none
Implementare un server RADIUS in una struttura DC/RODC RRS feed

  • Domanda

  • Rete a Dominio: un PDC/file server in Emilia Romagna e un RODC/file server in Toscana: LAN connesse in VPN "site-to-site" tramite apparati PepLink Balance 580 (protocollo Speedfusion) su linea in fibra da 10Mbit.

    E' sorta la necessità di iniziare a dare accesso remoto alle risorse di rete aziendali ad alcuni utenti i quali potrebbero indifferentemente dover accedere alle risorse di rete del PDC o del RODC.

    Le appliance Peplink mettono a disposizione un server PPTP che vorrei sfruttare e che permette l'autenticazione integrata con Active Directory utilizzando i servizi di un RADIUS server (dichiarano piena compatibilità con Microsoft Windows Internet Authentication Service).

    Posso indifferentemente implementare il RADIUS sever su una qualsiasi delle due macchine, o ancora meglio su di una macchina virtuale appositamente creata in HYPER-V, oppure è meglio creare il ruolo direttamente sul PDC ?

    ALex.

    martedì 29 luglio 2014 12:38

Risposte

  • Ciao, per quanto mi riguarda non implemento più connessioni PPTP da quando ho trovato online una guida "come bucare il PPTP in 5 minuti". E' vero che non è il server primario a fare da gateway ma sono le appliance, ma per quella che è la mia opinione sarebbe un mucchio meglio una vpn con dei client ssl\ipsec...poi vedi tu, nel tuo caso se riesci a mettere il radius non sui DC fai sicuramente una cosa migliore, segmentare è sempre positivo se si può...

    Poi i colleghi diranno la loro idea.

    Ciao.

    A.

    martedì 29 luglio 2014 12:44
    Moderatore
  • In una VPN Client-to-LAN non permanente e con connessioni di massimo un paio d'ore, una PPTP con autenticazione MS-CHAP-v2 è esposta meno alle vulnerabilità a cui è soggetto il protocollo, tuttavia ciò non significa che sia un metodo che possa far stare tranquilli....

    Sono d'accordo che, quando possibile, è sicuramente meglio utilizzare metodi di autenticazione più robusti.

    Per quanto riguarda dove implementare RADIUS è meglio utilizzare un server ad-hoc nella sede del DC (immagino che sia quella principale, quindi più affidabile e performante a livello di connessione e infrastrutture). Il RODC poteva essere utilizzato se gli utenti remoti dovevano accedere solo alle risorse della sede secondaria, ma nel tuo caso (dove devono accedere a tutto) a mio parere è meglio avere RADIUS e DC scrivibile collegati localmente in modo da avere meno criticità legate al collegamento VPN tra le sedi.

    Ti consiglio anche la lettura delle best practices: http://technet.microsoft.com/it-it/library/cc771746(v=ws.10).aspx



    martedì 29 luglio 2014 15:53
    Moderatore

Tutte le risposte

  • Ciao, per quanto mi riguarda non implemento più connessioni PPTP da quando ho trovato online una guida "come bucare il PPTP in 5 minuti". E' vero che non è il server primario a fare da gateway ma sono le appliance, ma per quella che è la mia opinione sarebbe un mucchio meglio una vpn con dei client ssl\ipsec...poi vedi tu, nel tuo caso se riesci a mettere il radius non sui DC fai sicuramente una cosa migliore, segmentare è sempre positivo se si può...

    Poi i colleghi diranno la loro idea.

    Ciao.

    A.

    martedì 29 luglio 2014 12:44
    Moderatore
  • In una VPN Client-to-LAN non permanente e con connessioni di massimo un paio d'ore, una PPTP con autenticazione MS-CHAP-v2 è esposta meno alle vulnerabilità a cui è soggetto il protocollo, tuttavia ciò non significa che sia un metodo che possa far stare tranquilli....

    Sono d'accordo che, quando possibile, è sicuramente meglio utilizzare metodi di autenticazione più robusti.

    Per quanto riguarda dove implementare RADIUS è meglio utilizzare un server ad-hoc nella sede del DC (immagino che sia quella principale, quindi più affidabile e performante a livello di connessione e infrastrutture). Il RODC poteva essere utilizzato se gli utenti remoti dovevano accedere solo alle risorse della sede secondaria, ma nel tuo caso (dove devono accedere a tutto) a mio parere è meglio avere RADIUS e DC scrivibile collegati localmente in modo da avere meno criticità legate al collegamento VPN tra le sedi.

    Ti consiglio anche la lettura delle best practices: http://technet.microsoft.com/it-it/library/cc771746(v=ws.10).aspx



    martedì 29 luglio 2014 15:53
    Moderatore
  • Grazie mille, mi avete dato alcuni consigli utilissimi !

    Bello anche il best practices segnalato da Fabrizio, mooolto ben fatto.

    ALex.

    mercoledì 30 luglio 2014 15:47