Konfigurieren der Kontoführung für den Netzwerkrichtlinienserver

  • Artikel
  • 9 Minuten Lesedauer

Es gibt drei Arten der Protokollierung für den Netzwerkrichtlinienserver (Network Policy Server, NPS):

  • Ereignisprotokollierung. Wird hauptsächlich für die Überwachung und Problembehandlung von Verbindungsversuchen verwendet. Sie können die NPS-Ereignisprotokollierung konfigurieren, indem Sie die NPS-Eigenschaften in der NPS-Konsole abrufen.

  • Protokollieren von Benutzerauthentifizierungs- und Buchhaltungsanforderungen in einer lokalen Datei. Wird hauptsächlich zu Verbindungsanalyse- und Abrechnungszwecken verwendet. Auch als Tool zur Sicherheitsuntersuchung nützlich, da es Ihnen eine Methode zum Nachverfolgen der Aktivität eines böswilligen Benutzers nach einem Angriff bietet. Sie können die lokale Dateiprotokollierung mithilfe des Assistenten für die Konfiguration der Buchhaltung konfigurieren.

  • Protokollieren von Benutzerauthentifizierungs- und Buchhaltungsanforderungen Microsoft SQL Server XML-konformen Datenbank. Wird verwendet, um mehreren Servern, auf denen NPS ausgeführt wird, eine Datenquelle zu ermöglichen. Bietet auch die Vorteile der Verwendung einer relationalen Datenbank. Sie können die SQL Server mithilfe des Assistenten für die Buchhaltungskonfiguration konfigurieren.

Verwenden des Assistenten für die Buchhaltungskonfiguration

Mithilfe des Assistenten für die Konfiguration der Buchhaltung können Sie die folgenden vier Buchhaltungseinstellungen konfigurieren:

  • SQL Protokollierung. Mithilfe dieser Einstellung können Sie einen Datenlink zu einem SQL Server konfigurieren, der NPS das Herstellen einer Verbindung mit und das Senden von Buchhaltungsdaten an den SQL ermöglicht. Darüber hinaus kann der Assistent die Datenbank auf der SQL Server konfigurieren, um sicherzustellen, dass die Datenbank mit der NPS-Serverprotokollierung SQL ist.
  • Nur Textprotokollierung. Mit dieser Einstellung können Sie NPS so konfigurieren, dass Buchhaltungsdaten in einer Textdatei protokolliert werden.
  • Parallele Protokollierung. Mithilfe dieser Einstellung können Sie die SQL Server Und-Datenbank konfigurieren. Sie können auch die Textdateiprotokollierung so konfigurieren, dass NPS-Protokolle gleichzeitig in der Textdatei und der SQL Server werden.
  • SQL Protokollierung mit Sicherung. Mithilfe dieser Einstellung können Sie die SQL Server Und-Datenbank konfigurieren. Darüber hinaus können Sie die Textdateiprotokollierung konfigurieren, die NPS verwendet, wenn SQL Server protokollierung fehlschlägt.

Zusätzlich zu diesen Einstellungen können Sie mit SQL Server- und Textprotokollierung angeben, ob NPS verbindungsanforderungen weiterhin verarbeiten soll, wenn die Protokollierung fehlschlägt. Sie können dies im Abschnitt Protokollierungsfehleraktion in den Eigenschaften der lokalen Dateiprotokollierung, SQL Serverprotokollierungseigenschaften und während der Ausführung des Assistenten für die Kontoführungskonfiguration angeben.

So führen Sie den Konfigurations-Assistenten für die Buchhaltung aus

Führen Sie zum Ausführen des Konfigurations-Assistenten für die Buchhaltung die folgenden Schritte aus:

  1. Öffnen Sie die NPS-Konsole oder das MMC-Snap-In (NPS Microsoft Management Console).
  2. Klicken Sie in der Konsolenstruktur auf Buchhaltung.
  3. Klicken Sie im Detailbereich unter Buchhaltung auf Buchhaltung konfigurieren.

Konfigurieren von NPS-Protokolldateieigenschaften

Sie können den Netzwerkrichtlinienserver (Network Policy Server, NPS) so konfigurieren, dass Remote Authentication Dial-In User Service (RADIUS) für Benutzerauthentifizierungsanforderungen, Access-Accept-Nachrichten, Access-Reject-Nachrichten, Kontoführungsanforderungen und -antworten sowie regelmäßige Statusaktualisierungen ausgeführt wird. Mit diesem Verfahren können Sie die Protokolldateien konfigurieren, in denen Sie die Buchhaltungsdaten speichern möchten.

