Централизованные или распределенные серверы службы проверки подлинности в Интернете

В большинстве компаний средних размеров за отправную точку проекта следует взять централизованную архитектуру серверов службы проверки подлинности в Интернете (IAS). Здесь делается предположение, что в распоряжении большинства таких компаний имеются надежные высокоскоростные соединения с удаленными филиалами через глобальную сеть и что на передачу трафика RADIUS не расходуется значительной доли пропускной способности, потому что эта архитектура рассчитана на использование соединений через глобальные сети и коммутируемых соединений. Кроме того, при наличии готовой избыточной и высокоскоростной глобальной сетевой инфраструктуры централизованная архитектура более эффективна с экономической точки зрения.

Но даже при выполнении этих условий перед выбором централизованной архитектуры нужно проанализировать текущие характеристики имеющихся каналов связи через глобальную сеть, потому что при перегрузке этих каналов время ожидания для некоторых видов трафика, например трафика DHCP, может истечь при ожидании завершения попыток проверки подлинности по стандарту 802.1X. Помимо связи с клиентами есть и другие факторы, на которые следует обратить внимание при рассмотрении централизованной архитектуры службы проверки подлинности в Интернете, потому что для взаимодействия серверов службы проверки подлинности в Интернете с контроллерами домена нужны надежные сетевые соединения. Это требуется для того, чтобы предотвратить истечение временных интервалов, отпущенных на выполнение операций, при определении прав доступа к сети и членства в группах.

Некоторые компании централизованная архитектура не устраивает из-за расходов, связанных с приобретением и обслуживанием избыточных высокоскоростных соединений через глобальную сеть и сложного сетевого оборудования. Такие компании могут использовать распределенную архитектуру службы проверки подлинности в Интернете, особенно, если у них уже развернута децентрализованная серверная инфраструктура.

Возможен также подход, объединяющий эти два варианта. Он включает стратегическое размещение серверов службы проверки подлинности в Интернете на объектах, позволяющих обеспечить поддержку инфраструктуры, и использование этих серверов для предоставления услуг проверки подлинности филиалам компании, в которых базовая серверная инфраструктура может отсутствовать (см. рис. 4).

Рис. 4. Смешанный подход к созданию серверной инфраструктуры службы проверки подлинности в Интернете в беспроводной сети

В данном руководстве, которое объединяет все три модели, описывается конфигурирование крупных центральных офисов с двумя RADIUS-серверами, способными обслуживать и локальные, и удаленные запросы, и крупных домашних офисов с необязательными филиалами с одним сервером.

Примечание.   В этом случае наличие доступа к беспроводной сети из удаленных офисов, в которых нет серверной инфраструктуры, также будет зависеть от доступности глобальной сети.

Размещение серверов службы проверки подлинности в Интернете и соображения по поводу совмещения функций

Для поддержания доступности служб глобальной сети требуются как минимум два RADIUS-сервера на каждый независимый лес Active Directory. Кроме этого базового требования есть ряд других факторов, от которых зависит число необходимых серверов и возможность их использования для выполнения других серверных функций.

Как правило, размещать серверы службы проверки подлинности в Интернете следует в соответствии с размещением контроллеров домена, то есть, если в офисе уже используется соединение через глобальную сеть с другим офисом для доступа к службам домена, скорее всего, следует использовать и удаленный RADIUS-сервер. В крупных офисах со своими контроллерами домена, скорее всего, нужно будет установить хотя бы по одному RADIUS-серверу. При наличии возможности его следует дополнить резервной системой, расположенной в другом месте, с которым имеется канал связи через глобальную сеть. При планировании размещения RADIUS­серверов для обеспечения надежной проверки подлинности локальных пользователей, а также размещения контроллеров домена, используемых для проверки подлинности, следует оценить пропускную способность канала связи через глобальную сеть, потому что реализация решения приведет к увеличению объема трафика. Кроме того, для повышения производительности RADIUS-серверы следует устанавливать в корневом домене леса; чтобы оптимизировать операции Kerberos.

Возможно также, что в итоге решающим фактором при выборе того или иного варианта окажется невозможность установить дополнительные серверы в малых удаленных офисах из-за отсутствия места или инфраструктуры для поддержки дополнительных серверов. В таких случаях сервер службы проверки подлинности в Интернете можно совместить с контролером домена Active Directory. Некоторые преимущества и недостатки этого подхода указаны в следующей таблице.

Таблица 5. Соображения по совмещению сервера службы проверки подлинности в Интернете и контроллера домена

Расположение службы проверки подлинности в Интернете	Преимущества	Недостатки
Совместное расположение на контроллере домена	Повышается скорость проверки подлинности и авторизации пользователей и компьютеров. Требуется меньше дополнительных серверов.	Административные группы службы проверки подлинности в Интернете не отделены от администраторов домена. Отсутствие внутреннего разделения сбоев и проблем с производительностью, связанных с совмещением служб.
Независимые серверы службы проверки подлинности в Интернете	Администраторы службы проверки подлинности в Интернете отделены от администраторов домена. Нагрузка на сервер службы проверки подлинности в Интернете и его работоспособность не влияют на работу контроллера домена.	Нужны дополнительные серверы.

Как указано в этой таблице, есть причина тому, что многие организации принимают политики, ограничивающие функциональность контроллеров домена своими собственными серверами — контроллеры домена являются критически важным элементом сети. Кроме того, при создании сервера службы проверки подлинности в Интернете на контроллере домена могут возникнуть проблемы с безопасностью, если имеет место разделение обязанностей двух административных групп, потому что изначального разделения групп администраторов службы проверки подлинности в Интернете и локальных администраторов Windows в этом случае нет. Перед принятием решения о совмещении сервера службы проверки подлинности в Интернете с контроллером домена нужно проанализировать подобные факторы. С другой стороны, совмещение этих компонентов среды обеспечивает повышение производительности, не говоря уж об очевидной экономии, особенно в удаленных филиалах.

Чтобы исключить расходы на приобретение дополнительных серверов для удаленных офисов, в качестве серверов службы проверки подлинности в Интернете можно использовать контроллеры домена, которые, возможно, уже есть в удаленных офисах. Это можно сделать или непосредственно, или установив на имеющийся контроллер домена виртуальную машину.