Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
RADIUS-clients (Remote Authentication Dial-In User Service), die netwerktoegangsservers zijn zoals VPN-servers (Virtual Private Network) en draadloze toegangspunten, verbindingsaanvragen maken en verzenden naar RADIUS-servers zoals NPS. In sommige gevallen kan een NPS te veel verbindingsaanvragen tegelijk ontvangen, wat leidt tot verminderde prestaties of een overbelasting. Wanneer een NPS overbelast is, is het een goed idee om meer NPS's toe te voegen aan uw netwerk en taakverdeling te configureren. Wanneer u binnenkomende verbindingsaanvragen gelijkmatig over meerdere NPS's distribueert om te voorkomen dat een of meer NPS's overbelast raken, wordt dit taakverdeling genoemd.
Taakverdeling is met name handig voor:
- Organisaties die Extensible Authentication Protocol-Transport Layer Security (EAP-TLS), of PEAP (Protected Extensible Authentication Protocol) gebruiken voor authenticatie. Omdat deze verificatiemethoden gebruikmaken van certificaten voor serververificatie en voor gebruikers- of clientcomputerverificatie, is de belasting van RADIUS-proxy's en servers zwaarder dan wanneer verificatiemethoden op basis van een wachtwoord worden gebruikt.
- Organisaties die continue beschikbaarheid van services moeten ondersteunen.
- Internetproviders (ISP's) die VPN-toegang uitbesteden voor andere organisaties. De uitbesteed VPN-services kunnen een groot aantal verificatieverkeer genereren.
Er zijn twee methoden die u kunt gebruiken om de belasting van verbindingsaanvragen die naar uw NPS's worden verzonden, te verdelen:
- Configureer uw netwerktoegangsservers voor het verzenden van verbindingsaanvragen naar meerdere RADIUS-servers. Als u bijvoorbeeld 20 draadloze toegangspunten en twee RADIUS-servers hebt, configureert u elk toegangspunt om verbindingsaanvragen naar beide RADIUS-servers te verzenden. U kunt taken verdelen en failover bieden op elke netwerktoegangsserver door de toegangsserver te configureren voor het verzenden van verbindingsaanvragen naar meerdere RADIUS-servers in een opgegeven volgorde van prioriteit. Deze taakverdelingsmethode is meestal het beste voor kleine organisaties die geen groot aantal RADIUS-clients implementeren.
- Gebruik NPS die is geconfigureerd als een RADIUS-proxy om verbindingsaanvragen tussen meerdere NPS's of andere RADIUS-servers te verdelen. Als u bijvoorbeeld 100 draadloze toegangspunten, één NPS-proxy en drie RADIUS-servers hebt, kunt u de toegangspunten configureren om al het verkeer naar de NPS-proxy te verzenden. Configureer op de NPS-proxy taakverdeling zodat de proxy de verbindingsaanvragen gelijkmatig distribueert tussen de drie RADIUS-servers. Deze taakverdelingsmethode is het meest geschikt voor middelgrote en grote organisaties met veel RADIUS-clients en -servers.
In veel gevallen is de beste methode voor taakverdeling om RADIUS-clients te configureren voor het verzenden van verbindingsaanvragen naar twee NPS-proxyservers en vervolgens de NPS-proxy's zo configureren dat de taakverdeling tussen RADIUS-servers wordt verdeeld. Deze benadering biedt zowel failover- als taakverdeling voor NPS-proxy's en RADIUS-servers.
