Equilibrio de carga de servidor en el proxy NPS
Los clientes de Servicio de autenticación remota telefónica de usuario (RADIUS), que son servidores de acceso a la red, como servidores de red privada virtual (VPN) y puntos de acceso inalámbrico, crean solicitudes de conexión y las envían a servidores RADIUS, como NPS. En algunos casos, un NPS puede recibir demasiadas solicitudes de conexión al mismo tiempo, lo que provoca un rendimiento degradado o una sobrecarga. Cuando se sobrecarga un NPS, es recomendable agregar más NPS a la red y configurar el equilibrio de carga. La distribución uniforme de las solicitudes de conexión entrantes entre varios NPS para evitar la sobrecarga de uno o varios de esos NPS se denomina equilibrio de carga.
El equilibrio de carga es especialmente útil para:
- Organizaciones que usan Protocolo de autenticación extensible-Seguridad de la capa de transporte (EAP-TLS) o Protocolo de autenticación extensible protegida (PEAP)-TLS para la autenticación. Dado que estos métodos de autenticación usan certificados para la autenticación de servidor y para la autenticación de equipo cliente o de usuario, la carga en servidores y proxy RADIUS es mayor que cuando se usan métodos de autenticación basados en contraseña.
- Organizaciones que necesitan mantener la disponibilidad continua del servicio.
- Proveedores de servicios de Internet (ISP) que subcontratan el acceso VPN para otras organizaciones. Los servicios VPN subcontratados pueden generar un gran volumen de tráfico de autenticación.
Hay dos métodos que puede usar para equilibrar la carga de las solicitudes de conexión enviadas a los NPS:
- Configure los servidores de acceso a la red para enviar solicitudes de conexión a varios servidores RADIUS. Por ejemplo, si tiene 20 puntos de acceso inalámbrico y dos servidores RADIUS, configure cada punto de acceso para enviar solicitudes de conexión a ambos servidores RADIUS. Puede equilibrar la carga y proporcionar conmutación por error en cada servidor de acceso a la red mediante la configuración del servidor de acceso para enviar solicitudes de conexión a varios servidores RADIUS en un orden de prioridad especificado. Este método de equilibrio de carga suele ser el mejor para las pequeñas organizaciones que no implementan un gran número de clientes RADIUS.
- Use NPS configurado como proxy RADIUS para equilibrar la carga de las solicitudes de conexión entre varios NPS u otros servidores RADIUS. Por ejemplo, si tiene 100 puntos de acceso inalámbrico, un proxy NPS y tres servidores RADIUS, puede configurar los puntos de acceso para enviar todo el tráfico al proxy NPS. En el proxy NPS, configure el equilibrio de carga para que el proxy distribuya uniformemente las solicitudes de conexión entre los tres servidores RADIUS. Este método de equilibrio de carga es el mejor para organizaciones medianas y grandes que tienen muchos clientes y servidores RADIUS.
En muchos casos, el mejor enfoque para el equilibrio de carga es configurar clientes RADIUS para enviar solicitudes de conexión a dos servidores proxy NPS y, a continuación, configurar estos para equilibrar la carga entre dichos servidores RADIUS. Este enfoque proporciona conmutación por error y equilibrio de carga para servidores proxy NPS y RADIUS.
Prioridad y peso de los servidores RADIUS
Durante el proceso de configuración de los proxy NPS, puede crear grupos de servidores RADIUS remotos y, a continuación, agregar servidores RADIUS a cada grupo. Para configurar el equilibrio de carga, debe tener más de un servidor RADIUS por grupo de servidores RADIUS remoto. Al agregar miembros del grupo o después de crear un servidor RADIUS como miembro del grupo, puede acceder al cuadro de diálogo Agregar RADIUS para configurar los siguientes elementos en la pestaña Equilibrio de carga:
Prioridad. Prioridad especifica el orden de importancia del servidor RADIUS en el servidor proxy NPS. Se debe asignar un valor al nivel de prioridad que sea un entero, como 1, 2 o 3. Cuanto menor sea el número, mayor será la prioridad que el proxy NPS proporciona al servidor RADIUS. Por ejemplo, si al servidor RADIUS se le asigna la prioridad más alta de 1, el proxy NPS envía primero las solicitudes de conexión al servidor RADIUS; si los servidores con prioridad 1 no están disponibles, entonces NPS envía solicitudes de conexión a los servidores RADIUS con prioridad 2, y así sucesivamente. Puede asignar la misma prioridad a varios servidores RADIUS y, a continuación, usar el valor Peso para equilibrar la carga entre ellos.
Peso. NPS usa el valor Peso para determinar cuántas solicitudes de conexión enviar a cada miembro del grupo cuando los miembros del grupo tienen el mismo nivel de prioridad. A Peso se le debe asignar un valor entre 1 y 100 y este valor representa un porcentaje del 100 %. Por ejemplo, si el grupo de servidores RADIUS remoto contiene dos miembros que tienen un nivel de prioridad de 1 y una clasificación de peso de 50, el proxy NPS reenvía el 50 % de las solicitudes de conexión a cada servidor RADIUS.
Configuración avanzada. Esta configuración de conmutación por error proporciona una manera de que NPS determine si el servidor RADIUS remoto no está disponible. Si NPS determina que un servidor RADIUS no está disponible, puede empezar a enviar solicitudes de conexión a otros miembros del grupo. Con esta configuración, puede configurar el número de segundos que el proxy NPS espera una respuesta del servidor RADIUS antes de considerar la solicitud descartada; el número máximo de solicitudes descartadas antes de que el proxy NPS identifique el servidor RADIUS como no disponible; y el número de segundos que pueden transcurrir entre solicitudes antes de que el proxy NPS identifique el servidor RADIUS como no disponible.
Configuración del equilibrio de carga de proxy NPS
Antes de configurar el equilibrio de carga, cree un plan de implementación que incluya cuántos grupos de servidores RADIUS remotos necesita, qué servidores son miembros de cada grupo en particular y los valores Prioridad y Peso de cada servidor.
Nota
En los pasos siguientes se supone que ya ha implementado y configurado servidores RADIUS.
Para configurar NPS para que actúe como servidor proxy y reenvíe solicitudes de conexión de clientes RADIUS a servidores RADIUS remotos, debe realizar las siguientes acciones:
Implemente los clientes RADIUS (servidores VPN, servidores de acceso telefónico, servidores de puerta de enlace de Terminal Services, conmutadores de autenticación 802.1X y puntos de acceso inalámbrico 802.1X) y configúrelos para enviar solicitudes de conexión a los servidores proxy NPS.
En el proxy NPS, configure los servidores de acceso a la red como clientes RADIUS. Para más información, consulte Configuración de clientes RADIUS.
En el proxy NPS, cree uno o varios grupos de servidores RADIUS remotos. Durante este proceso, agregue servidores RADIUS a los grupos de servidores RADIUS remotos. Para más información, consulte Configuración de grupos de servidores RADIUS remotos.
En el proxy NPS, para cada servidor RADIUS que agregue a un grupo de servidores RADIUS remoto, haga clic en la pestaña Equilibrio de carga del servidor RADIUS y, a continuación, configure los valores Prioridad, Peso y Configuración avanzada.
En el proxy NPS, configure las directivas de solicitud de conexión para reenviar solicitudes de autenticación y cuentas a grupos de servidores RADIUS remotos. Debe crear una directiva de solicitud de conexión por grupo de servidores RADIUS remotos. Para más información, consulte Configuración de las directivas de solicitud de conexión.