NPS-Proxyserverlastenausgleich

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

Remote Authentication Dial-In User Service -Clients (RADIUS), bei denen es sich um Netzwerkzugriffsserver wie VPN-Server (Virtuelles privates Netzwerk) und drahtlose Zugriffspunkte handelt, erstellen Sie Verbindungsanforderungen und senden sie an RADIUS-Server wie NPS. In einigen Fällen kann ein NPS zu viele Verbindungsanforderungen gleichzeitig empfangen, was zu einer Leistungsverschlechterung oder einer Überladung führt. Wenn ein NPS überlastet ist, ist es eine gute Idee, Ihrem Netzwerk weitere NPSs hinzuzufügen und den Lastenausgleich zu konfigurieren. Wenn Sie eingehende Verbindungsanforderungen gleichmäßig auf mehrere NPSs verteilen, um das Überladen eines oder mehrerer NPSs zu verhindern, wird dies als Lastenausgleich bezeichnet.

Der Lastenausgleich ist besonders nützlich für:

  • Organisationen, die Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) oder Protected Extensible Authentication Protocol (PEAP)-TLS für die Authentifizierung verwenden. Da diese Authentifizierungsmethoden Zertifikate für die Serverauthentifizierung und für die Benutzer- oder Clientcomputerauthentifizierung verwenden, ist die Last auf RADIUS-Proxys und -Servern größer als bei Verwendung kennwortbasierter Authentifizierungsmethoden.
  • Organisationen, die eine kontinuierliche Dienstverfügbarkeit aufrechterhalten müssen.
  • Internetdienstanbieter (ISPs), die VPN-Zugriff für andere Organisationen auslagern. Die ausgelagerten VPN-Dienste können eine große Menge an Authentifizierungsdatenverkehr generieren.

Es gibt zwei Methoden, mit derenHilfe Sie die Last von Verbindungsanforderungen ausgleichen können, die an Ihre NPSs gesendet werden:

  • Konfigurieren Sie Ihre Netzwerkzugriffsserver so, dass Verbindungsanforderungen an mehrere RADIUS-Server gesendet werden. Wenn Sie beispielsweise über 20 Drahtloszugriffspunkte und zwei RADIUS-Server verfügen, konfigurieren Sie jeden Zugriffspunkt so, dass Verbindungsanforderungen an beide RADIUS-Server gesendet werden. Sie können einen Lastenausgleich durchführen und ein Failover auf jedem Netzwerkzugriffsserver bereitstellen, indem Sie den Zugriffsserver so konfigurieren, dass Verbindungsanforderungen in einer bestimmten Reihenfolge von Priorität an mehrere RADIUS-Server gesendet werden. Diese Methode des Lastenausgleichs ist in der Regel am besten für kleine Organisationen, die keine große Anzahl von RADIUS-Clients bereitstellen.
  • Verwenden Sie nps, der als RADIUS-Proxy konfiguriert ist, um einen Lastenausgleich für Verbindungsanforderungen zwischen mehreren NPSs oder anderen RADIUS-Servern zu verwenden. Wenn Sie beispielsweise über 100 Drahtloszugriffspunkte, einen NPS-Proxy und drei RADIUS-Server verfügen, können Sie die Zugriffspunkte so konfigurieren, dass der ganze Datenverkehr an den NPS-Proxy gesendet wird. Konfigurieren Sie auf dem NPS-Proxy den Lastenausgleich so, dass der Proxy die Verbindungsanforderungen gleichmäßig auf die drei RADIUS-Server verteilt. Diese Methode des Lastenausgleichs ist am besten für mittlere und große Organisationen mit vielen RADIUS-Clients und -Servern.

In vielen Fällen ist der beste Ansatz für den Lastenausgleich das Konfigurieren von RADIUS-Clients zum Senden von Verbindungsanforderungen an zwei NPS-Proxyserver und anschließendes Konfigurieren der NPS-Proxys für den Lastenausgleich zwischen RADIUS-Servern. Dieser Ansatz ermöglicht sowohl Failover als auch Lastenausgleich für NPS-Proxys und RADIUS-Server.

RADIUS-Serverpriorität und -gewichtung

Während des NPS-Proxykonfigurationsprozesses können Sie RADIUS-Remoteservergruppen erstellen und dann RADIUS-Server zu jeder Gruppe hinzufügen. Zum Konfigurieren des Lastenausgleichs müssen Sie über mehr als einen RADIUS-Server pro RADIUS-Remoteservergruppe verfügen. Beim Hinzufügen von Gruppenmitgliedern oder nach dem Erstellen eines RADIUS-Servers als Gruppenmitglied können Sie auf das Dialogfeld RADIUS-Server hinzufügen zugreifen, um die folgenden Elemente auf der Registerkarte Lastenausgleich zu konfigurieren:

  • Priorität. Priorität gibt die Reihenfolge der Wichtigkeit des RADIUS-Servers für den NPS-Proxyserver an. Der Prioritätsebene muss ein Wert zugewiesen werden, der eine ganze Zahl ist, z. B. 1, 2 oder 3. Je niedriger die Zahl ist, desto höher ist die Priorität, die der NPS-Proxy dem RADIUS-Server zuordnt. Wenn dem RADIUS-Server beispielsweise die höchste Priorität von 1 zugewiesen wird, sendet der NPS-Proxy zuerst Verbindungsanforderungen an den RADIUS-Server. Wenn Server mit Priorität 1 nicht verfügbar sind, sendet NPS Verbindungsanforderungen an RADIUS-Server mit Priorität 2 und so weiter. Sie können die gleiche Priorität mehreren RADIUS-Servern zuweisen und dann die Einstellung Gewichtung verwenden, um einen Lastenausgleich zwischen ihnen zu finden.

  • Gewichtung: NPS verwendet diese Weight-Einstellung, um zu bestimmen, wie viele Verbindungsanforderungen an jedes Gruppenmitglied gesendet werden, wenn die Gruppenmitglieder die gleiche Prioritätsstufe haben. Der Gewichtungseinstellung muss ein Wert zwischen 1 und 100 zugewiesen werden, und der Wert stellt einen Prozentsatz von 100 Prozent dar. Wenn die RADIUS-Remoteservergruppe beispielsweise zwei Mitglieder mit einer Prioritätsstufe von 1 und einer Gewichtung von 50 enthält, werden vom NPS-Proxy 50 Prozent der Verbindungsanforderungen an jeden RADIUS-Server weitergeleitet.

  • Erweiterte Einstellungen. Mit diesen Failovereinstellungen kann NPS ermitteln, ob der RADIUS-Remoteserver nicht verfügbar ist. Wenn NPS feststellt, dass ein RADIUS-Server nicht verfügbar ist, kann er damit beginnen, Verbindungsanforderungen an andere Gruppenmitglieder zu senden. Mit diesen Einstellungen können Sie die Anzahl von Sekunden konfigurieren, die der NPS-Proxy auf eine Antwort vom RADIUS-Server wartet, bevor die Anforderung als verworfen betrachtet wird. die maximale Anzahl verworfener Anforderungen, bevor der NPS-Proxy den RADIUS-Server als nicht verfügbar identifiziert. und die Anzahl von Sekunden, die zwischen Anforderungen verstreichen können, bevor der NPS-Proxy den RADIUS-Server als nicht verfügbar identifiziert.

Konfigurieren des NPS-Proxylastenausgleichs

Erstellen Sie vor dem Konfigurieren des Lastenausgleichs einen Bereitstellungsplan, der die benötigten RADIUS-Remoteservergruppen, die Server, die Mitglieder der einzelnen Gruppen sind, und die Einstellung Priorität und Gewichtung für jeden Server enthält.

Hinweis

Bei den folgenden Schritten wird davon ausgegangen, dass Sie radius-Server bereits bereitgestellt und konfiguriert haben.

Um NPS so zu konfigurieren, dass er als Proxyserver fungieren und Verbindungsanforderungen von RADIUS-Clients an RADIUS-Remoteserver weiter senden kann, müssen Sie die folgenden Aktionen ausführen:

  1. Stellen Sie Ihre RADIUS-Clients (VPN-Server, DFÜ-Server, Terminal services Gateway-Server, 802.1X-Authentifizierungss switches und 802.1X-Drahtloszugriffspunkte) zur Verfügung, und konfigurieren Sie sie so, dass Verbindungsanforderungen an Ihre NPS-Proxyserver gesendet werden.

  2. Konfigurieren Sie auf dem NPS-Proxy die Netzwerkzugriffsserver als RADIUS-Clients. Weitere Informationen finden Sie unter Konfigurieren von RADIUS-Clients.

  3. Erstellen Sie auf dem NPS-Proxy mindestens eine RADIUS-Remoteservergruppe. Fügen Sie während dieses Vorgangs RADIUS-Server zu den RADIUS-Remoteservergruppen hinzu. Weitere Informationen finden Sie unter Konfigurieren von RADIUS-Remoteservergruppen.

  4. Klicken Sie auf dem NPS-Proxy für jeden RADIUS-Server, den Sie einer RADIUS-Remoteservergruppe hinzufügen, auf die Registerkarte LASTENAUSGLEICH des RADIUS-Servers, und konfigurieren Sie dann die Einstellungen Priorität, Gewichtung und Erweitert.

  5. Konfigurieren Sie auf dem NPS-Proxy Verbindungsanforderungsrichtlinien, um Authentifizierungs- und Kontoführungsanforderungen an RADIUS-Remoteservergruppen weiter zu senden. Sie müssen eine Verbindungsanforderungsrichtlinie pro RADIUS-Remoteservergruppe erstellen. Weitere Informationen finden Sie unter Konfigurieren von Verbindungsanforderungsrichtlinien.