Назад | Перейти на главную страницу

Сбой службы проверки подлинности в Интернете (IAS) при недоступности сервера журналов SQL

Мы настраиваем netlogin на наших сетевых коммутаторах для аутентификации компьютеров перед их подключением к сети. В процессе коммутатор отправит MAC-адрес компьютера на сервер RADIUS (мы используем IAS Windows Server 2003), чтобы определить, в какой VLAN должен находиться компьютер.

В IAS есть возможность ведения журнала, где вы можете регистрировать все попытки аутентификации на центральном сервере SQL (мы используем MSSQL Server 2005). Это отлично работает ... до тех пор, пока SQL-сервер не будет недоступен. В соответствии с Собственная документация Microsoft:

Если IAS-сервер не может установить соединение с SQL Server 2000, IAS-сервер прекращает обработку запросов проверки подлинности и учета, и пользователи не могут войти в сеть.

Я не мог поверить в то, что читал, пока не проверил это. Если сервер регистрации недоступен, пользователи не могут войти в сеть?!?! С каких это пор ведение журнала критически важной функции? У нас есть офисы во многих местах и ​​SQL-сервер в центральном офисе, поэтому, если связь с удаленным офисом выйдет из строя, пользователи больше не смогут войти в сеть, потому что сервер SQL будет недоступен.

Есть ли способ регистрировать действия IAS без сбоя всего процесса, если доступ к серверу SQL невозможен?

Установите локальную версию SQL Server на каждый сервер IAS. Если ведение журнала для вас не критично, это должно сработать. Это может означать более мощное решение, но это единственный способ сделать это без развертывания отдельного сервера (что было бы моим обычным предпочтением) только для SQL Server в каждом месте. Затем вы можете использовать какой-то процесс для периодического извлечения записей из каждого локального экземпляра SQL Server для отправки на централизованный SQL Server для целей отчетности.

В целях безопасности ведение журнала имеет решающее значение, потому что первое, что сделают хакеры, - это отключит ведение журнала, чтобы избежать взлома. Собственный аудит безопасности SQL Server можно настроить таким же образом - если ведение журнала перестает работать, экземпляр останавливается. Это жестко, но фанаты безопасности говорят, что это правильный путь.

Если это будет критически важной задачей, я бы предложил кластеризовать ваш SQL Server. Этот конкретный недостаток характерен для IAS, поэтому вам придется обсудить это с Microsoft. Извини :-/