我们正在网络交换机上设置 netlogin,以便在将计算机接入网络之前对其进行身份验证。在此过程中,交换机将把计算机的 MAC 地址发送到 RADIUS 服务器(我们使用 Windows Server 2003 IAS),以确定计算机应位于哪个 VLAN 中。
在 IAS 中有一个日志记录选项,您可以将所有身份验证尝试记录到中央 SQL 服务器(我们使用的是 MSSQL Server 2005)。这很有效……直到 SQL 服务器不可用。根据微软自己的文档:
如果 IAS 服务器无法与 SQL Server 2000 建立连接,则 IAS 服务器将停止处理身份验证和记帐请求,并且用户无法登录到网络
在我测试之前,我简直不敢相信我所读到的内容。如果日志服务器不可用,用户就无法登录网络?!日志记录什么时候变成一项关键功能了?我们在许多地方设有办事处,而 SQL 服务器位于中央办事处,因此如果与外围办事处的链接中断,用户将无法再登录网络,因为 SQL 服务器将无法访问。
如果无法访问 SQL 服务器,是否有任何方法可以记录 IAS 操作而不导致整个过程失败?
答案1
如果这是一项关键任务,我建议对 SQL Server 进行集群。这个缺点是 IAS 特有的,因此您必须向 Microsoft 提出这个问题。抱歉 :-/
答案2
出于安全考虑,日志记录至关重要,因为黑客首先会禁用日志记录以防止被破解。SQL Server 自身的安全审计可以设置为以同样的方式运行 - 如果日志记录停止工作,则实例停止。这是硬核的,但安全专家说这是可行的方法。
答案3
在每个 IAS 服务器上安装本地版本的 SQL Server。如果日志记录对您来说并不重要,那么应该可以。这可能意味着更强大的解决方案,但这是唯一无需为每个位置的 SQL Server 部署单独的服务器(这是我的通常偏好)的方法。然后,您可以使用某种流程定期从每个本地 SQL Server 实例中提取记录,并将其发布到集中式 SQL Server 以用于报告目的。