Weitere Informationen zum Interpretieren von Protokolldateien finden Sie unter Interpretieren von Protokolldateien im NPS-Datenbankformat.

Um zu verhindern, dass die Protokolldateien die Festplatte füllen, wird dringend empfohlen, sie auf einer Partition zu speichern, die von der Systempartition getrennt ist. Im Folgenden finden Sie weitere Informationen zum Konfigurieren der Kontoführung für NPS:

  • Um die Protokolldateidaten für die Sammlung durch einen anderen Prozess zu senden, können Sie NPS so konfigurieren, dass in eine Named Pipe geschrieben wird. Um Named Pipes zu verwenden, legen Sie den Protokolldateiordner auf \.\pipe oder \ComputerName\pipe fest. Das Named Pipe-Serverprogramm erstellt eine Named Pipe namens \.\pipe\iaslog.log, um die Daten zu akzeptieren. Wählen Sie im Dialogfeld Eigenschaften der lokalen Datei unter Neue Protokolldatei erstellen die Option Nie (unbegrenzte Dateigröße) aus, wenn Sie Named Pipes verwenden.

  • Das Protokolldateiverzeichnis kann mithilfe von Systemumgebungsvariablen (anstelle von Benutzervariablen) wie %systemdrive%, %systemroot% und %windir% erstellt werden. Der folgende Pfad sucht beispielsweise mithilfe der Umgebungsvariablen %windir% die Protokolldatei im Systemverzeichnis im Unterordner \System32\Logs (d. h. %windir%\System32\Logs).

  • Das Wechseln von Protokolldateiformaten führt nicht dazu, dass ein neues Protokoll erstellt wird. Wenn Sie protokolldateiformate ändern, enthält die Datei, die zum Zeitpunkt der Änderung aktiv ist, eine Mischung aus den beiden Formaten (Datensätze am Anfang des Protokolls haben das vorherige Format, und Datensätze am Ende des Protokolls haben das neue Format).

  • Wenn die RADIUS-Kontoführung aufgrund einer vollständigen Festplatte oder aus anderen Gründen fehlschlägt, beendet NPS die Verarbeitung von Verbindungsanforderungen, was den Zugriff von Benutzern auf Netzwerkressourcen verhindert.

  • NPS bietet die Möglichkeit, sich bei einer Microsoft® SQL Server-Datenbank ™ zusätzlich zu oder anstelle der Protokollierung in einer lokalen Datei zu protokollieren.

Die Mitgliedschaft in der Gruppe Domänen-Admins ist die Mindestanforderung für dieses Verfahren.

So konfigurieren Sie NPS-Protokolldateieigenschaften

  1. Öffnen Sie die NPS-Konsole oder das MMC-Snap-In (NPS Microsoft Management Console).
  2. Klicken Sie in der Konsolenstruktur auf Buchhaltung.
  3. Klicken Sie im Detailbereich unter Protokolldateieigenschaften auf Protokolldateieigenschaften ändern. Das Dialogfeld Protokolldateieigenschaften wird geöffnet.
  4. Stellen Sie unter Protokolldateieigenschaften auf Einstellungen Registerkarte Protokollieren der folgenden Informationen sicher, dass Sie genügend Informationen protokollieren, um Ihre Buchhaltungsziele zu erreichen. Wenn Ihre Protokolle beispielsweise eine Sitzungskorrelation erreichen müssen, aktivieren Sie alle Kontrollkästchen.
  5. Wählen Sie unter Protokollierungsfehleraktion die Option Wenn die Protokollierung fehlschlägt aus, verwerfen Sie Verbindungsanforderungen, wenn NPS die Verarbeitung von Access-Request-Nachrichten beenden soll, wenn Protokolldateien aus irgendeinem Grund voll oder nicht verfügbar sind. Wenn NPS die Verarbeitung von Verbindungsanforderungen fortsetzen soll, wenn bei der Protokollierung ein Fehler auftritt, aktivieren Sie dieses Kontrollkästchen nicht.
  6. Klicken Sie im Dialogfeld Protokolldateieigenschaften auf die Registerkarte Protokolldatei .
  7. Geben Sie auf der Registerkarte Protokolldatei unter Verzeichnis den Speicherort für NPS-Protokolldateien ein. Der Standardspeicherort ist der Ordner systemroot\System32\LogFiles.
    Wenn Sie im Protokolldateiverzeichnis keine vollständige Path-Anweisung festlegen, wird der Standardpfad verwendet. Wenn Sie beispielsweise NPSLogFile im Protokolldateiverzeichnis eingeben, befindet sich die Datei unter %systemroot%\System32\NPSLogFile.
  8. Klicken Sie unter Format auf DTS-kompatibel. Wenn Sie möchten, können Sie stattdessen ein Legacydateiformat auswählen, z. B. ODBC (Legacy) oder IAS (Legacy).
    Ältere ODBC- und IAS-Dateitypen enthalten eine Teilmenge der Informationen, die NPS an die SQL Server sendet. Das XML-Format des DTS-kompatiblen Dateityps ist identisch mit dem XML-Format, das NPS zum Importieren von Daten in die SQL Server verwendet. Daher bietet das DTS-kompatible Dateiformat eine effizientere und vollständigere Übertragung von Daten in die Standarddatenbank SQL Server NPS.
  9. Klicken Sie in Neue Protokolldatei erstellen auf das Intervall, das Sie verwenden möchten, um NPS so zu konfigurieren, dass neue Protokolldateien in angegebenen Intervallen gestartet werden:
    • Klicken Sie für große Transaktionsvolumen und Protokollierungsaktivitäten auf Täglich.
    • Klicken Sie für geringere Transaktionsvolumen und Protokollierungsaktivitäten auf Wöchentlich oder Monatlich.
    • Um alle Transaktionen in einer Protokolldatei zu speichern, klicken Sie auf Nie (unbegrenzte Dateigröße).
    • Um die Größe der einzelnen Protokolldateien zu begrenzen, klicken Sie auf Wenn die Protokolldatei diese Größe erreicht, und geben Sie dann eine Dateigröße ein, nach der ein neues Protokoll erstellt wird. Die Standardgröße beträgt 10 Megabyte (MB).
  10. Wenn NPS alte Protokolldateien löschen soll, um Speicherplatz für neue Protokolldateien zu erstellen, wenn sich die Kapazität der Festplatte nähert, stellen Sie sicher, dass Bei vollständigem Datenträger ältere Protokolldateien löschen ausgewählt ist . Diese Option ist jedoch nicht verfügbar, wenn der Wert von Neue Protokolldatei erstellen nie (unbegrenzte Dateigröße) ist. Wenn die älteste Protokolldatei die aktuelle Protokolldatei ist, wird sie auch nicht gelöscht.

