Konfigurieren der Kontoführung für den Netzwerkrichtlinienserver
Für den Netzwerkrichtlinienserver (Network Policy Server, NPS) stehen drei Arten der Protokollierung zur Verfügung:
Ereignisprotokollierung: Wird hauptsächlich zur Überwachung und für die Problembehandlung im Zusammenhang mit Verbindungsversuchen verwendet. Die NPS-Ereignisprotokollierung kann durch Abrufen der NPS-Eigenschaften in der NPS-Konsole konfiguriert werden.
Protokollierung von Benutzerauthentifizierungs- und Kontoführungsanforderungen in einer lokalen Datei: Wird hauptsächlich zur Verbindungsanalyse und zu Abrechnungszwecken verwendet. Auch bei Sicherheitsuntersuchungen hilfreich, da Sie so die Aktivitäten eines böswilligen Benutzers nach einem Angriff nachvollziehen können. Die Protokollierung in einer lokalen Datei kann mithilfe des Kontoführungskonfigurations-Assistenten konfiguriert werden.
Protokollierung von Benutzerauthentifizierungs- und Kontoführungsanforderungen in einer XML-konformen Microsoft SQL Server-Datenbank: Ermöglicht die Verwendung einer einzelnen Datenquelle für mehrere Server mit ausgeführtem Netzwerkrichtlinienserver. Bietet außerdem die Vorteile der Verwendung einer relationalen Datenbank. Die SQL Server-Protokollierung kann mithilfe des Kontoführungskonfigurations-Assistenten konfiguriert werden.
Verwenden des Kontoführungskonfigurations-Assistenten
Mithilfe des Kontoführungskonfigurations-Assistenten können die folgenden vier Kontoführungseinstellungen konfiguriert werden:
- Nur SQL-Protokollierung: Mit dieser Einstellung können Sie eine Datenverknüpfung mit einer SQL Server-Instanz konfigurieren, die es dem Netzwerkrichtlinienserver ermöglicht, eine Verbindung mit der SQL Server-Instanz herzustellen und Kontoführungsdaten an die Instanz zu senden. Darüber hinaus kann der Assistent die Datenbank in der SQL Server-Instanz konfigurieren, um sicherzustellen, dass sie mit der SQL Server-Protokollierung des Netzwerkrichtlinienservers kompatibel ist.
- Nur Textprotokollierung: Mit dieser Einstellung können Sie den Netzwerkrichtlinienserver so konfigurieren, dass Kontoführungsdaten in einer Textdatei protokolliert werden.
- Parallele Protokollierung: Mit dieser Einstellung können Sie die SQL Server-Datenverknüpfung und die Datenbank konfigurieren. Darüber hinaus können Sie die Textdateiprotokollierung konfigurieren, sodass der Netzwerkrichtlinienserver für die Protokollierung sowohl die Textdatei als auch die SQL Server-Datenbank verwendet.
- SQL-Protokollierung mit Sicherung: Mit dieser Einstellung können Sie die SQL Server-Datenverknüpfung und die Datenbank konfigurieren. Darüber hinaus können Sie die Textdateiprotokollierung konfigurieren. Diese wird dann vom Netzwerkrichtlinienserver verwendet, wenn die SQL Server-Protokollierung nicht erfolgreich ist.
Zusätzlich zu diesen Einstellungen können Sie sowohl bei der SQL Server-Protokollierung als auch bei der Textdateiprotokollierung angeben, ob vom Netzwerkrichtlinienserver im Falle einer nicht erfolgreichen Protokollierung weiterhin Verbindungsanforderungen verarbeitet werden sollen. Dies kann im Abschnitt Aktion bei Protokollierungsfehlern der Eigenschaften für die Protokollierung in einer lokalen Datei, in den Eigenschaften der SQL Server-Protokollierung und beim Ausführen des Kontoführungskonfigurations-Assistenten angegeben werden.
