Установка и конфигурирование службы проверки подлинности в ИнтернетеВ этом разделе рассматривается установка службы проверки подлинности в Интернете на серверы. Каждый этап установки и конфигурирования необходимо выполнить на каждом сервере службы проверки подлинности в Интернете. Для установки службы проверки подлинности в Интернете нужно выбрать в диспетчере дополнительных компонентов Windows (доступ к которому осуществляется через пункт «Установка и удаление компонентов» панели управления) компонент «Сетевые службы — служба проверки подлинности в Интернете». Чтобы упростить этот процесс, воспользуйтесь следующим сценарием:
Копировать код sysocmgr /i:sysoc.inf /u:C:\MSSScripts\OC_AddIAS.txt Регистрация службы проверки подлинности в Интернете в Active Directory Серверы службы проверки подлинности в Интернете нужно зарегистрировать в каждом домене, включив учетную запись каждого сервера службы проверки подлинности в Интернете в группу безопасности «Серверы RAS и IAS» в каждом домене, в котором они будут использоваться для проверки подлинности. Членство в этих группах гарантирует, что у серверов службы проверки подлинности в Интернете будет разрешение на чтение свойств удаленного доступа всех учетных записей пользователей и компьютеров в доменах. Чтобы зарегистрировать серверы службы проверки подлинности в Интернете в Active Directory, выполните следующие действия. 1. Зайдите на каждый сервер, используя учетную запись с правами администратора домена в тех доменах, в которых нужно зарегистрировать сервер службы проверки подлинности в Интернете. 2. Для домена по умолчанию введите в командной строке следующую команду:
Копировать код netsh ras add registeredserver 3. Для других доменов введите в командной строке следующую команду:
Копировать код netsh ras add registeredserver domain = DomainName Примечание. Объект сервера службы проверки подлинности в Интернете можно также добавить в группу безопасности «Серверы RAS и IAS» с помощью оснастки консоли управления «Active Directory — пользователи и компьютеры». Создание и защита каталогов данных службы проверки подлинности в Интернете К каталогам, в которых будут храниться конфигурационные данные и данные журналов на серверах службы проверки подлинности в Интернете, предъявляются определенные требования. Чтобы упростить создание и защиту этих каталогов, запустите в командной строке следующий командный файл:
Копировать код C:\MSSScripts\IAS_Data.bat Примечание. Возможно, перед выполнением этого файла его придется отредактировать, заменив записи % DomainName % в соответствии с NETBIOS-именем домена конкретной среды. Конфигурирование основного сервера службы проверки подлинности в Интернете Сервер, выбранный в качестве основного сервера службы проверки подлинности в Интернете, нужно сконфигурировать раньше всех остальных серверов службы проверки подлинности в Интернете в среде, потому что он будет использоваться в качестве шаблона при их настройке. Запись запросов проверки подлинности и учета в журналы По умолчанию служба проверки подлинности в Интернете не записывает запросы проверки подлинности и учета RADIUS в журнал, но эти функции необходимо активировать, чтобы обеспечить регистрацию событий безопасности и возможность их использования при необходимости проведения расследований. Чтобы настроить запись запросов проверки подлинности и учета в журналы, выполните следующие действия. 1. Выберите в оснастке консоли управления «Служба проверки подлинности в Интернете» журнал удаленного доступа и отобразите свойства метода ведения журнала «Локальный файл». 2. Выберите запросы учета и запросы проверки подлинности. 3. Убедитесь в том, что в качестве каталога файла журнала задан каталог D:\IASLogs и что выбран формат, совместимый с базой данных (это позволяет импортировать журналы непосредственно в базы данных, такие как Microsoft SQL Server™).
|
