NPS-Proxyserver-Lastenausgleich

  • Artikel

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

RADIUS-Clients (Remote Authentication Dial-In User Service), bei denen es sich um Netzwerkzugriffsserver wie VPN-Server (Virtual Private Network) und drahtlose Zugriffspunkte handelt, erstellen Verbindungsanforderungen und senden sie an RADIUS-Server wie NPS. In einigen Fällen erhält ein NPS möglicherweise zu viele Verbindungsanforderungen gleichzeitig, was zu Leistungseinbußen oder einer Überlastung führt. Wenn ein NPS überlastet ist, empfiehlt es sich, dem Netzwerk weitere NPS hinzuzufügen und den Lastenausgleich zu konfigurieren. Wenn Sie eingehende Verbindungsanforderungen gleichmäßig auf mehrere NPS verteilen, um die Überlastung eines oder mehrerer NPS zu verhindern, wird dies als Lastenausgleich bezeichnet.

Der Lastenausgleich ist besonders nützlich für:

  • Organisationen, die EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) oder PEAP-TLS (Protected Extensible Authentication Protocol) für die Authentifizierung verwenden. Da diese Authentifizierungsmethoden Zertifikate für die Serverauthentifizierung und für die Benutzer- oder Clientcomputer-Authentifizierung verwenden, ist die Last auf RADIUS-Proxys und -Servern höher als bei Verwendung kennwortbasierter Authentifizierungsmethoden.
  • Organisationen, die eine kontinuierliche Dienstverfügbarkeit gewährleisten müssen.
  • Internetdienstanbieter (ISPs), die den VPN-Zugriff für andere Organisationen auslagern. Die ausgelagerten VPN-Dienste können ein großes Volumen an Authentifizierungsdatenverkehr generieren.

Es gibt zwei Methoden, mit denen Sie die Last von Verbindungsanforderungen ausgleichen können, die an Ihre NPS gesendet werden:

  • Konfigurieren Sie Ihre Netzwerkzugriffsserver so, dass Verbindungsanforderungen an mehrere RADIUS-Server gesendet werden. Wenn Sie beispielsweise 20 drahtlose Zugriffspunkte und zwei RADIUS-Server haben, konfigurieren Sie jeden Zugriffspunkt so, dass Verbindungsanforderungen an beide RADIUS-Server gesendet werden. Sie können Lastenausgleich und Failover auf jedem Netzwerkzugriffsserver bereitstellen, indem Sie den Zugriffsserver so konfigurieren, dass Verbindungsanforderungen an mehrere RADIUS-Server in einer bestimmten Prioritätsreihenfolge gesendet werden. Diese Methode des Lastenausgleichs eignet sich in der Regel am besten für kleine Organisationen, die keine große Anzahl von RADIUS-Clients bereitstellen.
  • Verwenden Sie den als RADIUS-Proxy konfigurierten NPS, um Verbindungsanforderungen zwischen mehreren NPS oder anderen RADIUS-Servern auszugleichen. Wenn Sie beispielsweise über 100 drahtlose Zugriffspunkte, einen NPS-Proxy und drei RADIUS-Server verfügen, können Sie die Zugriffspunkte so konfigurieren, dass der gesamte Datenverkehr an den NPS-Proxy gesendet wird. Konfigurieren Sie auf dem NPS-Proxy den Lastenausgleich, damit der Proxy die Verbindungsanforderungen gleichmäßig zwischen den drei RADIUS-Servern verteilt. Diese Methode des Lastenausgleichs eignet sich am besten für mittlere und große Organisationen, die über viele RADIUS-Clients und -Server verfügen.

In vielen Fällen besteht der beste Ansatz für den Lastenausgleich darin, RADIUS-Clients zum Senden von Verbindungsanforderungen an zwei NPS-Proxyserver zu konfigurieren und dann die NPS-Proxys für einen Lastenausgleich zwischen RADIUS-Servern zu konfigurieren. Dieser Ansatz bietet sowohl Failover als auch Lastenausgleich für NPS-Proxys und RADIUS-Server.

Priorität und Gewichtung des RADIUS-Servers

Während des NPS-Proxy-Konfigurationsprozesses können Sie RADIUS-Remote-Servergruppen erstellen und dann jeder Gruppe RADIUS-Server hinzufügen. Zum Konfigurieren des Lastenausgleichs müssen Sie über mehrere RADIUS-Server pro RADIUS-Remote-Servergruppe verfügen. Beim Hinzufügen von Gruppenmitgliedern oder nach dem Erstellen eines RADIUS-Servers als Gruppenmitglied können Sie auf das Dialogfeld „RADIUS-Server hinzufügen“ zugreifen, um die folgenden Elemente auf der Registerkarte „Lastenausgleich“ zu konfigurieren:

  • Priorität. Die Priorität gibt die Reihenfolge der Wichtigkeit des RADIUS-Servers für den NPS-Proxyserver an. Die Prioritätsebene muss einem Wert zugewiesen werden, der eine ganze Zahl ist, z. B. 1, 2 oder 3. Je niedriger die Zahl, desto höher ist die Priorität, die der NPS-Proxy dem RADIUS-Server gewährt. Wenn dem RADIUS-Server beispielsweise die höchste Priorität von 1 zugewiesen wird, sendet der NPS-Proxy zuerst Verbindungsanforderungen an den RADIUS-Server. Wenn Server mit Priorität 1 nicht verfügbar sind, sendet NPS Verbindungsanforderungen an RADIUS-Server mit Priorität 2 usw. Sie können mehreren RADIUS-Servern dieselbe Priorität zuweisen und dann die Einstellung „Gewichtung“ verwenden, um einen Lastenausgleich zwischen ihnen vorzunehmen.

  • Gewichtung: NPS verwendet die Einstellung „Gewichtung“, um zu bestimmen, wie viele Verbindungsanforderungen an jedes Gruppenmitglied gesendet werden sollen, wenn die Gruppenmitglieder die gleiche Prioritätsebene haben. Der Einstellung „Gewichtung“ muss ein Wert zwischen 1 und 100 zugewiesen werden, und der Wert stellt einen Prozentsatz von 100 Prozent dar. Wenn die RADIUS-Remote-Servergruppe beispielsweise zwei Mitglieder enthält, die beide eine Prioritätsebene von 1 und eine Bewertung der Gewichtung von 50 haben, leitet der NPS-Proxy 50 Prozent der Verbindungsanforderungen an jeden RADIUS-Server weiter.

  • Erweiterte Einstellungen. Mit diesen Failover-Einstellungen kann NPS feststellen, ob der RADIUS-Remote-Server nicht verfügbar ist. Wenn NPS feststellt, dass ein RADIUS-Server nicht verfügbar ist, kann er mit dem Senden von Verbindungsanforderungen an andere Gruppenmitglieder beginnen. Mit diesen Einstellungen können Sie die Anzahl der Sekunden konfigurieren, in denen der NPS-Proxy auf eine Antwort vom RADIUS-Server wartet, bevor die Anforderung gelöscht wird; die maximale Anzahl verworfener Anforderungen, bevor der NPS-Proxy den RADIUS-Server als nicht verfügbar identifiziert; und die Anzahl der Sekunden, die zwischen Anforderungen vergehen können, bevor der NPS-Proxy den RADIUS-Server als nicht verfügbar identifiziert.

Konfigurieren des NPS-Proxy-Lastenausgleichs

Erstellen Sie vor dem Konfigurieren des Lastenausgleichs einen Bereitstellungsplan, der enthält, wie viele RADIUS-Remote-Servergruppen Sie benötigen, welche Server Mitglieder jeder bestimmten Gruppe sind und die Einstellung „Priorität“ und „Gewichtung“ für jeden Server.

Hinweis

Bei den folgenden Schritten wird davon ausgegangen, dass Sie RADIUS-Server bereits bereitgestellt und konfiguriert haben.

Um NPS so zu konfigurieren, dass er als Proxyserver fungiert und Verbindungsanforderungen von RADIUS-Clients an RADIUS-Remote-Server weiterleitet, müssen Sie die folgenden Aktionen ausführen:

  1. Stellen Sie Ihre RADIUS-Clients (VPN-Server, DFÜ-Server, Terminaldienste-Gatewayserver, 802.1X-Authentifizierungsswitches und drahtlose 802.1X-Zugriffspunkte) bereit und konfigurieren Sie sie zum Senden von Verbindungsanforderungen an Ihre NPS-Proxyserver.

  2. Konfigurieren Sie auf dem NPS-Proxy die Netzwerkzugriffsserver als RADIUS-Clients. Weitere Informationen finden Sie unter Konfigurieren von RADIUS-Clients.

  3. Erstellen Sie auf dem NPS-Proxy eine oder mehrere RADIUS-Remote-Servergruppen. Fügen Sie während dieses Vorgangs RADIUS-Server zu den RADIUS-Remote-Servergruppen hinzu. Weitere Informationen finden Sie unter Konfigurieren von RADIUS-Remote-Servergruppen.

  4. Klicken Sie auf dem NPS-Proxy für jeden RADIUS-Server, den Sie einer RADIUS-Remote-Servergruppe hinzufügen, auf die Registerkarte Lastenausgleich des RADIUS-Servers und konfigurieren Sie dann Priorität, Gewichtung und Erweiterte Einstellungen.

  5. Konfigurieren Sie auf dem NPS-Proxy Verbindungsanforderungsrichtlinien, um Authentifizierungs- und Abrechnungsanforderungen an RADIUS-Remote-Servergruppen weiterzuleiten. Sie müssen eine Verbindungsanforderungsrichtlinie pro RADIUS-Remote-Servergruppe erstellen. Weitere Informationen finden Sie unter Konfigurieren von Verbindungsanforderungsrichtlinien.