Prioriteit en gewicht van RADIUS-server
Tijdens het configuratieproces van de NPS-proxy kunt u externe RADIUS-servergroepen maken en vervolgens RADIUS-servers toevoegen aan elke groep. Als u taakverdeling wilt configureren, moet u meer dan één RADIUS-server per externe RADIUS-servergroep hebben. Wanneer u groepsleden toevoegt of nadat u een RADIUS-server als groepslid hebt gemaakt, hebt u toegang tot het dialoogvenster RADIUS-server toevoegen om de volgende items op het tabblad Taakverdeling te configureren:
Priority. Prioriteit geeft de volgorde van belang van de RADIUS-server aan de NPS-proxyserver. Prioriteitsniveau moet worden toegewezen aan een waarde die een geheel getal is, zoals 1, 2 of 3. Hoe lager het getal, hoe hoger de prioriteit die de NPS-proxy aan de RADIUS-server geeft. Als de RADIUS-server bijvoorbeeld de hoogste prioriteit van 1 krijgt, verzendt de NPS-proxy eerst verbindingsaanvragen naar de RADIUS-server; als servers met prioriteit 1 niet beschikbaar zijn, verzendt NPS verbindingsaanvragen naar RADIUS-servers met prioriteit 2, enzovoort. U kunt dezelfde prioriteit toewijzen aan meerdere RADIUS-servers en vervolgens de instelling Gewicht gebruiken om de taakverdeling tussen deze servers te verdelen.
Weight. NPS gebruikt deze instelling Gewicht om te bepalen hoeveel verbindingsaanvragen naar elk groepslid moeten worden verzonden wanneer de groepsleden hetzelfde prioriteitsniveau hebben. Aan gewichtsinstelling moet een waarde tussen 1 en 100 worden toegewezen en de waarde vertegenwoordigt een percentage van 100 procent. Als de externe RADIUS-servergroep bijvoorbeeld twee leden bevat met een prioriteitsniveau van 1 en een gewichtsclassificatie van 50, stuurt de NPS-proxy 50 procent van de verbindingsaanvragen door naar elke RADIUS-server.
Geavanceerde instellingen. Deze failover-instellingen bieden een manier voor NPS om te bepalen of de externe RADIUS-server niet beschikbaar is. Als NPS bepaalt dat een RADIUS-server niet beschikbaar is, kan deze beginnen met het verzenden van verbindingsaanvragen naar andere groepsleden. Met deze instellingen kunt u het aantal seconden configureren dat de NPS-proxy wacht op een reactie van de RADIUS-server voordat de aanvraag is verwijderd; het maximum aantal verwijderde aanvragen voordat de NPS-proxy de RADIUS-server identificeert als niet beschikbaar; en het aantal seconden dat kan worden verstreken tussen aanvragen voordat de NPS-proxy de RADIUS-server identificeert als niet beschikbaar.
Taakverdeling voor NPS-proxy configureren
Voordat u taakverdeling configureert, maakt u een implementatieplan met het aantal externe RADIUS-servergroepen dat u nodig hebt, welke servers lid zijn van elke bepaalde groep en de instelling Prioriteit en Gewicht voor elke server.
Note
Bij de volgende stappen wordt ervan uitgegaan dat u RADIUS-servers al hebt geïmplementeerd en geconfigureerd.
Als u NPS wilt configureren om te fungeren als een proxyserver en verbindingsaanvragen van RADIUS-clients doorstuurt naar externe RADIUS-servers, moet u de volgende acties uitvoeren:
Implementeer uw RADIUS-clients (VPN-servers, inbelservers, Terminal Services Gateway-servers, 802.1X-verificatieswitches en 802.1X draadloze toegangspunten) en configureer deze om verbindingsaanvragen naar uw NPS-proxyservers te verzenden.
Configureer op de NPS-proxy de netwerktoegangsservers als RADIUS-clients. Zie RADIUS-clients configureren voor meer informatie.
Maak op de NPS-proxy een of meer externe RADIUS-servergroepen. Voeg TIJDENS dit proces RADIUS-servers toe aan de externe RADIUS-servergroepen. Zie Externe RADIUS-servergroepen configureren voor meer informatie.
Klik in de NPS-proxy voor elke RADIUS-server die u toevoegt aan een externe RADIUS-servergroep op het tabblad Taakverdeling van RADIUS-server en configureer vervolgens de instellingen Prioriteit, Gewicht en Geavanceerd.
Configureer op de NPS-proxy beleid voor verbindingsaanvragen om verificatie- en accountingaanvragen door te sturen naar externe RADIUS-servergroepen. U moet één verbindingsaanvraagbeleid per externe RADIUS-servergroep maken. Zie Beleid voor verbindingsaanvragen configureren voor meer informatie.