Compartilhar via

Configurar a Contabilidade do Servidor de Política de Rede

Há três tipos de registro em log para o NPS (Servidor de Política de Rede):

  • Log de eventos. Usado principalmente para auditar e solucionar problemas de tentativas de conexão. Você pode configurar o registro em log dos eventos do NPS obtendo as propriedades do NPS no seu console.

  • Registrando solicitações de autenticação e contabilidade do usuário em um arquivo local. Usado principalmente para fins de análise de conexão e cobrança. Também útil como uma ferramenta de investigação de segurança, pois fornece um método de acompanhamento da atividade de um usuário mal-intencionado após um ataque. Você pode configurar o registro em log de arquivos local usando o assistente de Configuração de contabilização.

  • Registrando solicitações de autenticação e contabilidade do usuário em um banco de dados compatível com XML do Microsoft SQL Server. Usado para permitir que vários servidores que executam o NPS tenham uma fonte de dados. Também fornece as vantagens de usar um banco de dados relacional. Você pode configurar o log do SQL Server usando o assistente de Configuração de Contabilidade.

Usar o assistente de Configuração Contábil

Usando o assistente de Configuração de Contabilidade, você pode definir as quatro seguintes configurações de contabilidade:

  • Somente registro em log do SQL. Usando essa configuração, você pode configurar um link de dados para um SQL Server que permite que o NPS se conecte e envie dados de contabilidade para o SQL Server. Além disso, o assistente pode configurar o banco de dados no SQL Server para garantir que o banco de dados seja compatível com o registro em log do NPS SQL Server.
  • Somente registro de texto. Usando essa configuração, você pode configurar o NPS para registrar dados de contabilidade em um arquivo de texto.
  • Registro paralelo. Usando essa configuração, você pode configurar o link de dados e o banco de dados do SQL Server. Você também pode configurar o log de arquivo de texto para que o NPS registre simultaneamente no arquivo de texto e no banco de dados do SQL Server.
  • Registro SQL com backup. Usando essa configuração, você pode configurar o link de dados e o banco de dados do SQL Server. Além disso, você pode configurar o registro de arquivo de texto que o NPS usa se o registro do SQL Server falhar.

Além dessas configurações, tanto o log do SQL Server quanto o log de texto permitem especificar se o NPS continua processando solicitações de conexão se o registro em log falhar. Você pode especificar isso na seção Ação de falha de registro nas propriedades de registro de arquivo local, nas propriedades de registro do servidor SQL e enquanto estiver executando o Assistente de Configuração de Contabilidade.

Para executar o Assistente de Configuração Contábil

Para executar o Assistente de Configuração Contábil, conclua as seguintes etapas:

  1. Abra o console do NPS ou o snap-in do Console de Gerenciamento Microsoft (MMC) do NPS.
  2. Na árvore de console, clique em Contabilidade.
  3. No painel de detalhes, em Contabilidade, clique em Configurar Contabilidade.

Configurar propriedades do arquivo de log do NPS

Você pode configurar o Servidor de Políticas de Rede (NPS) para executar a contabilização do RADIUS (Remote Authentication Dial-In User Service) nas solicitações de autenticação de usuário, mensagens de aceitação de acesso, mensagens de rejeição de acesso, solicitações e respostas de contabilização e atualizações periódicas de status. Você pode usar esse procedimento para configurar os arquivos de log nos quais deseja armazenar os dados de contabilidade.

Para obter mais informações sobre como interpretar arquivos de log, consulte Interpretar arquivos de log de formato de banco de dados NPS.

Para impedir que os arquivos de log preenncham o disco rígido, é altamente recomendável mantê-los em uma partição separada da partição do sistema. O seguinte fornece mais informações sobre como configurar a contabilidade para o NPS:

  • Para enviar os dados do arquivo de log para coleta por outro processo, você pode configurar o NPS para gravar em um canal nomeado. Para usar pipes nomeados, defina a pasta do arquivo de log como \.\pipe ou \ComputerName\pipe. O programa de servidor do pipe nomeado cria um pipe nomeado chamado \.\pipe\iaslog.log para aceitar os dados. Na caixa de diálogo Propriedades do arquivo local, em Criar um novo arquivo de log, selecione Nunca (tamanho de arquivo ilimitado) ao usar pipes nomeados.

  • O diretório do arquivo de log pode ser criado usando variáveis de ambiente do sistema (em vez de variáveis de usuário), como %systemdrive%, %systemroot%e %windir%. Por exemplo, o caminho a seguir, usando a variável de ambiente %windir%, localiza o arquivo de log no diretório do sistema na subpasta \System32\Logs (ou seja, %windir%\System32\Logs).

