Balanceamento de carga do servidor proxy NPS

  • Artigo

Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016

Clientes RADIUS (Remote Authentication Dial-In User Service), que são servidores de acesso à rede, como servidores VPN (rede virtual privada) e pontos de acesso sem fio, criam solicitações de conexão e os enviam para servidores RADIUS, como NPS. Em alguns casos, um NPS pode receber muitas solicitações de conexão ao mesmo tempo, resultando em desempenho degradado ou sobrecarga. Quando um NPS está sobrecarregado, é uma boa ideia adicionar mais NPSs à rede e configurar o balanceamento de carga. Quando você distribui uniformemente solicitações de conexão de entrada entre vários NPSs para evitar a sobrecarga de um ou mais NPSs, isso é chamado de balanceamento de carga.

O balanceamento de carga é particularmente útil para:

  • Organizações que usam EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) ou Protected Extensible Authentication Protocol (PEAP)-TLS para autenticação. Como esses métodos de autenticação usam certificados para autenticação de servidor e para autenticação do computador cliente ou usuário, a carga em proxies e servidores RADIUS é mais pesada do que quando métodos de autenticação baseados em senha são usados.
  • Organizações que precisam manter a disponibilidade contínua do serviço.
  • ISPs (provedores de serviços de Internet) que terceirizam o acesso à VPN para outras organizações. Os serviços de VPN terceirizados podem gerar um grande volume de tráfego de autenticação.

Há dois métodos que você pode usar para equilibrar a carga de solicitações de conexão enviadas aos NPSs:

  • Configure seus servidores de acesso à rede para enviar solicitações de conexão para vários servidores RADIUS. Por exemplo, se você tiver 20 pontos de acesso sem fio e dois servidores RADIUS, configure cada ponto de acesso para enviar solicitações de conexão para ambos os servidores RADIUS. Você pode balancear a carga e fornecer failover em cada servidor de acesso à rede configurando o servidor de acesso para enviar solicitações de conexão para vários servidores RADIUS em uma ordem de prioridade especificada. Esse método de balanceamento de carga geralmente é melhor para organizações pequenas que não implantam um grande número de clientes RADIUS.
  • Use o NPS configurado como um proxy RADIUS para balancear a carga de solicitações de conexão entre vários NPSs ou outros servidores RADIUS. Por exemplo, se você tiver 100 pontos de acesso sem fio, um proxy NPS e três servidores RADIUS, poderá configurar os pontos de acesso para enviar todo o tráfego para o proxy NPS. No proxy NPS, configure o balanceamento de carga para que o proxy distribua uniformemente as solicitações de conexão entre os três servidores RADIUS. Esse método de balanceamento de carga é melhor para organizações médias e grandes que têm muitos clientes e servidores RADIUS.

Em muitos casos, a melhor abordagem para o balanceamento de carga é configurar clientes RADIUS para enviar solicitações de conexão para dois servidores proxy NPS e, em seguida, configurar os proxies NPS para balancear a carga entre os servidores RADIUS. Essa abordagem fornece failover e balanceamento de carga para proxies NPS e servidores RADIUS.

Prioridade e peso do servidor RADIUS

Durante o processo de configuração do proxy NPS, você pode criar grupos de servidores RADIUS remotos e adicionar servidores RADIUS a cada grupo. Para configurar o balanceamento de carga, você precisa ter mais de um servidor RADIUS por grupo de servidores RADIUS remotos. Ao adicionar membros do grupo ou depois de criar um servidor RADIUS como membro de grupo, você pode acessar a caixa de diálogo Adicionar servidor RADIUS para configurar os seguintes itens na guia Balanceamento de Carga:

  • Prioridade. A prioridade especifica a ordem de importância do servidor RADIUS para o servidor proxy NPS. O nível de prioridade deve ser receber um valor que seja um inteiro, como 1, 2 ou 3. Quanto menor o número, maior a prioridade que o proxy NPS dá ao servidor RADIUS. Por exemplo, se o servidor RADIUS receber a prioridade mais alta 1, o proxy do NPS enviará solicitações de conexão para o servidor RADIUS primeiro; se os servidores com prioridade 1 não estiverem disponíveis, o NPS enviará solicitações de conexão para servidores RADIUS com prioridade 2 e assim por diante. Você pode atribuir a mesma prioridade a vários servidores RADIUS e, em seguida, usar a configuração de Peso para balancear a carga entre eles.

  • Peso. O NPS usa a configuração de Peso para determinar quantas solicitações de conexão enviar para cada membro do grupo quando os membros do grupo têm o mesmo nível de prioridade. A configuração de Peso deve receber um valor entre 1 e 100 e o valor representa uma porcentagem de 100%. Por exemplo, se o grupo de servidores RADIUS remotos contiver dois membros que têm um nível de prioridade 1 e uma classificação de peso 50, o proxy NPS encaminhará 50% das solicitações de conexão para cada servidor RADIUS.

  • Configurações avançadas. Essas configurações de failover fornecem uma maneira de o NPS determinar se o servidor RADIUS remoto não está disponível. Se o NPS determinar que um servidor RADIUS não está disponível, ele poderá começar a enviar solicitações de conexão para outros membros do grupo. Com essas configurações, você pode definir o número de segundos que o proxy NPS aguarda uma resposta do servidor RADIUS antes de considerar a solicitação descartada; o número máximo de solicitações descartadas antes que o proxy NPS identifique o servidor RADIUS como indisponível e o número de segundos que podem decorrer entre solicitações antes que o proxy NPS identifique o servidor RADIUS como indisponível.

Configurar o balanceamento de carga do proxy NPS

Antes de configurar o balanceamento de carga, crie um plano de implantação que inclua de quantos grupos de servidores RADIUS remotos você precisa, quais servidores são membros de cada grupo específico e a configuração de Prioridade e Peso para cada servidor.

Observação

As etapas a seguir pressupõem que você já implantou e configurou servidores RADIUS.

Para configurar o NPS para atuar como um servidor proxy e encaminhar solicitações de conexão de clientes RADIUS para servidores RADIUS remotos, você deve executar as seguintes ações:

  1. Implante seus clientes RADIUS (servidores VPN, servidores de discagem, servidores do Gateway de Serviços de Terminal, comutadores de autenticação 802.1X e pontos de acesso sem fio 802.1X) e configure-os para enviar solicitações de conexão para seus servidores proxy NPS.

  2. No proxy NPS, configure os servidores de acesso à rede como clientes RADIUS. Para obter mais informações, confira Configurar clientes RADIUS.

  3. No proxy NPS, crie um ou mais grupos de servidores RADIUS remotos. Durante esse processo, adicione servidores RADIUS aos grupos de servidores RADIUS remotos. Para obter mais informações, confira Configurar grupos de servidores RADIUS remotos.

  4. No proxy NPS, para cada servidor RADIUS que você adicionar a um grupo de servidores RADIUS remotos, clique na guia Balanceamento de Carga do servidor RADIUS e defina as configurações de Prioridade, Peso e Configurações avançadas.

  5. No proxy NPS, configure as políticas de solicitação de conexão para encaminhar solicitações de autenticação e contabilização para grupos de servidores RADIUS remotos. Você deve criar uma política de solicitação de conexão por grupo de servidores RADIUS remoto. Para obter mais informações, consulte Configurar políticas de solicitação de conexão.