NPS 代理服务器负载均衡
适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016
远程身份验证拨入用户服务 (RADIUS) 客户端,包括虚拟专用网络 (VPN) 服务器等网络访问服务器和无线接入点,可以创建连接请求并将其发送到 NPS 等 RADIUS 服务器。 在某些情况下,NPS 可能会一次性收到过多的连接请求,从而导致性能下降或过载。 如果 NPS 过载,建议向网络添加更多 NPS 并配置负载均衡。 负载均衡是指在多个 NPS 之间均匀分配传入的连接请求以防止一个或多个 NPS 重载。
负载均衡对于以下情况特别有用:
- 使用可扩展身份验证协议-传输层安全性 (EAP-TLS) 或受保护的可扩展身份验证协议 (PEAP)-TLS 进行身份验证的组织。 由于这些身份验证方法使用证书进行服务器身份验证以及用户或客户端计算机身份验证,因此 RADIUS 代理和服务器上的负载比使用基于密码的身份验证方法时更重。
- 需要维持持续的服务可用性的组织。
- 为其他组织外包 VPN 访问的 Internet 服务提供商 (ISP)。 外包的 VPN 服务可以生成大量身份验证流量。
可以使用两种方法来均衡发送到 NPS 的连接请求负载:
- 将网络访问服务器配置为将连接请求发送到多个 RADIUS 服务器。 例如,如果有 20 个无线接入点和两个 RADIUS 服务器,请将每个接入点配置为将连接请求发送到这两个 RADIUS 服务器。 可以通过将访问服务器配置为按指定优先级顺序将连接请求发送到多个 RADIUS 服务器,对每台网络访问服务器进行负载均衡并提供故障转移。 这种负载均衡方法通常最适合不需要部署大量 RADIUS 客户端的小型组织。
- 使用配置为 RADIUS 代理的 NPS 对多个 NPS 或其他 RADIUS 服务器之间的连接请求进行负载均衡。 例如,如果有 100 个无线接入点、一个 NPS 代理和三个 RADIUS 服务器,则可以将接入点配置为将所有流量发送到 NPS 代理。 在 NPS 代理上,配置负载均衡,以便代理在三个 RADIUS 服务器之间均匀分配连接请求。 这种负载均衡方法最适合具有许多 RADIUS 客户端和服务器的中型和大型组织。
在许多情况下,负载均衡的最佳方法是将 RADIUS 客户端配置为将连接请求发送到两个 NPS 代理服务器,然后将 NPS 代理配置为在 RADIUS 服务器之间进行负载均衡。 此方法可以同时为 NPS 代理和 RADIUS 服务器提供故障转移和负载均衡。
RADIUS 服务器优先级和权重
在 NPS 代理配置过程中,可以创建远程 RADIUS 服务器组,然后将 RADIUS 服务器添加到每个组。 若要配置负载均衡,必须确保每个远程 RADIUS 服务器组具有多个 RADIUS 服务器。 添加组成员时,或在将 RADIUS 服务器创建为组成员后,可以访问“添加 RADIUS 服务器”对话框,以在“负载均衡”选项卡上配置以下项:
优先级。 优先级指定 RADIUS 服务器对 NPS 代理服务器的重要性顺序。 必须为优先级分配一个整数值,例如 1、2 或 3。 数字越小,NPS 代理向 RADIUS 服务器分配的优先级就越高。 例如,如果为 RADIUS 服务器分配了最高优先级 1,则 NPS 代理会首先向 RADIUS 服务器发送连接请求;如果优先级为 1 的服务器不可用,则 NPS 会向优先级为 2 的 RADIUS 服务器发送连接请求,依此类推。 可以将相同的优先级分配给多个 RADIUS 服务器,然后使用权重设置在它们之间进行负载均衡。
权重。 NPS 使用此权重设置来确定当组成员具有相同优先级时要发送给每个组成员的连接请求数。 必须为权重设置分配一个介于 1 和 100 之间的值,并且该值表示 100% 的百分比。 例如,如果远程 RADIUS 服务器组包含两个成员,这两个成员的优先级均为 1,并且权重分级为 50,则 NPS 代理会将 50% 的连接请求转发到每个 RADIUS 服务器。
高级设置。 这些故障转移设置为 NPS 提供了一种确定远程 RADIUS 服务器是否不可用的方法。 如果 NPS 确定 RADIUS 服务器不可用,它可以开始向其他组成员发送连接请求。 使用这些设置,可以配置 NPS 代理在考虑删除请求之前等待 RADIUS 服务器响应的秒数、NPS 代理将 RADIUS 服务器标识为不可用之前丢弃的最大请求数、以及 NPS 代理将 RADIUS 服务器标识为不可用之前,请求之间可能经过的秒数。
配置 NPS 代理负载均衡
在配置负载均衡之前,请创建一个部署计划,其中包括所需的远程 RADIUS 服务器组数、每个特定组的成员服务器以及每个服务器的优先级和权重设置。
注意
以下步骤假定你已部署并配置 RADIUS 服务器。
若要将 NPS 配置为充当代理服务器并将连接请求从 RADIUS 客户端转发到远程 RADIUS 服务器,必须执行以下操作:
部署 RADIUS客户端(VPN 服务器、拨号服务器、终端服务网关服务器、802.1X 身份验证开关和 802.1X 无线接入点),并将它们配置为向 NPS 代理服务器发送连接请求。
在 NPS 代理上,将网络访问服务器配置为 RADIUS 客户端。 有关详细信息,请参阅配置 KMS 客户端。
在 NPS 代理上,创建一个或多个远程 RADIUS 服务器组。 在此过程中,将 RADIUS 服务器添加到远程 RADIUS 服务器组。 有关详细信息,请参阅配置远程 RADIUS 服务器组。
在 NPS 代理上,对于添加到远程 RADIUS 服务器组的每个 RADIUS 服务器,单击 RADIUS 服务器的“负载均衡”选项卡,然后配置“优先级”、“权重”和“高级设置”。
在 NPS 代理上,配置连接请求策略,以将身份验证和记帐请求转发到远程 RADIUS 服务器组。 必须为每个远程 RADIUS 服务器组创建一个连接请求策略。 有关详细信息,请参阅配置连接请求策略。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