设置RADIUS远程访问策略
一旦将远程访问服务器配置为使用RADIUS身份验证,将不再使用存储在远程访问服务器上的远程访问策略,而是使用存储在IAS服务器上的远程访问策略。如果IAS服务器和远程访问服务器在同一计算机上运行,则它们将共用远程访问策略。如果其中有一个远程访问服务器包含一组适用于所有远程访问服务器的远程访问策略,则可以将远程访问策略复制到IAS服务器上。也可直接在IAS服务器创建远程访问策略。
1.复制远程访问策略
将一台服务器的IAS配置复制到另一个服务器,可执行以下操作步骤。
(1)在命令提示行输入命令netsh aaaa show configfile.txt。将配置设置保存在一个文本文件中,其中包括注册表设置。路径可以是相对的、绝对的或者是UNC路径。
(2)将所创建的文本文件复制到目标计算机,并且在目标计算机上的命令提示行输入命令 netsh execfile.txt,系统将显示一条消息,指出更新是否成功。
采用这种方法将复制所有的IAS、远程访问策略、注册表和日志配置。运行netsh exec命令时不必停止目标计算机上的IAS服务。当命令运行时,IAS将使用更新的配置设置自动刷新。但是,如果原计算机和目标计算机运行不同版本的Windows2000,那么将不能正常工作。
2.在IAS服务器上创建远程访问策略。
因为远程访问策略本地存储在远程访问服务器或IAS服务器上,所以对于多个远程访问服务器(或VPN服务器)的单组远程访问策略的集中式管理,必须在IAS服务器上,创建所有Windows2000远程访问服务器将使用的中心组策略。
打开[Internet验证服务]控制台,展开目录树,用鼠标右键单击[远程访问策略],从快捷菜单中选择[新建远程访问策略]命令,打开[添加远程访问策略]对话框,定义相应的策略。具体请参阅4.7节关于添加远程访问策略的内容。
Windows NT 4.0远程访问服务器要使用RADlUS服务器,必须安装RRAS插件。对于运行Windows NT 4.0和RRAS插件的服务器,要使用Windows2000的远程访问策略对远程传入访问连接进行身份验证,则必须将RRAS服务器配置为IAS片反务器的RADIUS客户机,而不能将运行Windows NT 4.0本身的远程访问服务器配置为RADlUS客户机。
IAS应用范例
在实际应用中,RADIUS最通用的方案主要有以下类型。
?Intranet访问:通过拨号客户机访问企业网络,属于Intranet。
?商业伙伴的外部网访问:商业伙伴通过拨号客户机访问企业网络的特定区域,属于Extranet。
?Internet访问:客户机要求通过ISP访问Internet。
?借助服务提供商的外包式公司网络访问。
这里介绍一个虚构的公司如何配置RAIUS集中身份验证和计账。某公司用于远程访问服务的网络规模较大。既提供直接拨号访问内部网络的拨号接入服务,又提供通过Internet接入内部网络的VPN拨入服务,决定通过Windows2000,Internet验证服务器,对远程访问服务器和VPN服务器进行集中统一的身份验证、授权和计账。这样,就不用对每台远程访问服务器和VPN服务器的远程访问策略分别进行管理维护。基本网络配置如图4.81所示。主要完成以下操作。
?选择一台Windows2000服务器。安装Internet验证服务器,作为RADIUS服务器。
?在IAS服务器上注册RADIUS客户机:几个远程访问服务器和VPN服务器都应作为RADIUS客户机在服务器上注册。
?在IAS服务器上配置远程访问策略。最关键的方法是将远程访问服务器和VPN服务器的现有远程访问策路复制到IAS服务器上,再进行修改。
?将远程访问服务器和VPN服务器均配置为使用RADIUS身份验证,RADlUS服务器为IAS服务器。
要提供容错能为,可配置两个IAS服务器(一个主服务器和一个备份服务器)。并将远程访问策略从主服务器复制到备份服务器。然后用主IAS服务器和备份IAS服务器对应的两个RADIUS服务器,来配置每个远程访问服务器。如果主IAS服务器不可用。那么远程访问服务器自动开始使用备份IAS服务器。