NPS 프록시 서버 부하 분산하기
VPN(가상 사설망) 서버 및 무선 액세스 포인트와 같은 네트워크 액세스 서버인 RADIUS(원격 인증 서비스) 클라이언트는 연결 요청을 만들고 NPS와 같은 RADIUS 서버로 보냅니다. 경우에 따라 NPS가 한 번에 너무 많은 연결 요청을 수신하면 성능이 저하되거나 오버로드가 발생할 수 있습니다. NPS가 오버로드되면 네트워크에 NPS를 더 추가하고 부하 분산을 구성하는 것이 좋습니다. 하나 이상의 NPS의 오버로드를 방지하기 위해 여러 NPS 간에 들어오는 연결 요청을 균등하게 분산하는 것을 부하 분산이라고 합니다.
부하 분산은 다음 특정 상황에 특히 유용합니다.
- 인증을 위해 EAP-TLS(확장 가능한 인증 프로토콜-전송 계층 보안) 또는 PEAP(보호된 확장 가능 인증 프로토콜)-TLS를 사용하는 조직. 이러한 인증 방법은 서버 인증 및 사용자 또는 클라이언트 컴퓨터 인증에 인증서를 사용하므로 암호 기반 인증 방법을 사용하는 경우보다 RADIUS 프록시 및 서버의 로드가 더 무거워집니다.
- 지속적인 서비스 가용성을 유지해야 하는 조직
- 다른 조직의 VPN 액세스를 아웃소싱하는 ISP(인터넷 서비스 공급자)입니다. 아웃소싱된 VPN 서비스는 대량의 인증 트래픽을 생성할 수 있습니다.
NPS로 전송된 연결 요청의 부하를 분산하는 데 사용할 수 있는 두 가지 방법이 있습니다.
- 여러 RADIUS 서버에 연결 요청을 보내도록 네트워크 액세스 서버를 구성합니다. 예를 들어 무선 액세스 포인트 20개와 RADIUS 서버 2개가 있는 경우 각 액세스 포인트에서 두 RADIUS 서버에 연결 요청을 보내도록 구성합니다. 지정된 우선 순위 순서로 여러 RADIUS 서버에 연결 요청을 보내도록 액세스 서버를 구성하여 각 네트워크 액세스 서버에서 부하를 분산하고 장애 조치(failover)를 제공할 수 있습니다. 이 부하 분산 방법은 일반적으로 많은 수의 RADIUS 클라이언트를 배포하지 않는 소규모 조직에 가장 적합합니다.
- RADIUS 프록시로 구성된 NPS를 사용하여 여러 NPS 또는 다른 RADIUS 서버 간에 연결 요청 부하를 분산합니다. 예를 들어 무선 액세스 포인트 100개, NPS 프록시 1개 및 RADIUS 서버 3개가 있는 경우 모든 트래픽을 NPS 프록시로 보내도록 액세스 포인트를 구성할 수 있습니다. NPS 프록시에서 3개의 RADIUS 서버 간에 연결 요청을 균등하게 분산할 수 있도록 부하 분산을 구성합니다. 이 부하 분산 방법은 RADIUS 클라이언트와 서버가 많은 중대형 조직에 가장 적합합니다.
대부분의 경우 부하 분산을 위한 가장 좋은 방법은 두 NPS 프록시 서버에 연결 요청을 보내도록 RADIUS 클라이언트를 구성한 다음, RADIUS 서버 간에 부하를 분산하도록 NPS 프록시를 구성하는 것입니다. 이 방법은 NPS 프록시 및 RADIUS 서버에 대한 장애 조치(failover) 및 부하 분산을 모두 제공합니다.
RADIUS 서버 우선 순위 및 가중치
NPS 프록시 구성 프로세스 중에 원격 RADIUS 서버 그룹을 만든 다음 각 그룹에 RADIUS 서버를 추가할 수 있습니다. 부하 분산을 구성하려면 원격 RADIUS 서버 그룹당 둘 이상의 RADIUS 서버가 있어야 합니다. 그룹 구성원을 추가하는 동안 또는 RADIUS 서버를 그룹 구성원으로 만든 후 RADIUS 서버 추가 대화 상자에 액세스하여 부하 분산 탭에서 다음 항목을 구성할 수 있습니다.