  • Alternar formatos de arquivo de log não faz com que um novo log seja criado. Se você alterar os formatos de arquivo de log, o arquivo que estiver ativo no momento da alteração conterá uma mistura dos dois formatos (os registros no início do log terão o formato anterior e os registros no final do log terão o novo formato).

  • Se a contabilidade RADIUS falhar devido a uma unidade de disco rígido completa ou outras causas, o NPS interromperá o processamento de solicitações de conexão, impedindo que os usuários acessem recursos de rede.

  • O NPS fornece a capacidade de registrar em um banco de dados Microsoft® SQL Server™, além de, ou em vez de, registrar em um arquivo local.

A associação ao grupo Administradores de Domínio é o mínimo necessário para executar esse procedimento.

Para configurar as propriedades do arquivo de log do NPS

  1. Abra o console do NPS ou o snap-in do Console de Gerenciamento Microsoft (MMC) do NPS.
  2. Na árvore de console, clique em Contabilidade.
  3. No painel de detalhes, em Propriedades do Arquivo de Log, clique em Alterar Propriedades do Arquivo de Log. A caixa de diálogo Propriedades do Arquivo de Log é aberta.
  4. Nas Propriedades do Arquivo de Log, na guia Configurações, em Registrar a seguinte informação, verifique se você escolheu registrar informações suficientes para atingir suas metas de contabilidade. Por exemplo, se seus logs precisam realizar correlação de sessão, marque todas as caixas de seleção.
  5. Em Ação de falha de log, selecione Se o log falhar, descartar as solicitações de conexão se você quiser que o NPS pare de processar mensagens de solicitação de acesso quando os arquivos de log estiverem cheios ou indisponíveis por algum motivo. Se você quiser que o NPS continue processando solicitações de conexão se o registro falhar, não marque esta caixa de seleção.
  6. Na caixa de diálogo Propriedades do Arquivo de Log, clique na guia Arquivo de Log.
  7. Na guia Arquivo de Log , no Diretório, digite o local onde você deseja armazenar arquivos de log NPS. O local padrão é a pasta systemroot\System32\LogFiles.
    Se você não fornecer uma instrução de caminho completo no Diretório de Arquivos de Log, o caminho padrão será usado. Por exemplo, se você digitar NPSLogFile no Diretório de Arquivos de Log, o arquivo estará localizado em %systemroot%\System32\NPSLogFile.
  8. Em Formato, clique em Compatível com DTS. Se preferir, selecione um formato de arquivo herdado, como ODBC (Herdado) ou IAS (Herdado).
    Os tipos de arquivo herdados ODBC e IAS contêm um subconjunto das informações que o NPS envia ao banco de dados do SQL Server. O formato XML do tipo de arquivo compatível com DTS é idêntico ao formato XML que o NPS usa para importar dados para seu banco de dados do SQL Server. Portanto, o formato de arquivo compatível com DTS fornece uma transferência mais eficiente e completa de dados para o banco de dados padrão do SQL Server para NPS.
  9. Em Criar um novo arquivo de log, para configurar o NPS para iniciar novos arquivos de log em intervalos especificados, clique no intervalo que você deseja usar:
    • Quanto ao alto volume de transações e atividade de registro, clique em Diariamente.
    • Para volumes de transação menores e atividade de registro em log, clique em Semanal ou Mensal.
    • Para armazenar todas as transações em um arquivo de log, clique em Nunca (tamanho ilimitado do arquivo).
    • Para limitar o tamanho de cada arquivo de log, clique em Quando o arquivo de log atingir esse tamanho e digite um tamanho de arquivo, após o qual um novo log é criado. O tamanho padrão é de 10 megabytes (MB).
  10. Se você quiser que o NPS exclua arquivos de log antigos para criar espaço em disco para novos arquivos de log quando o disco rígido estiver próximo à capacidade, verifique se Quando o disco estiver cheio, excluir arquivos de log mais antigos está selecionado. Essa opção não está disponível, no entanto, se o valor de Criar um novo arquivo de log for Nunca (tamanho de arquivo ilimitado). Além disso, se o arquivo de log mais antigo for o arquivo de log atual, ele não será excluído.

Configurar o log do NPS SQL Server

Você pode usar esse procedimento para registrar dados de contabilidade RADIUS em um banco de dados local ou remoto executando o Microsoft SQL Server.

Observação

O NPS formata dados de contabilidade como um documento XML que ele envia para o procedimento armazenado report_event no banco de dados do SQL Server que você designa no NPS. Para que o log do SQL Server funcione corretamente, você deve ter um procedimento armazenado chamado report_event no banco de dados do SQL Server que possa receber e analisar os documentos XML do NPS.

