Compartir a través de

Configurar la contabilidad del servidor de directivas de red

Hay tres tipos de registro para el servidor de directivas de red (NPS):

  • Registro de eventos. Se usa principalmente para auditar y solucionar problemas de intentos de conexión. Puede configurar el registro de eventos NPS obteniendo las propiedades NPS en la consola NPS.

  • Registro de solicitudes de autenticación y contabilidad de usuarios en un archivo local. Se usa principalmente con fines de análisis de conexiones y facturación. También resulta útil como herramienta de investigación de seguridad porque proporciona un método de seguimiento de la actividad de un usuario malintencionado después de un ataque. Puede configurar el registro de archivos local mediante el Asistente para configuración de contabilidad.

  • Registro de solicitudes de autenticación y contabilidad de usuarios en una base de datos compatible con XML de Microsoft SQL Server. Se usa para permitir que varios servidores que ejecutan NPS tengan un origen de datos. También proporciona las ventajas de usar una base de datos relacional. Puede configurar el registro de SQL Server mediante el Asistente para configuración de contabilidad.

Usar el Asistente de configuración de la contabilidad

Mediante el Asistente para configuración de contabilidad, puede configurar las cuatro opciones de contabilidad siguientes:

  • Solo registro de SQL. Con esta configuración, puede configurar un vínculo de datos a sql Server que permita a NPS conectarse y enviar datos de contabilidad al servidor SQL Server. Además, el asistente puede configurar la base de datos en el SQL Server para asegurarse de que la base de datos sea compatible con el registro de servidores SQL de NPS.
  • Solo registro de texto. Con esta configuración, puede configurar NPS para registrar los datos de contabilidad en un archivo de texto.
  • Registro paralelo. Con esta configuración, puede configurar el vínculo de datos y la base de datos de SQL Server. También puede configurar el registro de archivos de texto para que NPS registre simultáneamente el archivo de texto y la base de datos de SQL Server.
  • Registro de SQL con copia de seguridad. Con esta configuración, puede configurar el vínculo de datos y la base de datos de SQL Server. Además, puede configurar el registro de archivos de texto que NPS usa si se produce un error en el registro de SQL Server.

Además de esta configuración, tanto el registro de SQL Server como el registro de texto le permiten especificar si NPS sigue procesando solicitudes de conexión si se produce un error en el registro. Puede especificar esto en la sección Acción de error de registro en las propiedades de registro de archivos locales, en las propiedades de registro del servidor SQL y mientras ejecuta el Asistente para configurar cuentas.

Para ejecutar el Asistente para configuración de contabilidad

Para ejecutar el Asistente para configuración de contabilidad, complete los pasos siguientes:

  1. Abra la consola NPS o el complemento Microsoft Management Console (MMC).
  2. En el árbol de consola, haga clic en Contabilidad.
  3. En el panel de detalles, en Contabilidad, haga clic en Configurar contabilidad.

Configurar las propiedades del archivo de registro NPS

Se puede configurar el Servidor de directivas de redes (NPS) para que realice cuentas de Servicio de autenticación remota telefónica de usuario (RADIUS) para solicitudes de autenticación de usuarios, mensajes de aceptación de acceso, mensajes de rechazo de acceso, solicitudes y respuestas de cuentas, así como actualizaciones del estado periódico. Puede usar este procedimiento para configurar los archivos de registro en los que desea almacenar los datos de contabilidad.

Para obtener más información sobre cómo interpretar los archivos de registro, consulte Interpretación de archivos de registro de formato de base de datos NPS.

Para evitar que los archivos de registro rellenen el disco duro, se recomienda encarecidamente mantenerlos en una partición independiente de la partición del sistema. A continuación se proporciona más información sobre cómo configurar la contabilidad de NPS:

  • Para enviar los datos del archivo de registro para que sean recopilados por otro proceso, puede configurar NPS para escribir en una canalización con nombre. Para usar canalizaciones con nombre, establezca la carpeta del archivo de registro en \.\pipe o \ComputerName\pipe. El programa del servidor de canalizaciones con nombre crea una canalización con nombre denominada \.\pipe\iaslog.log para aceptar los datos. En el cuadro de diálogo Propiedades del archivo local, en Crear un nuevo archivo de registro, seleccione Nunca (tamaño ilimitado de archivo) cuando use canalizaciones con nombre.

  • El directorio de archivos de registro se puede crear mediante variables de entorno del sistema (en lugar de variables de usuario), como %systemdrive%, %systemroot%y %windir%. Por ejemplo, la siguiente ruta de acceso, con la variable de entorno %windir%, localiza el archivo de registro en el directorio del sistema en la subcarpeta \System32\Logs (es decir, %windir%\System32\Logs).

