Umsetzung IAS

Internet Authentication Service (IAS) Überblick

In den meisten Unternehmen, die mehrere Netzwerk-Access-Server haben, wobei die Zentralisierung der Authentifizierung und Abrechnung von Verbindungen an einem zentralen Server hergestellt ist der bessere Ansatz als jedes Netzwerk-Access-Server der Authentifizierung und Buchhaltung.

Die Remote Authentication Dial-in User Service (RADIUS)-Protokoll ist der anerkannte Protokoll für die eine zentralisierte Authentifizierung, Accounting, Authentifizierung und Autorisierung für Remote-Netzwerk zugreifen. RADIUS ist ein Internet Engineering Task Force (IETF) Standard. Im Grunde kann das RADIUS-Protokoll verwendet werden, um den Zugang für DFÜ-Netzwerke, VPNs und für drahtlose Netzwerke zu steuern. Das Internet Authentication Service (IAS), das in Windows Server 2003, ist eine Implementierung des RADIUS-Server und RADIUS-Proxy. IAS führt die Authentifizierung, Autorisierung und Accounting-Funktionen für Remote-Benutzer versucht, eine Verbindung über DFÜ-Zugriff oder über ein VPN einzurichten. IAS verwalten können die kompletten Login-Prozess der RAS-Verbindung versucht.

ISPs können auch die RADIUS-Protokoll. Third-Party-ISPs können IAS nutzen zu wählen, in der Benutzer-Authentifizierung, die Active Directory-Datenbank der Organisation. Hier gespeicherte Benutzernamen und Kennwörter, Anmeldeinformationen in Active Directory verwendet wird, und der ISP nicht die Bereitstellung der Active Directory-Verzeichnisdienst ist nicht wirklich wichtig.

IAS bietet die folgenden Funktionen für DFÜ-Verbindungen, VPN-Verbindungen und WLAN-Verbindungen:

  • Zentrale Authentifizierung: Die Mehrheit der Standard-Authentifizierungs-Methoden wie Challenge Handshake Authentication Protocol (CHAP), MS-CHAP Version 1 und 2, und andere Authentifizierungsprotokolle werden von IAS unterstützt.
  • Zentrale Buchhaltung: IAS ist die Sammlung relevanter Informationen direkt bei der Network Access Server können.
  • Zentrale Prüfung: IAS kann eine Reihe von Veranstaltungen, darunter sämtliche Authentifizierungs-Anträge, die abgelehnt wurden, werden akzeptiert / log und Benutzer-Informationen sowie Nutzung.

IAS auch für folgende Zwecke verwendet werden:

  • Authenticate-Schalter: IAS können verwendet werden, um Weichen zu authentifizieren, so dass kein Unbefugter Schalter sind innerhalb des Netzwerks aktiviert. Hier werden RAS-Richtlinien verwendet zu ermöglichen, werden die IAS RADIUS-Server für Ethernet-Switches, die auf einem zentralen Server authentifizieren kann.
  • Outsource RAS-Verbindungen: IAS können auch verwendet werden, um eine Organisation zu vergeben, damit seine Remote-Access-Lösung zu einem Drittanbieter-ISP. Hier ist die IAS-Server im Netzwerk der Organisation für die Authentifizierung der Anmeldeinformationen des Benutzers, sowie für die Überwachung und Verfolgung von RAS-Benutzer.

Zur Umsetzung RADIUS, RADIUS die folgenden Komponenten sind erforderlich:

  • Ein RADIUS-Server: Der RADIUS-Server ist für eine Reihe von Aufgaben zuständig, wenn ein Remote-Access-Client versucht, eine Verbindung herzustellen:
    • Authentifizierung
    • Authorization
    • Rechnungswesen

    • Alle Funktionen sind auf der RADIUS-Server zentralisiert. Jede Remote-Access-Server führt keine der eben erwähnten Funktionen. Basierend auf den Informationen, die der RADIUS-Server hat sich in seinem Benutzer-Account-Datenbank, und die Angaben mit den tatsächlichen Verbindung zugeordnet, wird der Verbindungsversuch entweder erlaubt oder verweigert. Der RADIUS-Server macht es auch möglich, RAS-Richtlinie Anwendung in Windows 2000 und Windows Server zentralisieren 2003-Netzwerke.

  • Ein RADIUS-Client: Der RADIUS-Client leitet alle Verbindungsversuche mit dem RADIUS-Server zur Authentifizierung und Autorisierung Funktionen gemacht. Dies bedeutet, dass RADIUS-Clients keine Authentifizierung, Autorisierung durchführen, und Accounting-Funktionen. Ein RADIUS-Client können Sie eine der folgenden Arten von Servern:
    • Dial-up-Server
    • VPN-Server
    • Wireless Access Point (WAP)

    • Ein RADIUS-Client hat folgende Aufgaben:

    • Forward sämtliche Authentifizierungs-Anfragen und Anträge an die Rechnungslegung konfigurierten RADIUS-Server.
    • Um die RAS-Richtlinie erhalten vom RADIUS-Server.
  • Ein RADIUS-Proxy: Wenn es mehrere RADIUS-Server innerhalb des gleichen Unternehmens, bestimmt die RADIUS-Proxy dem spezifischen RADIUS-Server, der die Verbindung Anfrage weitergeleitet werden sollten, um.