So führen Sie den im Kontoführungskonfigurations-Assistenten aus
Gehen Sie zum Ausführen des Kontoführungskonfigurations-Assistenten wie folgt vor:
- Öffnen Sie die NPS-Konsole oder das NPS-MMC-Snap-In (Microsoft Management Console).
- Klicken Sie in der Konsolenstruktur auf Kontoführung.
- Klicken Sie im Detailbereich unter Kontoführung auf Kontoführung konfigurieren.
Konfigurieren der NPS-Protokolldateieigenschaften
Sie können den Netzwerkrichtlinienserver (Network Policy Server, NPS) mit RADIUS-Kontoführung (Remote Authentication Dial-In User Service) für Benutzerauthentifizierungsanforderungen, Access-Accept-Nachrichten, Access-Reject-Nachrichten, Kontoführungsanforderungen und -antworten und für regelmäßige Statusaktualisierungen konfigurieren. Mit diesem Verfahren können Sie die Protokolldateien konfigurieren, in denen die Kontoführungsdaten gespeichert werden sollen.
Weitere Informationen zum Interpretieren von Protokolldateien finden Sie unter Interpret NPS Database Format Log Files (Interpretieren von Protokolldateien im NPS-Datenbankformat).
Damit sich die Festplatte nicht mit Protokolldateien füllt, sollten Sie sie unbedingt in einer von der Systempartition getrennten Partition speichern. Im Anschluss finden Sie weitere Informationen zum Konfigurieren der Kontoführung für den Netzwerkrichtlinienserver:
Der Netzwerkrichtlinienserver kann für das Schreiben in eine Named Pipe konfiguriert werden, um die Protokolldateidaten für die Erfassung durch einen anderen Prozess zu senden. Legen Sie den Protokolldateiordner auf „\.\pipe“ oder „\
\pipe“ fest, um Named Pipes zu verwenden. Das Named Pipe-Serverprogramm erstellt eine Named Pipe mit dem Namen „\.\pipe\iaslog.log“, um die Daten zu akzeptieren. Wählen Sie bei Verwendung von Named Pipes im Dialogfeld mit den Eigenschaften der lokalen Datei unter „Neue Protokolldatei erstellen“ die Option „Niemals (unbegrenzte Dateigröße)“ aus. Das Protokolldateiverzeichnis kann mithilfe von Systemumgebungsvariablen wie „%systemdrive%“, „%systemroot%“ und „%windir%“ erstellt werden (anstelle von Benutzervariablen). Beispiel: Bei Verwendung des Pfads „%windir%\System32\Logs“ mit der Umgebungsvariablen „%windir%“ befindet sich die Protokolldatei im Unterordner „\System32\Logs“ des Systemverzeichnisses.
Die Umstellung des Protokolldateiformats führt nicht zur Erstellung eines neuen Protokolls. Wenn Sie das Protokolldateiformat ändern, enthält die Datei, die zum Zeitpunkt der Änderung aktiv ist, eine Mischung aus den beiden Formaten. (Einträge am Anfang des Protokolls haben das vorherige Format und Einträge am Ende des Protokolls das neue Format.)
Falls die RADIUS-Kontoführung aufgrund einer vollen Festplatte oder aufgrund einer anderen Ursache nicht erfolgreich ist, werden vom Netzwerkrichtlinienserver keine Verbindungsanforderungen mehr verarbeitet, um Benutzerzugriffe auf Netzwerkressourcen zu verhindern.
Mithilfe des Netzwerkrichtlinienservers können Sie zusätzlich zur (oder anstelle der) Protokollierung in einer lokalen Datei eine Microsoft® SQL Server™-Datenbank für die Protokollierung verwenden.
Hierfür wird mindestens die Mitgliedschaft in der Gruppe Domänenadministratoren vorausgesetzt.
So konfigurieren Sie NPS-Protokolldateieigenschaften
- Öffnen Sie die NPS-Konsole oder das NPS-MMC-Snap-In (Microsoft Management Console).
- Klicken Sie in der Konsolenstruktur auf Kontoführung.
