Planowanie serwera NPS jako serwera RADIUS
Podczas wdrażania serwera zasad sieciowych (NPS) jako serwera usługi zdalnej uwierzytelniania telefonicznego (RADIUS), serwer NPS wykonuje uwierzytelnianie, autoryzację i ewidencjonowanie żądań połączeń dla domeny lokalnej oraz domen, które ufają domenie lokalnej. Korzystając z tych wytycznych dotyczących planowania, można uprościć wdrażanie usługi RADIUS.
Te wytyczne dotyczące planowania nie obejmują okoliczności, w których chcesz wdrożyć serwer NPS jako serwer proxy usługi RADIUS. Podczas wdrażania NPS jako proxy RADIUS, NPS przekazuje żądania połączeń do serwera z uruchomionym NPS lub innymi serwerami RADIUS w domenach zdalnych, domenach niezaufanych lub obu tych domenach.
Przed wdrożeniem serwera NPS jako serwera RADIUS w sieci skorzystaj z poniższych wskazówek, aby zaplanować wdrożenie.
Planowanie konfiguracji serwera NPS.
Planowanie klientów usługi RADIUS.
Planowanie użycia metod uwierzytelniania.
Planowanie zasad sieciowych.
Planowanie księgowości NPS.
Planowanie konfiguracji serwera NPS
Musisz zdecydować, w której domenie serwer NPS jest członkiem. W przypadku środowisk z wieloma domenami serwer zasad sieciowych (NPS) może uwierzytelniać poświadczenia dla kont użytkowników w domenie, do której należy, oraz dla wszystkich domen, które ufają domenie lokalnej serwera NPS. Aby umożliwić usłudze zasad sieciowych odczytywanie właściwości dostępu zdalnego kont użytkowników podczas procesu autoryzacji, należy dodać konto komputera usługi NPS do grupy RAS i NPS dla każdej domeny.
Po określeniu członkostwa NPS w domenie, serwer musi być skonfigurowany do komunikowania się z klientami RADIUS, nazywanymi również serwerami dostępu do sieci, przy użyciu protokołu RADIUS. Ponadto można skonfigurować typy zdarzeń, które NPS zapisuje w dzienniku zdarzeń, oraz wprowadzić opis serwera.
Kluczowe kroki
Podczas planowania konfiguracji serwera NPS można wykonać następujące kroki.
Określ porty RADIUS, które NPS używa do odbierania komunikatów RADIUS od klientów RADIUS. Porty domyślne to porty UDP 1812 i 1645 dla komunikatów uwierzytelniania usługi RADIUS oraz portów 1813 i 1646 dla komunikatów ewidencjonowania aktywności usługi RADIUS.
Jeśli serwer NPS jest skonfigurowany z wieloma adapterami sieciowymi, określ adaptery, przez które ruch usługi RADIUS ma być dozwolony.
Określ typy zdarzeń, które mają być rejestrowane przez serwer NPS w dzienniku zdarzeń. Możesz rejestrować odrzucone żądania uwierzytelniania, pomyślne żądania uwierzytelniania lub oba typy żądań.
Ustal, czy wdrażasz więcej niż jeden serwer NPS. Aby zapewnić tolerancję błędów dla uwierzytelniania i rozliczania opartego na usłudze RADIUS, użyj co najmniej dwóch serwerów NPS. Jeden serwer NPS jest używany jako podstawowy serwer RADIUS, a drugi jest używany jako kopia zapasowa. Każdy klient RADIUS jest następnie skonfigurowany na obu serwerach NPS. Jeśli podstawowy serwer NPS stanie się niedostępny, klienci usługi RADIUS wysyłają Access-Request komunikaty do alternatywnego serwera NPS.
