如果有很多 AP,您应仔细记录 IAS 服务器分配的 AP。可以使用此记录确保每个 AP 均已分配了主服务器和辅助服务器,并确保 AP 负载在可用的服务器之间均匀分布。
注意:如果 IAS 服务器不可用,所有无线 AP 都将故障转移至辅助 IAS 服务器。但是,如果主服务器再次可用(仅当辅助服务器随后出现故障,主服务器才会恢复),大多数 AP 不会自动恢复使用主服务器。如果两个 IAS 服务器在同一位置,这不是主要问题;它仅使服务器之间的负载分布不均匀。但是,如果辅助 IAS 在远程,则主服务器的临时故障将通过未优化的 WAN 链接将所有 AP 身份验证转向辅助服务器。
如果 AP 不自动恢复至指定主服务器,可能需要手动重置 AP,使其在故障恢复时使用本地 IAS 服务器。暂时的网络情况也可能导致 AP 将故障转移到辅助 RADIUS 服务器。因此您需要不定期检查 IAS 服务器应用程序日志中的身份验证请求事件,从而发现所有使用错误 IAS 的 AP。
IAS 与域控制器的协同定位
在本解决方案中,IAS 安装在现有域控制器上。这样,实施成本较低,而且在单独的成员服务器上使用 IAS 可提高性能。由于 IAS 可与同一计算机上的 Active Directory 通信且无需任何网络中继,因此提高了性能。
您应注意一些在域控制器上安装 IAS 的注意事项。虽然很多组织不会考虑这些,但您不妨考虑如下内容,然后再继续:
除非选择在所有域控制器上安装 IAS,否则您无法对所有域控制器进行单一配置。
您无法强制 IAS 管理和域管理分离。在域控制器上安装 IAS 意味着 IAS 管理员必须是内置域管理员组的成员。
域控制器功能的高负载将对 IAS 性能产生负面影响,反之亦然。您可能需要将它们安排在不同的服务器上,以更好地控制各自的性能及控制对服务的操作。
IAS 软件和硬件要求
对于拥有 100 至 200 个用户的目标组织来说,只要您使用 Windows Server 2003 的推荐硬件配置,服务器的 IAS 负载便不成问题。但在大型组织中,您需要对此进行考虑,尤其在现有域控制器上运行 IAS 时。
以下因素将影响 IAS 的负载:
要求进行 RADIUS 身份验证的用户和设备的数目。
身份验证方法选择(如 EAP 类型)和重新验证的频率。
是否启用了 RADIUS 日志记录。
您可以使用前面“设计标准”一节表 2.2 中的数字,根据给定用户总数估计出每秒身份验证次数。您应考虑用户执行正常身份验证时的稳定状态负载,以及高峰期的“最高负载情况”。从表中推断,200 个用户产生的稳定负载小于每 50 秒一次完整身份验证和每 10 秒一次快速重新验证所产生的负载。这些数字微不足道,真正重要的数字是:一旦系统从断电中恢复,而所有用户都要立即重新连接 WLAN,此时验证所有用户的身份要花多少时间。此时的高峰可能远胜于一天开始时的高峰,大概需要 30 分钟或更长时间。
身份验证方法对 IAS 服务器负载有明显的影响。初次登录时,协议(如 PEAP)将执行 CPU 密集型的公共密钥操作;接下来重新身份验证时,系统将使用高速缓存的会话信息,并支持称为“快速重新连接”的功能。如果使用动态 WEP,客户端每 15-60 分钟重新进行一次身份验证以生成新的加密密钥。但使用 WPA 时,您不必强制频繁地进行重新验证,通常每 8 小时进行一次即可。
下表显示了运行 Windows Server 2003,且 Active Directory 位于单独的服务器上的 Intel Pentium 4 2 GHz 服务器上 IAS 每秒身份验证的大概次数。
注意:下表信息源于 Microsoft Solutions for Security 执行的测试。此信息不提供任何保证,您只能将它用作制定计划的指南,而不能用于性能比较。
表 2.3:每秒身份验证的次数
这些数字是在启用了 RADIUS 日志记录,并且 Active Directory 运行在单独的服务器上的情况下计算出来的;这两个因素均会使 IAS 的性能降低,因此这些数字可以用于进行负面评估。
如这些数字所示,此类服务器将在六秒内完成网络中 200 个 WLAN 用户的验证工作,30 秒内完成 1000 个用户的验证工作。
使用 Windows Server Standard Edition 或 Enterprise Edition
本解决方案在所有 IAS 服务器上使用 Windows Server 2003 Standard Edition;这减少了服务器许可证的费用,并且无论这些服务器使用的是标准版还是企业版,您均可以在现有服务器上进行部署。
Windows Server 2003 Standard Edition 中的 IAS 有一些限制,即:每台服务器仅能支持 50 个 RADIUS 客户端和两个 RADIUS 服务器路由组。
注意:RADIUS 客户端与 WLAN 客户端不同。RADIUS 客户端不但指无线 AP,也指其他网络访问服务器,例如,VPN 服务器和使用 RADIUS 身份验证服务的防火墙。
