Équilibrage de charge du serveur proxy NPS

  • Article

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016

Les clients du protocole RADIUS (Remote Authentication Dial-In User Service), qui sont des serveurs d’accès réseau tels que des serveurs de réseau privé virtuel (VPN) et des points d’accès sans fil, créent des demandes de connexion et les envoient aux serveurs RADIUS tels que NPS. Dans certains cas, un serveur NPS (Network Policy Server) peut recevoir un trop grand nombre de demandes de connexion à la fois, ce qui entraîne une dégradation du niveau de performance ou une surcharge. Lorsqu’un serveur NPS est surchargé, il est judicieux d’ajouter d’autres NPS à votre réseau et de configurer l’équilibrage de charge. Lorsque vous répartissez uniformément les demandes de connexion entrantes entre plusieurs serveurs NPS pour éviter la surcharge d’un ou plusieurs NPS, cela est appelé équilibrage de charge.

L’équilibrage de charge est particulièrement utile pour :

  • Organisations qui utilisent l’authentification extensible Protocol-Transport Layer Security (EAP-TLS) ou le protocole PEAP (Protected Extensible Authentication Protocol)-TLS pour l’authentification. Étant donné que ces méthodes d’authentification utilisent des certificats pour l’authentification du serveur et pour l’authentification de l’utilisateur ou de l’ordinateur client, la charge sur les proxys RADIUS et les serveurs est plus lourde que lorsque des méthodes d’authentification basées sur un mot de passe sont utilisées.
  • Organisations qui ont besoin de maintenir une disponibilité continue des services.
  • Fournisseurs de services Internet (ISP) qui externalisent l’accès VPN pour d’autres organisations. Les services VPN externalisés peuvent générer un volume important de trafic d’authentification.

Il existe deux méthodes que vous pouvez utiliser pour équilibrer la charge des demandes de connexion envoyées à vos serveurs NPS :

  • Configurez vos serveurs d’accès réseau pour envoyer des demandes de connexion à plusieurs serveurs RADIUS. Par exemple, si vous avez 20 points d’accès sans fil et deux serveurs RADIUS, configurez chaque point d’accès pour envoyer des demandes de connexion aux deux serveurs RADIUS. Vous pouvez équilibrer la charge et fournir un basculement sur chaque serveur d’accès réseau en configurant le serveur d’accès pour envoyer des demandes de connexion à plusieurs serveurs RADIUS dans un ordre de priorité spécifié. Cette méthode d’équilibrage de charge est généralement idéale pour les petites organisations qui ne déploient pas un grand nombre de clients RADIUS.
  • Utilisez NPS configuré comme proxy RADIUS pour équilibrer la charge des demandes de connexion entre plusieurs serveurs NPS ou d’autres serveurs RADIUS. Par exemple, si vous avez 100 points d’accès sans fil, un proxy NPS et trois serveurs RADIUS, vous pouvez configurer les points d’accès pour envoyer tout le trafic au proxy NPS. Sur le proxy NPS, configurez l’équilibrage de charge afin que le proxy distribue uniformément les demandes de connexion entre les trois serveurs RADIUS. Cette méthode d’équilibrage de charge est idéale pour les moyennes et grandes organisations qui ont de nombreux clients et serveurs RADIUS.

Dans de nombreux cas, la meilleure approche de l’équilibrage de charge consiste à configurer les clients RADIUS pour envoyer des demandes de connexion à deux serveurs proxy NPS, puis à configurer les proxys NPS pour équilibrer la charge entre les serveurs RADIUS. Cette approche fournit à la fois le basculement et l’équilibrage de charge pour les proxys NPS et les serveurs RADIUS.

