伺服器備份系統是在夜間執行 IAS 伺服器的磁碟備份。

設定 IAS 設定備份

  1. 執行下列命令,可安排在夜間執行備份工作。此命令會設定該工作在每天凌晨 2:00 執行。

    SCHTASKS /Create /RU system /SC Daily /TN "IAS Backup" /TR \"C:\MSSScripts\IASExport.bat\" /ST 02:00

    (此命令可能會顯示為多行;實際輸入時請勿分行。)

    附註:只有在路徑名稱或檔案名稱中有空格時,才需要在指令碼名稱 C:\MSSScripts\IASExport.bat 兩側使用所示的斜線和引號。反斜線字元用於「逸出」指令碼名稱兩側的引號,使其儲存為 schtasks 工作命令列的一部分。如果路徑名稱中沒有空格,這些字元可以省略。

  2. 設定伺服器備份系統,每晚將 D:\IASConfig 目錄中的內容備份至卸除式媒體。如果可能的話,請設定指定條件指令碼,以檢查 IASExport.bat 檔案建立之 IAS 設定文字檔的日期及時間是否在 24 小時以內。如果檔案的日期及時間戳記在 24 小時之前,則表示先前的備份失敗或仍在執行。

    附註:IASExport.bat 指令碼可以作為本工作的起點。您可以修改 IASExport.bat 指令碼的邏輯,使得指令碼中所用 netsh 工具的錯誤事件,會產生作業人員能夠偵測到的事件或通知。

您應該考慮啟用 D:\IASConfig 目錄中的 Windows 檔案稽核並指示伺服器安全性稽核員定期檢閱稽核資料中是否有不尋常的活動 (例如,失敗的存取)。D:\IASConfig 目錄中的資訊能協助攻擊者瞭解如何入侵網路存取控制。

匯出 RADIUS 用戶端設定

您必須從 IAS 伺服器匯出 RADIUS 用戶端設定,以確保在發生災難性伺服器失敗時能夠復原此資訊。因為 RADIUS 用戶端資訊包含每個伺服器和無線 AP 之間使用的 RADIUS 密碼,所以該資訊為機密資訊。因此,RADIUS 用戶端資料應匯出至卸除式媒體,並將其存放在安全的位置。匯出的 RADIUS 用戶端設定資料 (通常) 為每個 IAS 伺服器所獨有。

若要完整還原 IAS 伺服器設定,您需要還原在本工作中建立的 RADIUS 用戶端設定資料,以及在上一程序中使用 IASExport.bat 指令碼建立的 IAS 系統設定資料。

摘要資訊
  • 安全性需求:IAS 系統管理員安全性群組中的成員

  • 頻率:設定工作

  • 技術需求

    • MSS 指令碼

    • 磁片或其他卸除式可寫入媒體

工作詳細資訊

使用 netsh 命令可匯出 RADIUS 用戶端資訊。本指南包含一個批次檔,可將 RADIUS 用戶端資訊匯出到磁片或其他卸除式媒體。

匯出 RADIUS 用戶端設定

  1. 登入要透過其儲存 RADIUS 用戶端資料的 IAS 伺服器,然後在命令提示字元中執行下列命令:

    C:\MSSScripts\IASClientExport.bat

  2. 調查並更正顯示的任何錯誤或警告。狀況更正後,請再次執行指令碼。

  3. 適當地儲存備份媒體。因為此備份資料中包含可用來獲得您公司 WLAN 存取權的密碼,所以非常機密。您必須如同對待 IAS 伺服器一樣小心安全地處理此資料。您應該將備份資料儲存在 IAS 伺服器以外的實際位置,以便在現場所有電腦設備均遭破壞或無法存取時修復 IAS 伺服器。

設定 IAS 資料目錄的備份

本工作的目的是指導您確定需要備份的 IAS 伺服器目錄,以便在發生災難性伺服器事件後,能夠完整復原系統的 IAS 設定狀態和 RADIUS 記錄資料。IAS 伺服器的完整備份包括所有作業系統設定以及其他 IAS 伺服器所依賴的系統狀態資訊。

摘要資訊
  • 安全性需求:本機備份操作員安全性群組的成員

  • 頻率:設定工作

  • 技術需求

    • Windows 備份或企業備份系統

    • Windows 工作排程器服務

    • SchTasks.exe

工作詳細資訊

本工作列出了為確保完整還原 IAS 設定狀態和記錄檔資料所必須備份的目錄。本工作假設您目前擁有企業伺服器備份系統。此系統可以是網路備份、SAN 備份或本機裝置備份。該解決方案還假設企業伺服器備份系統在夜間,執行完 IAS 設定狀態備份 (02:00) 後備份 IAS 伺服器磁碟。

設定 IAS 資料目錄備份

  1. 檢驗 IAS 設定狀態備份已正確排程並成功執行。IAS 設定狀態之已排程的工作會輸出 IAS 設定狀態至硬碟中的檔案。

  2. 使用記事本在 D:\IASLogs 目錄中建立名為 backuptest.txt 的檔案。在檔案中,輸入用於備份和還原驗證目的。儲存檔案並關閉記事本。此檔案將在稍後的還原驗證程序中使用。

    設定企業伺服器備份系統,對下列目錄執行完整、增量或差異備份:

    • D:\IASConfig

    • D:\IASLogs

  3. 檢視伺服器備份系統的記錄檔,以確保沒有發生錯誤或警告。若您找到錯誤或警告,請考慮手動執行 IAS 設定匯出指令碼並對兩個目錄執行另一次完整備份。

  4. 適當地儲存備份媒體。因為此備份資料包含允許存取您組織 WLAN 的伺服器軟體設定,所以非常機密。您必須如同對待 IAS 伺服器一樣小心安全地處理此資料。您應該將備份資料儲存在 IAS 伺服器以外的實際位置,以便在現場所有電腦設備均遭破壞或無法存取時修復 IAS 伺服器。

測試 IAS 備份

此工作的目的是透過執行測試還原,以確保正確執行備份程序和技術。在備用伺服器硬體上完整還原備份,可最大程度地確保備份程序的正確工作。但是,建立本程序的目的是為了讓無法存取備用伺服器硬體的客戶,能夠在生產硬體上測試他們的還原程序,儘管這樣做會有一定的風險。在生產伺服器上測試還原程序所產生的風險在於,部份還原可能會使伺服器處於無法使用的狀態。

測試備份可確保在發生災難性事件時,可清楚地進行還原,避免對完成備份有所阻礙的程序或技術錯誤。

IAS 伺服器還原資料包括下列項目:

  • IAS 設定狀態匯出資料。位於 D:\IASConfig 目錄中。在從磁帶還原時,此資訊可用於將設定重新匯入 IAS 伺服器,並可按照本章「設定 IAS 設定匯出」工作中的步驟來建立。

