对多个远程访问服务器使用RADIUS集中验证(2)

　　安装ISA
　　
　　默认情况下安装Windows Server时并不安装Internet验证服务器接照以下步骤来安装IAS服务器
　　
　　()在Windows Server服务器上打开控制面板双击[添加/删除程序]
　　()选择[添加/删除Window组件]切换到[Window组件]选项卡在[组件]列表中选择[网络服务]单击[详细信息]
　　()选中Internet验证服务]复选框然后单击[确定]按钮
　　()单击(下一步)按钮再单击[完成]按钮
　　
　　安装IAS组件之后将在[程序]菜单的[管理工具]中加入[Internet验证服务]IAS的设置很简单选择[开始][程序][管理工具][Internet验证服务]打开[Internet验证服务]控制台如图所示
　　
　　　
　　
　　配置RADIUS
　　
　　对于有多个远程访问服务器的情况通常使用RADIUS进行集中管理这样就要配置RADIUS客户机和服务器在实际应用中不管是不是远程访问服务器只要支持RADIUS协议就能由RADIUS服务器提供远程访问的用户凭据身份验证和远程访问活动计账这里以Windows远程访问服务器作为RADIUS服务器客户机以IAS作为RADIUS服务器来讲解基本的配置过程
　　
　　主要完成以下步骤:
　　
　　·配置远程访问服务器
　　·配置RADIUS身份验证的远程访问服务器
　　·配置RADEUS记账的远程访问服务器
　　·配置IAS服务器
　　
　　配置IAS服务器
　　
　　主要是配置IAS端口并将要使用RADIUS服务的远程访问服务器注册为客户机
　　
　　配置IAS端口
　　
　　打开[Internet验证服务]控制台用鼠标右键单击[Internet验证服务]然后单击[属性]切换到如图所示的[RADIUS]选项卡进行端口设置用于RADIUS验证的默认UDP端口是或用于RADIUS记账的默认UDP端口是或一般用默认值即可也可自定义端口如果使用多端□设置请用逗号分隔各个端口
　　
　　　
　　
　　不管选用哪个端口都应确认IAS和NAS(RADIUS客户机)配置为使用同一端口
　　
　　注册RADIUS客户机
　　
　　一定要在IAS服务器上注册RADIUS客户机
　　
　　()打开[Internet验证服务]控制台用鼠标右键单击[客户端]从快捷菜单中选择[新建客户端]
　　()弹出如图所示的对话框在[好记的名称]输入框中为RADIUS客户祝设置名称
　　
　　　
　　
　　()在[协议]下拉列表中选择[RADIUS]然后单击[下一步]按钮
　　()弹出如图所示的对话框在[客户端地址(IP或DNS)]中输入客广端的IP地址或DNS名
　　
　　　
　　
　　如果打算使用DNS名称可单击[验证]按钮再单击[解析DNSS名]对话框中的[解析]然后选择想要与来自[搜索结果]中的名称相关联的IP地址
　　
　　()从[客户端供应商]下拉列表中选择制造商的名称
　　
　　一般选择默认的[RADIUS Standard]即可只有打算利用 客户端提供商属性控制访问的远程访问策略时才指定其他选项例如如果RADIUS客户机是Windows远程访问服务器可选择[Microsoft]
　　
　　()在[共享的机密]框中输入客户机的共享密码然后在[确认共享的机密]中重复输入该密码
　　
　　这里的密码用于对IAS服务器和RADIUS客户机之间传输的信息进行加密两端的密码必须完全相同并区分大小写密码可以使用任何标准字母数字和特殊字符　
　　
　　()如果RADIUS客户机支持使用数字签名进行验证如利用PAPCHAP或MSCHAP协议可选中[客户端必须总是在请求中发送签名属性]复选框否则不要选中该复选框
　　
　　()完成以上设置后单击[完成]按钮将RADIUS客户机注册到IAS服务器
　　
　　可根据需要将多个远程访问服务器作为RADIUS客户机注册到IAS服务器对于已注册的客户机可以修改其属性
　　
　　设置RADIUS客户机
　　
　　远程访问服务器必须配置为RADIUS客户机才能使用RADIUS服务可以分别配置Windows远程访问服务器的身份验证和计账提供程序例如远程访问服务器可以使用Windows服务器本身作为它的身份验证提供程序而使用RADIUS作为计账提供程序也可以配置多个RADIUS服务器这样如果主RADIUS服务器不能用了就可自动使用从RADIUS服务器(作为备份)可以在使用路由和远程访问安装向导时设置RADIUS客户机对已经启用的远程访问服务器可以进行手工设置
　　
　　使用RADIUS身份验证
　　
　　()特许[路由和远程访问]控制台
　　()用鼠标右键单击要配置RADIUS身份验证的服务器名然后单击[属性]按钮
　　()打开属性设置对话框并切换到如图所示的[安全]选项卡从[验证提供程序]下拉列表中选择[RADIUS身份验证]然后单击[配置]按钮
　　
　　　
　　
　　()在如图所示的[RADIUS身份验证]对话框中单击[添加)按钮
　　
　　　
　　
　　()在如图所示的[添加RADIUS服务器]对话框中配置RADIUS身份验证服务器的下列选项然后单击[确定]按钮
　　
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　
　　
　　·服务器名:设置IAS服务器的IP地址或主机名称　　　　　　　　　　　　　　　　　　　　
　　·机密:设置与IAS服务器共享的密码该密码用于对它们之间传输的消息进行加密远程访　 问服务器和IAS服务器使用的共享密码必须完全相同　　　　　　　　　　　　　　　　　　　
　　·超时:设置远程访问服务器从IAS服务器获得响应的时限　　　　　　　　　　　　　　　　
　　·初始分数:确定要尝试的IAS服务器优先级分值越高优先级越高　　　　　　　　　　　
　　·端口: 设置RADIUS身份验证的UDP端口这里使用IAS服务器一般用默认值即可　
　　·一直使用数字签名:如果远程访问服务器要求使用数字签名进行验证(如利用PAPCHAP或　MSCHAP协议)就必须选中该项否则不要选中该选项
　　
　　使用RADIUS记账
　　
　　与RADIUS身份验证的操作步骤基本一样用于记账的RADIUS服务器设置如图所示这里不再赘述
　　
　　　　　
　　
　　在Windows远程访问服务器上更改RADIUS参数设置之后只有重新启动路由和远程访问服务设置才能生效
　　
　　在Active Directory中注册IAS服务
　　
　　根据上述设置IAS服务器可以使用本地服务器的账号信息审核RADIUS客户机提交的验证请求这种情况适合于在独立的Windows Server计算机上安装IAS服务
　　
　　如果IAS服务器要使用Active Directory中的账号信息就必须在Active Directory中注册IAS服务也就是将lAS服务器添加到域控制器的RAS和IAS服务器组具体步骤如下
　　
　　()登录到具有域管理员身份的账户的IAS服务器
　　()打开[Internet验证服务]控制台
　　()如图所示用鼠标右键单击[Internet验证服务]从快捷菜单中选择[在Achve Directory中注册服务]可将其注册到默认域
　　
　　　
　　
　　()弹出如图所示的对话框单击[确定]按钮
　　
　　　
　　
　　()弹出如图所示的对话框表示注册成功IAS服务器可以读取域用户账户拨入属性单击[确定]按钮完成