- Klicken Sie im Detailbereich unter Protokolldateieigenschaften auf Protokolldateieigenschaften ändern. Das Dialogfeld Protokolldateieigenschaften wird geöffnet.
- Vergewissern Sie sich im Dialogfeld Protokolldateieigenschaften auf der Registerkarte Einstellungen unter Folgende Informationen protokollieren, dass Sie genügend Informationen protokollieren, um Ihre Kontoführungsziele zu erreichen. Wenn bei Ihren Protokollen beispielsweise eine Sitzungskorrelation erforderlich ist, aktivieren Sie alle Kontrollkästchen.
- Wählen Sie unter Aktion bei Protokollierungsfehlern die Option Bei nicht erfolgreicher Protokollierung Verbindungsanforderungen verwerfen aus, falls der Netzwerkrichtlinienserver keine Access-Request-Nachrichten mehr verarbeiten soll, wenn Protokolldateien voll oder nicht verfügbar sind. Aktivieren Sie dieses Kontrollkästchen nicht, wenn der Netzwerkrichtlinienserver auch bei nicht erfolgreicher Protokollierung weiterhin Verbindungsanforderungen verarbeiten soll.
- Klicken Sie im Dialogfeld Protokolldateieigenschaften auf die Registerkarte Protokolldatei.
- Geben Sie auf der Registerkarte Protokolldatei unter Verzeichnis den gewünschten Speicherort für NPS-Protokolldateien ein. Standardmäßig wird der Ordner „systemroot\System32\LogFiles“ verwendet.
Wenn Sie unter Protokolldateiverzeichnis keine vollständige Pfadanweisung angeben, wird der Standardpfad verwendet. Wenn Sie unter Protokolldateiverzeichnis beispielsweise die Zeichenfolge NPSLogFile eingeben, befindet sich die Datei unter „%systemroot%\System32\NPSLogFile“. - Klicken Sie unter Format auf DTS-kompatibel. Auf Wunsch können Sie stattdessen auch ein Legacydateiformat wie ODBC (Legacy) oder IAS (Legacy) auswählen.
Die Legacydateitypen ODBC und IAS enthalten eine Teilmenge der Informationen, die vom Netzwerkrichtlinienserver an die SQL Server-Datenbank gesendet werden. Das XML-Format des Dateityps DTS-kompatibel ist mit dem XML-Format identisch, das der Netzwerkrichtlinienserver zum Importieren von Daten in die SQL Server-Datenbank verwendet. Daher bietet das Dateiformat DTS-kompatibel eine effizientere und vollständigere Datenübertragung in die standardmäßige SQL Server-Datenbank für den Netzwerkrichtlinienserver. - Klicken Sie unter Neue Protokolldatei erstellen auf das gewünschte Intervall, um den Netzwerkrichtlinienserver so zu konfigurieren, dass in bestimmten Intervallen neue Protokolldateien begonnen werden:
- Klicken Sie auf Täglich, wenn Sie ein hohes Transaktionsvolumen und eine intensive Protokollierung benötigen.
- Wenn Sie ein geringeres Transaktionsvolumen und eine weniger intensive Protokollierung benötigen, können Sie auf Wöchentlich oder Monatlich klicken.
- Klicken Sie auf Niemals (unbegrenzte Dateigröße), um alle Transaktionen in einer einzelnen Protokolldatei zu speichern.
- Wenn Sie die Größe der einzelnen Protokolldateien begrenzen möchten, klicken Sie auf Wenn Protokolldatei folgende Größe erreicht, und geben Sie dann eine Dateigröße ein, bei der ein neues Protokoll erstellt werden soll. Die Standardgröße beträgt 10 MB.
- Falls der Netzwerkrichtlinienserver alte Protokolldateien löschen soll, um Speicherplatz für neue Protokolldateien freizugeben, wenn die Kapazität der Festplatte nahezu erschöpft ist, aktivieren Sie das Kontrollkästchen Alte Protokolldateien löschen, wenn Datenträger voll ist. Diese Option ist allerdings nicht verfügbar, wenn Neue Protokolldatei erstellen auf Niemals (unbegrenzte Dateigröße) festgelegt ist. Außerdem gilt: Wenn die älteste Protokolldatei zugleich die aktuelle Protokolldatei ist, wird sie nicht gelöscht.