Priorité et poids du serveur RADIUS

Pendant le processus de configuration du proxy NPS, vous pouvez créer des groupes de serveurs RADIUS distants, puis ajouter des serveurs RADIUS à chaque groupe. Pour configurer l’équilibrage de charge, vous devez disposer de plusieurs serveurs RADIUS par groupe de serveurs RADIUS distant. Lors de l’ajout de membres du groupe, ou après avoir créé un serveur RADIUS en tant que membre du groupe, vous pouvez accéder à la boîte de dialogue Ajouter un serveur RADIUS pour configurer les éléments suivants sous l’onglet Équilibrage de charge :

  • Priorité. La priorité spécifie l’ordre d’importance du serveur RADIUS pour le serveur proxy NPS. Le niveau de priorité doit se voir attribuer une valeur qui est un entier, par exemple 1, 2 ou 3. Plus le nombre est faible, plus la priorité que le proxy NPS accorde au serveur RADIUS est élevée. Par exemple, si le serveur RADIUS se voit attribuer la priorité la plus élevée de 1, le proxy NPS envoie d’abord les demandes de connexion au serveur RADIUS ; si les serveurs de priorité 1 ne sont pas disponibles, NPS envoie ensuite les demandes de connexion aux serveurs RADIUS avec priorité 2, et ainsi de suite. Vous pouvez attribuer la même priorité à plusieurs serveurs RADIUS, puis utiliser le paramètre Poids pour équilibrer la charge entre eux.

  • Poids. NPS utilise ce paramètre Poids pour déterminer le nombre de demandes de connexion à envoyer à chaque membre du groupe lorsque les membres du groupe ont le même niveau de priorité. Le paramètre Poids doit se voir attribuer une valeur comprise entre 1 et 100, et la valeur représente un pourcentage de 100 %. Par exemple, si le groupe de serveurs RADIUS distant contient deux membres qui ont tous deux un niveau de priorité de 1 et une évaluation de poids de 50, le proxy NPS transfère 50 % des demandes de connexion à chaque serveur RADIUS.

  • Paramètres avancés. Ces paramètres de basculement permettent à NPS de déterminer si le serveur RADIUS distant n’est pas disponible. Si NPS détermine qu’un serveur RADIUS n’est pas disponible, il peut commencer à envoyer des demandes de connexion à d’autres membres du groupe. Avec ces paramètres, vous pouvez configurer le nombre de secondes pendant lesquelles le proxy NPS attend une réponse du serveur RADIUS avant qu’il ne considère la demande supprimée ; le nombre maximal de demandes supprimées avant que le proxy NPS identifie le serveur RADIUS comme indisponible ; et le nombre de secondes qui peuvent s’écouler entre les requêtes avant que le proxy NPS identifie le serveur RADIUS comme indisponible.

Configurer l’équilibrage de la charge du proxy NPS

Avant de configurer l’équilibrage de charge, créez un plan de déploiement qui inclut le nombre de groupes de serveurs RADIUS distants dont vous avez besoin, les serveurs qui sont membres de chaque groupe particulier et les paramètres Priorité et Poids pour chaque serveur.

Remarque

Les étapes suivantes supposent que vous avez déjà déployé et configuré des serveurs RADIUS.

Pour configurer NPS en tant que serveur proxy et transférer les demandes de connexion des clients RADIUS vers des serveurs RADIUS distants, vous devez effectuer les actions suivantes :

  1. Déployez vos clients RADIUS (serveurs VPN, serveurs d’accès à distance, serveurs de passerelle Terminal Services, commutateurs d’authentification 802.1X et points d’accès sans fil 802.1X) et configurez-les pour envoyer des demandes de connexion à vos serveurs proxy NPS.

  2. Sur le proxy NPS, configurez les serveurs d’accès réseau en tant que clients RADIUS. Pour plus d’informations, consultez Configurer des clients RADIUS.

  3. Sur le proxy NPS, créez un ou plusieurs groupes de serveurs RADIUS distants. Au cours de ce processus, ajoutez des serveurs RADIUS aux groupes de serveurs RADIUS distants. Pour plus d'informations, consultez Configurer les groupes de serveur RADIUS à distance.

  4. Sur le proxy NPS, pour chaque serveur RADIUS que vous ajoutez à un groupe de serveurs RADIUS distant, cliquez sur l’onglet Équilibrage de charge du serveur RADIUS, puis configurez Priorité,Poids, etParamètres avancés.

  5. Sur le proxy NPS, configurez des stratégies de demande de connexion pour transférer les demandes d’authentification et de comptabilité aux groupes de serveurs RADIUS distants. Vous devez créer une stratégie de demande de connexion par groupe de serveurs RADIUS distant. Pour plus d’informations, consultez Configurer les stratégies de demande de connexion.