Bilanciamento del carico del server proxy NPS

  • Articolo

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

Client RADIUS (Remote Authentication Dial-In User Service), che sono server di accesso alla rete, ad esempio server VPN (Virtual Private Network) e punti di accesso wireless, creare richieste di connessione e inviarle a server RADIUS come NPS. In alcuni casi, un NPS potrebbe ricevere troppe richieste di connessione contemporaneamente, causando prestazioni ridotte o un sovraccarico. Quando si esegue l'overload di un NPS, è consigliabile aggiungere più NPS alla rete e configurare il bilanciamento del carico. Quando si distribuiscono uniformemente le richieste di connessione in ingresso tra più server dei criteri di rete per impedire l'overload di uno o più NPS, viene chiamato bilanciamento del carico.

Il bilanciamento del carico è particolarmente utile per:

  • Organizzazioni che usano Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) o PROTECTED Extensible Authentication Protocol (PEAP)-TLS per l'autenticazione. Poiché questi metodi di autenticazione usano certificati per l'autenticazione server e per l'autenticazione del computer utente o client, il carico su proxy RADIUS e server è più pesante rispetto a quando vengono usati metodi di autenticazione basati su password.
  • Organizzazioni che devono sostenere la disponibilità continua del servizio.
  • Provider di servizi Internet (ISP) che esternalizzano l'accesso VPN per altre organizzazioni. I servizi VPN esternalizzati possono generare un volume elevato di traffico di autenticazione.

Esistono due metodi che è possibile usare per bilanciare il carico delle richieste di connessione inviate agli NPS:

  • Configurare i server di accesso alla rete per inviare richieste di connessione a più server RADIUS. Ad esempio, se sono presenti 20 punti di accesso wireless e due server RADIUS, configurare ogni punto di accesso per inviare richieste di connessione a entrambi i server RADIUS. È possibile bilanciare il carico e fornire il failover in ogni server di accesso di rete configurando il server di accesso per inviare richieste di connessione a più server RADIUS in un ordine di priorità specificato. Questo metodo di bilanciamento del carico è in genere ideale per le piccole organizzazioni che non distribuiscono un numero elevato di client RADIUS.
  • Usare NPS configurato come proxy RADIUS per bilanciare il carico delle richieste di connessione tra più NPS o altri server RADIUS. Ad esempio, se si dispone di 100 punti di accesso wireless, un proxy NPS e tre server RADIUS, è possibile configurare i punti di accesso per inviare tutto il traffico al proxy NPS. Nel proxy NPS configurare il bilanciamento del carico in modo che il proxy distribuisca uniformemente le richieste di connessione tra i tre server RADIUS. Questo metodo di bilanciamento del carico è ideale per organizzazioni di medie e grandi dimensioni che dispongono di molti client e server RADIUS.

In molti casi, l'approccio migliore al bilanciamento del carico consiste nel configurare i client RADIUS per inviare richieste di connessione a due server proxy NPS e quindi configurare i proxy NPS per bilanciare il carico tra i server RADIUS. Questo approccio fornisce sia il failover che il bilanciamento del carico per i proxy NPS e i server RADIUS.

Priorità e peso del server RADIUS

Durante il processo di configurazione del proxy NPS, è possibile creare gruppi di server RADIUS remoti e quindi aggiungere server RADIUS a ogni gruppo. Per configurare il bilanciamento del carico, è necessario disporre di più server RADIUS per ogni gruppo di server RADIUS remoto. Durante l'aggiunta di membri del gruppo o dopo la creazione di un server RADIUS come membro del gruppo, è possibile accedere alla finestra di dialogo Aggiungi server RADIUS per configurare gli elementi seguenti nella scheda Bilanciamento del carico:

  • Priorità. La priorità specifica l'ordine di importanza del server RADIUS per il server proxy NPS. Al livello di priorità deve essere assegnato un valore intero, ad esempio 1, 2 o 3. Minore è il numero, maggiore è la priorità che il proxy NPS assegna al server RADIUS. Ad esempio, se al server RADIUS viene assegnata la priorità più alta di 1, il proxy NPS invia prima le richieste di connessione al server RADIUS; se i server con priorità 1 non sono disponibili, NPS invia le richieste di connessione ai server RADIUS con priorità 2 e così via. È possibile assegnare la stessa priorità a più server RADIUS e quindi usare l'impostazione Peso per bilanciare il carico tra di essi.

  • Peso. NPS usa questa impostazione weight per determinare il numero di richieste di connessione da inviare a ogni membro del gruppo quando i membri del gruppo hanno lo stesso livello di priorità. È necessario assegnare un'impostazione Peso, compresa tra 1 e 100, e il valore rappresenta una percentuale del 100%. Ad esempio, se il gruppo di server RADIUS remoto contiene due membri con un livello di priorità pari a 1 e una classificazione di peso pari a 50, il proxy NPS inoltra il 50% delle richieste di connessione a ogni server RADIUS.

  • Impostazioni avanzate. Queste impostazioni di failover consentono a NPS di determinare se il server RADIUS remoto non è disponibile. Se NPS determina che un server RADIUS non è disponibile, può iniziare a inviare richieste di connessione ad altri membri del gruppo. Con queste impostazioni è possibile configurare il numero di secondi in cui il proxy NPS attende una risposta dal server RADIUS prima che consideri la richiesta eliminata; numero massimo di richieste eliminate prima che il proxy NPS identifichi il server RADIUS come non disponibile; e il numero di secondi che possono trascorrere tra le richieste prima che il proxy NPS identifichi il server RADIUS come non disponibile.

Configurare il bilanciamento del carico del proxy NPS

Prima di configurare il bilanciamento del carico, creare un piano di distribuzione che includa il numero di gruppi di server RADIUS remoti necessari, quali server sono membri di ogni gruppo specifico e l'impostazione Priorità e Peso per ogni server.

Nota

I passaggi seguenti presuppongono che siano già stati distribuiti e configurati server RADIUS.

Per configurare NPS come server proxy e inoltrare le richieste di connessione dai client RADIUS ai server RADIUS remoti, è necessario eseguire le azioni seguenti:

  1. Distribuire i client RADIUS (server VPN, server di accesso esterno, server gateway Servizi terminal, 802.1X autenticatori e 802.1X punti di accesso wireless) e configurarli per inviare richieste di connessione ai server proxy NPS.

  2. Nel proxy NPS, configurare i server di accesso alla rete come client RADIUS. Per maggiori informazioni, consultare la sezione Configurazione di RADIUS.

  3. Nel proxy NPS, creare uno o più gruppi di server RADIUS remoti. Durante questo processo, aggiungere server RADIUS ai gruppi di server RADIUS remoti. Per maggiori informazioni, consultare la sezione Configurazione dei gruppi di server RADIUS remoti.

  4. Nel proxy NPS, per ogni server RADIUS aggiunto a un gruppo di server RADIUS remoto, fare clic sulla scheda Bilanciamento carico server RADIUS, quindi configurare Priorità, Peso e Impostazioni avanzate.

  5. Nel proxy NPS, configurare i criteri di richiesta di connessione per inoltrare le richieste di autenticazione e contabilità ai gruppi di server RADIUS remoti. È necessario creare un criterio di richiesta di connessione per ogni gruppo di server RADIUS remoto. Per maggiori informazioni, consultare la sezione Configurazione dei criteri di richiesta di connessione.