Konfigurieren der SQL Server-Protokollierung des Netzwerkrichtlinienservers
Mithilfe dieses Verfahrens können Sie RADIUS-Kontoführungsdaten in einer lokalen Datenbank oder in einer Remotedatenbank protokollieren, in der Microsoft SQL Server ausgeführt wird.
Hinweis
Kontoführungsdaten werden vom Netzwerkrichtlinienserver als XML-Dokument formatiert und an die gespeicherte Prozedur report_event in der SQL Server-Datenbank gesendet, die Sie im Netzwerkrichtlinienserver festlegen. Damit die SQL Server-Protokollierung ordnungsgemäß funktioniert, muss in der SQL Server-Datenbank eine gespeicherte Prozedur namens report_event vorhanden sein, die die XML-Dokumente vom Netzwerkrichtlinienserver empfangen und analysieren kann.
Um dieses Verfahren auszuführen, ist mindestens die Mitgliedschaft in "Domänen-Admins" oder eine entsprechende Berechtigung erforderlich.
So konfigurieren Sie die SQL Server-Protokollierung im Netzwerkrichtlinienserver
- Öffnen Sie die NPS-Konsole oder das NPS-MMC-Snap-In (Microsoft Management Console).
- Klicken Sie in der Konsolenstruktur auf Kontoführung.
- Klicken Sie im Detailbereich unter SQL Server-Protokollierungseigenschaften auf SQL Server-Protokollierungseigenschaften ändern. Das Dialogfeld SQL Server-Protokollierungseigenschaften wird geöffnet.
- Wählen Sie unter Folgende Informationen protokollieren die zu protokollierenden Informationen aus:
- Sollen alle Kontoführungsanforderungen protokolliert werden, klicken Sie auf Kontoführungsanforderungen.
- Sollen Authentifizierungsanforderungen protokolliert werden, klicken Sie auf Authentifizierungsanforderungen.
- Soll der Status der regelmäßigen Kontoführung protokolliert werden, klicken Sie auf Status der regelmäßigen Kontoführung.
- Soll der regelmäßige Status protokolliert werden (beispielsweise zwischenzeitliche Kontoführungsanforderungen), klicken Sie auf Regelmäßiger Status.
- Geben Sie unter Maximale Anzahl gleichzeitiger Sitzungen eine Zahl ein, um die zulässige Anzahl gleichzeitiger Sitzungen zwischen dem Server, auf dem der Netzwerkrichtlinienserver ausgeführt wird, und der SQL Server-Instanz zu konfigurieren.
- Klicken Sie zum Konfigurieren der SQL Server-Datenquelle unter SQL Server-Protokollierung auf Konfigurieren. Das Dialogfeld Datenverknüpfungseigenschaften wird geöffnet. Geben Sie auf der Registerkarte Verbindung Folgendes an:
- Geben Sie unter Wählen Sie einen Servernamen aus, oder geben Sie ihn ein einen Namen ein, oder wählen Sie einen Namen aus, um den Namen des Servers anzugeben, auf dem die Datenbank gespeichert ist.
- Klicken Sie zum Angeben der Authentifizierungsmethode, die für die Anmeldung bei dem Server verwendet wird, auf Integrierte Sicherheit von Windows NT verwenden. Alternativ können Sie auch auf Bestimmten Benutzernamen/Kennwort verwenden klicken und anschließend unter Benutzername und Kennwort Anmeldeinformationen eingeben.
- Wenn Sie ein leeres Kennwort zulassen möchten, klicken Sie auf Leeres Kennwort.
- Wenn das Kennwort gespeichert werden soll, klicken Sie auf Speichern von Kennwort zulassen.
