Condividi tramite

Configurare l'accounting del server dei criteri di rete

  • Articolo

Esistono tre tipi di registrazione per Server dei criteri di rete (NPS):

  • Registrazione eventi. Usato principalmente per il controllo e la risoluzione dei problemi relativi ai tentativi di connessione. È possibile configurare la registrazione eventi NPS ottenendo le proprietà NPS nella console NPS.

  • Registrazione delle richieste di autenticazione e account utente in un file locale. Usato principalmente per scopi di analisi e fatturazione della connessione. Utile anche come strumento di analisi della sicurezza perché fornisce un metodo per tenere traccia dell'attività di un utente malintenzionato dopo un attacco. È possibile configurare la registrazione dei file locali tramite la configurazione guidata account.

  • Registrazione delle richieste di autenticazione utente e account a un database conforme a MICROSOFT SQL Server XML. Usato per consentire a più server che eseguono NPS di avere un'origine dati. Offre inoltre i vantaggi dell'uso di un database relazionale. È possibile configurare la registrazione di SQL Server tramite la configurazione guidata accounting.

Usare la configurazione guidata contabilità

Usando la configurazione guidata contabilità, è possibile configurare le quattro impostazioni di accounting seguenti:

  • Solo registrazione SQL. Usando questa impostazione, è possibile configurare un collegamento dati a un'istanza di SQL Server che consente a NPS di connettersi e inviare dati contabili al server SQL. Inoltre, la procedura guidata può configurare il database in SQL Server per assicurarsi che il database sia compatibile con la registrazione di SQL Server NPS.
  • Solo registrazione testo. Usando questa impostazione, è possibile configurare NPS per registrare i dati contabili in un file di testo.
  • Registrazione parallela. Usando questa impostazione, è possibile configurare il collegamento dati e il database di SQL Server. È anche possibile configurare la registrazione dei file di testo in modo che NPS registri contemporaneamente nel file di testo e nel database di SQL Server.
  • Registrazione SQL con backup. Usando questa impostazione, è possibile configurare il collegamento dati e il database di SQL Server. Inoltre, è possibile configurare la registrazione di file di testo usata da NPS se la registrazione di SQL Server non riesce.

Oltre a queste impostazioni, sia la registrazione di SQL Server che la registrazione del testo consentono di specificare se NPS continua a elaborare le richieste di connessione in caso di errore di registrazione. È possibile specificare questa opzione nella sezione Azione di registrazione errori nelle proprietà di registrazione dei file locali, nelle proprietà di registrazione di SQL Server e durante l'esecuzione della Configurazione guidata contabilità.

Per eseguire la procedura guida per la configurazione della contabilità

Per eseguire la procedura guida per Configurazione contabilità, attenersi alla seguente procedura:

  1. Aprire la console NPS o lo snap-in Microsoft Management Console (MMC) NPS.
  2. Nell'albero della console, fare clic su Contabilità.
  3. Nel riquadro dei dettagli, in Contabilità, fare clic su Configura contabilità.

Configurare le proprietà del file di log NPS

È possibile configurare NPS (Network Policy Server) in modo che esegua la contabilità RADIUS (Remote Authentication Dial-In User Service) per richieste di autenticazione utente, messaggi di accettazione accesso, richieste e risposte di accounting e aggiornamenti di stato periodici. È possibile utilizzare questa procedura per configurare i file di log in cui archiviare i dati contabili.

Per maggiori informazioni sull'interpretazione dei file di registro, consultare la sezione Interpretare i file di registro in formato database NPS.

Per evitare che i file di log riempiano il disco rigido, è consigliabile mantenerli in una partizione separata dalla partizione di sistema. Di seguito vengono fornite altre informazioni sulla configurazione dell'accounting per NPS:

  • Per inviare i dati del file di log per la raccolta da un altro processo, è possibile configurare NPS per la scrittura in una named pipe. Per usare named pipe, impostare la cartella del file di log su \.\pipe o \ComputerName\pipe. Il programma server named pipe crea una named pipe denominata \.\pipe\iaslog.log per accettare i dati. Nella finestra di dialogo Proprietà file locali, in Crea un nuovo file di log selezionare Mai (dimensioni illimitate del file) quando si usano named pipe.

  • La directory del file di log può essere creata usando variabili di ambiente di sistema (anziché variabili utente), ad esempio %systemdrive%, %systemroot%, e %windir%. Ad esempio, il percorso seguente, usando la variabile di ambiente %windir%, individua il file di log nella directory di sistema nella sottocartella \System32\Logs, ovvero %windir%\System32\Logs.