对于拥有 1 至 200 个用户的目标组织,每个服务器最多配备 50 个 AP 就已足够。对于大型组织来说,此限制将更加明显,尤其是对于大型办公室,或是那些有众多附属办事处,且它们都连接了配备一个或两个集线器的 IAS 服务器的办公区域。
假定每个无线 AP 支持 15 个用户,这表示 Windows Server 2003 Standard Edition 上的单个 IAS 服务器可以支持大约 750 个用户。这种计算考虑了要将服务器用作主 RADIUS 服务器或辅助 RADIUS 服务器的 AP 的总数;因此,两台服务器将支持 50 个 AP 而不是 100 个。如果任何一个 IAS 服务器需要支持不止 50 个 AP,您需要使用 Windwos Server 2003 Enterprise Edition。当然,您也可以将 Windows Server 2003 Enterprise Edition 用于大型办公室以及中央办公室,将 Windows Server 2003 Standard Edition 用于小型办公室,从而混合匹配使用这两个版本。
配置 IAS
IAS 设置可以细分为四个主要类别:
IAS 服务器设置
RADIUS 日志记录配置
远程访问策略
连接请求策略
这些类别在以下各节详细说明。所有这设置对本解决方案中使用的所有 IAS 服务器是通用的;这样,您就可以在一个 IAS 服务器上配置设置,然后将其复制到其他服务器上。第 5 章“构建 WLAN 安全的基础结构”中运用了此技术,可确保 IAS 设置在组织中的所有服务器之间的一致性。
此外,每个 IAS 服务器还将一个或多个无线 AP 配置为 RADIUS 客户端。前面“给 RADIUS 服务器分配 AP”一节介绍了 RADIUS 客户端。每个服务器的 RADIUS 客户端设置通常不同,因此,不能通过在服务器之间进行复制来对这些客户端进行设置,与进行其他设置的方式不同。
IAS 服务器设置
此类别包括:
在 Windows 事件日志中记录身份验证请求。本解决方案启用成功和失败事件的日志记录。
注意:本章后面“RADIUS 日志记录”一节介绍了请求日志记录。
用户数据报协议 (UDP) 端口(IAS 服务器侦听此端口来处理 RADIUS 身份验证请求和记帐请求)。本解决方案将默认 RADIUS 端口 1812 和 1813 分别用于身份验证和记帐。
RADIUS 策略
IAS 策略控制了网络中帐户的身份验证和授权。策略类型有两种:
远程访问策略 (RAP)。
连接请求策略 (CRP)。
RAP 控制网络如何对连接进行授权,以及是否授权。RAP 包含一组过滤器条件,它们用于确定此策略是否适用于给定的连接请求。一些过滤器条件示例有:指定成员中必须有客户端的 Windows 安全组、指定请求客户端的连接类型(如无线或 VPN)、指定一天中客户端尝试进行连接的时间。每个 RAP 均有一个策略选项,可设置为“允许”或“拒绝”某个连接请求。系统将根据策略选项的设置来允许或拒绝与 RAP 条件过滤器匹配的连接请求访问网络。
此外,RAP 还包含一组应用于许可连接的参数,也称为 RAP 配置文件。这些参数包括此连接可接受的身份验证方法、如何向客户端分配 IP 地址以及需要重新验证之前客户端可保持连接的时间。一个 IAS 上可存在多个 RAP;系统将根据这些 RAP 对每个连接请求进行评估(按照优先级的顺序),直至找到匹配的 RAP 允许或拒绝此请求。
本解决方案中的 RAP 配置如下表所示。
表 2.4:远程访问策略配置
条件过滤器可匹配所有无线客户端和 Wireless LAN Access 域组的所有成员。此表不包括与 WLAN 访问无关的参数(如多链接和 Microsoft 点到点加密 (MPPE) 的加密设置)。有关将安全组与 RAP 结合使用的详细信息,请参阅本章后面“WLAN 用户和计算机管理模型”一节。
拨号约束条件 ― 客户端超时设置可能对解决方案的安全性和可靠性产生影响。本章后面“动态 WEP 的安全选项”一节讨论了对表中给定的策略使用不同值的原因。
RADIUS 属性“Ignore-User-Dialin-Properties”用于绕过每个用户对网络访问权限的控制。有关对每个用户和每个组访问控制的解释,请参阅“WLAN 用户和计算机管理模型”一节。
连接请求策略用于控制是在特定 RADIUS 服务器上处理请求,还是将请求发送给另一台 RADIUS 服务器(称为 RADIUS 代理)。RADIUS 代理通常用在不具备可自行处理请求信息的 RADIUS 服务器上,并且必须将请求转发给权威 RADIUS 服务器(例如,另一个 Active Directory 林中的服务器)。本解决方案未使用 RADIUS 代理,它超出了本指南的范围。
有关远程访问和连接请求策略以及使用 RADIUS 代理的详细信息,请参阅本章结