Zaplanuj skrypt do kopiowania konfiguracji serwera NPS na inne serwery NPS, aby zaoszczędzić na obciążeniach administracyjnych i zapobiec nieprawidłowej konfiguracji serwera. Serwer NPS udostępnia polecenia
Netsh, które umożliwiają kopiowanie wszystkich lub części konfiguracji serwera NPS na potrzeby importowania do innego serwera NPS. Polecenia można uruchamiać ręcznie w promptNetsh. Jeśli jednak zapiszesz sekwencję poleceń jako skrypt, możesz uruchomić skrypt w późniejszym terminie, jeśli zdecydujesz się zmienić konfiguracje serwera.
Planowanie klientów usługi RADIUS
Klienci RADIUS to serwery dostępu do sieci, takie jak punkty dostępu bezprzewodowego, serwery wirtualnej sieci prywatnej (VPN), przełączniki z obsługą 802,1 X i serwery telefoniczne. Serwery proxy usługi RADIUS, które przesyłają dalej komunikaty żądania połączenia do serwerów RADIUS, są również klientami usługi RADIUS. Serwer zasad sieciowych obsługuje wszystkie serwery dostępu do sieci i serwery proxy RADIUS, które są zgodne z protokołem RADIUS zdefiniowanym w RFC 2865, "Remote Authentication Dial-in User Service (RADIUS)" i RFC 2866, "RADIUS Accounting."
Ważny
Klienci dostępu, tacy jak komputery klienckie, nie są klientami RADIUS. Tylko serwery dostępu do sieci i serwery proxy, które obsługują protokół RADIUS, to klienci usługi RADIUS.
Ponadto zarówno punkty dostępu bezprzewodowego, jak i przełączniki muszą mieć możliwość uwierzytelniania 802.1X. Jeśli chcesz wdrożyć protokół EAP (Extensible Authentication Protocol) lub Protokół PEAP (Protected Extensible Authentication Protocol), punkty dostępu i przełączniki muszą obsługiwać korzystanie z protokołu EAP.
Aby przetestować podstawową współdziałanie połączeń PPP dla punktów dostępu bezprzewodowego, skonfiguruj punkt dostępu i klienta dostępu do korzystania z protokołu uwierzytelniania haseł (PAP). Użyj dodatkowych protokołów uwierzytelniania opartych na protokole PPP, takich jak PEAP, dopóki nie przetestowano tych, które mają być używane do uzyskiwania dostępu do sieci.
Kluczowe kroki
Podczas planowania dla klientów usługi RADIUS można wykonać następujące kroki.
Udokumentowanie atrybutów specyficznych dla dostawcy (VSA), które należy skonfigurować w usłudze NPS. Jeśli serwery dostępu do sieci wymagają VSAs, zanotuj informacje o VSA do późniejszego użycia podczas konfigurowania zasad sieciowych w NPS.
Udokumentowanie adresów IP klientów usługi RADIUS i serwera NPS w celu uproszczenia konfiguracji wszystkich urządzeń. Podczas wdrażania klientów usługi RADIUS należy skonfigurować je tak, aby używały protokołu RADIUS z adresem IP serwera NPS wprowadzonym jako serwer uwierzytelniania. Podczas konfigurowania NPS do komunikowania się z klientami RADIUS należy wprowadzić adresy IP klienta RADIUS do przystawki NPS.
Utwórz udostępnione tajne klucze do konfiguracji na klientach RADIUS i w przystawce NPS. Należy skonfigurować klientów usługi RADIUS ze wspólnym sekretem, który również trzeba wprowadzić do przystawki NPS podczas konfigurowania klientów usługi RADIUS w NPS.
Planowanie użycia metod uwierzytelniania
Serwer NPS obsługuje metody uwierzytelniania oparte na hasłach i oparte na certyfikatach. Jednak nie wszystkie serwery dostępu do sieci obsługują te same metody uwierzytelniania. W niektórych przypadkach można wdrożyć inną metodę uwierzytelniania na podstawie typu dostępu do sieci.