  • El cambio de formatos de archivo de registro no hace que se cree un nuevo registro. Si cambia los formatos de archivo de registro, el archivo que está activo en el momento del cambio contendrá una combinación de los dos formatos (los registros al principio del registro tendrán el formato anterior y los registros al final del registro tendrán el nuevo formato).

  • Si la contabilidad RADIUS falla debido a un disco duro lleno u otras causas, NPS detiene el procesamiento de solicitudes de conexión, impidiendo que los usuarios accedan a los recursos de red.

  • NPS proporciona la capacidad de iniciar sesión en una base de datos de Microsoft® SQL Server™ además de, o en lugar de, iniciar sesión en un archivo local.

La pertenencia al grupo Administradores de dominio es el mínimo necesario para realizar este procedimiento.

Para configurar las propiedades del archivo de registro NPS

  1. Abra la consola NPS o el complemento Microsoft Management Console (MMC).
  2. En el árbol de consola, haga clic en Contabilidad.
  3. En el panel de detalles, en Propiedades del archivo de registro, haga clic en Cambiar propiedades del archivo de registro. Se abre el cuadro de diálogo Propiedades del archivo de registro .
  4. En Propiedades del archivo de registro, en la pestaña Configuración , en Registrar la siguiente información, asegúrese de que decide registrar suficiente información para lograr los objetivos de contabilidad. Por ejemplo, si los registros necesitan realizar la correlación de sesión, active todas las casillas.
  5. En Acción de error de registro, seleccione Si se produce un error en el registro, descarte las solicitudes de conexión si desea que NPS detenga el procesamiento de mensajes Acceder-Solicitar cuando los archivos de registro estén llenos o no estén disponibles por algún motivo. Si desea que NPS siga procesando solicitudes de conexión si se produce un error en el registro, no active esta casilla.
  6. En el cuadro de diálogo Propiedades del archivo de registro , haga clic en la pestaña Archivo de registro .
  7. En la pestaña Archivo de registro, en Directorio, escriba la ubicación donde desea almacenar los archivos de registro NPS. La ubicación predeterminada es la carpeta systemroot\System32\LogFiles.
    Si no proporciona una instrucción de ruta de acceso completa en el directorio de archivos de registro, se usa la ruta de acceso predeterminada. Por ejemplo, si escribe NPSLogFile en el directorio de archivos de registro, el archivo se encuentra en %systemroot%\System32\NPSLogFile.
  8. En Formato, haga clic en Compatible con DTS. Si lo prefiere, puede seleccionar un formato de archivo heredado, como ODBC (heredado) o IAS (heredado).
    Los tipos de archivo heredados ODBC e IAS contienen un subconjunto de la información que NPS envía a su base de datos de SQL Server. El formato XML del tipo de archivo compatible con DTS es idéntico al formato XML que NPS usa para importar datos en su base de datos de SQL Server. Por lo tanto, el formato de archivo compatible con DTS proporciona una transferencia de datos más eficaz y completa a la base de datos estándar de SQL Server para NPS.
  9. En Crear un nuevo archivo de registro, para configurar NPS para iniciar nuevos archivos de registro a intervalos especificados, haga clic en el intervalo que desea usar:
    • Para un volumen de transacciones y actividad de registro elevados, haga clic en Diariamente.
    • Para volúmenes de transacciones menores y actividad de registro, haga clic en Semanal o Mensual.
    • Para almacenar todas las transacciones en un archivo de registro, haga clic en Nunca (tamaño ilimitado de archivo).
    • Para limitar el tamaño de cada archivo de registro, haga clic en Cuando el archivo de registro alcance este tamaño y escriba un tamaño de archivo, después de lo cual se crea un registro nuevo. El tamaño predeterminado es 10 megabytes (MB).
  10. Si desea que NPS elimine los archivos de registro antiguos para crear espacio en disco para los nuevos archivos de registro cuando el disco duro esté cerca de la capacidad, asegúrese de que cuando el disco esté lleno elimine los archivos de registro antiguos . Sin embargo, esta opción no está disponible si el valor de Crear un nuevo archivo de registro es Nunca (tamaño de archivo ilimitado). Además, si el archivo de registro más antiguo es el archivo de registro actual, no se elimina.

Configuración del registro de SQL Server de NPS

Puede usar este procedimiento para registrar los datos de contabilidad RADIUS en una base de datos local o remota que ejecute Microsoft SQL Server.

Nota:

NPS da formato a los datos de cuentas como un documento XML que envía al procedimiento almacenado report_event en la base de datos de SQL Server designada en NPS. Para que el registro de SQL Server funcione correctamente, debe tener un procedimiento almacenado denominado report_event en la base de datos de SQL Server que puede recibir y analizar los documentos XML de NPS.

La pertenencia a administradores de dominio, o equivalente, es el mínimo necesario para completar este procedimiento.