- Um die Datenbank auf dem Computer mit SQL Server anzugeben, mit der eine Verbindung hergestellt werden soll, klicken Sie auf Datenbank auf dem Server auswählen, und wählen Sie dann einen Datenbanknamen aus der Liste aus.
- Klicken Sie auf Verbindung testen, um die Verbindung zwischen Netzwerkrichtlinienserver und SQL Server zu testen. Klicken Sie auf OK, um Datenverknüpfungseigenschaften zu schließen.
- Wählen Sie unter Aktion bei Protokollierungsfehlern die Option Textdateiprotokollierung für Failover aktivieren aus, wenn der Netzwerkrichtlinienserver mit der Textdateiprotokollierung fortfahren soll, falls die SQL Server-Protokollierung nicht erfolgreich ist.
- Wählen Sie unter Aktion bei Protokollierungsfehlern die Option Bei nicht erfolgreicher Protokollierung Verbindungsanforderungen verwerfen aus, falls der Netzwerkrichtlinienserver keine Access-Request-Nachrichten mehr verarbeiten soll, wenn Protokolldateien voll oder nicht verfügbar sind. Aktivieren Sie dieses Kontrollkästchen nicht, wenn der Netzwerkrichtlinienserver auch bei nicht erfolgreicher Protokollierung weiterhin Verbindungsanforderungen verarbeiten soll.
ping user-name
Einige RADIUS-Proxyserver und Netzwerkzugriffsserver senden in regelmäßigen Abständen Authentifizierungs- und Kontoführungsanforderungen (Pinganforderungen), um zu überprüfen, ob der Netzwerkrichtlinienserver im Netzwerk vorhanden ist. Diese Pinganforderungen enthalten fiktive Benutzernamen. Wenn der Netzwerkrichtlinienserver diese Anforderungen verarbeitet, füllen sich die Ereignis- und Kontoführungsprotokolle mit Access-Reject-Einträgen, was die Nachverfolgung gültiger Einträge erschwert.
Wenn Sie einen Registrierungseintrag für ping user-name konfigurieren, gleicht der Netzwerkrichtlinienserver den Wert des Registrierungseintrags mit dem Benutzernamen aus Pinganforderungen anderer Server ab. Ein Registrierungseintrag vom Typ ping user-name gibt den fiktiven Benutzernamen (oder ein dem fiktiven Benutzernamen entsprechendes Benutzernamenmuster mit Variablen) an, der von RADIUS-Proxyservern und Netzwerkzugriffsservern gesendet wird. Wenn der Netzwerkrichtlinienserver Pinganforderungen empfängt, die dem Wert des Registrierungseintrags vom Typ ping user-name entsprechen, lehnt der Netzwerkrichtlinienserver die Authentifizierungsanforderung ab, ohne die Anforderung zu verarbeiten. Transaktionen mit dem fiktiven Benutzernamen werden vom Netzwerkrichtlinienserver nicht in Protokolldateien erfasst, was die Interpretation des Ereignisprotokolls erleichtert.
ping user-name ist nicht standardmäßig installiert. Sie müssen ping user-name der Registrierung hinzufügen. Sie können der Registrierung mithilfe des Registrierungs-Editors einen Eintrag hinzufügen.
Achtung
Durch eine fehlerhafte Bearbeitung der Registrierung können ernsthafte Systemschäden verursacht werden. Bevor Sie Änderungen an der Registrierung vornehmen, sollten Sie alle wichtigen Computerdaten sichern.
So fügen Sie „ping user-name“ der Registrierung hinzu
„ping user-name“ kann dem folgenden Registrierungsschlüssel durch ein Mitglied der lokalen Administratorgruppe als Zeichenfolgenwert hinzugefügt werden:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IAS\Parameters
- Name:
ping user-name
- Typ:
REG_SZ
- Daten: Benutername
Tipp
Wenn Sie als Wert von ping user-name mehrere Benutzernamen angeben möchten, können Sie unter Daten ein Namensmuster eingeben (beispielsweise einen DNS-Namen mit Platzhalterzeichen).