A associação a administradores de domínio, ou equivalente, é o mínimo necessário para concluir este procedimento.

Para configurar o registro de atividades do SQL Server no NPS

  1. Abra o console do NPS ou o snap-in do Console de Gerenciamento Microsoft (MMC) do NPS.
  2. Na árvore de console, clique em Contabilidade.
  3. No painel de detalhes, em Propriedades de Log do SQL Server, clique em Alterar Propriedades de Log do SQL Server. A caixa de diálogo Propriedades de Log do SQL Server é aberta.
  4. Em Log as seguintes informações, selecione as informações que você deseja registrar:
    • Para registrar todas as solicitações de contabilidade, clique em Solicitações de Contabilidade.
    • Para registrar solicitações de autenticação, clique em Solicitações de autenticação.
    • Para registrar o status da contabilidade periódica, clique no status de contabilidade periódica.
    • Para registrar o status periódico, como solicitações de contabilidade provisórias, clique no status periódico.
  5. Para configurar o número de sessões simultâneas permitidas entre o servidor que executa o NPS e o SQL Server, digite um número no número máximo de sessões simultâneas.
  6. Para configurar a fonte de dados do SQL Server, no log do SQL Server, clique em Configurar. A caixa de diálogo Propriedades do Link de Dados é aberta. Na guia Conexão , especifique o seguinte:
    • Para especificar o nome do servidor no qual o banco de dados está armazenado, digite ou selecione um nome em Selecionar ou insira um nome de servidor.
    • Para especificar o método de autenticação com o qual fazer logon no servidor, clique em Usar a segurança integrada do Windows NT. Ou clique em Usar um nome de usuário e senha específicos e digite as credenciais em Nome de Usuário e Senha.
    • Para permitir uma senha em branco, clique em Senha em Branco.
    • Para armazenar a senha, clique em Permitir salvar senha.
    • Para especificar a qual banco de dados se conectar no computador que executa o SQL Server, clique em Selecionar o banco de dados no servidor e selecione um nome de banco de dados na lista.
  7. Para testar a conexão entre o NPS e o SQL Server, clique em Testar Conexão. Clique em OK para fechar Propriedades do Link de Dados.
  8. Em Ação de falha de registro, selecione Habilitar log de arquivo de texto para failover se quiser que o NPS continue com o log de arquivo de texto se o log do SQL Server falhar.
  9. Em Ação de falha de log, selecione Se o log falhar, descartar as solicitações de conexão se você quiser que o NPS pare de processar mensagens de solicitação de acesso quando os arquivos de log estiverem cheios ou indisponíveis por algum motivo. Se você quiser que o NPS continue processando solicitações de conexão se o registro falhar, não marque esta caixa de seleção.

Nome de usuário de ping

Alguns servidores proxy RADIUS e servidores de acesso à rede enviam periodicamente solicitações de autenticação e contabilidade (conhecidas como solicitações de ping) para verificar se o NPS está presente na rede. Essas solicitações de ping incluem nomes de usuário fictícios. Quando o NPS processa essas solicitações, os logs de eventos e de contabilidade ficam preenchidos com registros de rejeição de acesso, tornando mais difícil acompanhar os registros válidos.

Quando você configura uma entrada do Registro para ping nome de usuário, o NPS compara o valor da entrada do Registro com o valor do nome de usuário em solicitações de ping por outros servidores. Uma entrada de registro de nome de usuário ping especifica o nome de usuário fictício (ou um padrão de nome de usuário, com variáveis, que corresponde ao nome de usuário fictício) enviado por servidores proxy RADIUS e servidores de acesso à rede. Quando o NPS recebe solicitações de ping que correspondem ao valor de entrada do registro de nome de usuário ping, o NPS rejeita as solicitações de autenticação sem processar a solicitação. O NPS não registra transações envolvendo o nome de usuário fictício em nenhum arquivo de log, o que facilita a interpretação do log de eventos.

O nome de usuário ping não está instalado por padrão. Você deve adicionar o nome de usuário ping ao registro. Você pode adicionar uma entrada ao registro usando o Editor do Registro.

Cuidado

a edição incorreta do Registro pode danificar gravemente o sistema. Antes de alterar o Registro, faça backup de todos os dados importantes do computador.

Para adicionar o nome de usuário ping ao Registro

O nome de usuário ping pode ser adicionado à seguinte chave do Registro como um valor de cadeia de caracteres por um membro do grupo de administradores local:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IAS\Parameters

  • Nome: ping user-name
  • Tipo: REG_SZ
  • Dados: Nome de usuário

Dica

Para indicar mais de um nome de usuário para um valor de nome de usuário ping, insira um padrão de nome, como um nome DNS, incluindo caracteres curinga, em Dados.