Freigeben über

Konfigurieren der Ressourcenerfassung für den Netzwerkrichtlinienserver

Es gibt drei Arten von Protokollierung für Netzwerkrichtlinienserver (NETWORK Policy Server, NPS):

  • Ereignisprotokollierung. Wird hauptsächlich für die Auditierung und Problembehandlung von Verbindungsversuchen verwendet. Sie können die NPS-Ereignisprotokollierung konfigurieren, indem Sie die NPS-Eigenschaften in der NPS-Konsole abrufen.

  • Protokollierung von Benutzerauthentifizierungs- und Buchhaltungsanforderungen an eine lokale Datei. Wird hauptsächlich für Verbindungsanalyse- und Abrechnungszwecke verwendet. Auch nützlich als Sicherheitsuntersuchungstool, da es Ihnen eine Methode zum Nachverfolgen der Aktivität eines böswilligen Benutzers nach einem Angriff bietet. Die Protokollierung in einer lokalen Datei kann mithilfe des Konfigurations-Assistenten für die Ressourcenerfassung konfiguriert werden.

  • Protokollierung von Benutzerauthentifizierungs- und Buchhaltungsanforderungen an eine XML-kompatible Microsoft SQL Server-Datenbank. Wird verwendet, um mehreren Servern, auf denen NPS ausgeführt wird, eine Datenquelle zu ermöglichen. Bietet auch die Vorteile der Verwendung einer relationalen Datenbank. Sie können die SQL Server-Protokollierung mithilfe des Assistenten für die Buchhaltungskonfiguration konfigurieren.

Verwenden des Konfigurations-Assistenten für die Ressourcenerfassung

Mithilfe des Assistenten für die Buchhaltungskonfiguration können Sie die folgenden vier Buchhaltungseinstellungen konfigurieren:

  • Nur SQL-Protokollierung. Mithilfe dieser Einstellung können Sie eine Datenverknüpfung mit einem SQL Server konfigurieren, mit dem NPS eine Verbindung mit buchhaltungstechnischen Daten an den SQL-Server herstellen und diese senden kann. Darüber hinaus kann der Assistent die Datenbank auf dem SQL Server konfigurieren, um sicherzustellen, dass die Datenbank mit der NPS SQL Server-Protokollierung kompatibel ist.
  • Nur Textprotokollierung. Mithilfe dieser Einstellung können Sie NPS so konfigurieren, dass Buchhaltungsdaten in einer Textdatei protokolliert werden.
  • Parallele Protokollierung. Mithilfe dieser Einstellung können Sie die SQL Server-Datenverbindung und -Datenbank konfigurieren. Sie können auch die Textdateiprotokollierung so konfigurieren, dass NPS die Textdatei und die SQL Server-Datenbank gleichzeitig protokolliert.
  • SQL-Protokollierung mit Sicherung. Mithilfe dieser Einstellung können Sie die SQL Server-Datenverbindung und -Datenbank konfigurieren. Darüber hinaus können Sie die Textdateiprotokollierung konfigurieren, die NPS verwendet, wenn die SQL Server-Protokollierung fehlschlägt.

Zusätzlich zu diesen Einstellungen können Sie sowohl mit der SQL Server-Protokollierung als auch mit der Textprotokollierung angeben, ob NPS verbindungsanforderungen weiterhin verarbeitet, wenn die Protokollierung fehlschlägt. Dies kann im Abschnitt Aktion bei Protokollierungsfehlern der Eigenschaften für die Protokollierung in einer lokalen Datei, in den Eigenschaften der SQL Server-Protokollierung und beim Ausführen des Konfigurations-Assistenten für die Ressourcenerfassung angegeben werden.

So führen Sie den im Konfigurations-Assistenten für die Ressourcenerfassung aus

Führen Sie zum Ausführen des Assistenten für die Buchhaltungskonfiguration die folgenden Schritte aus:

  1. Öffnen Sie die NPS-Konsole oder das NPS Microsoft Management Console (MMC)-Snap-In.
  2. Wählen Sie in der Konsolenstruktur Ressourcenerfassung aus.
  3. Klicken Sie im Detailbereich in "Buchhaltung" auf " Buchhaltung konfigurieren".

Konfigurieren von NPS-Protokolldateieigenschaften

Sie können den Netzwerkrichtlinienserver (Network Policy Server, NPS) so konfigurieren, dass er die Remote Authentication Dial-In User Service (RADIUS)-Abrechnung für Benutzerauthentifizierungsanforderungen, Access-Accept-Nachrichten, Access-Reject-Nachrichten, Abrechnungsanforderungen und Antworten sowie regelmäßige Statusupdates durchführt. Mit diesem Verfahren können Sie die Protokolldateien konfigurieren, in denen Sie die Buchhaltungsdaten speichern möchten.