    • RADIUS-Proxys haben folgende Aufgaben:

    • Lassen Sie die Authentifizierung für viele Unternehmen zu Gast zu sein durch die identische Tunnel-Server IP-Adresse.
    • Erleichterung der Weitergabe von RADIUS-Authentifizierung Request-Paketen, um die ordnungsgemäße RADIUS-Server, basierend auf einer der folgenden Informationen:
      • Prefix zur Verfügung gestellt von der RAS-Client.
      • Suffix zur Verfügung gestellt von der RAS-Client.

IAS bietet eine Reihe von Vorteilen gegenüber dem Einsatz von Standard-RRAS-Authentifizierung. Die Vorteile der Verwendung von IAS sind:

  • Zentrale Benutzer-Authentifizierung und Autorisierung und Abrechnung: Mit IAS, in Verbindung zu Remote-Benutzer auf dem RRAS-Server als RADIUS-Client, der eine Verbindung wiederum zu den IAS-Server zur Authentifizierung von Benutzern. Alle RRAS-Server innerhalb des Unternehmens kann eine Verbindung zu einem IAS-Server Funktionen für die Authentifizierung. Die IAS-Dienst können auch verfolgen Nutzung des Systems und die wichtigsten Ereignisse, die auftreten.
  • Integration mit aktuellen Funktionen von RRAS: IAS kann mit dem Remote-Access-Policy-Einstellungen von RRAS zu integrieren, und Sie können mehrere RRAS-Server RAS-Verbindungen durch die IAS-Server zu authentifizieren. IAS verwaltet die RAS-Richtlinie, wenn Ihr RRAS-Server die Authentifizierung mit IAS.
  • RAS-Richtlinien-Unterstützung: Mit IAS können Sie RAS-Richtlinien definieren, auf den IAS-Server, der dann für jeden RRAS-Server authentifiziert angewendet werden, dass RAS-Verbindung versucht, durch IAS.
  • Skalierbarkeit: Mit IAS können Sie Skala von eins unter IAS-Server mit mehreren IAS-Server. Sie können auch RRAS-Servern und sind sie mit anderen RRAS-Server mit IAS für die Authentifizierung. Sie brauchen nicht zum Konfigurieren der Sicherheit für jeden neuen RRAS-Server einzeln.

Windows Server 2003 IAS Features

IAS ist in den folgenden Editionen von Windows Server 2003 verfügbar:

  • Windows Server 2003 Standard Edition
  • Windows Server 2003 Enterprise Edition
  • Windows Server 2003 Datacenter Edition

Die neuen IAS-Funktionen mit einem Windows Server 2003 vorgesehenen Einführung der IAS sind im Folgenden zusammengefasst:

  • Die RADIUS-Proxy: IAS kann so konfiguriert werden, um die Authentifizierung Anfragen an, einen oder mehrere externe RADIUS-Server, dass eine RFC-konforme RADIUS-Installation ausgeführt werden. Grundsätzlich haben die externen RADIUS-Server nicht sein IAS-Installationen. IAS ist zu unterscheiden zwischen dem Anschluss Anträge, die damit umgehen können sollte, und fordert die Verbindung sollte es uns auf andere externe RADIUS-Server. Authentication Anfragen können an externe RADIUS-Server weitergeleitet, auf der Grundlage einer Reihe von Kriterien, darunter:
    • Benutzername
    • IP-Adresse des externen RADIUS-Server
  • Remote-RADIUS-to-Windows-User-Mapping-Funktion: Diese Funktion ermöglicht es Benutzern, von einem Server authentifiziert werden, und dann von einem anderen Server autorisiert. Remote-RADIUS-to-Windows-User-Mapping-Funktion ermöglicht die Authentifizierung und die Autorisierung Funktion von zwei verschiedenen Servern ausgeführt werden.
  • Die Windows Server 2003 IAS Umsetzung schließt die Fähigkeit der IAS auch auf Switches zu authentifizieren. RAS-Richtlinien werden verwendet, um zu ermöglichen, werden die IAS RADIUS-Server für Ethernet-Switches, die auf einem zentralen Server authentifizieren kann. IAS können dann verwendet werden, um so schaltet authentifizieren, dass keine unbefugten Schalter sind innerhalb des Netzwerks aktiviert.
  • IAS könnten sich ebenfalls authentifizieren Wireless-Benutzer durch die Protected Extensible Authentication Protocol (PEAP) Authentifizierungsprotokoll. Dies ist auf IAS einschließlich der Unterstützung für Wireless Access Points, so dass Benutzer authentifiziert und autorisiert werden.
  • Network Access Control Quarantäne: Die Authentifizierung ist nur das Mittel, um die Identität des Nutzers zu überprüfen. Die Authentifizierung kann nicht überprüfen, ob der Computer des Benutzers keine bösartige Software wie Viren, Würmer enthält, und so weiter. Network Access Control ist die Quarantäne-Funktion, die Verzögerungen bei normalen Remote-Zugriff auf die privaten internen Netzwerk, bis der RAS-Computer, der verwendet werden kann, Sicherheitsrichtlinien werden durch ein Skript überprüft. Mit Network Access Quarantine Control, wird der Benutzer authentifiziert und die RAS-Computer erhält eine IP-Adresse. Bis ein Skript, das den Computer überprüfen können ausgeführt wird, wird der Computer in einer Quarantäne-Modus. Erst nach dem RAS-Computer wird validiert, ist Quarantäne-Modus entfernt, und die Remote-Access-Computer empfängt Standard-Remote-Zugriff.
  • IAS enthält SQL-Datenbank zu unterstützen, die Ergebnisse in effizienter Protokollierung von Benutzer-auditing information.