  • RADIUS 用戶端匯出資料。位於磁片或其他卸除式可寫入媒體 (標示為「<Server Name> 的 RADIUS 用戶端」) 中。此資訊可用於將 RADIUS 用戶端設定還原至 IAS 伺服器,並可按照本章「匯出 RADIUS 用戶端設定」工作中的步驟來建立。

  • RADIUS 要求記錄檔資料。位於 D:\IASLogs 目錄中。若從磁帶還原,此資訊包含 IAS 安全性稽核員使用的歷史資料。此資料隨著 IAS 服務將 RADIUS 資訊記錄至磁碟而逐漸建立。

執行測試還原前,您應手動匯出 IAS 設定匯出資料和 RADIUS 用戶端匯出資料。隨後再執行未排定的伺服器資料備份,並將備份資料儲存至專用磁帶加以妥善保存,專供在測試還原發生問題時使用。此方法可降低因磁帶損壞和錯誤造成的風險 (此種風險在正常備份時可能被忽略,從而導致生產伺服器的部份還原)。

摘要資訊
  • 安全性需求:測試電腦上的本機系統管理員或備份操作員

  • 頻率

    • 在 IAS 伺服器正常運作之前

    • 每月

    • 於備份技術或程序有任何變更時重新進行測試

  • 技術需求

    • Windows 備份或企業備份系統

    • MSS 指令碼

工作詳細資訊

本工作詳細說明 IAS 資料的還原和驗證。所有三種類型的資料都將還原,並使用特殊程序驗證還原。請確保使用最近一次 (前一晚) 成功完成的完整備份。此外,在開始測試之前,請確保自上次備份後沒有在目標伺服器上執行任何管理工作 (如某種類型的設定變更)。

如果您嘗試還原至新安裝的 Windows Server 2003 副本,則必須完成第 8 章中<實作可保護無線區域網路的 RADIUS 基礎結構>的必備伺服器建置步驟,確保為 IAS 正確設定伺服器硬體與軟體。

附註:您可能需要在已還原的 WLAN 遠端存取原則中,重新選取新安裝的 RAS 和 IAS 伺服器驗證憑證。

測試 IAS 備份

附註:本程序中的第一個步驟是選用的,用於非生產伺服器硬體的測試實驗室環境。這有助於確保伺服器能自不穩定或安全性受損狀態中復原。

  1. 若要還原的伺服器遭受無法修復的硬體或軟體失敗,或者其安全性受損,請依第 8 章<實作 RADIUS 基礎結構>中所述,重新安裝 Windows Server 2003,並務必將 MSS 指令碼自發佈媒體複製到您伺服器上的 C:\MSSScripts 目錄。

  2. 瀏覽到 D:\IASLogs 目錄並尋找 backuptest.txt 檔案。如果該檔案不存在,請繼續執行下一個步驟。如果找到 backuptest.txt 檔案,則將其刪除。backuptest.txt 檔案是在「設定 IAS 資料目錄備份」過程中建立的。該檔案隨 IAS RADIUS 要求記錄檔一起備份,可讓您檢查是否能從備份還原資料,而不必還原 RADIUS 記錄檔。如果您願意,也可以從 D:\IASLogs 還原實際的 RADIUS 要求記錄檔資料。但是,如果還原失敗,覆寫記錄檔資料可能會導致資料遺失。

  3. 3. 開啟網際網路驗證服務 MMC 嵌入式管理單元,選取 [網際網路驗證服務 (本機)] 物件的屬性,並檢查 [一般] 索引標籤。將 "(Restore Test)" 文字附加至 [伺服器說明] 欄位。按一下 [確定],關閉 IAS 屬性對話方塊。變更伺服器說明字串可讓您檢查之前備份的 IAS 設定值是否已還原。還原之前的 IAS 設定值後,[伺服器說明] 字串將被舊的值覆寫,"(Restore Test)" 文字將會消失。

  4. 在 [網際網路驗證服務] MMC 嵌入式管理單元中,於 [RADIUS Clients] 資料夾上按一下滑鼠右鍵,再選取 [新增 RADIUS 用戶端]。在 [好記的名稱] 中輸入 [Restore Test],再於 [用戶端位址 (IP 或 DNS)] 中輸入 [127.0.0.1]。在 [共用密碼] 和 [確認共用密碼] 欄位中輸入此 RADIUS 用戶端的密碼,然後按一下 [完成]。如果還原成功,就會覆寫此 RADIUS 用戶端資訊,這個新的 RADIUS 便會消失。

  5. 找出您要測試的備份媒體 (例如,前一晚的排定備份),並使用該媒體將下列資料還原至伺服器硬碟:

    • D:\IASConfig\*.*

    • D:\IASLogs\BACKUPTEST.TXT

  6. 在命令提示字元中執行下列命令,將先前儲存為文字檔的 IAS 設定還原至 IAS 資料庫。請務必調查在指令碼執行期間出現的錯誤或警告:

    C:\MSSScripts\IASImport.bat

    附註:下列步驟包括使用標示為「<Server Name> 的 RADIUS 用戶端」的磁片或其他卸除式可寫入媒體之程序。請務必對適當的伺服器使用正確的磁碟,以免遺失資料。

  7. 找到此伺服器的 RADIUS 用戶端設定磁片 (或其他卸除式可寫入媒體),並插入伺服器的磁碟機中。在命令提示字元中執行下列命令。請務必調查在指令碼執行期間出現的錯誤或警告:

    C:\MSSScripts\IASClientImport.bat

  8. 關閉並重新開啟 [網際網路驗證服務] MMC 嵌入式管理單元,選取 [網際網路驗證服務 (本機)] 物件的屬性,再檢查 [一般] 索引標籤,以確保 "(Restore Test)" 文字不再顯示在 [伺服器說明] 欄位中。按一下 [確定],關閉 [IAS 屬性] 對話方塊。

  9. 選取 [RADIUS Clients] 資料夾,並確定右窗格的用戶端清單中不再顯示 Restore Test RADIUS 用戶端。

  10. [網際網路驗證服務] MMC 嵌入式管理單元中的所有其他設定,均應顯示執行還原測試之前的設定。

  11. 巡覽至 D:\IASLogs 目錄並確保 backuptest.txt 檔案已存在。如果是在生產伺服器上執行此程序中的還原步驟,請讓 IAS 安全性稽核員檢查記錄檔,以確保這些記錄檔完好無損,且至少到備份前是最新的。