Weitere Informationen zum Interpretieren von Protokolldateien finden Sie unter Interpretieren von NPS-Datenbankformat-Protokolldateien.

Um zu verhindern, dass die Protokolldateien die Festplatte ausfüllen, wird dringend empfohlen, sie auf einer Partition zu speichern, die von der Systempartition getrennt ist. Im Folgenden finden Sie weitere Informationen zum Konfigurieren der Buchhaltung für NPS:

  • Um die Protokolldateidaten für die Sammlung durch einen anderen Prozess zu senden, können Sie NPS so konfigurieren, dass er in eine benannte Pipe schreibt. Um benannte Rohre zu verwenden, legen Sie den Protokolldateiordner auf \.\pipe oder \ComputerName\pipe fest. Das Programm Named Pipe Server erstellt einen benannten Pipe mit dem Namen \.\pipe\iaslog.log, um die Daten zu empfangen. Wählen Sie im Dialogfeld "Lokale Dateieigenschaften" bei "Neue Protokolldatei erstellen" die Option "Nie (unbegrenzte Dateigröße)", wenn Sie Named Pipes verwenden.

  • Das Protokolldateiverzeichnis kann mithilfe von Systemumgebungsvariablen (anstelle von Benutzervariablen) erstellt werden, z. B. %systemdrive%, %systemroot%und %windir%. Der folgende Pfad sucht beispielsweise mithilfe der Umgebungsvariablen %windir%die Protokolldatei im Systemverzeichnis im Unterordner \System32\Logs (d. a. %windir%\System32\Logs).

  • Das Wechseln von Protokolldateiformaten führt nicht dazu, dass ein neues Protokoll erstellt wird. Wenn Sie die Protokolldateiformate ändern, enthält die Datei, die zum Zeitpunkt der Änderung aktiv ist, eine Mischung aus den beiden Formaten (Datensätze am Anfang des Protokolls haben das vorherige Format, und Datensätze am Ende des Protokolls haben das neue Format).

  • Wenn die RADIUS-Buchhaltung aufgrund einer vollen Festplatte oder anderer Ursachen fehlschlägt, stoppt NPS die Verarbeitung von Verbindungsanforderungen, wodurch verhindert wird, dass Benutzer auf Netzwerkressourcen zugreifen können.

  • NPS ermöglicht das Protokollieren in einer Microsoft® SQL Server™-Datenbank zusätzlich zur oder anstelle der Protokollierung in einer lokalen Datei.

Die Mitgliedschaft in der Gruppe "Domänenadministratoren" ist mindestens erforderlich, um dieses Verfahren auszuführen.