Understanding IAS Authentifizierungs-Methoden

IAS unterstützen eine Reihe von Authentifizierungs-Methoden, mit dem Standard-Authentifizierungs-Methoden unterstützt werden:

  • Point-to-Point Protocol (PPP) Authentifizierungsmethoden, einschließlich:
    • Password Authentication Protocol (PAP): Ein Netzwerk-und DFÜ-Authentifizierungsmethode, die Klartext-Passwörter und keine Verschlüsselung verwendet. PAP sollte nur verwendet werden, wenn keine der anderen Authentifizierungsmethoden, die vom Remote-Access-Clients unterstützt werden.
    • Shiva Password Authentication Protocol (SPAP): Diese Methode verwendet eine nicht kompliziert Password Authentication Protocol. SPAP sollten verwendet werden, wenn Shiva Remote Access-Server sind für Netzwerk-Access-Server verwendet wird. Sie können nicht SPAP, wenn Sie starke Verschlüsselungsverfahren für RAS-Verbindungen benötigen. Beide SPAP PAP und bieten eine niedrige Sicherheit.
    • Challenge Handshake Authentication Protocol (CHAP): Dies ist ein Challenge-Response-Authentifizierung-Protokoll für PPP-Verbindungen verwendet. CHAP bietet eine mittlere Maß an Sicherheit für RAS-Verbindungen. CHAP zu verwenden, wenn Ihr RAS-Clients Microsoft-Betriebssysteme (OS) und andere Betriebssysteme verwenden. Beachten Sie, dass CHAP fordert Passwörter in verschlüsselter Form reversibel auf den Domänencontrollern gespeichert werden.
    • Microsoft Challenge Handshake Authentication Protocol (MS-CHAP): MS-CHAP ist die Microsoft-Erweiterung von CHAP, dass ein Mehr an Sicherheit bietet. MS-CHAP sollten verwendet werden, wenn die folgenden Aussagen wahr sind:
      • Ihr RAS-Clients mit Microsoft-Betriebssystemen (OS).
      • Sie wollen, um die Passwörter in verschlüsselter Form reversibel auf Domänencontrollern zu speichern.
      • Daten müssen zwischen dem RAS-Client und dem Network Access Server verschlüsselt werden.
    • Microsoft Challenge Handshake Authentication Protocol Version 2 (MS-CHAPv2): Bietet die gegenseitige Authentifizierung und ist für Netzwerk-und DFÜ-Authentifizierung verwendet. MS-CHAPv2 sollte gewählt werden, über MS-CHAPv1. MS-CHAPv2 ist mit allen aktuellen Versionen von Windows enthalten. MS-CHAPv2 bietet ein hohes Maß an Schutz für die RAS-Verbindungen, und sollte verwendet werden, wenn die folgenden Aussagen wahr sind:
      • Die gegenseitige Authentifizierung ist für die RAS-Client und dem Netzwerk-Access-Server erforderlich.
      • Daten müssen zwischen dem RAS-Client und dem Network Access Server verschlüsselt werden.
      • Windows 95-Clients und Windows 98-Clients sind nur für den VPN-Authentifizierung verwendet wird.
      • Windows NT 4.0-Clients und Windows 2000-Clients sind für DFÜ-Authentifizierung und VPN-Authentifizierung genutzt werden.
  • Extensible Authentication Protocol (EAP) Authentifizierungsmethoden, einschließlich:
    • EAP-MD5: Ermöglicht EAP Genehmigung durch einen Namen und Passwort-Kombination.
    • EAP-TLS: Es wird eine gegenseitige Authentifizierung mit Smartcard-Zertifikate. EAP-TLS verwendet werden, wenn die folgenden Aussagen wahr sind:
      • Die gegenseitige Authentifizierung ist für die RAS-Client und dem Netzwerk-Access-Server erforderlich.
      • Daten müssen zwischen dem RAS-Client und dem Network Access Server verschlüsselt werden.
      • Betriebssysteme, die von Drittanbietern Authentifizierungs-Mechanismen, wie Chipkarten, verwendet werden.

Sie können auch zusätzliche Authentifizierungs-Methoden, die nicht durch die Default-Implementierung von IAS unterstützt werden. Nachdem der Benutzer authentifiziert wird, IAS nächsten an den Benutzer zulassen, um sicherzustellen, dass die Ressourcen, um durch den jeweiligen Benutzer zugegriffen werden kann in der Tat versucht, von diesem Benutzer zugegriffen werden.

Understanding IAS Authorization Methods

IAS unterstützt eine Reihe von Bewilligung Methoden, einschließlich der folgenden:

  • RAS-Richtlinien: RAS-Richtlinien können verwendet werden, um Benutzer den Zugriff zu beschränken, basierend auf:
    • User
    • Gruppen-Mitgliedschaft
    • Time of day

    • Die Erteilung oder Verweigerung der Einstellung einer bestimmten Politik bestimmt, ob der Benutzer erlaubt ist oder der Zugriff verweigert. RAS-Richtlinien können Sie festlegen, welche Authentifizierungsprotokoll Kunden und nutzen Sie angeben, welche Verschlüsselungsmethoden nutzen, müssen Kunden müssen. Sie können auch den RAS-Richtlinien zu konfigurieren, weitere Einschränkungen, wenn der Verbindungsversuch zugelassen ist.