우선 순위. 우선 순위는 NPS 프록시 서버에 대한 RADIUS 서버의 중요도 순서를 지정합니다. 우선 순위 수준에는 1, 2 또는 3과 같은 정수 값이 할당되어야 합니다. 숫자가 낮을수록 NPS 프록시가 RADIUS 서버에 부여하는 우선 순위가 높습니다. 예를 들어 RADIUS 서버에 우선 순위가 가장 높은 1이 할당된 경우 NPS 프록시는 먼저 RADIUS 서버에 연결 요청을 보냅니다. 우선 순위가 1인 서버를 사용할 수 없는 경우 NPS는 우선 순위가 2인 RADIUS 서버에 연결 요청을 보냅니다. 여러 RADIUS 서버에 동일한 우선 순위를 할당한 다음 가중치 설정을 사용하여 부하를 분산할 수 있습니다.
가중치 NPS는 이 가중치 설정을 사용하여 그룹 구성원의 우선 순위 수준이 같을 때 각 그룹 구성원에게 보낼 연결 요청 수를 결정합니다. 가중치 설정은 1에서 100 사이의 값을 할당해야 하며 값은 100%의 백분율을 나타냅니다. 예를 들어 원격 RADIUS 서버 그룹에 우선 순위 수준이 1이고 가중치 등급이 50인 두 구성원이 포함된 경우 NPS 프록시는 연결 요청의 50%를 각 RADIUS 서버에 전달합니다.
고급 설정. 이러한 장애 조치(failover) 설정은 NPS가 원격 RADIUS 서버를 사용할 수 없는지 여부를 확인하는 방법을 제공합니다. NPS에서 RADIUS 서버를 사용할 수 없는 것으로 확인되면 다른 그룹 구성원에게 연결 요청을 보내기 시작할 수 있습니다. 이 설정을 통해 NPS 프록시가 요청이 삭제되었다고 간주하기 전에 RADIUS 서버의 응답을 기다리는 시간을 초 단위로 구성할 수 있습니다. 또한, NPS 프록시가 RADIUS 서버를 사용할 수 없는 것으로 식별하기 전에 삭제된 최대 요청 수와 요청 간에 경과할 수 있는 시간을 초 단위로 구성할 수 있습니다.
NPS 프록시 부하 분산 구성
부하 분산을 구성하기 전에 필요한 원격 RADIUS 서버 그룹 수, 각 특정 그룹의 구성원인 서버, 각 서버에 대한 우선 순위 및 가중치 설정을 포함하는 배포 계획을 만듭니다.
참고 항목
다음 단계에서는 RADIUS 서버를 이미 배포하고 구성했다고 가정합니다.
프록시 서버 역할을 하고 RADIUS 클라이언트에서 원격 RADIUS 서버로 연결 요청을 전달하도록 NPS를 구성하려면 다음 작업을 수행해야 합니다.
RADIUS 클라이언트(VPN 서버, 전화 접속 서버, 터미널 서비스 게이트웨이 서버, 802.1X 인증 스위치 및 802.1X 무선 액세스 포인트)를 배포하고 NPS 프록시 서버에 연결 요청을 보내도록 구성합니다.
NPS 프록시에서 네트워크 액세스 서버를 RADIUS 클라이언트로 구성합니다. 더 자세한 내용은 RADIUS 클라이언트 구성을 참조하세요.
NPS 프록시에서 하나 이상의 원격 RADIUS 서버 그룹을 만듭니다. 이 프로세스 중에 원격 RADIUS 서버 그룹에 RADIUS 서버를 추가합니다. 더 자세한 내용은 원격 RADIUS 서버 그룹 구성의 내용을 참조하십시오.
NPS 프록시에서 원격 RADIUS 서버 그룹에 추가하는 각 RADIUS 서버에 대해 RADIUS 서버 부하 분산 탭을 클릭한 다음 우선 순위, 가중치 및 고급 설정을 구성합니다.
NPS 프록시에서 원격 RADIUS 서버 그룹에 인증 및 회계 요청을 전달하도록 연결 요청 정책을 구성합니다. 원격 RADIUS 서버 그룹당 하나의 연결 요청 정책을 만들어야 합니다. 더 자세한 내용은 연결 요청 정책 구성을 참조하세요.