  12. 您應該將備份媒體和磁片放回安全儲存區。

安全性管理

安全性管理負責維護安全的計算環境。安全性是任何企業 IT 基礎結構的重要部分。安全性基礎較弱的大多數資訊系統最終將遭到安全性破壞。

存取 IAS RADIUS 要求記錄檔

IAS 可以選擇性地將產生於無線 AP RADIUS 要求的不同事件,記錄至位於伺服器硬碟上的 RADIUS 要求記錄檔。RADIUS 記錄檔在許多情況下都很有用,包括識別對系統的潛在攻擊和對組織網路的未授權存取。本工作說明檢查 RADIUS 要求記錄檔的方法,但對 RADIUS 要求記錄檔分析的詳細討論本指南內未有涉及。

由於 RADIUS 要求記錄檔是以 IAS 格式或資料庫匯入格式儲存的文字,因此有許多方法都可以用於分析該記錄檔。本解決方案選擇資料庫匯入格式作為記錄檔格式,因為將這種格式的檔案匯入至可接受逗號分隔文字檔的應用程式相對容易。檢閱 IAS RADIUS 要求記錄檔的方法包括:

  • 使用 IASPARSE 公用程式直接瀏覽記錄檔。此工具可從 Windows Server 2003 支援工具中取得,且為了獲得最佳效能,通常是在 IAS 伺服器上安裝和執行。因此,需要建立遠端桌面連線 (或其他遠端執行方法) 工作階段。本解決方案依預設不會設定來支援這一種記錄檔檢視方法。

  • 從遠端管理電腦將記錄檔匯入 Microsoft Access 2002。此方法允許系統管理員將記錄匯入 Microsoft Access 資料表,進行臨時查詢或是作為結構化報告和保存方式的一部分。本解決方案選擇使用這種記錄檔檢視方法,因為它既簡單又富有彈性。企業客戶可能還想考慮以下採用基於 Microsoft SQL Server™ 2000 的記錄之選項。

  • 透過中央 SQL Server 2000 叢集存取記錄資訊 (每個 IAS 伺服器上 MSDE 2000 中的資料都複製到該叢集)。每個 IAS 伺服器都記錄到其本機 MSDE 執行個體。設定此方案非常複雜,但 Microsoft 已撰寫了白皮書和程式碼,可以協助您處理此程序。如需以此方式設定 SQL 記錄的協助,請連絡您的 Microsoft 合作夥伴或 Microsoft 高級主管,他能協助您與適當的合作夥伴或 Microsoft 咨詢服務專業人員取得聯繫。

摘要資訊
  • 安全性需求:IAS 安全性稽核員安全性群組的成員

  • 頻率:每日或每週 – 取決於安全性需求

  • 技術需求

    • IASPARSE

    • Microsoft Access

    • Microsoft Excel

工作詳細資訊

在本解決方案中,每個伺服器上都會產生 RADIUS 要求記錄檔,並儲存在專用的磁碟區內。存取這些記錄檔的步驟包括與每個 IAS 伺服器建立網路連線,然後檢閱記錄檔並刪除不再需要的記錄檔。在本解決方案中,IAS 伺服器會設定為每月建立一個新的 RADIUS 要求記錄檔,但您可以變更此間隔以滿足自己的特定需求。

您以 Access 建立的資料表所採用的格式是根據每一欄位中包含的資料類型而定的。本範例向您展示了如何建立新資料表,但您也可以將記錄匯入一個現有的資料表中。

匯入 RADIUS 要求記錄檔至 Microsoft Access

  1. 以「Active Directory IAS 安全性稽核員」安全性群組成員的身分登入管理工作站,然後將磁碟機連線對應至要檢閱其記錄的 IAS 伺服器。在命令提示字元中輸入以下命令,並以您的 IAS 伺服器名稱來取代其中的 HQ-IAS-01:

    NET USE X: \\HQ-IAS-01\IASLogs

  2. 找到代表您要檢視之月份的記錄檔。記錄檔名稱使用的格式可指明檔案建立的日期。製作一份記錄檔,並以 .txt 副檔名重新命名。

  3. 將 C:\MSSScripts\IASAccessPrep.txt 文字檔中的兩個完整行新增至複製的記錄檔開頭。第一行包含記錄檔中每個欄位的屬性名稱,Access 會使用這些名稱在其資料表中建立欄位名稱。使用資料表中屬性名稱簡化了對記錄項目的解釋。Access 使用第二行為其資料表中的各欄設定適當的資料類型。匯入記錄檔後,您應該從 Access 資料表中刪除這些項目。

  4. Access 2002 中,按一下 [空白資料庫]。 [開新資料庫] 中,指定檔案名稱,再按一下 [藉由輸入資料建立資料表]。依序按一下 [檔案]、[取得外部資料] 及 [匯入]。

  5. 依序按一下 [ 匯入 ]、[檔案類型] 及 [文字檔],找到並選取 IAS 記錄檔,然後再按 [匯入]。[匯入文字精靈] 中按一下 [進階]。

  6. 按一下 [匯入規格]:

  7. [檔案格式],按一下 [分隔符號]。

  8. 自 [欄位分隔符號] 內,選取 [,] (逗號)。

  9. [文字辨識符號] 內,選取 ["] (引號)。

  10. 自 [日期、時間和數字] 中,選取 [西元年份] 和 [日期以零開始],再輸入適當的 [日期順序] (例如:MDY)、[日期分隔符號] (例如:/ 或正斜線)、[時間分隔字元] (例如冒號 :),以及 [小數點符號] (例如句號 .)。

  11. 在 [匯入文字精靈] 對話方塊中,按一下 [下一步],選取 [第一列是欄位名稱],再按 [下一步]。選取 [在新的資料表中],再按一下 [下一步]。

  12. 保留 [欄位選項] 中的預設值,再按一下 [下一步]。按一下 [讓 Access 為我加入主索引鍵],再按 [下一步]。 [匯入至資料表] 中輸入新資料表的名稱。按一下 [完成]。

  13. 在 [檔案名稱 : 資料庫] 對話方塊中,輸入資料庫名稱,再按一下 [開啟] 檢視您的資料表。

檢閱 IAS RADIUS 驗證事件日誌項目

安全性稽核員可以定期執行此工作,檢查對無線網路是否有未授權的存取嘗試。內部安全性原則可能指示需要定期檢閱「事件日誌」中的 RADIUS 驗證事件,以偵測驗證嘗試或遭竊憑證認證的使用。您也可以使用 MOM 之類的管理工具,以便在記錄到可疑事件時發出警告。

本工作是選用的,可視為之前所述的 IAS RADIUS 記錄的替代工作。本工作要求具備「IAS 系統管理員」群組或伺服器本機「系統管理員」群組的成員資格。

摘要資訊
  • 安全性需求:IAS 系統管理員群組或本機內建系統管理員群組中的成員資格

  • 頻率:每日或每週 – 取決於安全性需求

  • 技術需求

    • 事件檢視器

    • Windows Server 2003 資源套件中的 EventCombMT 或 EventFilter (選用)