    Verbindungen können durch die RAS-Richtlinien beschränkt werden, auf der Grundlage folgender Elemente:

    • Idle-Timeout-Zeit
    • Maximum session time
    • Verschlüsselungsstärke
    • IP-Paketfilter
    • Erweiterte Beschränkungen - IP-Adressen für PPP-Verbindungen.
  • Automatic Number Identification (ANI) und Calling Line Identification (CLI): Das Kriterium verwendet, um den Benutzer zulassen, ist die Nummer, die bestimmten Benutzer anruft. IAS ist der Autorisierung von Verbindungen nach entweder Automatic Identification Number (ANI) oder Calling Line Identification (CLI) können.
  • Gewählte Number Identification Service (DNIS): DNIS ist ein Telefon-Service Unternehmen, daß es möglich, die Zahl identifiziert werden können Leben gerufen. Das Kriterium verwendet, um dem Benutzer erlauben auf die Telefonnummer, die der Benutzer unter Verwendung beruht.
  • Bewertung der Berechtigung: Mit Bewertung der Genehmigung ist der Zugriff für autorisierte Benutzer ohne Benutzername und Passwort erlaubt werden zur Verfügung gestellt. Bewertung der Berechtigung ist standardmäßig deaktiviert, und es ist nicht die empfohlene Wahl für eine Genehmigung Methode.

Entwerfen eines RADIUS (IAS) Strategie

Eine Reihe von Faktoren in Betracht gezogen werden, wenn Sie vorhaben, einen RADIUS-Lösung zu implementieren:

  • Sie haben zu Ihrem bestehenden Netzwerk-Infrastruktur mit Bezug auf die folgenden zu prüfen:
    • Standorte der Remote-Zugriff möglich.
    • Die WAN-Verbindung Type-Technologie verwendet wird.
    • Anzahl der RAS-Benutzer an diesen Orten.
  • Ermitteln Sie, wie der RADIUS-Lösung geht gesichert werden.
  • Bestimmen den Grad der Verfügbarkeit von RADIUS, der für Remote-Zugang der Nutzer erforderlich ist.
  • Bestimmen Sie die Platzierung der RADIUS-Server und RADIUS-Clients.
  • Bestimmen Sie die Methoden der Verbesserung der RADIUS-Leistung.

Die folgenden Verbindungs-Punkte gesichert werden, um die Ressourcen auf dem privaten Netzwerk von Remote-Access-Benutzer, die Zugriff auf das private Netzwerk zu schützen.

  • Die Verbindung zwischen dem RADIUS-Client und RADIUS-Server müssen gesichert sein.
  • Die Verbindung zwischen dem RAS-Client und RADIUS-Client. Ein RADIUS-Client können Sie eine der folgenden Arten von Servern: Dial-up-Server, VPN-Server oder einen Wireless Access Point (WAP).

Die Mechanismen, die verwendet werden, um die RADIUS-Strategie sichern können, sind hier aufgelistet:

  • Sie können RAS-Richtlinien gelten, die zum RADIUS-Server, die jeder Remote Access-Benutzer, der versucht, eine Verbindung herzustellen angewendet werden muss. Wenn die RADIUS-Clients verwenden RAS-Richtlinien auf dem RADIUS-Server angewendet, dann werden alle Maßnahmen auf die tatsächlichen RADIUS-Clients werden übersehen. Die RAS-Richtlinien auf dem RADIUS-Server verwendet.
  • Authentication-Protokolle wie CHAP, EAP-TLS und CHAPv1 MS-und MS-CHAPv2 kann auch verwendet werden, um die Sicherheit zu erhöhen.
  • Verschlüsselungs-Algorithmen werden ebenfalls von RADIUS-Clients für RAS-Clients unterstützt. Dazu gehören MPPE über PPTP und IPSec

Sicherstellung der Verfügbarkeit Ihres RADIUS-Strategie ist eine weitere wichtige Frage, die aufgenommen werden, wenn Sie Ihren Radius Design Plan sollte. Nach mehreren RADIUS-Clients und mehrere IAS-Server als RADIUS-Server konfiguriert, um sicherzustellen, dass Sie RAS-Benutzer einrichten können helfen.

Wenn Sie erwägen, die Umsetzung von zwei oder mehreren RADIUS-Server, die folgenden wichtigen Faktoren ab:

  • Die Kosten für die Umsetzung von zwei IAS-Server konfiguriert als RADIUS-Server sollte durch den Grad der erforderlichen Verfügbarkeit, innerhalb der Organisation zu begründen.
  • Sie sollten prüfen, die Konfiguration des RADIUS-Clients als RADIUS-Proxies für den Lastenausgleich zu ermöglichen. Daran erinnern, dass ein RADIUS-Proxy kann uns RAS-Verbindung zwischen zwei Zugriffe RADIUS-Server.
  • Um sicherzustellen, dass jeder IAS-Server die gleiche Authentifizierung, Autorisierung ausführt und Accounting-Funktionen für RADIUS-Clients; betrachten Kopieren der Konfigurationseinstellungen des IAS-Server ein, um die anderen IAS-Server.