So konfigurieren Sie NPS-Protokolldateieigenschaften

  1. Öffnen Sie die NPS-Konsole oder das NPS Microsoft Management Console (MMC)-Snap-In.
  2. Wählen Sie in der Konsolenstruktur Ressourcenerfassung aus.
  3. Klicken Sie im Detailbereich in den Protokolldateieigenschaften auf " Protokolldateieigenschaften ändern". Das Dialogfeld "Protokolldateieigenschaften " wird geöffnet.
  4. Stellen Sie in den Protokolldateieigenschaften auf der Registerkarte "Einstellungen" bei Protokolliere die folgenden Informationen sicher, dass Sie genügend Informationen protokollieren, um Ihre Buchhaltungsziele zu erreichen. Wenn Ihre Protokolle beispielsweise eine Sitzungskorrelation durchführen müssen, aktivieren Sie alle Kontrollkästchen.
  5. Wählen Sie in der Aktion "Protokollierungsfehler" die Option "Verbindungsanforderungen verwerfen, wenn die Protokollierung fehlschlägt" aus, wenn NPS die Verarbeitung von Access-Request-Nachrichten beenden soll, wenn Protokolldateien aus irgendeinem Grund voll oder nicht verfügbar sind. Wenn NPS die Verarbeitung von Verbindungsanforderungen fortsetzen soll, wenn die Protokollierung fehlschlägt, aktivieren Sie dieses Kontrollkästchen nicht.
  6. Klicken Sie im Dialogfeld "Protokolldateieigenschaften " auf die Registerkarte "Protokolldatei ".
  7. Geben Sie auf der Registerkarte " Protokolldatei " im Verzeichnis den Speicherort ein, an dem NPS-Protokolldateien gespeichert werden sollen. Der Standardspeicherort ist der Ordner "systemroot\System32\LogFiles".
    Wenn Sie keine vollständige Pfad-Anweisung im Protokolldateiverzeichnis angeben, wird der Standardpfad verwendet. Wenn Sie z. B. NPSLogFile im Protokolldateiverzeichnis eingeben, befindet sich die Datei unter %systemroot%\System32\NPSLogFile.
  8. Klicken Sie im Format auf DTS-Kompatibel. Wenn Sie es vorziehen, können Sie stattdessen ein Älteres Dateiformat wie ODBC (Legacy) oder IAS (Legacy) auswählen.
    Die Legacydateitypen ODBC und IAS enthalten eine Teilmenge der Informationen, die vom Netzwerkrichtlinienserver an die SQL Server-Datenbank gesendet werden. Das XML-Format des DTS-kompatiblen Dateityps ist identisch mit dem XML-Format, das NPS zum Importieren von Daten in die SQL Server-Datenbank verwendet. Für NPS bietet das DTS-kompatible Dateiformat eine effizientere und vollständigere Übertragung von Daten in die Standard SQL Server-Datenbank.
  9. Klicken Sie in "Neue Protokolldatei erstellen", um NPS so zu konfigurieren, dass neue Protokolldateien in bestimmten Intervallen gestartet werden, und klicken Sie auf das Intervall, das Sie verwenden möchten:
    • Klicken Sie bei umfangreichen Transaktionsvolumen und Protokollierungsaktivitäten auf "Täglich".
    • Klicken Sie für weniger Transaktionsvolumen und Protokollierungsaktivitäten auf "Wöchentlich" oder "Monatlich".
    • Um alle Transaktionen in einer Protokolldatei zu speichern, klicken Sie auf "Nie" (unbegrenzte Dateigröße).
    • Wenn Sie die Größe der einzelnen Protokolldateien einschränken möchten, klicken Sie auf "Wenn die Protokolldatei diese Größe erreicht" und geben Sie dann eine Dateigröße ein, nach der ein neues Protokoll erstellt wird. Die Standardgröße ist 10 Megabyte (10 MB).
  10. Wenn NPS alte Protokolldateien löschen soll, um Speicherplatz für neue Protokolldateien freizugeben, wenn die Festplatte fast voll ist, stellen Sie sicher, dass Ältere Protokolldateien löschen, wenn die Festplatte voll ist ausgewählt ist. Diese Option ist nicht verfügbar, wenn der Wert von Neues Protokolldatei erstellenNie (unbegrenzte Dateigröße) lautet. Wenn die älteste Protokolldatei auch die aktuelle Protokolldatei ist, wird sie nicht gelöscht.

Konfigurieren der SQL Server-Protokollierung des Netzwerkrichtlinienservers

Mit diesem Verfahren können Sie RADIUS-Buchhaltungsdaten in einer lokalen oder Remotedatenbank protokollieren, in der Microsoft SQL Server ausgeführt wird.

Hinweis

NPS formatiert Buchhaltungsdaten als XML-Dokument, das an die gespeicherte report_event Prozedur in der SQL Server-Datenbank gesendet wird, die Sie in NPS festlegen. Damit die SQL Server-Protokollierung ordnungsgemäß funktioniert, müssen Sie über eine gespeicherte Prozedur namens report_event in der SQL Server-Datenbank verfügen, die die XML-Dokumente von NPS empfangen und analysieren kann.

Mitgliedschaft in der Gruppe der Domänen-Admins oder einer anderen gleichwertigen Gruppe ist mindestens erforderlich, um dieses Verfahren abzuschließen.