工作詳細資訊

本工作適用於 IAS 安全性稽核員與 IAS 系統管理員為同一人的 IT 環境。不同的是,RADIUS 記錄檔可由不是伺服器本機系統管理員的操作員進行檢視。本解決方案不會為安全性稽核員提供本系統管理員權限。在執行本工作前,您必須在 Active Directory 中將稽核員新增至「IAS 系統管理員」安全性群組。

使用事件檢視器檢查事件日誌中是否有失敗的驗證嘗試

  1. 以「IAS 系統管理員」安全性群組的成員身分登入其中一個 IAS 伺服器。

  2. 開啟 [事件檢視器] (依序按一下 [開始]、[所有程式] 以及 [系統管理工具])。

  3. 按一下 [系統事件日誌]。

  4. 從 [檢視] 功能表中,按一下 [篩選]。

  5. 為 [事件來源] 選取 [IAS],並為 [事件識別碼] 選取 [2]。

  6. 調查任何經常性驗證失敗或其他可疑項目。

    附註:您也可以使用 Eventquery 工具 (在 Windows XP 和 Windows Server 2003 中) 以及 Windows Server 2003 資源套件中的 EventFilter 或 EventCombMT 工具檢視 IAS 事件。

保存並刪除 IAS RADIUS 記錄檔

IAS 具備在記錄磁碟已滿時刪除最舊 IAS RADIUS 記錄檔的功能。如果您不使用這個自動化功能,則需要手動保存與刪除 IAS RADIUS 要求記錄檔,以確保 IAS 不會耗盡磁碟空間。磁碟空間耗盡會導致 IAS 停止驗證服務和無線 AP 的帳戶處理要求。您也可以使用指令碼或自動化的 SQL Server 2000 複製策略自動化記錄檔保存程序 (依本章前面「存取 IAS RADIUS 要求記錄檔」工作中所述)。

附註:本解決方案使用 IAS 功能,以便在發生磁碟已滿事件時自動刪除最舊的記錄檔。

摘要資訊
  • 安全性需求:IAS 安全性稽核員 Active Directory 安全性群組中的成員資格

  • 頻率:每月

  • 技術需求:原生 Windows 命令

工作詳細資訊

保存和刪除 RADIUS 驗證與帳戶處理要求記錄檔的方法很多。例如,基於伺服器的備份指令碼可以透過電子郵件通知 IAS 安全性稽核員,記錄檔的備份已成功完成。然後,安全性稽核員就可以連線到 IAS 伺服器並刪除最舊的記錄檔。IAS 安全性稽核員也可以將 RADIUS 記錄檔備份至與其管理電腦連接的磁帶或 CD–RW 裝置,然後連線至 IAS 伺服器並刪除不再需要的最舊記錄檔。

在本解決方案中,IAS 會設定為每月建立一個新的記錄檔。

您應該建立一個可在線上保留足夠資料以為各種案例重建網路存取資訊的策略。例如,如果您有三個月的線上資料,它們分別位於三個記錄檔中,但您可能只需要最新的兩個記錄檔來重建網路存取資訊,以追蹤安全性事件。因此,您可以保存並刪除三個記錄檔中最舊的一個,並保留其他兩個。

有關備份 RADIUS 要求記錄檔和其他 IAS 資料的詳細資訊,請參閱本章內「設定 IAS 資料目錄備份」工作中的詳細說明。本工作提供自管理站保存及刪除 RADIUS 記錄的指南。

保存及刪除 RADIUS 要求記錄檔

  1. 以「IAS 安全性稽核員」安全性群組成員的身分登入管理工作站。

  2. 使用下列命令 (請以您的 IAS 伺服器名稱來取代其中的 HQ-IAS-01),將磁碟機對應至要保存其記錄檔的 IAS 伺服器。

    NET USE X: \\HQ-IAS-01\IASLogs

  3. 識別要從 IAS 伺服器上保存及刪除的最舊記錄檔。使用 NTBACKUP、copy 命令 或其他公用程式,將選定的記錄檔從線上共用保存到次要媒體。

  4. 從線上共用刪除不需要的記錄檔。


支援象限工作

支援象限中的 SMF 可提供反應式和主動式工作,以維持所需的服務層級。反應式功能取決於組織對事件和問題快速作出反應並將其解決的能力。更為理想的則是主動式功能,此功能會嘗試在任何服務層級受到影響之前就識別並解決問題,以避免任何服務干擾。這些功能可根據預先定義的閾值嚴密監視服務解決方案,並在潛在問題成為服務干擾之前,為作業人員提供足夠的時間以對其作出適當反應。支援象限與作業象限中所述的服務控制和監視 SMF 密切相關。服務控制和監視可為作業與支援人員提供用於偵測問題的重要資訊。本節中所述的程序旨在解決您可能會遇到的最常見事件,使您能夠從這些事件中進行修復。

本節包含與下列 SMF 相關的資訊:

  • 事件管理

沒有工作屬於其餘 SMF:

  • 問題管理

  • 服務中心

    附註:每項工作的說明都包含下列摘要資訊:安全性需求、頻率及技術需求。

事件管理

事件管理是管理及控制客戶或 IT 夥伴報告之錯誤與干擾 (發生於 IT 服務的使用或實作中) 的程序。事件管理會嘗試儘快恢復正常服務作業,並將對企業營運造成的不良影響降至最低,以確保維持服務層級的最佳品質和可用性。此處,正常的服務作業定義為服務層次協議 (SLA) 限制內的服務作業運作。

附註:如需有關 Windows XP 無線用戶端問題的一般疑難排解資訊,請參閱本章結尾<其他資訊>一節中的參考資料。

檢查用戶端網路連線資料夾狀態

[網路連線] 資料夾與 Windows XP 通知圖示可提供有關 WLAN 驗證狀態的資訊。此工作可讓一般使用者或服務支援人員檢查用戶端電腦上無線連線的狀態。如果驗證需要使用者的其他資訊 (例如從多個使用者憑證中選取一個),則會顯示文字汽球,指示使用者。此工作還可用於疑難排解。

