Wanneer u NPS (Network Policy Server) configureert als een RADIUS-proxy (Remote Authentication Dial-In User Service), worden verbindingsaanvragen doorgestuurd naar RADIUS-servers die bevoegd zijn om deze aanvragen te verwerken en de verificatie en autorisatie uit te voeren in het domein waar het betreffende gebruikers- of computeraccount is opgeslagen. Stel dat u de verbindingsaanvragen wilt doorsturen naar een of meer RADIUS-servers in niet-vertrouwde domeinen, dan configureert u NPS als een RADIUS-proxy die de aanvragen doorstuurt naar de externe RADIUS-servers in het niet-vertrouwde domein.
Voor een configuratie als RADIUS-proxy moet u een beleid voor verbindingsaanvragen instellen dat NPS alle vereiste informatie biedt om te bepalen welke berichten naar welke locatie moeten worden doorgestuurd.
Naar welke locatie de verbindingsaanvragen worden gestuurd, bepaalt u wanneer u een externe RADIUS-servergroep instelt in NPS en een beleid voor verbindingsaanvragen voor die groep maakt.
RADIUS-servers voor een groep configureren
Een externe RADIUS-servergroep is een benoemde groep met een of meer RADIUS-servers. Als u meer dan één server configureert, kunt u taakverdelingsinstellingen opgeven om te bepalen in welke volgorde de servers worden benaderd door de proxy of hoe de stroom van RADIUS-berichten wordt verdeeld over alle servers in de groep. Zo voorkomt u dat een of meer servers overbelast raken door te veel verbindingsaanvragen.
Elke server in de groep heeft de volgende instellingen:
-
Naam of adres
Elk groepslid moet een unieke naam binnen de groep hebben. Dit kan een IP-adres zijn of een naam waaruit het bijbehorende IP-adres kan worden gedistilleerd.
-
Verificatie en accounting
U kunt verificatieaanvragen, accountingaanvragen of beide doorsturen naar elk lid van de externe RADIUS-servergroep.
-
Taakverdeling
Een prioriteitsinstelling die aangeeft welk groepslid de primaire server is (met de prioriteit 1). Voor groepsleden met dezelfde prioriteit wordt een belastingsinstelling gebruikt om te bepalen hoeveel RADIUS-berichten er naar elke server worden verzonden. U kunt aanvullende instellingen opgeven om te bepalen hoe de NPS-server in eerste instantie detecteert dat een groepslid niet meer beschikbaar is en daarna in tweede instantie ziet dat het lid weer beschikbaar is.
Wanneer u een externe RADIUS-servergroep hebt geconfigureerd, kunt u deze opgeven in de instellingen voor verificatie en accounting van een beleid voor verbindingsaanvragen. De externe RADIUS-servergroep kan daarom als eerste worden geconfigureerd. Vervolgens configureert u het beleid voor verbindingsaanvragen waarin u deze nieuwe externe RADIUS-servergroep wilt opnemen. Maar u kunt ook de wizard Beleid voor nieuwe verbindingsaanvragen gebruiken om een nieuwe externe RADIUS-servergroep te maken wanneer u een nieuw beleid voor verbindingsaanvragen maakt.
Opmerking | |
Externe RADIUS-servergroepen houden geen verband met Windows-groepen en NAP-herstelservergroepen (Network Access Protection). |