Bei der Ermittlung der Platzierung Ihres RADIUS-Server und RADIUS-Clients, die folgenden Punkte berücksichtigen:

  • Die Platzierung Ihres RADIUS-Server und RADIUS-Clients sollte Ergebnis ist die größte Sicherheit für das private Netzwerk.
  • Die Platzierung Ihres RADIUS-Server und RADIUS-Clients sollte auch den Netzwerkverkehr zu reduzieren über die Netzwerkumgebung.
  • Wenn Sie einen RADIUS-Server und einem RADIUS-Client haben, ist es empfehlenswert, dass Sie die RADIUS-Client in der Nähe des Remote-Access-Anwendern. Diese Platzierung Strategie ergibt sich folgende Vorteile:
    • Sie können eine bessere Verwaltung der Sicherheit zwischen den RADIUS-Client und dem privaten internen Netzwerk.
    • Reduzierte Verkehr über WAN-Verbindungen.
    • Reduzierte DFÜ-Kosten.
  • Der Server, die Authentifizierung und die RADIUS-Server auf dem privaten internen Netzwerk platziert werden.
  • Es wird empfohlen, dass Sie die RADIUS-Server in der Nähe der Domäne-Controller für die Bereitstellung von Dienstleistungen für die Authentifizierung RAS-Clients verwendet statt.

Installieren von IAS

Wie installiert man IAS

  1. Öffnen Sie die Systemsteuerung
  2. Doppelklicken Sie auf Add / Remove Programs, und klicken Sie anschließend auf "Hinzufügen / Entfernen von Windows-Komponenten.
  3. Die Windows-Komponenten wird gestartet.
  4. Klicken Sie auf Netzwerkdienste, und klicken Sie dann auf Details.
  5. Im Dialogfeld Netzwerkdienste, aktivieren Sie das Kontrollkästchen für Internet Authentication Service in der Liste.
  6. Klicken Sie auf OK. Klicken Sie auf Weiter. Klicken Sie auf Fertig stellen.

Verwalten und Überwachen IAS

Sie können die Internet Authentication Service-Management-Konsole, um die Konfiguration des IAS-Anwendung verwalten.

Um den Internet Authentication Service Management-Konsole zuzugreifen,

  1. Klicken Sie auf Start, Verwaltung, und klicken Sie dann auf Internet Authentication Service.

Im linken Bereich des Internet Authentication Service Management-Konsole enthält die folgenden Knoten-oder RADIUS-Komponenten:

  • RADIUS-Clients: Enthält den RRAS-Servern, die für Ihre Umsetzung der IAS konfiguriert sind. Ein RADIUS-Client können Sie eine der folgenden Arten von Servern:
    • Dial-up-Server
    • VPN-Server
    • Wireless Access Point (WAP)

    • Mit diesem Knoten können Sie bei der Verwaltung von RADIUS-Clients. Sie können hinzufügen oder entfernen, RADIUS-Clients wie nötig.

  • RAS-Protokollierung: Ermöglicht Ihnen die Konfiguration Logging-Optionen.
  • RAS-Richtlinien: Enthält alle aktuell konfigurierten RAS-Richtlinien. Sie können neue RAS-Richtlinien in den User-Zugriff auf Benutzer-, Gruppen-Mitgliedschaft und Uhrzeit der Tag einzuschränken. Sie können hinzufügen und entfernen RAS-Richtlinien über die Remote Access Policies Knoten des IAS-Konsole.
  • Connection Request-Verarbeitung: zum Konfigurieren von Einstellungen verwendet, so dass Verbindungsanforderungen kann auch auf andere RADIUS-Server weitergeleitet werden. Mit IAS können Authentifizierungsanforderungen weitergeleitet werden sollen ein oder mehrere externe RADIUS-Server, dass eine RFC-konforme RADIUS-Installation ausgeführt werden.

Die IAS-Software Development Kit (SDK) können für folgende Zwecke verwendet werden:

  • Erstellen von angepassten Authentifizierungs-Methoden. Die EAP-Entwicklungs-Tools sind enthalten, so dass Sie neue Authentifizierungs-Typen erstellen kann.
  • Erstellen Sie individuelle Genehmigung Methoden.
  • Erstellen Sie individuelle Verhaltensweisen für IAS.
  • Steuern, wie viele Netzwerk-Sitzungen können vom Benutzer verwendet werden.

Sie können die Event-Viewer-Tool und dem System-Monitor-Dienstprogramm verwenden, um Ihre IAS-Server-Performance. Ereignisanzeige speichert Ereignisse überwachen, die im System protokolliert werden, Anwendungs-Log, und Sicherheitsprotokollen. Das Systemprotokoll enthält Ereignisse, die mit dem Betriebssystem verknüpft sind. Die Anwendung speichert Log-Ereignisse, die sich auf Anwendungen auf dem Computer ausgeführt. Ereignisse, die mit Prüftätigkeit zugeordnet sind, werden in die Sicherheit protokolliert.

Der System-Monitor Utility ist das wichtigste Instrument für die Überwachung der System-Performance. System-Monitor können verschiedene Prozesse Song auf dem Windows-System in Echtzeit. System-Monitor verwendet Objekte, Zähler und Instanzen zur Überwachung des Systems. Ein Objekt ist eine Reihe von Leistungsindikatoren, die mit einen Teil des Systems oder einer Dienstleistung verbunden sind. Da das Objekt eine Funktion ausführt, sind die damit verbundenen Zähler aktualisiert. Eine Reihe von IAS Objekte werden automatisch auf System-Monitor hinzugefügt, wenn IAS installiert ist. Ein Zähler stellt Daten für eine bestimmte Komponente des Systems oder einer Dienstleistung. Jedes Objekt hat eine Reihe von Indikatoren. Ein Beispiel bezieht sich auf den Vorfall von mehreren Leistungen Objekte der gleichen Art auf einem Computer. Ein Objekt kann eine oder mehrere Instanzen. Sie können festlegen, bestimmte Elemente oder Komponenten, sollte auf dem lokalen Rechner und Remote-Computer verfolgt werden. Sie können bestimmen, Ressourcen-Nutzung durch die Überwachung der Trends. System-Monitor können in einem Diagramm, Histogramm oder Bericht-Format angezeigt werden.