Konfigurieren der NPS SQL Server Protokollierung

Mit diesem Verfahren können Sie RADIUS-Kontoführungsdaten in einer lokalen oder Remotedatenbank protokollieren, die Microsoft SQL Server.

Hinweis

NPS formatiert Buchhaltungsdaten als XML-Dokument, das an report_event gespeicherte Prozedur in der SQL Server-Datenbank sendet, die Sie in NPS festlegen. Damit SQL Server ordnungsgemäß funktioniert, müssen Sie über eine gespeicherte Prozedur namens report_event in der SQL Server-Datenbank verfügen, die die XML-Dokumente von NPS empfangen und analysieren kann.

Um dieses Verfahren auszuführen, ist mindestens die Mitgliedschaft in "Domänen-Admins" oder eine entsprechende Berechtigung erforderlich.

So konfigurieren sie SQL Server in NPS

  1. Öffnen Sie die NPS-Konsole oder das MMC-Snap-In (NPS Microsoft Management Console).
  2. Klicken Sie in der Konsolenstruktur auf Buchhaltung.
  3. Klicken Sie im Detailbereich SQL Server Protokollierungseigenschaften auf SQL Server Protokollierungseigenschaften ändern. Das SQL Server Dialogfeld Protokollierungseigenschaften wird geöffnet.
  4. Wählen Sie unter Protokollieren der folgenden Informationen die Informationen aus, die Sie protokollieren möchten:
    • Klicken Sie auf Buchhaltungsanforderungen, um alle Buchhaltungsanforderungen zu protokollieren.
    • Klicken Sie zum Protokollieren von Authentifizierungsanforderungen auf Authentifizierungsanforderungen.
    • Klicken Sie zum Protokollieren des periodischen Kontoführungsstatus auf Periodischer Kontoführungsstatus.
    • Klicken Sie auf Periodischer Status, um periodische Status zu protokollieren, z. B. Zwischenabrechnungsanforderungen.
  5. Um die Anzahl der gleichzeitigen Sitzungen zu konfigurieren, die zwischen dem Server, auf dem NPS ausgeführt wird, und dem SQL Server, geben Sie eine Zahl in Maximale Anzahl gleichzeitiger Sitzungen ein.
  6. Klicken Sie zum Konfigurieren SQL Server Datenquelle in SQL Server Protokollierung auf Konfigurieren. Das Dialogfeld Datenlinkeigenschaften wird geöffnet. Geben Sie auf der Registerkarte Verbindung Folgendes an:
    • Um den Namen des Servers anzugeben, auf dem die Datenbank gespeichert ist, geben Sie unter Auswählen oder Eingeben eines Servernamens einen Namen ein, oder wählen Sie einen Namen aus.
    • Um die Authentifizierungsmethode anzugeben, mit der sich beim Server anmelden soll, klicken Sie auf Use Windows NT integrated security (Integrierte NT-Sicherheit verwenden). Oder klicken Sie auf Einen bestimmten Benutzernamen und ein bestimmtes Kennwort verwenden, und geben Sie dann anmeldeinformationen in Benutzername und Kennwort ein.
    • Um ein leeres Kennwort zu erlauben, klicken Sie auf Leeres Kennwort.
    • Klicken Sie zum Speichern des Kennworts auf Speichern des Kennworts zulassen.
    • Um anzugeben, mit welcher Datenbank auf dem Computer, auf dem SQL Server ausgeführt wird, eine Verbindung herstellen soll, klicken Sie auf Datenbank auf dem Server auswählen, und wählen Sie dann einen Datenbanknamen aus der Liste aus.