Na przykład możesz chcieć wdrożyć zarówno dostęp bezprzewodowy, jak i vpn dla organizacji, ale użyć innej metody uwierzytelniania dla każdego typu dostępu: EAP-TLS dla połączeń sieci VPN, ze względu na silne zabezpieczenia, które EAP z transport Layer Security (EAP-TLS) zapewnia i PEAP-MS-CHAP v2 dla połączeń bezprzewodowych 802.1X.
PROTOKÓŁ PEAP z protokołem uwierzytelniania Microsoft Challenge Handshake w wersji 2 (PEAP-MS-CHAP v2) zapewnia funkcję o nazwie szybkie ponowne łączenie, która jest przeznaczona do użytku z komputerami przenośnymi i innymi urządzeniami bezprzewodowymi. Szybkie ponowne łączenie umożliwia klientom bezprzewodowym przechodzenie między punktami dostępu bezprzewodowego w tej samej sieci bez ponownego uwierzytelnienia za każdym razem, gdy skojarzy się z nowym punktem dostępu. Zapewnia to lepsze środowisko dla użytkowników bezprzewodowych i umożliwia im przechodzenie między punktami dostępu bez konieczności ponownego wpisywania poświadczeń. Ze względu na szybkie ponowne łączenie i zabezpieczenia, które zapewnia PEAP-MS-CHAP v2, PEAP-MS-CHAP v2 jest logicznym wyborem jako metoda uwierzytelniania dla połączeń bezprzewodowych.
W przypadku połączeń sieci VPN EAP-TLS to metoda uwierzytelniania oparta na certyfikatach, która zapewnia silne zabezpieczenia, które chroni ruch sieciowy, nawet jeśli jest przesyłany przez Internet z komputerów domowych lub przenośnych do serwerów sieci VPN organizacji.
Metody uwierzytelniania oparte na certyfikatach
Metody uwierzytelniania oparte na certyfikatach mają przewagę nad zapewnieniem silnych zabezpieczeń; i mają one wadę bycia trudniejszą do wdrożenia niż metody uwierzytelniania opartego na hasłach.
Zarówno PEAP-MS-CHAP w wersji 2, jak i EAP-TLS są metodami uwierzytelniania opartymi na certyfikatach, ale istnieje wiele różnic między nimi a sposobem ich wdrażania.
EAP-TLS
EAP-TLS używa certyfikatów zarówno do uwierzytelniania klienta, jak i serwera, i wymaga wdrożenia infrastruktury kluczy publicznych (PKI) w organizacji. Wdrażanie infrastruktury kluczy publicznych może być złożone i wymaga fazy planowania niezależnej od planowania użycia serwera NPS jako serwera RADIUS.
W przypadku protokołu EAP-TLS serwer zasad sieciowych rejestruje certyfikat serwera z urzędu certyfikacji (CA), a certyfikat jest zapisywany na komputerze lokalnym w magazynie certyfikatów. Podczas procesu uwierzytelniania uwierzytelnianie serwera odbywa się, gdy serwer NPS wysyła certyfikat serwera do klienta dostępu w celu potwierdzenia tożsamości klienta dostępu. Klient dostępu sprawdza różne właściwości certyfikatu, aby określić, czy certyfikat jest prawidłowy i jest odpowiedni do użycia podczas uwierzytelniania serwera. Jeśli certyfikat serwera spełnia minimalne wymagania dotyczące certyfikatu serwera i jest wystawiany przez urząd certyfikacji, któremu ufa klient dostępu, serwer NPS jest pomyślnie uwierzytelniany przez klienta.
Podobnie uwierzytelnianie klienta odbywa się podczas procesu uwierzytelniania, gdy klient wysyła certyfikat klienta do serwera NPS w celu potwierdzenia tożsamości serwera NPS. Serwer zasad sieciowych sprawdza certyfikat, a jeśli certyfikat klienta spełnia minimalne wymagania dotyczące certyfikatu klienta i jest wystawiany przez urząd certyfikacji, któremu ufa serwer NPS, klient dostępu jest pomyślnie uwierzytelniany przez serwer zasad sieciowych.
