在 Windows Server 2003 上设置 RADIUS

Question 1

这正是我目前设置思科设备的方式。回答您的问题

不，它不必是域控制器，我真的想不出任何令人信服的理由。我把它放在设备本地的 DC 上，因为 a) 它们已经在进行身份验证，而对于网络设备身份验证，你不会增加那么多负载，b) 当时真的没有其他地方可以放它。
不会，不会导致重启或启动/停止服务
第一个指南看起来与 Windows 端非常吻合。请参阅下面的示例代码，其中的示例代码来自我的配置，用于运行 Cisco 端。
您要做的一件事是确保您拥有本地帐户，以便在您的 radius 服务器不可用时可以故障恢复。并确保在设置时有一个设置为不超时的活动控制台会话。在进行设置时，您可以轻松地将自己锁定在路由器之外。

这是用于验证控制台访问而不是 VPN 访问，我将把它留在这里以防有人发现它有用。

aaa new-model
aaa authentication login default group radius local
radius-server host <server_ip/name> auth-port 1812 acct-port 1813 key <encrypted_shared_key>

Answer

这正是我目前设置思科设备的方式。回答您的问题

不，它不必是域控制器，我真的想不出任何令人信服的理由。我把它放在设备本地的 DC 上，因为 a) 它们已经在进行身份验证，而对于网络设备身份验证，你不会增加那么多负载，b) 当时真的没有其他地方可以放它。
不会，不会导致重启或启动/停止服务
第一个指南看起来与 Windows 端非常吻合。请参阅下面的示例代码，其中的示例代码来自我的配置，用于运行 Cisco 端。
您要做的一件事是确保您拥有本地帐户，以便在您的 radius 服务器不可用时可以故障恢复。并确保在设置时有一个设置为不超时的活动控制台会话。在进行设置时，您可以轻松地将自己锁定在路由器之外。

这是用于验证控制台访问而不是 VPN 访问，我将把它留在这里以防有人发现它有用。

aaa new-model
aaa authentication login default group radius local
radius-server host <server_ip/name> auth-port 1812 acct-port 1813 key <encrypted_shared_key>

Question 2

否 IAS 不需要位于 DC 上，尽管如果位于 DC 上，性能可以提高。
取决于系统的其余部分，但根据我的经验，不需要重新启动
这两份指南看上去都很完整。

密切关注您的策略的通配符匹配，因为这就是您可以对同一组的不同主机制定多个策略的方式。如果您不限制它们，任何“允许”匹配都将授予对资源的访问权限。

Answer

否 IAS 不需要位于 DC 上，尽管如果位于 DC 上，性能可以提高。
取决于系统的其余部分，但根据我的经验，不需要重新启动
这两份指南看上去都很完整。

密切关注您的策略的通配符匹配，因为这就是您可以对同一组的不同主机制定多个策略的方式。如果您不限制它们，任何“允许”匹配都将授予对资源的访问权限。

在 Windows Server 2003 上设置 RADIUS

答案1

答案2

相关内容