摘要資訊
  • 安全性需求:本機系統管理員安全性群組中可修改 WLAN 設定的成員資格

  • 頻率:疑難排解使用者問題時

  • 技術需求:Windows XP Professional

工作詳細資訊

在 [網路連線] 資料夾內,與無線網路介面卡對應的連線名稱下方顯示的文字說明驗證狀態。

在您檢視連線狀態時,可在 [一般] 索引標籤上看到訊號強度,並可在 [支援] 索引標籤上看到 IP 位址設定。如果無線介面卡具有「自動私人 IP 定址」(APIPA) 位址 (169.254.0.0/16),或設定為在介面卡的 [傳輸控制通訊協定暨網際網路通訊協定 (TCP/IP)] 屬性中設定的替代 IP 位址,驗證就會失敗,但 Windows XP 無線用戶端仍與無線存取點相關聯。如果驗證失敗而關聯仍存在,Windows 就會啟用無線介面卡且 TCP/IP 會執行其正常設定程序。在此範例中,由於用戶端沒有成功通過 WLAN 驗證,因此找不到動態主機設定通訊協定 (DHCP) 伺服器,所以 TCP/IP 就自動設定 APIPA 或替代位址。在此情況下,建議您在 IAS 伺服器上檢閱 WLAN 驗證失敗的原因,或啟用並檢閱用戶端電腦上的追蹤。

檢查網路連線資料夾的狀態

  • 依序按一下 [開始] 及 [執行],鍵入 "ncpa.cpl",然後再按 [確定]。

啟用及停用用戶端電腦上的追蹤

Windows 支援詳細的追蹤資訊,可協助服務支援人員和開發人員解決軟體元件問題。追蹤提供的資訊比「事件日誌」更為詳細,並將此資訊儲存在文字記錄檔中。

若要取得有關 EAP 驗證程序的詳細資訊,必須啟用對「透過 LAN 之 EAP (EAPOL)」以及「遠端存取服務傳輸層安全性 (RASTLS)」元件的追蹤。

摘要資訊
  • 安全性需求:本機系統管理員安全性群組中的成員資格

  • 頻率:疑難排解用戶端 WLAN 問題時需要

  • 技術需求

    • Windows XP Professional

    • Notepad.exe

工作詳細資訊

發出以下命令後,請再次嘗試驗證程序,並檢視 %systemroot%\Tracing 資料夾中的 Eapol.log 和 Rastls.log 檔案。

啟用用戶端電腦上的追蹤

  • 執行下列命令:

    • netsh ras set tracing eapol enabled

    • netsh ras set tracing rastls enabled

停用用戶端電腦上的追蹤

  • 執行下列命令:

    • netsh ras set tracing eapol disabled

    • netsh ras set tracing rastls disabled

    附註:追蹤會消耗系統資源並建立記錄檔,這些記錄檔增長很快。請務必在疑難排解完成後再次停用追蹤。

確認用戶端電腦上的網域名稱字串

如果您選擇停用用戶端電腦上的憑證網域名稱檢查,下列工作將很有用。此設定在本解決方案中並未啟用,因為它會產生可能讓使用者混淆的 WLAN 對話方塊。Windows XP Professional SP1 也預設為停用此選項。

用戶端電腦無法在 EAP-TLS 相互驗證期間執行憑證撤銷檢查,因為在授予 WLAN 存取權前,通常無法取得憑證撤銷清單 (CRL) 位置。但是,Windows 用戶端可以驗證 IAS 伺服器提供之憑證中的全部或部分伺服器名稱。此功能可在無線用戶端 GPO 的 [無線網路原則] 設定中進行設定 (這些設定與用戶端電腦無線網路介面卡屬性中的 [無線網路] 屬性,具有相似的使用者介面)。

如果無線用戶端嘗試驗證伺服器憑證,且您在 [伺服器名稱結尾如下時連線] 欄位中輸入的 IAS 伺服器網域值不正確,驗證就會失敗。如果您選擇啟用 [連線至這些伺服器選項],則在疑難排解用戶端驗證問題時可能需要執行此工作。

摘要資訊
  • 安全性需求:本機系統管理員安全性群組中的成員資格

  • 頻率:設定或疑難排解使用者 WLAN 問題時

  • 技術需求:Windows XP Professional

工作詳細資訊

本工作可讓您在用戶端上 WLAN 網路介面卡網路連線,或無線網路原則 GPO 的 [屬性] 對話方塊中,確認網域名稱字串是否正確。

確認用戶端電腦上的網域名稱字串

  1. 依序按一下 [開始] 及 [執行],鍵入 "ncpa.cpl",然後再按 [確定]。

  2. 檢視無線網路連線的屬性。

  3. 在 [無線網路] 索引標籤上,自偏好網路選取目標網路的網路「服務組識別元 (SSID)」,並檢視其屬性。

  4. 在 [驗證] 索引標籤上檢視屬性,並確保 [伺服器名稱結尾如下時連線] 字串與 IAS 伺服器的網域名稱相同。

在事件日誌中檢視 IAS 驗證事件

用戶端驗證成功和失敗事件記錄在 IAS 伺服器上的「系統事件日誌」內,並對疑難排解非常有用。在網際網路驗證服務 MMC 嵌入式管理單元中, IAS 伺服器屬性的 [服務] 索引標籤上依預設會對所有類型的 IAS 事件 (拒絕、捨棄及成功驗證事件) 啟用事件記錄。

此工作可讓 IAS 系統管理員透過檢視「IAS 伺服器事件日誌」中的驗證事件,協助服務支援人員疑難排解電腦與使用者驗證問題。

如果 IT 服務支援人員需要存取「IAS 系統事件日誌」內的無線用戶端驗證資訊,您具有以下多個選項:

  • 獲得 IAS 系統管理員 (IAS 系統管理員安全性群組的成員) 的協助,並因此取得「IAS 系統事件日誌」訊息的存取權。本工作使用此選項。

  • 使用企業「事件日誌」管理系統 (例如 MOM),將記錄匯出至服務支援人員可存取的位置。

  • 授予服務支援人員對 IASLogs 共用與基礎 NTFS D:\IASLogs 目錄的讀取權。指示他們如何使用工具 (例如本章內「存取 IAS RADIUS 要求記錄檔」工作中所述的 IASPARSE) 來瀏覽記錄檔。由於此選項所需的基礎結構最小,且不會造成過高的安全性風險,因此大多數客戶都會考慮採用此選項。

授予不是系統管理員的使用者對 IAS 系統事件日誌的存取權,可能會造成安全性風險。對於同時具備 IAS 與網域控制站伺服器角色的伺服器而言,這是尤其要注意的。

摘要資訊
  • 安全性需求:本機 IAS 系統管理員安全性群組中的成員資格,或對「系統事件日誌」具有讀取/儲存權限之群組中的成員資格

  • 頻率:疑難排解用戶端驗證問題時

  • 技術需求:Windows Server 2003 資源套件中的事件檢視器 MMC 嵌入式管理單元或 EventCombMT

工作詳細資訊

檢視系統事件日誌中的驗證嘗試,對於疑難排解 IAS 拒絕驗證嘗試非常有用。如果您設定了多個遠端存取原則,就可以使用此記錄來確定接受或拒絕連線嘗試的遠端存取原則名稱 (請參閱事件說明中的「原則名稱」)。此外,驗證事件 (來源:IAS,事件識別碼為 1 表示接受,為 2 則表示拒絕) 還會顯示原因代碼 (具有相應的說明,在 [Windows Server 2003 說明及支援] 中亦有提及)。