Mimo że certyfikat serwera jest przechowywany w magazynie certyfikatów w serwerze NPS, certyfikat klienta lub użytkownika może być przechowywany w magazynie certyfikatów na kliencie lub na karcie inteligentnej.
Aby ten proces uwierzytelniania zakończył się pomyślnie, wymagane jest, aby wszystkie komputery miały certyfikat urzędu certyfikacji organizacji w magazynie certyfikatów zaufanych głównych urzędów certyfikacji dla komputera lokalnego i bieżącego użytkownika.
PEAP—MS-CHAP v2
PEAP -MS-CHAP v2 używa certyfikatu do uwierzytelniania serwera i poświadczeń opartych na hasłach na potrzeby uwierzytelniania użytkownika. Ponieważ certyfikaty są używane tylko do uwierzytelniania serwera, nie trzeba wdrażać infrastruktury kluczy publicznych w celu korzystania z protokołu PEAP-MS-CHAP w wersji 2. Podczas wdrażania protokołu PEAP-MS-CHAP w wersji 2 można uzyskać certyfikat serwera dla serwera NPS na jeden z następujących dwóch sposobów:
Usługi certyfikatów Active Directory (AD CS) można zainstalować, a następnie automatycznie wyrejestrować certyfikaty do serwerów NPS. Jeśli używasz tej metody, należy również zarejestrować certyfikat urzędu certyfikacji na komputerach klienckich łączących się z siecią, aby ufać certyfikatowi wystawionemu serwerowi NPS.
Certyfikat serwera można kupić z publicznego urzędu certyfikacji, takiego jak VeriSign. Jeśli używasz tej metody, upewnij się, że wybrano urząd certyfikacji, który jest już zaufany przez komputery klienckie. Aby określić, czy komputery klienckie ufają urzędowi certyfikacji, otwórz na komputerze klienckim przystawkę certyfikatów Microsoft Management Console (MMC), a następnie wyświetl magazyn Zaufanych Głównych Urzędów Certyfikacji dla Komputera Lokalnego oraz Bieżącego Użytkownika. Jeśli w tych magazynach certyfikatów istnieje certyfikat z urzędu certyfikacji, komputer kliencki ufa urzędowi certyfikacji i w związku z tym będzie ufać każdemu certyfikatowi wystawionemu przez urząd certyfikacji.
Podczas procesu uwierzytelniania przy użyciu protokołu PEAP-MS-CHAP v2 uwierzytelnianie serwera odbywa się, gdy serwer NPS wysyła certyfikat serwera do komputera klienckiego. Klient dostępu sprawdza różne właściwości certyfikatu, aby określić, czy certyfikat jest prawidłowy i jest odpowiedni do użycia podczas uwierzytelniania serwera. Jeśli certyfikat serwera spełnia minimalne wymagania dotyczące certyfikatu serwera i jest wystawiany przez urząd certyfikacji, któremu ufa klient dostępu, serwer NPS jest pomyślnie uwierzytelniany przez klienta.
Uwierzytelnianie użytkownika występuje, gdy użytkownik próbuje nawiązać połączenie z siecią wpisze poświadczenia oparte na hasłach i spróbuje się zalogować. Serwer NPS odbiera poświadczenia i wykonuje uwierzytelnianie i autoryzację. Jeśli użytkownik jest uwierzytelniony i autoryzowany pomyślnie, a komputer kliencki pomyślnie uwierzytelnił serwer NPS, zostanie przyznane żądanie połączenia.
Kluczowe kroki
Podczas planowania użycia metod uwierzytelniania można wykonać następujące kroki.
Zidentyfikuj typy dostępu do sieci, które mają być oferowane, takie jak bezprzewodowy, VPN, przełącznik obsługujący standard 802.1X i dostęp telefoniczny.