So konfigurieren Sie die SQL Server-Protokollierung in NPS

  1. Öffnen Sie die NPS-Konsole oder das NPS Microsoft Management Console (MMC)-Snap-In.
  2. Wählen Sie in der Konsolenstruktur Ressourcenerfassung aus.
  3. Klicken Sie im Detailbereich in den SQL Server-Protokollierungseigenschaften auf "SQL Server-Protokollierungseigenschaften ändern". Das Dialogfeld "SQL Server-Protokollierungseigenschaften " wird geöffnet.
  4. Wählen Sie in "Protokollieren" die Informationen aus, die Sie protokollieren möchten:
    • Um alle Buchhaltungsanforderungen zu protokollieren, klicken Sie auf "Buchhaltungsanforderungen".
    • Klicken Sie auf Authentifizierungsanforderungen, um die Anfragen zu protokollieren.
    • Klicken Sie zum Protokollieren des regelmäßigen Buchhaltungsstatus auf "Periodischer Buchhaltungsstatus".
    • Klicken Sie auf " Periodischer Status", um den periodischen Status zu protokollieren, z. B. Zwischenrechnungsanforderungen.
  5. Geben Sie zum Konfigurieren der Anzahl gleichzeitiger Sitzungen, die zwischen dem Server mit NPS und sql Server zulässig sind, eine Zahl in " Maximale Anzahl gleichzeitiger Sitzungen" ein.
  6. Klicken Sie zum Konfigurieren der SQL Server-Datenquelle in der SQL Server-Protokollierung auf "Konfigurieren". Das Dialogfeld "Datenlinkeigenschaften " wird geöffnet. Geben Sie auf der Registerkarte "Verbindung " Folgendes an:
    • Um den Namen des Servers anzugeben, auf dem die Datenbank gespeichert ist, geben Sie einen Namen in "Auswählen" ein, oder geben Sie einen Servernamen ein.
    • Um die Authentifizierungsmethode anzugeben, mit der sich der Server anmelden soll, klicken Sie auf " Integrierte Windows NT-Sicherheit verwenden". Oder klicken Sie auf "Benutzernamen und Kennwort verwenden", und geben Sie dann Anmeldeinformationen in "Benutzername und Kennwort" ein.
    • Klicken Sie auf "Leeres Kennwort", um ein leeres Kennwort zuzulassen.
    • Klicken Sie zum Speichern des Kennworts auf "Speichern des Kennworts zulassen".
    • Um anzugeben, mit welcher Datenbank eine Verbindung auf dem Computer hergestellt werden soll, auf dem SQL Server ausgeführt wird, klicken Sie auf die Datenbank auf dem Server auswählen, und wählen Sie dann einen Datenbanknamen aus der Liste aus.
  7. Klicken Sie auf " Verbindung testen", um die Verbindung zwischen NPS und SQL Server zu testen. Klicken Sie auf 'OK ', um die Datenverbindungseigenschaften zu schließen.
  8. Wählen Sie in der Aktion "Protokollierungsfehler" die Option " Textdateiprotokollierung für Failover aktivieren " aus, wenn NPS die Textdateiprotokollierung fortsetzen soll, wenn die SQL Server-Protokollierung fehlschlägt.
  9. Wählen Sie in der Aktion "Protokollierungsfehler" die Option "Verbindungsanforderungen verwerfen, wenn die Protokollierung fehlschlägt" aus, wenn NPS die Verarbeitung von Access-Request-Nachrichten beenden soll, wenn Protokolldateien aus irgendeinem Grund voll oder nicht verfügbar sind. Wenn NPS die Verarbeitung von Verbindungsanforderungen fortsetzen soll, wenn die Protokollierung fehlschlägt, aktivieren Sie dieses Kontrollkästchen nicht.

Pingbenutzername

Einige RADIUS-Proxyserver und Netzwerkzugriffsserver senden regelmäßig Authentifizierungs- und Buchhaltungsanforderungen (als Pinganforderungen bezeichnet), um zu überprüfen, ob der NPS im Netzwerk vorhanden ist. Diese Pinganforderungen enthalten fiktive Benutzernamen. Wenn NPS diese Anforderungen verarbeitet, werden die Ereignis- und Buchhaltungsprotokolle mit Zugriffsrückweisungsdatensätzen gefüllt, wodurch es schwieriger wird, gültige Datensätze nachzuverfolgen.

Wenn Sie einen Registrierungseintrag für Ping-Benutzername konfigurieren, vergleicht NPS den Wert des Registrierungseintrags mit dem Benutzernamenwert in Ping-Anfragen von anderen Servern. Ein Registrierungseintrag für Pingbenutzernamen gibt den fiktiven Benutzernamen (oder ein Benutzernamenmuster mit Variablen, die dem fiktiven Benutzernamen entsprechen) an, der von RADIUS-Proxyservern und Netzwerkzugriffsservern gesendet wird. Wenn NPS Pinganforderungen empfängt, die dem Registrierungseintragswert des Pingbenutzernamens entsprechen, lehnt NPS die Authentifizierungsanforderungen ohne Verarbeitung der Anforderung ab. NPS zeichnet keine Transaktionen auf, die den fiktiven Benutzernamen in protokolldateien einbeziehen, wodurch das Ereignisprotokoll einfacher interpretiert werden kann.

Der Pingbenutzername ist standardmäßig nicht installiert. Sie müssen Ping Benutzername zum Register hinzufügen. Sie können der Registrierung einen Eintrag hinzufügen, indem Sie den Registrierungs-Editor verwenden.

Vorsicht

Durch eine fehlerhafte Bearbeitung der Registrierung können ernsthafte Systemschäden verursacht werden. Bevor Sie Änderungen an der Registrierung vornehmen, sollten Sie alle wichtigen Computerdaten sichern.

Fügen Sie einen Ping-Benutzernamen zum Register hinzu

Der Pingbenutzername kann dem folgenden Registrierungsschlüssel als Zeichenfolgenwert durch ein Mitglied der lokalen Gruppe "Administratoren" hinzugefügt werden:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IAS\Parameters

  • Name: ping user-name
  • Typ: REG_SZ
  • Daten: Benutzername

Tipp

Um mehr als einen Benutzernamen für einen Wert im Feld ping-Benutzername anzugeben, geben Sie ein Namensmuster ein, z. B. einen DNS-Namen mit Platzhaltern, in Data ein.