Sie müssen ein Mitglied einer dieser Gruppen zu nutzen System Monitor: Gruppe Administratoren, Server-Operatoren-Gruppe, Performance Log Gruppe "Benutzer" oder Performance Monitor Gruppe "Benutzer".

Die Objekte am häufigsten verwendet, um Netzwerk zu überwachen sind:

  • Browser-Objekt, überwacht die Browser-Dienst für die Domäne oder die Arbeitsgruppe
  • Cache-Objekt, überwacht Festplatten-Cache Nutzung
  • Memory-Objekt, überwacht physischen und virtuellen Speicher Leistung
  • Objekte Objekt, überwacht die Ereignisse, Prozesse und Threads auf dem Computer als Daten gesammelt werden.
  • Paging-File-Objekt, überwacht Auslagerungsdatei Nutzung
  • Physical Disk-Objekt, überwacht die Festplatten
  • Process-Objekt, überwacht die Prozesse auf dem Computer ausgeführt
  • Prozessor-Objekt, überwacht die Prozessoren auf dem System.
  • Server-Objekt, überwacht Elemente wie Bytes, Sitzungen, Pool ausgelagert Nutzung und Pool nicht ausgelagerten Nutzung.
  • Objekt System, überwacht Zähler mit System-Hardware und-Software verbunden
  • Thread-Objekt. Monitore Fäden im System

Wie aktiviert man die IAS-Authentifizierung

  1. Klicken Sie auf Start, Verwaltung, und klicken Sie dann auf Routing und Remote Access zum Öffnen der Routing-und RAS-Management-Konsole.
  2. In der Struktur mit der rechten Maustaste auf den Server-Konsole, die Sie konfigurieren möchten und wählen Sie dann "Eigenschaften" aus dem Kontextmenü aus.
  3. Wechseln Sie auf die Registerkarte Sicherheit.
  4. Von der Authentifizierung Provider Dropdown-Liste, wählen Sie die Option RADIUS-Authentifizierung.
  5. Klicken Sie auf "Konfigurieren".
  6. Klicken Sie auf Hinzufügen eines RADIUS-Servers in die Liste aufzunehmen.
  7. Wenn das Hinzufügen von RADIUS-Server-Dialogfeld öffnet, geben Sie den Namen des RADIUS-Servers und klicken Sie auf OK. Klicken Sie auf OK erneut, um das Dialogfeld Eigenschaften zu schließen.
  8. Klicken Sie auf OK, um anzuerkennen, dass der RRAS-Dienst neu gestartet werden muss.
  9. In der Routing-und RAS-Management-Konsole mit der rechten Maustaste auf den Server und wählen Sie Alle Tasks, und wählen Sie dann "Neustart" aus dem Kontextmenü aus.

Wie aktiviert man die EAP-Authentifizierung auf dem IAS-Server

  1. Klicken Sie auf Start, Verwaltung, und klicken Sie dann auf Internet Authentication Service, um das Internet Authentication Service Management-Konsole.
  2. In der linken Fensterbereich, wählen Sie RAS-Richtlinien.
  3. Im rechten Fensterbereich, klicken Sie auf Verbindungen mit dem Microsoft Routing-und RAS-Server.
  4. Aus dem Menü Aktion auf Eigenschaften.
  5. Klicken Sie auf Profil bearbeiten zu navigieren, um das Edit Dial-In-Dialogfeld Profil.
  6. Wechseln Sie auf die Registerkarte Authentifizierung.
  7. Hier können Sie die Reihenfolge, in der EAP-Typen sind ausgehandelt angeben können, und aktivieren bzw. deaktivieren Nicht-EAP-Authentifizierungs-Methoden.
  8. Klicken Sie auf die EAP-Methoden, um hinzuzufügen, zu entfernen oder vorhandene EAP-Typen.
  9. Klicken Sie auf OK.

Wie konfiguriert man IAS auf einem Domänencontroller

  1. Öffnen Sie die Systemsteuerung.
  2. Doppelklicken Sie auf Add / Remove Programs, und klicken Sie anschließend auf "Hinzufügen / Entfernen von Windows-Komponenten.
  3. Die Windows-Komponenten wird gestartet.
  4. Klicken Sie auf Netzwerkdienste, und klicken Sie dann auf Details.
  5. Im Dialogfeld Netzwerkdienste, aktivieren Sie das Kontrollkästchen für Internet Authentication Service in der Liste.
  6. Klicken Sie auf OK. Klicken Sie auf Weiter. Klicken Sie auf Fertig stellen.
  7. Um die IAS-Server in Active Directory zu registrieren, damit IAS kann das Benutzerkonto Einwahl-Eigenschaften in Ihrem Active Directory-Domäne, navigieren Sie mit dem Internet Authentication Service Management-Konsole.
  8. Klicken Sie auf Start, Verwaltung, und klicken Sie dann auf Internet Authentication Service, um das Internet Authentication Service Management-Konsole.
  9. Im linken Bereich mit der rechten Maustaste auf Internet Authentication Service, und klicken Sie dann auf Register Server in Active Directory "aus dem Kontextmenü.
  10. Klicken Sie auf OK, um die angezeigte Meldung, wonach Überprüfung, ob Sie den Computer neu zu genehmigen.

