Балансировка нагрузки прокси-сервера NPS
Клиенты службы удаленной проверки подлинности (RADIUS), которые являются серверами доступа к сети, такими как серверы виртуальной частной сети (VPN) и беспроводные точки доступа, создают запросы на подключение и отправляют их на серверы RADIUS, такие как NPS. В некоторых случаях NPS может получать слишком много запросов на подключение одновременно, что приводит к снижению производительности или перегрузке. При перегрузке NPS рекомендуется добавить в сеть больше NPS и настроить балансировку нагрузки. Если равномерно распределять входящие запросы на подключение между несколькими NPS, чтобы предотвратить перегрузку одного или нескольких NPS, она называется балансировкой нагрузки.
Балансировка нагрузки особенно полезна для:
- Организации, использующие расширяемый протокол проверки подлинности— протокол EAP-TLS или защищенный протокол проверки подлинности (PEAP)-TLS для проверки подлинности. Так как эти методы проверки подлинности используют сертификаты для проверки подлинности сервера и для проверки подлинности пользователя или клиентского компьютера, нагрузка на прокси-серверы RADIUS тяжелее, чем при использовании методов проверки подлинности на основе паролей.
- Организации, которые должны поддерживать непрерывную доступность служб.
- Поставщики услуг Интернета (ISPs), которые аутсорсинг VPN-доступа для других организаций. Внешние VPN-службы могут создавать большой объем трафика проверки подлинности.
Существует два метода, которые можно использовать для балансировки нагрузки запросов на подключение, отправленных в NPS.
- Настройте серверы сетевого доступа для отправки запросов на подключение к нескольким серверам RADIUS. Например, если у вас есть 20 беспроводных точек доступа и два сервера RADIUS, настройте каждую точку доступа для отправки запросов на подключение к обоим серверам RADIUS. Вы можете сбалансировать нагрузку и предоставить отработку отказа на каждом сервере доступа, настроив сервер доступа для отправки запросов на подключение к нескольким серверам RADIUS в указанном порядке приоритета. Этот метод балансировки нагрузки обычно лучше всего подходит для небольших организаций, которые не развертывают большое количество клиентов RADIUS.
- Используйте NPS, настроенный в качестве прокси-сервера RADIUS, для балансировки нагрузки запросов на подключение между несколькими NPS или другими серверами RADIUS. Например, если у вас есть 100 точек беспроводного доступа, один прокси-сервер NPS и три сервера RADIUS, можно настроить точки доступа для отправки всего трафика на прокси-сервер NPS. На прокси-сервере NPS настройте балансировку нагрузки, чтобы прокси-сервер равномерно распределял запросы на подключение между тремя серверами RADIUS. Этот метод балансировки нагрузки лучше всего подходит для средних и крупных организаций, имеющих множество клиентов и серверов RADIUS.
Во многих случаях оптимальный подход к балансировке нагрузки — настроить клиенты RADIUS для отправки запросов на подключение к двум прокси-серверам NPS, а затем настроить прокси-серверы NPS для балансировки нагрузки между серверами RADIUS. Этот подход обеспечивает как отработку отказа, так и балансировку нагрузки для прокси-серверов NPS и RADIUS-серверов.
Приоритет и вес сервера RADIUS
В процессе настройки прокси-сервера NPS можно создать удаленные группы серверов RADIUS, а затем добавить серверы RADIUS в каждую группу. Чтобы настроить балансировку нагрузки, необходимо иметь несколько серверов RADIUS для каждой удаленной группы серверов RADIUS. При добавлении членов группы или после создания сервера RADIUS в качестве члена группы можно получить доступ к диалоговому окне "Добавить сервер RADIUS", чтобы настроить следующие элементы на вкладке "Балансировка нагрузки".
Приоритет. Приоритет указывает порядок важности сервера RADIUS для прокси-сервера NPS. Уровень приоритета должен назначаться значением, которое является целым числом, например 1, 2 или 3. Чем ниже число, тем выше приоритет прокси-сервера NPS. Например, если сервер RADIUS назначен наивысшим приоритетом 1, прокси-сервер NPS отправляет запросы на подключение к серверу RADIUS в первую очередь; Если серверы с приоритетом 1 недоступны, NPS отправляет запросы на подключение к серверам RADIUS с приоритетом 2 и т. д. Вы можете назначить один и тот же приоритет нескольким серверам RADIUS, а затем использовать параметр "Вес" для балансировки нагрузки между ними.
Вес. NPS использует этот параметр веса для определения количества запросов на подключение для отправки каждому члену группы, когда члены группы имеют одинаковый уровень приоритета. Параметр веса должен быть назначен в диапазоне от 1 до 100, а значение представляет процент от 100 процентов. Например, если удаленная группа серверов RADIUS содержит два члена, которые имеют уровень приоритета 1 и весовую оценку 50, прокси-сервер NPS пересылает 50 процентов запросов на подключение к каждому серверу RADIUS.
Дополнительные параметры. Эти параметры отработки отказа позволяют NPS определить, недоступен ли удаленный сервер RADIUS. Если NPS определяет, что сервер RADIUS недоступен, он может начать отправлять запросы на подключение другим членам группы. С помощью этих параметров можно настроить количество секунд, которое прокси-сервер NPS ожидает ответа от сервера RADIUS, прежде чем он будет рассматривать запрос удален; максимальное количество удаленных запросов, прежде чем прокси-сервер NPS определяет сервер RADIUS как недоступный; и количество секунд, которые могут пройти между запросами, прежде чем прокси-сервер NPS определяет сервер RADIUS как недоступный.
Настройка балансировки нагрузки прокси-сервера NPS
Перед настройкой балансировки нагрузки создайте план развертывания, включающий количество необходимых удаленных групп серверов RADIUS, какие серверы являются членами каждой конкретной группы, а также параметр "Приоритет" и "Вес" для каждого сервера.
Примечание.
В следующих шагах предполагается, что вы уже развернули и настроили серверы RADIUS.
Чтобы настроить NPS для работы в качестве прокси-сервера и пересылки запросов подключения от клиентов RADIUS к удаленным серверам RADIUS, необходимо выполнить следующие действия.
Разверните клиенты RADIUS (VPN-серверы, серверы телефонного подключения, серверы шлюзов служб терминалов, параметры проверки подлинности 802.1X и точки беспроводного доступа 802.1X) и настройте их для отправки запросов на подключение к прокси-серверам NPS.
На прокси-сервере NPS настройте серверы сетевого доступа в качестве клиентов RADIUS. Дополнительные сведения см. в разделе "Настройка клиентов RADIUS".
На прокси-сервере NPS создайте одну или несколько удаленных групп серверов RADIUS. В ходе этого процесса добавьте серверы RADIUS в удаленные группы серверов RADIUS. Дополнительные сведения см. в разделе "Настройка групп удаленных серверов RADIUS".
На прокси-сервере NPS для каждого сервера RADIUS, добавляемого в удаленную группу серверов RADIUS, перейдите на вкладку балансировки нагрузки сервера RADIUS, а затем настройте приоритет, вес и дополнительные параметры.
На прокси-сервере NPS настройте политики запросов на подключение для пересылки запросов проверки подлинности и учета в удаленные группы серверов RADIUS. Необходимо создать одну политику запроса подключения для каждой удаленной группы серверов RADIUS. Дополнительные сведения см. в разделе "Настройка политик запроса на подключение".