Para configurar el registro de eventos de SQL Server en NPS

  1. Abra la consola NPS o el complemento Microsoft Management Console (MMC).
  2. En el árbol de consola, haga clic en Contabilidad.
  3. En el panel de detalles, en Propiedades de registro de SQL Server, haga clic en Cambiar propiedades de registro de SQL Server. Se abre el cuadro de diálogo Propiedades de registro de SQL Server .
  4. En Registrar la siguiente información, seleccione la información que desea registrar:
    • Para registrar todas las solicitudes de contabilidad, haga clic en Solicitudes de contabilidad.
    • Para registrar solicitudes de autenticación, haga clic en Solicitudes de autenticación.
    • Para registrar el estado de contabilidad periódico, haga clic en Estado de contabilidad periódico.
    • Para registrar el estado periódico, como las solicitudes de contabilidad provisionales, haga clic en Estado periódico.
  5. Para configurar el número de sesiones simultáneas permitidas entre el servidor que ejecuta NPS y SQL Server, escriba un número en Número máximo de sesiones simultáneas.
  6. Para configurar el origen de datos de SQL Server, en Registro de SQL Server, haga clic en Configurar. Se abre el cuadro de diálogo Propiedades del vínculo de datos . En la pestaña Conexión , especifique lo siguiente:
    • Para especificar el nombre del servidor en el que se almacena la base de datos, escriba o seleccione un nombre en Seleccionar o escriba un nombre de servidor.
    • Para especificar el método de autenticación con el que iniciar sesión en el servidor, haga clic en Usar seguridad integrada de Windows NT. O bien, haga clic en Usar un nombre de usuario y una contraseña específicos y, a continuación, escriba las credenciales en Nombre de usuario y Contraseña.
    • Para permitir una contraseña en blanco, haga clic en Contraseña en blanco.
    • Para almacenar la contraseña, haga clic en Permitir guardar contraseña.
    • Para especificar a qué base de datos conectarse en el equipo que ejecuta SQL Server, haga clic en Seleccionar la base de datos en el servidor y, a continuación, seleccione un nombre de base de datos de la lista.
  7. Para probar la conexión entre NPS y SQL Server, haga clic en Probar conexión. Haga clic en Aceptar para cerrar las propiedades del vínculo de datos.
  8. En Acción de error de registro, seleccione Habilitar el registro de archivos de texto para la conmutación por error si desea que NPS continúe con el registro de archivos de texto si se produce un error en el registro de SQL Server.
  9. En Acción de error de registro, seleccione Si se produce un error en el registro, descarte las solicitudes de conexión si desea que NPS detenga el procesamiento de mensajes Acceder-Solicitar cuando los archivos de registro estén llenos o no estén disponibles por algún motivo. Si desea que NPS siga procesando solicitudes de conexión si se produce un error en el registro, no active esta casilla.

Ping nombre de usuario

Algunos servidores proxy RADIUS y servidores de acceso a la red envían periódicamente solicitudes de autenticación y contabilidad (conocidas como solicitudes de ping) para comprobar que el NPS está presente en la red. Estas solicitudes de ping incluyen nombres de usuario ficticios. Cuando NPS procesa estas solicitudes, los registros de eventos y contabilidad se rellenan con registros de rechazo de acceso, lo que dificulta el seguimiento de los registros válidos.

Cuando configuras una entrada del Registro para ping user-name, NPS compara el valor de la entrada del Registro con el nombre de usuario en las solicitudes de ping de otros servidores. Una entrada del registro ping user-name especifica el nombre de usuario ficticio (o un patrón de nombre de usuario, con variables, que coincide con el nombre de usuario ficticio) enviado por servidores proxy RADIUS y de acceso a la red. Cuando NPS recibe solicitudes de ping que coinciden con el valor de la entrada del registro ping user-name, NPS rechaza las solicitudes de autenticación sin procesarlas. NPS no registra transacciones que implican el nombre de usuario ficticio en ningún archivo de registro, lo que facilita la interpretación del registro de eventos.

Ping user-name no está instalado de forma predeterminada. Debe agregar ping user-name al registro. Puede agregar una entrada al Registro mediante el Editor del Registro.

Precaución

la modificación incorrecta del Registro puede dañar gravemente el sistema. Antes de realizar cambios en el Registro, debe hacer una copia de seguridad de los datos de valor guardados en el equipo.

Para agregar ping user-name al Registro

Un miembro del grupo Administradores local puede agregar ping user-name se puede agregar a la siguiente clave del Registro como valor de cadena:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IAS\Parameters

  • Nombre: ping user-name
  • Tipo: REG_SZ
  • Datos: nombre de usuario

Sugerencia

Para indicar más de un nombre de usuario para un valor de nombre de usuario ping, escriba un patrón de nombre, como un nombre DNS, incluidos caracteres comodín, en Datos.