So erstellen Sie eine neue RAS-Richtlinie

  1. Klicken Sie auf Start, Verwaltung, und klicken Sie dann auf Internet Authentication Service, um das Internet Authentication Service Management-Konsole.
  2. Im linken Bereich mit der rechten Maustaste auf die RAS-Richtlinien-Knoten und wählen Sie Neue RAS-Richtlinie aus dem Kontextmenü.
  3. Die neue Remote-Access-Policy-Assistent leitet
  4. Klicken Sie auf der New Remote Access Policy-Assistenten Willkommens-Bildschirm.
  5. Auf der Policy-Konfiguration Methode, klicken Sie auf die Verwendung des Assistenten, um eine typische Konzept für eine gemeinsame Szenario Option. Klicken Sie auf Weiter.
  6. Auf der Seite Zugriffsmethode, wählen Sie eine der hier aufgeführten Methoden:
    • VPN-Zugang
    • Dialup-Zugang
    • Wireless Access
    • Ethernet
    7. Klicken Sie auf Weiter.
  7. Konfigurieren Sie, wie Remote-Zugriff gewährt werden sollte. Klicken Sie auf Weiter
  8. Auf der Authentifizierungs-Methoden-Seite, wählen Sie die Authentifizierungs-Methoden, die die neue RAS-Richtlinie verwenden. Klicken Sie auf Weiter.
  9. Wählen Sie den Grad der Verschlüsselung, die verwendet werden soll. Klicken Sie auf Weiter.
  10. Klicken Sie auf Fertig stellen.

Wie Konfigurieren von IAS für WLAN-Sicherheit

Wireless Clients können die Authentifizierung von IAS durch:

  • Smart Cards
  • Zertifikate
  • Benutzername und Passwort.

Der Prozess, der auftritt, wenn ein Client mit einem drahtlosen Netzwerk, das die 802.1X-Authentifizierung verwendet wird nachfolgend erklart in Verbindung zu treten versucht:

  1. Der Client versucht, auf die SSID des WLAN Access Point (WAP) in Verbindung zu treten.
  2. Der Auftraggeber hat auf die WAP-Authentifizierung, wenn gemeinsame Netzwerk-Authentifizierung aktiviert ist. Die Netzwerk-Schlüssel wird verwendet, um den Client zu authentifizieren.
  3. Die WAP-Authentifizierung sendet eine Herausforderung an den Client.
  4. Der WAP nächsten schafft einen Kanal, damit der Kunde direkt mit dem RADIUS-Dienst zu kommunizieren.
  5. Wenn der Client zunächst interagiert mit dem RADIUS-Server, so muss zunächst überprüfen, ob die RADIUS-Server in der Tat, die es ist. Um die Identität des RADIUS-Servers zu überprüfen, überprüft der Kunde das Zertifikat des öffentlichen Schlüssels des RADIUS-Servers.
  6. Nachdem der Client die Identität des RADIUS-Servers überprüft hat, hat der Auftraggeber 802.1X-Authentifizierung verwenden, um an den RADIUS-Dienst zu authentifizieren.
  7. Wenn der RADIUS-Client-Service und die Einrichtung zu benutzen sind EAP-TLS-Authentifizierung, Public Key Zertifikate werden verwendet, um den Client an den RADIUS-Dienst zu authentifizieren.
  8. Wenn der RADIUS-Client-Service und die Einrichtung zu benutzen sind Protected EAP (PEAP)-Authentifizierung, dann ein Transport Layer Security (TLS)-Sitzung zwischen dem Client und dem RADIUS-Service eingerichtet. Sobald der Transport Layer Security (TLS) Sitzung eingerichtet wird, startet der Client sendet seine Anmeldeinformationen an den RADIUS-Service.
  9. Wenn der RADIUS-Dienst die Anmeldeinformationen des Clients empfängt, überprüft er die Anmeldeinformationen erhalten sein Verzeichnis.
  10. Zugang wird nur gewährt, wenn der Client geschieht Folgendes:
    • Der RADIUS-Dienst kann die Anmeldeinformationen des Clients durch seine Datenbank-Authentifizierung authentifizieren.
    • Der Zugang Politik kann der Client eine Verbindung herzustellen.
  11. In diesem Stadium ist, sendet der RADIUS-Service die dynamische "Shared Secret" zum WAP-, und informiert den WAP, dass der Zugang für den Kunden gewährt wurde.
    12. 1
  12. Das Shared Secret wird zum Verschlüsseln und Entschlüsseln der Kommunikation zwischen dem Client und WAP übermittelt wurden.

Die wichtigsten Konfigurationseinstellungen, die Sie haben, um Sie bei der Konfiguration Ihres drahtlosen Access Points angeben (WAPs), so dass Wireless-Clients auf das Netzwerk zugreifen können, sind unten aufgeführt:

  • Konfigurieren einer RAS-Richtlinie, die den drahtlosen Verbindungen zulässt.
  • Legen Sie die Verschlüsselungsmethode wie WEP-Verschlüsselung oder WPA-Verschlüsselung.
  • Geben Sie den Grad der Verschlüsselung.
  • Set 802.1X-Authentifizierung.
  • Legen Sie die Authentifizierungsmethode.
  • Konfigurieren Sie den IAS RADIUS-Server die IP-Adresse.
  • Konfigurieren Sie die WAPs auf den IAS-Server als RADIUS-Clients
  • Setzen Sie den gemeinsamen Schlüssel, der an den gemeinsamen geheimen Schlüssel, die definiert wurde, als IAS konfiguriert wurde, übereinstimmt.