啟用 IAS 事件記錄並讀取「系統事件日誌」中 IAS 驗證事件文字的 IAS 事件,是疑難排解失敗 IAS 驗證最有用的工具。

檢視系統事件日誌中的驗證事件

  1. 依序按一下 [開始] 及 [執行],鍵入 "Eventvwr",然後再按 [確定]。

  2. 選取 [系統事件日誌]。

  3. 從 [檢視] 功能表中選取 [篩選],為 [事件來源] 選擇 [IAS],再按一下 [確定]。

啟用及停用 IAS 伺服器上的追蹤

Windows 支援詳細的追蹤資訊,可協助服務支援人員和開發人員解決軟體元件問題。追蹤提供的資訊比「事件日誌」更為詳細,並將此資訊儲存在文字記錄檔中。

Microsoft Windows Server 2003 具有廣泛的追蹤能力,可用來疑難排解特定元件的複雜問題。您可以透過使用 netsh 命令,啟用 Windows 2003 Server 中的元件,將追蹤資訊記錄至檔案。

摘要資訊
  • 安全性需求:IAS 伺服器上本機系統管理員安全性群組中的成員資格

  • 頻率:疑難排解用戶端 WLAN 連線問題時需要

  • 技術需求

    • Netsh

    • 記事本

    • Regedit

工作詳細資訊

使用 netsh 命令可啟用及停用對特定元件或所有元件的追蹤。追蹤 EAP&#150;TLS 的 802.1X 驗證問題時,最有用的元件是:

  • IASSAM (% systemroot% \tracing 資料夾中的 Iassam.log 檔案)。這是解決 IAS 問題最常用的追蹤檔案,因為它說明了破解使用者名稱、繫結到 DC 及確認認證等功能。它是 IAS 追蹤檔案的「核心」,在對所有與驗證相關的問題進行偵錯時,通常都是必不可少的。

  • RASTLS (% systemroot% \tracing 資料夾中的 Rastls.log 檔案)。此記錄包含所有 EAP 及 PEAP 相關驗證的大部分重要偵錯資訊。但是,此記錄檔不容易讀取。Microsoft 正努力產生資訊,使此資訊更易於解譯。

使用 EAP&#150;TLS 疑難排解 802.1X 驗證時一般不要求使用以下 IAS 追蹤資訊,但是該資訊對疑難排解其他工作可能很有用:

  • IASRAD ( %systemroot% \tracing 資料夾中的 Iasrad.log 檔案)。此記錄說明所有與 RADIUS 通訊協定相關的作業。它將說明伺服器正在接聽的連接埠等,在偵錯 IAS 伺服器的問題時也很少使用。

  • IASSDO ( %systemroot% \tracing 資料夾中的 Iassdo.log 檔案)。IASSDO 記錄可追蹤從 UI 到儲存伺服器設定與字典的 MDB 檔案之異動。該記錄用於偵錯所有服務或 UI 相關的問題。

啟用 IAS 伺服器上的追蹤

  • 執行與所需追蹤資訊相對應的 netsh 命令。疑難排解帶 802.1X 的 EAP-TLS 驗證問題時,建議使用 IASSAM 和 RASTLS 記錄。

    對應的 netsh 命令為:

    • netsh ras set tracing iassam enabled

    • netsh ras set tracing rastls enabled

    • netsh ras set tracing iasrad enabled

    • netsh ras set tracing iassdo enabled

停用 IAS 伺服器上的追蹤

  • 執行與要停用的追蹤資訊相對應的 netsh 命令。

    對應的 netsh 命令為:

    • netsh ras set tracing iassam disabled

    • netsh ras set tracing rastls disabled

    • netsh ras set tracing iasrad disabled

    • netsh ras set tracing iassdo disabled

      附註:追蹤會消耗系統資源,因此您應該儘可能少地使用它來協助識別網路問題。擷取追蹤或識別問題之後,您應該立即停用追蹤。

IASSAM 追蹤記錄預設只有 1 MB,因此在負載很大時,記錄檔中的重要資訊可能會被覆寫。執行下列步驟可將 IASSAM 追蹤記錄設定為 15 MB。在記錄大小達到 15 MB 時,系統會將檔案重新命名為 IASSAM.old,然後建立一個新的 IASSAM.log 檔案。此程序可讓您在伺服器上保存 30 MB 的資料。

將 IASSAM 追蹤記錄檔設定為 15 MB

  1. 啟動 Regedit.exe。

  2. 移至下列登錄機碼:\HKLM\Software\Microsoft\Tracing\

  3. MaxFileSize 值、REG_DWORD 類型及 0xF00000 資料值更新 IASSAM 機碼。

啟用 IAS 伺服器上的 Schannel 記錄

安全通道 (SChannel) 是安全性支援提供者 (SSP),它支援一組網際網路安全性通訊協定,如 Secure Sockets Layer (SSL) 及 Transport Level Security (TLS)。

摘要資訊
  • 安全性需求:本機系統管理員安全性群組中的成員資格

  • 頻率:疑難排解 IAS 伺服器上用戶端連線問題時需要

  • 技術需求

    • Regedit

    • 記事本

工作詳細資訊

用戶端憑證驗證失敗的記錄是安全通道事件,依預設不會在 IAS 伺服器上啟用。

啟用 IAS 伺服器上的 Schannel 記錄

您可以啟用額外的安全通道事件,方式是將下列登錄機碼值從 1 (REG_DWORD 類型,資料 0x00000001) 變更至 3 (REG_DWORD 類型,資料 0x00000003):

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders
\SCHANNEL\EventLogging

警告:對登錄的錯誤編輯可能會嚴重損害您的系統。變更登錄之前,您應該備份電腦上所有有價值的資料。

請務必在完成疑難排解時停用 SChannel 記錄,因為它會消耗系統資源並以不必要的項目塞爆事件日誌。

最佳化象限工作

最佳化象限包括在維護或改進服務層級時用於管理成本的 SMF。此象限包括中斷/事件的檢閱、成本結構的測試、人員評估、可用性、效能分析及容量預測。

本節包含與下列 SMF 相關的資訊:

  • 容量管理

沒有工作屬於其餘 SMF:

  • 服務層級管理

  • 財務管理

  • 可用性管理

  • IT 服務連續性管理

  • 工作能力管理

    附註:每項工作的說明都包含下列摘要資訊:安全性需求、頻率及技術需求。

容量管理

容量管理這一程序可以規劃、調整及控制服務解決方案容量,以滿足在 SLA 中提出之效能層級內的使用者需求。此程序需要服務解決方案的使用狀況、模式與尖峰負載特性,以及所述之效能需求方面的資訊。

判斷 IAS 伺服器的最大負載

本節提供有關 IAS 伺服器上可能的最大負載之資訊。

對於調整及設定適當的 IAS RADIUS 伺服器,效能很少成為問題。IAS RADIUS 伺服器在尖峰負載期間壓力最大,例如多個使用者同時登入的清晨、主要網路中斷後不久,或在 RADIUS 伺服器失敗導致無線 AP 錯誤後移轉至備份伺服器時。

摘要資訊
  • 安全性需要:無

  • 頻率:設定工作

  • 技術需求:無

工作詳細資訊

Microsoft 的內部測試表明,IAS 在適當的硬體上可以達到尖峰負載,以滿足大多數客戶的需要。對 IAS 能夠服務的驗證數量的估計值最好以每秒種服務的驗證數表示。在執行 Windows Server 2003 的 Intel Pentium 4 2GHz 伺服器上,IAS 已達到了下列效能數字 (Active Directory 位於獨立的 Intel Pentium 4 2GHz 伺服器上)。

表 12.10:判斷 IAS 伺服器上的負載

驗證類型

每秒驗證數

新 EAP-TLS 驗證

36

支援卸載卡的新 EAP-TLS 驗證

50

能夠快速重新連線的驗證

166


附註:提供的此資訊不保證其精確性,應僅用作容量計畫的指南,不能用於效能比較

您可以設定 IAS 在磁碟上產生包含不同數量 RADIUS 要求資訊的文字檔。由於在 RADIUS 伺服器上進行 RADIUS 記錄會產生負荷,因此您應規劃一個高效能磁碟用於儲存 RADIUS 記錄。磁碟速度緩慢的子系統會延遲 IAS RADIUS 對無線 AP 的回應,從而導致通訊協定逾時以及無線 AP 向次要 RADIUS 伺服器進行不必要的錯誤後移轉。如需更多有關 RADIUS 記錄選項的資訊,請參閱第 5 章<為無線區域網路安全性設計 RADIUS 基礎結構>。

此外,啟用 Windows 2003 Server 軟體追蹤功能 (依前面的<啟用及停用 IAS 伺服器上的追蹤>一節所述) 將增加 IAS 伺服器的負載。但是,疑難排解網路存取問題時,偶爾會需要這樣做。因此 IAS 伺服器應能在啟用追蹤的情況下執行有限的一段時間,同時還能繼續滿足生產負載的需要。

判斷 IAS 伺服器的儲存和備份需求

本節提供 IAS 儲存參數的容量詳細資訊。這些詳細資訊有助於容量計畫員計算線上磁碟與離線備份儲存的未來儲存需求。

摘要資訊
  • 安全性需要:無

  • 頻率:需要時

  • 技術需求:無

工作詳細資訊

IAS RADIUS 記錄檔是 IAS 伺服器上需要進行儲存規劃的單一元件。本解決方案的 RADIUS 要求記錄檔設定為每月建立新記錄,在本解決方案開發期間測試的硬體包括記錄檔專用的 18 GB 磁碟區。

您必須估計環境中的 IAS 伺服器負載,然後在實驗室環境中選取記錄選項並執行測試,以模擬對 IAS 的生產無線用戶端驗證,從而產生記錄資料。估計可以使用與下列類似的邏輯:

每個無線 AP 的使用者平均數為 25 (使用者或電腦)。每個使用者或電腦都執行一次初始驗證,然後每隔 10 到 60 分鐘重新驗證一次 (視安全性需求而定)。每次驗證都會產生 1 KB 的磁碟記錄資訊,包括記錄的驗證要求、記錄的稽核要求及未記錄的暫時要求 (檔案大小因記錄選項而異)。您應該計算在支援 25 個用戶端時,每個無線 AP 每小時產生的磁碟記錄空間容量。然後再估計網路受到壓力或伺服器錯誤後轉移時,您的主要 IAS 伺服器可以支援的最大無線 AP 數量。

IAS RADIUS 要求記錄檔是可以大量壓縮的資料。儘管不建議在正常情況下使用,但需要時仍可在 RADIUS 要求記錄檔資料夾中啟用壓縮。您應該為壓縮資料所需的 IAS 伺服器額外負載做好準備。

IAS RADIUS 記錄檔的備份視窗

假設在理想條件下執行的網路備份使用 100 Mbps (百萬位元/秒) 專用交換器與備份伺服器進行通訊,則 3 GB 的資料庫加上 500 MB 的系統狀態資料可在 15-20 分鐘左右完成備份。

變更象限工作

變更象限包括識別、檢閱及核准變更,並將變更併入管理 IT 環境所需的程序。變更包括硬資產和軟資產,以及特定程序的變更。

變更程序的目的是將新的技術、系統、應用程式、硬體、工具、程序以及角色和責任變更快速引入 IT 環境,同時儘可能減小對服務的干擾。

變更管理

變更管理 SMF 負責管理 IT 環境中的變更。變更管理程序的關鍵目標,是確保受特定變更影響的所有廠商都認識並瞭解變更即將產生的影響。由於大多數系統都是緊密相關的,因此對系統某一個部分所作的任何變更都可能嚴重影響到系統的其他部分。變更管理會嘗試在部署變更之前識別所有受影響的系統和程序,以降低或消除任何不良影響。一般而言,其「目標」或受管理環境是生產環境,但同時還應包含關鍵整合、測試及臨時環境。

對 RADIUS 基礎結構和 WLAN 安全性所作的所有變更都應遵循以下標準 MOF 變更管理程序:

  1. 變更要求。透過提交變更要求 (RFC),正式開始執行變更。

  2. 變更分類。以變更的急迫性及其對基礎結構或使用者的影響為標準,指定變更的優先順序和類別。此指派會影響實作速度和路由。

  3. 變更授權。由變更管理員和變更審核委員會 (CAB,由 IT 和業務代表組成) 對變更進行考量以及核准或拒絕。

  4. 變更開發。變更的規劃和開發 (一個範圍變化相當大的程序,包括對重要暫時里程碑的檢閱)。

  5. 變更發佈。發佈變更並將其部署到生產環境中。

  6. 變更檢閱。檢閱變更是否達到既定目標,並決定要讓變更生效還是將其移除的後續實作程序。

這一節的程序摘要了一些關鍵變更的變更開發程序,您的環境可能定期需要這些程序。每一個變更開發程序都將擁有同系列的變更發佈程序,說明如何在生產中部署變更。

管理作業系統更新

管理對 RADIUS 和 WLAN 軟體元件所作的安全性變更,是一般 Windows 補充程式管理的組成部分。在 Microsoft 提供的有關如何使用 Microsoft Systems Management Server (SMS) 或 Microsoft Software Update Services (SUS) 更新 Windows 作業系統的兩份解決方案指南中,對此主題進行了詳細討論。如需有關如何獲取這些解決方案指南的詳細資訊,請參閱本章結尾的<其他資訊>一節。