  7. Klicken Sie zum Testen der Verbindung zwischen NPS und SQL Server auf Verbindung testen. Klicken Sie auf OK , um die Datenlinkeigenschaften zu schließen.
  8. Wählen Sie unter Protokollierungsfehleraktion die Option Textdateiprotokollierung für Failover aktivieren aus, wenn NPS die Textdateiprotokollierung fortsetzen soll, wenn SQL Server fehler.
  9. Wählen Sie unter Protokollierungsfehleraktion die Option Wenn die Protokollierung fehlschlägt aus, verwerfen Sie Verbindungsanforderungen, wenn NPS die Verarbeitung von Access-Request-Nachrichten beenden soll, wenn Protokolldateien aus irgendeinem Grund voll oder nicht verfügbar sind. Wenn NPS die Verarbeitung von Verbindungsanforderungen fortsetzen soll, wenn bei der Protokollierung ein Fehler auftritt, aktivieren Sie dieses Kontrollkästchen nicht.

Pingen des Benutzernamens

Einige RADIUS-Proxyserver und Netzwerkzugriffsserver senden in regelmäßigen Abständen Authentifizierungs- und Buchhaltungsanforderungen (sogenannte Pinganforderungen), um sicherzustellen, dass der NPS im Netzwerk vorhanden ist. Diese Pinganforderungen enthalten fiktive Benutzernamen. Wenn NPS diese Anforderungen verarbeitet, werden die Ereignis- und Buchhaltungsprotokolle mit Datensätzen zum Ablehnen des Zugriffs gefüllt, wodurch es schwieriger wird, gültige Datensätze zu verfolgen.

Wenn Sie einen Registrierungseintrag für das Pingen des Benutzernamens konfigurieren, stimmt NPS den Registrierungseintragswert mit dem Benutzernamenswert in Pinganforderungen anderer Server ab. Ein Ping-Benutzernamen-Registrierungseintrag gibt den fiktiven Benutzernamen (oder ein Benutzernamensmuster mit Variablen an, das dem fiktiven Benutzernamen entspricht), der von RADIUS-Proxyservern und Netzwerkzugriffsservern gesendet wird. Wenn NPS Pinganforderungen empfängt, die mit dem Registrierungseintragswert für den Ping-Benutzernamen übereinstimmen, lehnt NPS die Authentifizierungsanforderungen ab, ohne die Anforderung zu verarbeiten. NPS notiert keine Transaktionen, die den fiktiven Benutzernamen in Protokolldateien enthalten, was die Interpretation des Ereignisprotokolls vereinfacht.

Der Pingbenutzername ist standardmäßig nicht installiert. Sie müssen der Registrierung einen Pingbenutzernamen hinzufügen. Sie können der Registrierung mithilfe des Registrierungs-Editors einen Eintrag hinzufügen.

Achtung

Durch eine fehlerhafte Bearbeitung der Registrierung können ernsthafte Systemschäden verursacht werden. Bevor Sie Änderungen an der Registrierung vornehmen, sollten Sie alle wichtigen Computerdaten sichern.

So fügen Sie der Registrierung einen Pingbenutzernamen hinzu

Pingbenutzername kann dem folgenden Registrierungsschlüssel als Zeichenfolgenwert von einem Mitglied der lokalen Administratorgruppe hinzugefügt werden:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IAS\Parameters

  • Name:
  • Typ:
  • Daten: Benutzername

Tipp

Um mehr als einen Benutzernamen für einen Ping-Benutzernamenswert anzugeben, geben Sie unter Daten ein Namensmuster ein, z. B. einen DNS-Namen, einschließlich Platzhalterzeichen.