Określ metodę uwierzytelniania lub metody, których chcesz użyć dla każdego typu dostępu. Zaleca się użycie metod uwierzytelniania opartych na certyfikatach, które zapewniają silne zabezpieczenia; jednak wdrożenie infrastruktury kluczy publicznych może nie być praktyczne, dlatego inne metody uwierzytelniania mogą zapewnić lepszą równowagę między potrzebami sieci.
Jeśli wdrażasz protokół EAP-TLS, zaplanuj wdrożenie infrastruktury kluczy publicznych. Obejmuje to planowanie szablonów certyfikatów, których będziesz używać na potrzeby certyfikatów serwera i certyfikatów komputerów klienckich. Obejmuje również określenie sposobu rejestrowania certyfikatów na komputerach członkowskich domeny i innych niż należących do domeny oraz określanie, czy chcesz używać kart inteligentnych.
Jeśli wdrażasz protokół PEAP-MS-CHAP w wersji 2, określ, czy chcesz zainstalować usługę AD CS w celu wystawiania certyfikatów serwera na serwerach NPS, czy też chcesz kupić certyfikaty serwera z publicznego urzędu certyfikacji, takiego jak VeriSign.
Planowanie zasad sieci
Zasady sieciowe są używane przez NPS do określania, czy żądania połączeń odebrane od klientów RADIUS są autoryzowane. Serwer NPS używa również właściwości połączenia na koncie użytkownika w celu ustalenia autoryzacji.
Ponieważ zasady sieciowe są przetwarzane w kolejności, w której są wyświetlane w przystawce serwera NPS, należy najpierw umieścić najbardziej restrykcyjne zasady na liście zasad. Dla każdego żądania połączenia NPS próbuje dopasować warunki zasad do właściwości żądania połączenia. NPS (Serwer zasad sieciowych) sprawdza każdą zasadę sieciową po kolei, dopóki nie znajdzie dopasowania. Jeśli nie znajdzie dopasowania, żądanie połączenia zostanie odrzucone.
Kluczowe kroki
Podczas planowania zasad sieci można wykonać następujące kroki.
Określ preferowaną kolejność przetwarzania serwera NPS zasad sieciowych, od najbardziej restrykcyjnych do najmniej restrykcyjnych.
Określ stan zasad. Stan polityki może mieć wartość włączona lub wyłączona. Jeśli zasady są włączone, serwer NPS ocenia zasady podczas wykonywania autoryzacji. Jeśli zasady nie są włączone, nie są oceniane.
Określ typ zasad. Należy określić, czy zasady mają na celu udzielanie dostępu, gdy warunki zasad są zgodne z żądaniem połączenia, czy też zasady mają na celu odmowę dostępu, gdy warunki zasad są zgodne z żądaniem połączenia. Jeśli na przykład chcesz jawnie odmówić dostępu bezprzewodowego do członków grupy systemu Windows, można utworzyć zasady sieciowe, które określają grupę, metodę połączenia bezprzewodowego i ma ustawienie typu zasad Odmowa dostępu.
Określ, czy NPS ma ignorować właściwości wybierania połączenia dla kont użytkowników, które są członkami grupy, na której oparta jest polityka. Jeśli to ustawienie nie jest włączone, właściwości wybierania numerów telefonicznych kont użytkowników zastępują ustawienia skonfigurowane w zasadach sieciowych. Jeśli na przykład skonfigurowano zasady sieciowe, które udzielają dostępu użytkownikowi, ale właściwości połączenia telefonicznego dla tego użytkownika są ustawione na odmowę dostępu, użytkownikowi zostanie odmówiony dostęp. Jeśli jednak włączysz ustawienie zasad typu "Ignorowanie właściwości połączeń konta użytkownika," ten sam użytkownik ma dostęp do sieci.