補充程式管理包含發佈管理和設定管理元件,以及變更管理元件。但是,所有這三類 SMF 都已涵蓋於上一段落中所參考的文件中。

設定表格

下表包含本章中的程序使用的網站和解決方案專用設定資訊值。這些表格是第 8 章<實作 RADIUS 基礎結構>和第 9 章<實作無線區域網路安全性基礎結構>中的設定表格之子集,在此處僅作參考之用。

每一網站的設定參數

表 12.11:使用者定義的設定項目

設定項目

設定

Microsoft Active Directory 樹系根網域的 DNS 名稱

woodgrovebank.com

網域的網路基本輸入/輸出系統 (NetBIOS) 名稱

WOODGROVEBANK

主要 IAS 伺服器的伺服器名稱

HQ-IAS-01

次要 IAS 伺服器的伺服器名稱

HQ-IAS-02

解決方案設定參數

表 12.12:解決方案特定的設定項目

設定項目

設定

[帳戶] 控制 IAS 設定之管理群組的完整名稱

IAS 系統管理員

[帳戶] 控制 IAS 設定之管理群組在 Windows 2000 之前版本中的名稱

IAS 系統管理員

[帳戶] 基於安全性理由而檢閱 IAS 驗證和帳戶處理要求記錄檔的群組之完整名稱。

IAS 安全性稽核員

[帳戶] 基於安全性理由而檢閱 IAS 驗證和帳戶處理要求記錄檔的群組,在 Windows 2000 之前版本中的名稱。

IAS 安全性稽核員

[帳戶] 包含需要 802.1x 驗證憑證之使用者的 Active Directory 通用群組

自動註冊用戶端驗證 – 使用者憑證

[帳戶] 包含需要 802.1x 驗證憑證之電腦的 Active Directory 通用群組

自動註冊用戶端驗證 – 電腦憑證

[帳戶] 包含需要 802.1X 驗證憑證之 IAS 伺服器的 Microsoft Active Directory 通用群組

自動註冊 RAS 和 IAS 伺服器驗證憑證

[帳戶] 包含需要 802.1X 驗證憑證之 IAS 伺服器的 Microsoft Active Directory 通用群組,在 Windows 2000 之前版本中的名稱

自動註冊 RAS 和 IAS 伺服器驗證憑證

[帳戶] 包含允許存取無線網路之使用者的 Active Directory 通用群組

遠端存取原則 – 無線使用者

[帳戶] 包含允許存取無線網路之電腦的 Active Directory 通用群組

遠端存取原則 – 無線電腦

[帳戶] 包含「無線使用者」群組和「無線電腦」群組的 Active Directory 萬用群組

遠端存取原則 – 無線存取

[帳戶] Active Directory 通用群組,包含需要透過「Active Directory 群組原則」進行無線網路屬性設定的電腦

無線網路原則 – 電腦

[憑證] 用於產生使用者用戶端驗證憑證的憑證模板

用戶端驗證 – 使用者

[憑證] 用於產生電腦用戶端驗證憑證的憑證範本

用戶端驗證 – 電腦

[憑證] 用於產生 IAS 使用之伺服器驗證憑證的憑證範本

RAS 和 IAS 伺服器驗證

[指令碼] 安裝指令碼的路徑

C:\MSSScripts

[指令碼] IAS 設定匯出批次檔

IASExport.bat

IAS 設定匯入批次檔案

IASImport.bat

[指令碼] IAS RADIUS 用戶端設定匯出批次檔

IASClientExport.bat

[指令碼] IAS RADIUS 用戶端設定匯入批次檔

IASClientImport.bat

[設定] 設定備份檔案的路徑

D:\IASConfig

[要求日誌] IAS 驗證及稽核要求日誌的位置

D:\IASLogs

[要求記錄檔] RADIUS 要求記錄檔的共用名稱

IASLogs

[遠端存取原則] 原則名稱

允許無線存取

[群組原則] Microsoft Active Directory 群組原則物件名稱

無線網路原則

[群組原則] 群組原則物件中的無線網路原則

用戶端電腦無線設定


其他資訊

  • 如需更多有關 MOF 程序模型和小組模型的資訊,請參閱《Microsoft 作業架構》(英文) 網頁,網址是:www.microsoft.com/technet/itsolutions/techguide/mof/default.mspx。

  • 如需更多有關容量限制和相關效能計數器的資訊,請參閱 Microsoft 知識庫 Q146005《最佳化 Windows NT 效能》(英文),網址是:http://support.microsoft.com/default.aspx?kbid=146005。

  • 如需更多有關疑難排解無線網路問題的資訊,請參閱下列資料:

  • 如需有關 MOM 部署的資訊,請參閱 《MOM 2000 SP1 作業指南》(英文) ,網址是:www.microsoft.com/resources/documentation/mom/2000sp1/all/opsguide/en-us/1_in781g.mspx。

  • 如需有關使用 Microsoft SMS 2003 管理補充程式的資訊,請參閱《使用 Microsoft Systems Management Server 2003 管理補充程式》(英文),網址是:www.microsoft.com/technet/itsolutions/techguide/msm/swdist/pmsms/2003/pmsms031.mspx。

  • 如需有關使用 Microsoft SMS 2.0 管理補充程式的資訊,請參閱《使用 Microsoft Systems Management Server 2.0 管理補充程式》(英文),網址是:www.microsoft.com/technet/itsolutions/techguide/msm/swdist/pmsms/20/pmsmsin.mspx。

  • 如需有關使用 Microsoft Software Update Services 管理補充程式的資訊,請參閱《使用 Microsoft Software Update 管理補充程式》(英文),網址是:www.microsoft.com/technet/itsolutions/techguide/msm/swdist/pmsus/pmsus251.mspx。

  • 如需更多有關在 Microsoft 平台上管理安全性補充程式的資訊,請參閱《提高平台的可管理性》(英文),網址是:http://go.microsoft.com/fwlink/?LinkId=16284。

  • 如需更多有關獲取和使用群組原則管理主控台 (GPMC) 的資訊,請參閱《使用群組原則管理主控台進行企業管理》(英文),網址是:www.microsoft.com/windowsserver2003/gpmc/default.mspx。


顯示: