Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Ağ İlkesi Sunucusunu (NPS) dağıtmaya ve yönetmeye yönelik en iyi yöntemler hakkında bilgi edinmek için bu konuyu kullanabilirsiniz.
Aşağıdaki bölümler, NPS dağıtımınızın farklı yönleri için en iyi yöntemleri sağlar.
Muhasebe
NPS günlüğü için en iyi yöntemler aşağıdadır.
NPS'de iki tür muhasebe veya günlük vardır:
NPS için olay günlüğü. Sistem ve güvenlik olay günlüklerinde NPS olaylarını kaydetmek için olay günlüğünü kullanabilirsiniz. Bu, öncelikle bağlantı girişimlerini denetlemek ve sorunlarını gidermek için kullanılır.
Kullanıcı kimlik doğrulaması ve muhasebe isteklerini günlüğe kaydetme. Dosyaları metin biçiminde veya veritabanı biçiminde günlüğe kaydetmek için kullanıcı kimlik doğrulaması ve hesaplama isteklerini günlüğe kaydedebilir veya SQL Server 2000 veritabanındaki bir saklı yordamda oturum açabilirsiniz. İstek günlüğü öncelikli olarak bağlantı analizi ve faturalama amacıyla kullanılır ve bir güvenlik araştırma aracı olarak da yararlıdır ve size bir saldırganın etkinliğini izleme yöntemi sağlar.
NPS günlüğünü en etkili şekilde kullanmak için:
Hem kimlik doğrulaması hem de muhasebe kayıtları için günlüğe kaydetmeyi (başlangıçta) açın. Ortamınıza uygun olanı belirledikten sonra bu seçimleri değiştirin.
Olay günlüğünün günlüklerinizi korumak için yeterli bir kapasiteyle yapılandırıldığından emin olun.
Zarar gördüklerinde veya silindiklerinde yeniden oluşturulamadığından tüm günlük dosyalarını düzenli aralıklarla yedekleyin.
Radius Sınıfı özniteliğini kullanarak hem kullanımı izleyin hem de kullanım için ücretlendirilecek departmanın veya kullanıcının kimliğini basitleştirin. Otomatik olarak oluşturulan Sınıf özniteliği her istek için benzersiz olsa da, erişim sunucusuna yanıtın kaybedildiği ve isteğin yinelendiği durumlarda yinelenen kayıtlar bulunabilir. Kullanımı doğru bir şekilde izlemek için günlüklerinizdeki yinelenen istekleri silmeniz gerekebilir.
Ağ erişim sunucularınız ve RADIUS proxy sunucularınız NPS'nin çevrimiçi olduğunu doğrulamak için NPS'ye düzenli aralıklarla kurgusal bağlantı isteği iletileri gönderiyorsa , ping kullanıcı adı kayıt defteri ayarını kullanın. Bu ayar, NPS'yi bu hatalı bağlantı isteklerini işlemeden otomatik olarak reddedecek şekilde yapılandırıyor. Buna ek olarak, NPS herhangi bir günlük dosyasında kurgusal kullanıcı adıyla ilgili işlemleri kaydetmez ve bu da olay günlüğünün yorumlanmasını kolaylaştırır.
NAS Bildirim İletme özelliğini devre dışı bırakın. Ağ erişim sunucularından (NAS) gelen başlatma ve durdurma iletilerinin NPS'de yapılandırılmış bir uzak RADIUS sunucu grubunun üyelerine iletilmesi devre dışı bırakılabilir. Daha fazla bilgi için bkz. NAS Bildirim İletme özelliğini devre dışı bırakma.
Daha fazla bilgi için bkz. Ağ İlkesi Sunucu Hesaplamasını Yapılandırma.
- SQL Server günlüğüyle yük devretme ve yedeklilik sağlamak için SQL Server çalıştıran iki bilgisayarı farklı alt ağlara yerleştirin. İki sunucu arasında veritabanı çoğaltması ayarlamak için SQL Server Yayın Oluşturma Sihirbazı'nı kullanın. Daha fazla bilgi için bkz. SQL Server Teknik Belgeleri ve SQL Server Çoğaltma.
Kimlik doğrulama
Kimlik doğrulaması için en iyi yöntemler aşağıdadır.
- Güçlü kimlik doğrulaması için Korumalı Genişletilebilir Kimlik Doğrulama Protokolü (PEAP) ve Genişletilebilir Kimlik Doğrulama Protokolü (EAP) gibi sertifika tabanlı kimlik doğrulama yöntemlerini kullanın. Çeşitli saldırılara karşı savunmasız olduklarından ve güvenli olmadıklarından yalnızca parola kimlik doğrulama yöntemlerini kullanmayın. Güvenli kablosuz kimlik doğrulaması için PEAP-MS-CHAP v2 kullanılması önerilir, çünkü NPS bir sunucu sertifikası kullanarak kablosuz istemcilere kimliğini kanıtlarken, kullanıcılar kimliklerini kullanıcı adları ve parolalarıyla kanıtlar. Kablosuz dağıtımınızda NPS kullanma hakkında daha fazla bilgi için bkz . Password-Based 802.1X Kimliği Doğrulanmış Kablosuz Erişim dağıtma.
- NPS'lerde sunucu sertifikası kullanılmasını gerektiren PEAP ve EAP gibi güçlü sertifika tabanlı kimlik doğrulama yöntemlerini kullandığınızda Active Directory® Sertifika Hizmetleri (AD CS) ile kendi sertifika yetkilinizi (CA) dağıtın. Bilgisayar sertifikalarını ve kullanıcı sertifikalarını kaydetmek için CA'nızı da kullanabilirsiniz. NPS ve Uzaktan Erişim sunucularına sunucu sertifikaları dağıtma hakkında daha fazla bilgi için bkz. 802.1X Kablolu ve Kablosuz Dağıtımlar için Sunucu Sertifikalarını Dağıtma.
Önemli
Ağ İlkesi Sunucusu (NPS), parolalar içindeki Genişletilmiş ASCII karakterlerinin kullanımını desteklemez.
İstemci bilgisayar yapılandırması
İstemci bilgisayar yapılandırması için en iyi yöntemler aşağıdadır.
- Grup İlkesi'ni kullanarak tüm etki alanı üye 802.1X istemci bilgisayarlarınızı otomatik olarak yapılandırın. Daha fazla bilgi için Kablosuz Erişim Dağıtımı konusunun "Kablosuz Ağ (IEEE 802.11) İlkelerini Yapılandırma" bölümüne bakın.
Yükleme önerileri
NPS'yi yüklemek için en iyi yöntemler aşağıdadır.
NPS'yi yüklemeden önce, NPS'de RADIUS istemcileri olarak yapılandırmadan önce yerel kimlik doğrulama yöntemlerini kullanarak ağ erişim sunucularınızın her birini yükleyin ve test edin.
NPS'yi yükleyip yapılandırdıktan sonra, Export-NpsConfiguration Windows PowerShell komutunu kullanarak yapılandırmayı kaydedin. NPS'yi her yeniden yapılandırışınızda NPS yapılandırmasını bu komutla kaydedin.
Dikkat
- Dışarı aktarılan NPS yapılandırma dosyası, RADIUS istemcileri ve uzak RADIUS sunucu gruplarının üyeleri için şifrelenmemiş paylaşılan gizli diziler içerir. Bu nedenle, dosyayı güvenli bir konuma kaydettiğinizden emin olun.
- Dışarı aktarma işlemi, dışarı aktarılan dosyada Microsoft SQL Server için günlüklere ait ayarları içermez. Dışarı aktarılan dosyayı başka bir NPS'ye aktarırsanız, sql server günlüğünü yeni sunucuda el ile yapılandırmanız gerekir.
NPS performans optimizasyonu
Performans ayarlama NPS'leri için en iyi yöntemler aşağıdadır.
NPS kimlik doğrulaması ve yetkilendirme yanıt sürelerini iyileştirmek ve ağ trafiğini en aza indirmek için NPS'yi bir etki alanı denetleyicisine yükleyin.
Evrensel asıl adlar (UPN'ler) veya Windows Server 2008 ve Windows Server 2003 etki alanları kullanıldığında, NPS kullanıcıların kimliğini doğrulamak için genel kataloğu kullanır. Bunu yapmak için gereken süreyi en aza indirmek için NPS'yi genel katalog sunucusuna veya genel katalog sunucusuyla aynı alt ağda bulunan bir sunucuya yükleyin.