Ustal, czy polityka korzysta z ustawienia źródła polityki. To ustawienie umożliwia łatwe określenie źródła dla wszystkich żądań dostępu. Możliwe źródła to brama usług terminalowych (TS Gateway), serwer dostępu zdalnego (VPN lub dial-up), serwer DHCP, punkt dostępu bezprzewodowego i serwer Urzędu Rejestracji Stanu Zdrowia. Alternatywnie można określić źródło specyficzne dla dostawcy.
Określ warunki, które należy dopasować w celu zastosowania zasad sieciowych.
Określ ustawienia, które są stosowane, jeśli warunki zasad sieciowych są zgodne z żądaniem połączenia.
Określ, czy chcesz używać, modyfikować lub usuwać domyślne zasady sieciowe.
Planowanie rachunkowości NPS
NPS umożliwia rejestrowanie danych rozliczeniowych RADIUS, takich jak uwierzytelnianie użytkowników i żądania rozliczeń, w trzech formatach: format IAS, format zgodny z bazą danych i rejestrowanie w Microsoft SQL Server.
Format IAS i format zgodny z bazą danych tworzą pliki dziennika w lokalnym serwerze NPS w formacie pliku tekstowego.
Rejestrowanie w programie SQL Server umożliwia logowanie do bazy danych zgodnej z XML w SQL Server 2000 lub SQL Server 2005, rozszerzając rozliczanie RADIUS w celu wykorzystania zalet rejestrowania w relacyjnej bazie danych.
Kluczowe kroki
Podczas planowania ewidencjonowania aktywności serwera NPS można wykonać następujące kroki.
- Określ, czy chcesz przechowywać dane ewidencjonowania aktywności serwera NPS w plikach dziennika, czy w bazie danych programu SQL Server.
Ewidencjonowanie aktywności serwera NPS przy użyciu lokalnych plików dziennika
Rejestrowanie żądań uwierzytelniania użytkowników i ewidencjonowania aktywności w plikach dziennika jest używane głównie na potrzeby analizy połączeń i rozliczeń, a także jest przydatne jako narzędzie do badania zabezpieczeń, zapewniając metodę śledzenia aktywności złośliwego użytkownika po ataku.
Kluczowe kroki
Podczas planowania ewidencjonowania aktywności serwera NPS przy użyciu lokalnych plików dziennika można wykonać następujące kroki.
Określ format pliku tekstowego, który ma być używany dla plików dziennika serwera NPS.
Wybierz typ informacji, które chcesz rejestrować. Możesz rejestrować żądania księgowe, żądania uwierzytelniania i stan okresowy.
Określ lokalizację dysku twardego, w której chcesz przechowywać pliki dziennika.
Zaprojektuj rozwiązanie do tworzenia kopii zapasowej pliku dziennika. Lokalizacja dysku twardego, w której są przechowywane pliki dziennika, powinna być lokalizacją, która umożliwia łatwe tworzenie kopii zapasowych danych. Ponadto lokalizacja dysku twardego powinna być chroniona przez skonfigurowanie listy kontroli dostępu (ACL) dla folderu, w którym są przechowywane pliki dziennika.
Określ częstotliwość tworzenia nowych plików dziennika. Jeśli chcesz, aby pliki dziennika zostały utworzone na podstawie rozmiaru pliku, określ maksymalny rozmiar pliku dozwolony przed utworzeniem nowego pliku dziennika przez serwer NPS.
Określ, czy serwer NPS ma usuwać starsze pliki dziennika, jeśli na dysku twardym zabraknie miejsca do magazynowania.
Określ aplikację lub aplikacje, których chcesz użyć do wyświetlania danych księgowych i tworzenia raportów.
Rejestrowanie serwera NPS w programie SQL Server
Rejestrowanie SQL Server w NPS jest używane, gdy potrzebne są informacje o stanie sesji, na potrzeby tworzenia raportów i analizy danych oraz do scentralizowania i uproszczenia zarządzania danymi księgowymi.