  • La modifica dei formati di file di log non comporta la creazione di un nuovo log. Se si modificano i formati di file di log, il file attivo al momento della modifica conterrà una combinazione dei due formati (i record all'inizio del log avranno il formato precedente e i record alla fine del log avranno il nuovo formato).

  • Se la contabilità RADIUS non riesce a causa di un'unità disco rigido completa o di altre cause, NPS interrompe l'elaborazione delle richieste di connessione, impedendo agli utenti di accedere alle risorse di rete.

  • NPS consente anche di accedere a un database di Microsoft® SQL Server™ anziché (oppure oltre a) eseguire la registrazione in un file locale.

L'appartenenza al gruppo Amministratori di dominio o equivalente è il requisito minimo necessario per eseguire questa procedura.

Per configurare le proprietà del file di log NPS

  1. Aprire la console NPS o lo snap-in Microsoft Management Console (MMC) NPS.
  2. Nell'albero della console, fare clic su Contabilità.
  3. Nel riquadro dei dettagli, in Proprietà file di log, fare clic su Modifica proprietà file di log. Si apre la finestra di dialogo Proprietà file di log.
  4. In Proprietà file di log, nella scheda Impostazioni, in Registrare le informazioni seguenti, assicurarsi di scegliere di registrare informazioni sufficienti per raggiungere gli obiettivi di contabilità. Ad esempio, se i log devono eseguire la correlazione di sessione, selezionare tutte le caselle di controllo.
  5. In Azione di registrazione degli errori, selezionare Se la registrazione non riesce, rimuovere le richieste di connessione se si desidera interrompere l'elaborazione dei messaggi di richiesta di accesso quando i file di log sono completi o non disponibili per qualche motivo. Se si desidera che NPS continui a elaborare le richieste di connessione in caso di errore di registrazione, non selezionare questa casella di controllo.
  6. Nella finestra di dialogo Proprietà file di log, fare clic sulla scheda File di log.
  7. Nella scheda File di log, in Directory, digitare il percorso in cui archiviare i file di log NPS. Il percorso predefinito è la cartella systemroot\System32\LogFiles.
    Se non si specifica un'istruzione percorso completa nella Directory file di log, viene usato il percorso predefinito. Ad esempio, se si digita NPSLogFile inDirectory file di log, il file si trova in %systemroot%\System32\NPSLogFile.
  8. In Formato, fare clic su Conformità DTS. Se si preferisce, è invece possibile selezionare un formato di file legacy, ad esempio ODBC (legacy) o IAS (legacy).
    I tipi di file legacy ODBC e IAS contengono un subset delle informazioni inviate da NPS al database di SQL Server. Il formato XML del tipo di file Conformità DTS è identico al formato XML usato da NPS per importare i dati nel database di SQL Server. Di conseguenza, il formato di file Conformità DTS offre un trasferimento più efficiente e completo dei dati nel database SQL Server standard per NPS.
  9. In Crea un nuovo file fi log, per configurare NPS per avviare nuovi file di log a intervalli specificati, fare clic sull'intervallo che si vuole usare:
    • Per l'attività di registrazione e volume delle transazioni pesanti, fare clic su Giornaliero.
    • Per volumi di transazioni minori e attività di registrazione, fare clic su Settimanale o Mensile.
    • Per archiviare tutte le transazioni in un unico file di log, fare clic su Mai (dimensioni illimitate del file).
    • Per limitare le dimensioni di ogni file di log, fare clic su Quando il file di log raggiunge queste dimensioni, quindi digitare una dimensione del file, dopo la quale viene creato un nuovo log. Le dimensioni predefinite sono di 10 megabyte (MB).
  10. Se si desidera che NPS elimini i file di log precedenti per creare spazio su disco per i nuovi file di log quando il disco rigido è vicino alla capacità, assicurarsi che sia selezionato Quando il disco è completo, eliminare file di log meno recenti. Tuttavia, questa opzione non è disponibile se il valore di Crea nuovo file di log è su Mai (dimensioni illimitate del file). Inoltre, se il file di log meno recente è il file di log corrente, non viene eliminato.

Configurare la registrazione di SQL Server NPS

È possibile usare questa procedura per registrare i dati contabili RADIUS in un database locale o remoto che esegue Microsoft SQL Server.

Nota

NPS formatta i dati contabili come documento XML inviati alla procedura archiviata report_event nel database di SQL Server designato in NPS. Affinché la registrazione di SQL Server funzioni correttamente, è necessario disporre di una procedura archiviata denominata report_event nel database di SQL Server in grado di ricevere e analizzare i documenti XML da NPS.

L'appartenenza a Domain Admins, o equivalente è il requisito minimo necessario per completare questa procedura.

Per configurare la registrazione di SQL Server in NPS

  1. Aprire la console NPS o lo snap-in Microsoft Management Console (MMC) NPS.
  2. Nell'albero della console, fare clic su Contabilità.
  3. Nel riquadro dei dettagli, in Proprietà registrazione SQL Server, fare clic su Modifica proprietà registrazione SQL Server. Si apre la finestra di dialogo Proprietà registrazione SQL Server.
  4. In Registra le informazioni seguenti, selezionare le informazioni da registrare:
    • Per registrare tutte le richieste di contabilità, fare clic su Richieste contabilità.
    • Per registrare le richieste di autenticazione, fare clic su Richieste di autenticazione.
    • Per registrare lo stato di contabilità periodica, fare clic su Stato contabilità periodico.
    • Per registrare lo stato periodico, ad esempio le richieste di contabilità provvisorie, fare clic su Stato periodico.
  5. Per configurare il numero di sessioni simultanee consentite tra il server che esegue Server dei criteri di rete e SQL Server, digitare un numero in Numero massimo di sessioni simultanee.
  6. Per configurare l'origine dati di SQL Server, in Registrazione SQL Server, fare clic su Configura. Si apre la finestra di dialogo Proprietà Data Link. Nella scheda Connessione, specificare i valori seguenti:
    • Per specificare il nome del server in cui è archiviato il database, digitare o selezionare un nome in Selezionare o immettere un nome server.
    • Per specificare il metodo di autenticazione con cui accedere al server, fare clic su Usa sicurezza integrata di Windows NT. In alternativa, fare clic su Usa un nome utente e una password specifici, quindi digitare le credenziali in Nome utente e Password.
    • Per consentire una password vuota, fare clic su Password vuota.
    • Per archiviare la password, fare clic su Consenti salvataggio password.
    • Per specificare il database a cui connettersi nel computer che esegue SQL Server, fare clic su Selezionare il database nel server, quindi selezionare un nome di database dall'elenco.
  7. Per testare la connessione tra Server dei criteri di rete e SQL Server, fare clic su Test connessione. Fare clic su OK per chiudere Proprietà collegamento dati.
  8. In Azione di registrazione degli errori, selezionare Abilita registrazione file di testo per il failover se si desidera che Server dei criteri di rete continui con la registrazione dei file di testo se la registrazione di SQL Server non riesce.
  9. In Azione di registrazione degli errori, selezionare Se la registrazione non riesce, rimuovere le richieste di connessione se si desidera interrompere l'elaborazione dei messaggi di richiesta di accesso quando i file di log sono completi o non disponibili per qualche motivo. Se si desidera che NPS continui a elaborare le richieste di connessione in caso di errore di registrazione, non selezionare questa casella di controllo.

Ping user-name

Alcuni server proxy RADIUS e server di accesso alla rete inviano periodicamente richieste di autenticazione e contabilità (note come richieste ping) per verificare che NPS sia presente nella rete. Queste richieste ping includono nomi utente fittizi. Quando NPS elabora queste richieste, i log eventi e contabili diventano compilati con record di rifiuto di accesso, rendendo più difficile tenere traccia dei record validi.

Quando si configura una voce di registro per ping user-name, NPS corrisponde al valore della voce del Registro di sistema rispetto al valore del nome utente nelle richieste ping da parte di altri server. Una voce di registro ping user-name specifica il nome utente fittizio (o un modello di nome utente, con variabili che corrispondono al nome utente fittizio) inviato dai server proxy RADIUS e dai server di accesso di rete. Quando NPS riceve richieste ping che corrispondono al valore della voce di registro ping user-name, NPS rifiuta le richieste di autenticazione senza elaborare la richiesta. NPS non registra le transazioni che coinvolgono il nome utente fittizio in alcun file di log, che semplifica l'interpretazione del registro eventi.

Ping user-name non è installato per impostazione predefinita. È necessario aggiungere ping user-name al registro. È possibile aggiungere una voce al registro usando l'editor di registro.

Attenzione

È possibile che eventuali modifiche non corrette del Registro di sistema danneggino gravemente il sistema. Prima di apportare modifiche al Registro di sistema, si consiglia di effettuare il backup di tutti i dati importanti presenti sul computer.

Per aggiungere ping user-name al registro

Ping user-name può essere aggiunto alla chiave di registro seguente come valore stringa da un membro del gruppo locale Amministratori:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IAS\Parameters

  • Nome: ping user-name
  • Tipo: REG_SZ
  • Dati: nome utente

Suggerimento

Per indicare più di un nome utente per un valore ping user-name, immettere un modello di nome, ad esempio, un nome DNS, inclusi i caratteri jolly, in Dati.