Установка и конфигурирование службы проверки подлинности в Интернете

В этом разделе рассматривается установка службы проверки подлинности в Интернете на серверы. Каждый этап установки и конфигурирования необходимо выполнить на каждом сервере службы проверки подлинности в Интернете.

Для установки службы проверки подлинности в Интернете нужно выбрать в диспетчере дополнительных компонентов Windows (доступ к которому осуществляется через пункт «Установка и удаление компонентов» панели управления) компонент «Сетевые службы — служба проверки подлинности в Интернете». Чтобы упростить этот процесс, воспользуйтесь следующим сценарием:

 

Копировать код

sysocmgr /i:sysoc.inf /u:C:\MSSScripts\OC_AddIAS.txt

Регистрация службы проверки подлинности в Интернете в Active Directory

Серверы службы проверки подлинности в Интернете нужно зарегистрировать в каждом домене, включив учетную запись каждого сервера службы проверки подлинности в Интернете в группу безопасности «Серверы RAS и IAS» в каждом домене, в котором они будут использоваться для проверки подлинности. Членство в этих группах гарантирует, что у серверов службы проверки подлинности в Интернете будет разрешение на чтение свойств удаленного доступа всех учетных записей пользователей и компьютеров в доменах.

Чтобы зарегистрировать серверы службы проверки подлинности в Интернете в Active Directory, выполните следующие действия.

1. Зайдите на каждый сервер, используя учетную запись с правами администратора домена в тех доменах, в которых нужно зарегистрировать сервер службы проверки подлинности в Интернете.

2. Для домена по умолчанию введите в командной строке следующую команду:

 

Копировать код

netsh ras add registeredserver

3. Для других доменов введите в командной строке следующую команду:

 

Копировать код

netsh ras add registeredserver domain = DomainName

Примечание. Объект сервера службы проверки подлинности в Интернете можно также добавить в группу безопасности «Серверы RAS и IAS» с помощью оснастки консоли управления «Active Directory — пользователи и компьютеры».

Создание и защита каталогов данных службы проверки подлинности в Интернете

К каталогам, в которых будут храниться конфигурационные данные и данные журналов на серверах службы проверки подлинности в Интернете, предъявляются определенные требования. Чтобы упростить создание и защиту этих каталогов, запустите в командной строке следующий командный файл:

 

Копировать код

C:\MSSScripts\IAS_Data.bat

Примечание. Возможно, перед выполнением этого файла его придется отредактировать, заменив записи % DomainName % в соответствии с NETBIOS-именем домена конкретной среды.

Конфигурирование основного сервера службы проверки подлинности в Интернете

Сервер, выбранный в качестве основного сервера службы проверки подлинности в Интернете, нужно сконфигурировать раньше всех остальных серверов службы проверки подлинности в Интернете в среде, потому что он будет использоваться в качестве шаблона при их настройке.

Запись запросов проверки подлинности и учета в журналы

По умолчанию служба проверки подлинности в Интернете не записывает запросы проверки подлинности и учета RADIUS в журнал, но эти функции необходимо активировать, чтобы обеспечить регистрацию событий безопасности и возможность их использования при необходимости проведения расследований.

Чтобы настроить запись запросов проверки подлинности и учета в журналы, выполните следующие действия.

1. Выберите в оснастке консоли управления «Служба проверки подлинности в Интернете» журнал удаленного доступа и отобразите свойства метода ведения журнала «Локальный файл».

2. Выберите запросы учета и запросы проверки подлинности.

3. Убедитесь в том, что в качестве каталога файла журнала задан каталог D:\IASLogs и что выбран формат, совместимый с базой данных (это позволяет импортировать журналы непосредственно в базы данных, такие как Microsoft SQL Server™).