Serwer zasad sieciowych umożliwia rejestrowanie w programie SQL Server zapytań dotyczących uwierzytelniania i księgowania użytkowników otrzymanych z co najmniej jednego serwera dostępu sieciowego do źródła danych na komputerze z uruchomionym aparatem Microsoft SQL Server Desktop Engine (MSDE 2000) lub dowolną wersją programu SQL Server nowszą niż SQL Server 2000.
Dane księgowe są przekazywane z serwera NPS w formacie XML do procedury składowanej w bazie danych, która obsługuje język zapytań strukturalnych (SQL) i XML (SQLXML). Rejestrowanie żądań uwierzytelniania użytkowników i ewidencjonowania aktywności w bazie danych programu SQL Server zgodnej ze standardem XML umożliwia wielu serwerom NPS posiadanie jednego źródła danych.
Kluczowe kroki
Podczas planowania rozliczania NPS przy użyciu rejestrowania w SQL Server można wykonać następujące kroki.
Określ, czy ty lub inny członek organizacji korzystasz z programu SQL Server 2000 lub relacyjnych baz danych programu SQL Server 2005, i rozumiesz, jak używać tych produktów do tworzenia, modyfikowania, administrowania bazami danych programu SQL Server i zarządzania nimi.
Ustal, czy program SQL Server jest zainstalowany na serwerze NPS, czy na komputerze zdalnym.
Zaprojektuj procedurę składowaną używaną w bazie danych programu SQL Server do przetwarzania przychodzących plików XML zawierających dane ewidencjonowania aktywności serwera NPS.
Projektowanie struktury i przepływu replikacji bazy danych programu SQL Server.
Określ aplikację lub aplikacje, których chcesz użyć do wyświetlania danych księgowych i tworzenia raportów.
Zaplanuj używanie serwerów dostępu do sieci, które wysyłają atrybut Class we wszystkich żądaniach księgowych. Atrybut Class jest wysyłany do klienta RADIUS w komunikacie Access-Accept i jest przydatny do korelowania komunikatów Accounting-Request z sesjami uwierzytelniania. Jeśli atrybut Class jest wysyłany przez serwer dostępu do sieci w komunikatach żądań rozliczeniowych, może służyć do dopasowania rekordów rozliczeniowych i uwierzytelniania. Kombinacja atrybutów Unique-Serial-Number, Service-Reboot-Time i Server-Address musi być unikatową identyfikacją dla każdego uwierzytelniania, które akceptuje serwer.
Zaplanuj używanie serwerów dostępu do sieci, które obsługują księgowość tymczasową.
Zaplanuj używanie serwerów dostępu do sieci, które wysyłają komunikaty Accounting-on i Accounting-off.
Zaplanuj używanie serwerów dostępu do sieci, które obsługują przechowywanie i przekazywanie danych księgowych. Serwery dostępu do sieci, które obsługują tę funkcję, mogą przechowywać dane rozliczeniowe, gdy serwer dostępu do sieci nie może komunikować się z serwerem NPS. Gdy serwer NPS jest dostępny, serwer dostępu do sieci przekazuje przechowywane rekordy do serwera NPS, co zwiększa niezawodność rozliczeń w porównaniu do serwerów dostępu do sieci, które nie oferują tej funkcji.
Zaplanuj zawsze konfigurowanie atrybutu Acct-Interim-Interval w zasadach sieciowych. Atrybut Acct-Interim-Interval ustawia interwał (w sekundach) między każdą tymczasową aktualizacją wysyłaną przez serwer dostępu do sieci. Zgodnie z RFC 2869 wartość atrybutu Acct-Interim-Interval nie może być mniejsza niż 60 sekund (1 minuta) i nie powinna być mniejsza niż 600 sekund (10 minut), co oznacza, że wartości przekraczające 600 sekund zmniejszają częstotliwość aktualizacji odebranych przez serwer RADIUS. Aby uzyskać więcej informacji, zobacz RFC 2869.
Upewnij się, że rejestrowanie stanu okresowego jest włączone na serwerach NPS.