Die RAS-Richtlinie, die Sie konfigurieren für Wireless-Benutzer müssen die Angaben hier aufgelistet:

  • Access-Methode festlegen, wie Wireless-LAN.
  • Benutzer oder Gruppen gesetzt, wenn der Benutzer / Gruppe für Ihre Wireless-Benutzer.
  • Authentifizierungsmethode festgelegt, wie Smart-Card / Zertifikat.
  • Policy-Verschlüsselung Ebene sollte die stärkste Verschlüsselung festgelegt werden.
  • Berechtigungssatz auf RAS-Berechtigung erteilen.

Wie Konfigurieren von IAS für den Wireless Access Point

  1. Klicken Sie auf Start, Verwaltung, und klicken Sie dann auf Internet Authentication Service, um das Internet Authentication Service-Konsole.
  2. In der Konsole mit der rechten Maustaste auf RADIUS-Clients und wählen Sie Neuer RADIUS-Client aus dem Kontextmenü.
  3. Die neue RADIUS-Client-Assistent wird gestartet.
  4. Add Client-Informationen für den Wireless Access Point und fügen Sie die WLAN-Clients wie RADIUS-Clients. Klicken Sie auf Weiter.
  5. An der New RADIUS-Client-Bildschirm, wählen Sie den RADIUS-Standard-Option aus dem Client-Hersteller Dropdown-Listenfeld.
  6. Geben Sie den gemeinsamen geheimen Passwort.
  7. Klicken Sie auf Fertig stellen.

Wie man eine RAS-Richtlinie für IAS-Clients konfigurieren

  1. Klicken Sie auf Start, Verwaltung, und klicken Sie dann auf Internet Authentication Service, um das Internet Authentication Service-Konsole.
  2. In der Konsolenstruktur, erweitern Sie Internet Authentication Service.
  3. Wählen Sie RAS-Richtlinien.
  4. Im rechten Fensterbereich, wählen Sie und doppelklicken Sie auf die Politik, die Sie brauchen, um zu konfigurieren.
  5. Klicken Sie auf die Schaltfläche Profil bearbeiten.
  6. Klicken Sie auf EAP-Methoden auf die Registerkarte Authentifizierung.
  7. Klicken Sie auf Wählen Sie EAP-Anbieter hinzufügen, wählen Sie Protected EAP (PEAP), und klicken Sie dann auf OK.
  8. Nun klicken Sie auf Protected EAP (PEAP) in Wählen Sie EAP-Anbieter, und klicken Sie dann auf die Schaltfläche "Bearbeiten".
  9. Der Protected EAP Properties Dialogfeld öffnet.
  10. Mit dem Zertifikat ausgestellt Dropdown-Listenfeld, wählen Sie das Zertifikat, das die Server für Clients nutzen wird, um es zu identifizieren.
    11. 1
  11. Aktivieren Sie das Kontrollkästchen Fast Reconnect Kontrollkästchen.
    12. 1
  12. In den EAP-Typ Wählen Sie im Feld Secure Passwort (EAP-MSCHAPv2)
    13. 1
  13. Klicken Sie auf OK.

Wie ein RRAS-Server für RADIUS-Kontoführung konfigurieren

  1. Klicken Sie auf Start, Verwaltung, und klicken Sie dann auf Routing und Remote Access zum Öffnen der Routing-und RAS-Management-Konsole.
  2. In der Struktur mit der rechten Maustaste auf den Server-Konsole, die Sie konfigurieren möchten und wählen Sie dann "Eigenschaften" aus dem Kontextmenü aus.
  3. Wechseln Sie auf die Registerkarte Sicherheit.
  4. Von der Buchhaltung Provider Dropdown-Liste, wählen Sie die Option RADIUS Accounting.
  5. Klicken Sie auf die Schaltfläche Konfigurieren.
  6. Geben Sie die IP-Adresse des IAS-Server, oder alternativ bieten die Host-Namen des IAS-Server.
  7. Stellen Sie sicher, dass RRAS und IAS ein gemeinsames "Shared Secret" haben.
  8. Klicken Sie auf OK.

Wie konfiguriert man IAS-Protokollierung

Sie können konfigurieren, IAS anmelden:

  • Authentifizierungsanforderungen
  • Accounting Zugriffe

So konfigurieren Sie die IAS zu verfolgen Benutzer Verbindungsversuche

  1. Klicken Sie auf Start, Verwaltung, und klicken Sie dann auf Internet Authentication Service, um das Internet Authentication Service Management-Konsole.
  2. Im linken Bereich der Konsole, klicken Sie auf die RAS-Protokollierung Knoten.
  3. Im rechten Bereich der Management-Konsole mit der rechten Maustaste auf Lokale Datei und wählen Sie dann "Eigenschaften" aus dem Kontextmenü aus.
  4. Die lokale Datei im Dialogfeld Eigenschaften wird geöffnet.
  5. IAS-Protokollierung zu aktivieren, wählen Sie eine der folgenden Optionen:
    • Authentifizierungsanforderungen
    • Konto Anfragen
    • Regelmäßige Status
  6. Klicken Sie auf OK.
blog comments powered by Disqus

Discuss Umsetzung IAS in the forums.

 
(0 - user rating)