共用方式為

NPS 代理伺服器負載平衡

遠端驗證撥入使用者服務 (RADIUS) 使用者端是網路存取伺服器,例如虛擬私人網路 (VPN) 伺服器和無線存取點,它們會建立連線請求並將其傳送至 RADIUS 伺服器(例如 NPS)。 在某些情況下,NPS 可能會同時收到太多連線請求,導致效能下降或過載。 當 NPS 過載時,最好向網路增加更多 NPS 並設置負載平衡。 當您在多個 NPS 之間均勻分配傳入連線要求以防止一個或多個 NPS 過載時,這稱為負載平衡。

負載平衡對於以下情況特別有用:

  • 使用可擴展身份驗證協定 - 傳送層安全性 (EAP-TLS) 或受保護的可擴展身份驗證協定 (PEAP)-TLS 進行身份驗證的機構。 由於這些驗證方法使用憑證進行伺服器驗證以及使用者或使用者端電腦驗證,因此 RADIUS 代理程式和伺服器上的負載比使用基於密碼的驗證方法時要重。
  • 需要維持持續服務可用性的機構。
  • 為其他機構外包 VPN 存取的網際網路服務供應商 (ISP)。 外包VPN服務會產生大量的認證流量。

您可以使用兩種方法來平衡傳送到 NPS 的連線請求的負載:

  • 設置網路存取伺服器以將連線請求傳送到多個 RADIUS 伺服器。 例如,如果您有 20 個無線存取點和兩台 RADIUS 伺服器,請將每個存取點設置為向兩個 RADIUS 伺服器傳送連線請求。 您可以透過將存取伺服器配置為依指定的優先順序向多個 RADIUS 伺服器傳送連線請求,來在每個網路存取伺服器上實現負載平衡並提供故障轉移。 這種負載平衡方法通常最適合不部署大量 RADIUS 使用者端的小型機構。
  • 使用設置為 RADIUS 代理程式的 NPS 在多個 NPS 或其他 RADIUS 伺服器之間平衡連接請求的負載。 例如,如果您有 100 個無線存取點、1 個 NPS 代理程式和 3 個 RADIUS 伺服器,則可以將存取點設置為將所有流量傳送至 NPS 代理程式。 在 NPS 代理程式上設置負載平衡,以便代理程式在三個 RADIUS 伺服器之間均勻分配連線請求。 這種負載平衡方法最適合擁有許多 RADIUS 使用者端和伺服器的中型和大型機構。

在許多情況下,負載平衡的最佳方法是將 RADIUS 使用者端設置為向兩個 NPS 代理伺服器傳送連線請求,然後設置 NPS 代理程式以在 RADIUS 伺服器之間進行負載平衡。 此方法為 NPS 代理程式和 RADIUS 伺服器提供故障轉移和負載平衡。

RADIUS伺服器優先權和權重

在 NPS 代理程式設置過程中,您可以建立遠端 RADIUS 伺服器群組,然後將 RADIUS 伺服器新增至每個群組。 若要設置負載平衡,每個遠端 RADIUS 伺服器群組必須有多個 RADIUS 伺服器。 新增群組成員時,或建立 RADIUS 伺服器作為群組成員後,您可以存取「新增 RADIUS 伺服器」對話框,在「負載平衡」標籤上設置下列項目:

  • Priority. 優先權指定 RADIUS 伺服器對 NPS 代理伺服器的重要性順序。 優先權必須指定一個整數值,例如 1、2 或 3。 數字越小,NPS 代理給予 RADIUS 伺服器的優先權越高。 例如,如果為 RADIUS 伺服器指派最高優先權 1,則 NPS 代理會先向 RADIUS 伺服器傳送連線請求; 如果優先權為 1 的伺服器無法使用,NPS 則會向優先權為 2 的 RADIUS 伺服器傳送連線要求,依此類推。 您可以為多個 RADIUS 伺服器指派相同的優先權,然後使用權重設置在它們之間進行負載平衡。

  • Weight. NPS 使用此權重設置來確定當群組成員具有相同優先權時向每個群組成員發送多少個連線請求。 權重設置必須指定一個 1 到 100 之間的值,該值代表 100% 的百分比。 例如,如果遠端 RADIUS 伺服器群組包含兩個優先權均為 1、權重評級為 50 的成員,則 NPS 代理會將 50% 的連線請求轉送至每個 RADIUS 伺服器。

  • 進階設定。 這些故障轉移設置為 NPS 提供了一種確定遠端 RADIUS 伺服器是否不可用的方法。 如果 NPS 確定 RADIUS 伺服器不可用,它可以開始向其他群組成員發送連線請求。 透過這些設定,您可以設定 NPS 代理在等待 RADIUS 伺服器回應時,認為請求被丟棄前的秒數,NPS 代理將 RADIUS 伺服器視作不可用前允許丟棄請求的最大數量,以及 NPS 代理將 RADIUS 伺服器視作不可用前請求之間可以經過的秒數。

設置 NPS 代理負載平衡

在設置負載平衡之前,請建立部署計劃,其中包括需要多少個遠端 RADIUS 伺服器群組、哪些伺服器是每個特定群組的成員以及每個伺服器的優先權和權重設置。

Note

以下步驟假定您已部署並設置 RADIUS 伺服器。

若要將 NPS 設置為充當代理伺服器並將連線請求從 RADIUS 使用者端轉送至遠端 RADIUS 伺服器,必須執行下列操作:

  1. 部署 RADIUS 使用者端(VPN 伺服器、撥接伺服器、終端服務閘道伺服器、802.1X 驗證交換器和 802.1X 無線存取點)並將它們設置為向 NPS 代理伺服器傳送連線要求。

  2. 在 NPS 代理程式上,將網路存取伺服器設置為 RADIUS 使用者端。 更多詳細資訊,請參閱設置 RADIUS 使用者端

  3. 在 NPS 代理程式上,建立一個或多個遠端 RADIUS 伺服器群組。 在此過程中,將RADIUS伺服器新增至遠端RADIUS伺服器群組。 有關詳細資訊,請參閱設置遠端 RADIUS 伺服器群組

  4. 在 NPS 代理程式上,對於新增至遠端 RADIUS 伺服器群組的每個 RADIUS 伺服器,點選 負載平衡鍵,然後設置優先權、, 權重進階設置

  5. 在 NPS 代理程式上,設置連線請求原則以將驗證和計費請求轉送至遠端 RADIUS 伺服器群組。 您必須為每個遠端 RADIUS 伺服器群組建立一個連線請求原則。 更多詳細資訊,請參閱設置連接請求策略

  • Last updated on