IAS的工作原理(二) 作为 RADIUS 代理的 IAS

更新时间: 2005年1月

应用到: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

作为 RADIUS 代理的 IAS

Internet 验证服务 (IAS) 可以用作 RADIUS 代理，以便提供 RADIUS 客户端（访问服务器）和 RADIUS 服务器（该服务器为连接尝试执行用户身份验证、授权和记帐）之间的 RADIUS 消息的路由。用作 RADIUS 代理时，IAS 是 RADIUS 访问消息和记帐消息流经的中心切换点或路由点。IAS 在记帐日志中记录有关转发的消息的信息。

下图显示了作为 RADIUS 客户端（访问服务器）和 RADIUS 服务器（或另一个 RADIUS 代理）之间的 RADIUS 代理的 IAS。

当 IAS 用作 RADIUS 客户端和 RADIUS 服务器之间的 RADIUS 代理时，将通过以下方式转发网络连接尝试的 RADIUS 消息：

1. 访问服务器（例如拨号网络访问服务器、××× 服务器以及无线访问点）接收来自访问客户端的连接请求。 
   
   
2. 被配置为将 RADIUS 用作身份验证、授权和记帐协议的访问服务器，将会创建访问请求消息，并将其发送到正被用作 IAS RADIUS 代理的 IAS 服务器。 
   
   
3. IAS RADIUS 代理接收访问请求消息，并基于本地配置的连接请求策略确定将访问请求消息转发到哪里。 
   
   
4. IAS RADIUS 代理将访问请求消息转发到相应的 RADIUS 服务器。 
   
   
5. RADIUS 服务器对访问请求消息进行评估。 
   
   
6. 如果需要，RADIUS 服务器将向 IAS RADIUS 代理发送访问质询消息，在此处，此消息将被转发到访问服务器。访问服务器通过访问客户端处理质询，并向 IAS RADIUS 代理发送更新的访问请求，在此处，该请求将被转发到 RADIUS 服务器。 
   
   
7. RADIUS 服务器对连接尝试进行身份验证和授权。 
   
   
8. 如果已对连接尝试进行身份验证和授权，RADIUS 服务器将向 IAS RADIUS 代理发送访问接受消息，在此处，该消息将被转发到访问服务器。 
   
   如果未对连接尝试进行身份验证或授权，RADIUS 服务器将向 IAS RADIUS 代理发送访问拒绝消息，在此处，该消息将被转发到访问服务器。 
   
   
9. 访问服务器完成与访问客户端的连接进程，并向 IAS RADIUS 代理发送记帐请求消息。IAS RADIUS 代理记录记帐数据，并向 RADIUS 服务器转发此消息。 
   
   
10. RADIUS 服务器向 IAS RADIUS 代理发送记帐响应消息，在此处，此响应将被转发到访问服务器。 
    
    

可以在以下情况下将 IAS 用作 RADIUS 代理：

• 您是服务提供商，向多种客户提供外包拨号、虚拟专用网络 (×××) 或无线网络访问服务。您的网络访问服务器向 IAS RADIUS 代理发送连接请求。基于连接请求中用户名称的领域部分，IAS RADIUS 代理向由客户维护并可以对连接尝试进行身份验证和授权的 RADIUS 服务器转发连接请求。有关详细信息，请参阅领域名。 
  
  
• 您希望为不是以下域中成员的用户帐户提供身份验证和授权：IAS 服务器是其成员的域，或与 IAS 服务器是其成员的域具有双向信任关系的其他域。包括不受信任的域、单向信任的域和其他林中的帐户。可以将访问服务器配置为向 IAS RADIUS 代理发送其连接请求，而不是向 IAS RADIUS 服务器发送其连接请求。IAS RADIUS 代理使用用户名称中的领域名称部分，将请求转发到正确的域或林中的 IAS 服务器。一个域或林中的用户帐户的连接尝试，可以被另一个域或林中的网络访问服务器验证身份。 
  
  当两个林仅包含由运行 Microsoft® Windows Server® 2003，Standard Edition、Windows Server 2003，Enterprise Edition 和 Windows Server 2003，Datacenter Edition 的域控制器组成的域时，IAS 支持不带 RADIUS 代理的跨林之间的身份验证。林功能级别必须为 Windows Server 2003，在林之间还必须具有双向信任关系。但是，如果使用带证书的 EAP-TLS 作为身份验证方法，则必须使用 RADIUS 代理用于跨由 Windows Server 2003 域组成的林之间的身份验证。
  
  
• 您希望通过使用不是 Windows 帐户数据库的数据库执行身份验证和授权。在这种情况下，与指定领域名称匹配的连接请求将被转发到 RADIUS 服务器，它可以访问用户帐户的不同数据库和授权数据。其他用户数据库的示例包括 Novell Directory Services (NDS) 和结构化查询语言 (SQL) 数据库。 
  
  
• 您希望处理大量连接请求。在这种情况下，可以将 RADIUS 客户端配置为向 IAS RADIUS 代理发送连接和记帐请求，而不是将其配置为尝试将其连接和记帐请求平衡到多个 RADIUS 服务器。IAS RADIUS 代理动态将连接和记帐请求负载平衡到多个 RADIUS 服务器，增加了每秒钟处理的 RADIUS 客户端和身份验证数目。 
  
  
• 您希望为外包服务提供商提供 RADIUS 身份验证和授权，并尽量减少 Intranet 防火墙配置。Intranet 防火墙位于外围网络（Intranet 和 Internet 之间的网络）和 Intranet 之间。通过在外围网络中放置 IAS 服务器，外围网络和 Intranet 之间的防火墙，必须允许通信在 IAS 服务器和多个域控制器之间流动。当 IAS 服务器替换为 IAS 代理时，防火墙必须只允许 RADIUS 通信在 Intranet 内部 IAS 代理和一个或多个 IAS 服务器之间流动。 
  
  

有关详细信息，请参阅 将 IAS 部署为 RADIUS 代理。

注意

• 你可以在 Windows Server 2003 Standard Edition 中配置 IAS，最多配置 50 个 RADIUS 客户端和 2 个远程 RADIUS 服务器组。你可以采用完全合格的域名或 IP 地址定义 RADIUS 客户端，但不能通过指定 IP 地址范围来定义 RADIUS 客户端组。如果将 RADIUS 客户端的完全合格的域名解析为多个 IP 地址，则 IAS 服务器采用 DNS 查询中返回的第一个 IP 地址。使用 Windows Server 2003 Enterprise Edition 和 Windows Server 2003 Datacenter Edition 中的 IAS，可以配置无限多个 RADIUS 客户端和远程 RADIUS 服务器组。另外，你可以通过指定 IP 地址范围来配置 RADIUS 客户端。