Yapılandırılmış uzak RADIUS sunucu gruplarınız varsa ve NPS Bağlantı İsteği İlkeleri'nde Aşağıdaki uzak RADIUS sunucu grubundaki sunucularda muhasebe bilgilerini kaydet onay kutusunu temizlerseniz, bu gruplara ağ erişim sunucusu (NAS) başlatma ve durdurma bildirim iletileri gönderilmeye devam eder. Bu, gereksiz ağ trafiği oluşturur. Bu trafiği ortadan kaldırmak için, Bu sunucuya ağ başlatma ve durdurma bildirimlerini ilet onay kutusunu temizleyerek her uzak RADIUS sunucu grubundaki tek tek sunucular için NAS bildirimi iletmeyi devre dışı bırakın.
Büyük kuruluşlarda NPS kullanma
Aşağıda, büyük kuruluşlarda NPS kullanmaya yönelik en iyi yöntemler yer alır.
Belirli gruplar dışında tüm gruplar için erişimi kısıtlamak için ağ ilkeleri kullanıyorsanız, erişime izin vermek istediğiniz tüm kullanıcılar için evrensel bir grup oluşturun ve ardından bu evrensel grup için erişim veren bir ağ ilkesi oluşturun. Özellikle ağınızda çok fazla sayıda kullanıcı varsa, tüm kullanıcılarınızı doğrudan evrensel gruba koymayın. Bunun yerine, evrensel grubun üyesi olan ayrı gruplar oluşturun ve bu gruplara kullanıcı ekleyin.
Mümkün olduğunda kullanıcılara başvurmak için bir kullanıcı asıl adı kullanın. Bir kullanıcı, etki alanı üyeliğinden bağımsız olarak aynı kullanıcı asıl adına sahip olabilir. Bu uygulama, çok sayıda etki alanı olan kuruluşlarda gerekli olabilecek ölçeklenebilirlik sağlar.
Ağ İlkesi Sunucusu'nu (NPS) etki alanı denetleyicisi dışında bir bilgisayara yüklediyseniz ve NPS saniyede çok sayıda kimlik doğrulama isteği alıyorsa, NPS ile etki alanı denetleyicisi arasında izin verilen eşzamanlı kimlik doğrulamalarının sayısını artırarak NPS performansını geliştirebilirsiniz. Daha fazla bilgi için bkz. NPS tarafından İşlenen Eşzamanlı Kimlik Doğrulamalarını Artırma.
Güvenlik sorunları
Güvenlik sorunlarını azaltmaya yönelik en iyi yöntemler aşağıdadır.
Bir NPS'yi uzaktan yönetirken ağ üzerinden düz metin olarak hassas veya gizli veriler (örneğin, paylaşılan gizli diziler veya parolalar) göndermeyin. NPS'lerin uzaktan yönetimi için önerilen iki yöntem vardır:
NPS'ye erişmek için Uzak Masaüstü Hizmetleri'ni kullanın. Uzak Masaüstü Hizmetleri'ni kullandığınızda, istemci ile sunucu arasında veri gönderilmez. Windows® 10'da Uzak Masaüstü Bağlantısı olarak adlandırılan Uzak Masaüstü Hizmetleri istemcisine yalnızca sunucunun kullanıcı arabirimi (örneğin, işletim sistemi masaüstü ve NPS konsol görüntüsü) gönderilir. İstemci, Uzak Masaüstü Hizmetleri'nin etkin olduğu sunucu tarafından yerel olarak işlenen klavye ve fare girişi gönderir. Uzak Masaüstü Hizmetleri kullanıcıları oturum açtığında, yalnızca sunucu tarafından yönetilen ve birbirinden bağımsız olan bireysel istemci oturumlarını görüntüleyebilir. Ayrıca, Uzak Masaüstü Bağlantısı istemci ile sunucu arasında 128 bit şifreleme sağlar.
Gizli verileri şifrelemek için İnternet Protokolü güvenliği (IPsec) kullanın. NPS ile NPS'yi yönetmek için kullandığınız uzak istemci bilgisayar arasındaki iletişimi şifrelemek için IPsec kullanabilirsiniz. Sunucuyu uzaktan yönetmek için, istemci bilgisayara Windows 10 için Uzak Sunucu Yönetim Araçları'nı yükleyebilirsiniz. Yüklemeden sonra, NPS ek bileşenini konsola eklemek için Microsoft Yönetim Konsolu'nu (MMC) kullanın.
Önemli
Windows 10 için Uzak Sunucu Yönetim Araçları'nı yalnızca Windows 10 Professional veya Windows 10 Enterprise'ın tam sürümüne yükleyebilirsiniz.
NPS hakkında daha fazla bilgi için bkz. Ağ İlkesi Sunucusu (NPS).