Configurar a contabilização do Servidor de Políticas de Rede

  • Artigo

Há três tipos de log para o NPS (Servidor de Políticas de Rede):

  • Registro em log de eventos. Usado principalmente para auditoria e solução de problemas de tentativas de conexão. Você pode configurar o registro em log de eventos do NPS obtendo as propriedades do NPS no console dele.

  • Registrar em log as solicitações de autenticação e contabilização do usuário em um arquivo local. Usado principalmente para fins de análise de conexão e cobrança. Também é útil como uma ferramenta de investigação de segurança, porque fornece um método de acompanhamento da atividade de um usuário mal-intencionado após um ataque. Você pode configurar o registro em log de arquivos local usando o assistente de Configuração de contabilização.

  • Registro em log de solicitações de autenticação e contabilização de usuário em um banco de dados compatível com o XML do Microsoft SQL Server. Usado para permitir que vários servidores que executam o NPS tenham uma fonte de dados. Também fornece as vantagens de usar um banco de dados relacional. Você pode configurar o registro em log do SQL Server usando o assistente de Configuração de contabilização.

Usar o assistente de Configuração de Contabilização

Usando o assistente de Configuração de Contabilização, você pode definir as quatro configurações de contabilização a seguir:

  • Somente registro em log do SQL. Usando essa configuração, você pode configurar um link de dados para um SQL Server que permite que o NPS se conecte e envie dados de contabilização para o SQL Server. Além disso, o assistente pode configurar o banco de dados no SQL Server para garantir que ele seja compatível com o registro em log do SQL Server do NPS.
  • Somente registro em log de texto. Usando essa configuração, você pode configurar o NPS para registrar dados de contabilização em um arquivo de texto.
  • Registro em log paralelo. Usando essa configuração, você pode configurar o link de dados e o banco de dados do SQL Server. Você também pode configurar o log do arquivo de texto para que o NPS faça logs simultaneamente no arquivo de texto e no banco de dados do SQL Server.
  • Registro em log do SQL com backup. Usando essa configuração, você pode configurar o link de dados e o banco de dados do SQL Server. Além disso, você pode configurar o registro em log do arquivo de texto que o NPS usa caso o registro em log do SQL Server falhe.

Além dessas configurações, tanto o log do SQL Server quanto o log de texto permitem especificar se o NPS continua processando solicitações de conexão se o registro em log falhar. Você pode especificar isso na seção Ação de falha log nas propriedades de log de arquivo local, nas propriedades de log do SQL Server e enquanto você estiver executando o Assistente de Configuração de Contabilização.

Para executar o Assistente de Configuração de Contabilização

Para executar o Assistente de Configuração de Contabilização, conclua as seguintes etapas:

  1. Abra o console do NPS ou o suplemento do MMC (Console de Gerenciamento Microsoft) do NPS.
  2. Na árvore do console, clique em Contabilização.
  3. No painel de detalhes, em Contabilização, clique em Configurar Contabilização.

Configurar as propriedades do arquivo de log do NPS

Você pode configurar o NPS (Servidor de Políticas de Rede) para executar a contabilização RADIUS (Remote Authentication Dial-In User Service) para solicitações de autenticação de usuário, mensagens de aceitação de acesso, mensagens de rejeição de acesso, solicitações e respostas de contabilização e atualizações de status periódicas. Você pode usar esse procedimento para configurar os arquivos de log nos quais deseja armazenar os dados de contabilização.

Para obter mais informações sobre como interpretar arquivos de log, confira Interpretar arquivos de log em formato de Banco de Dados do NPS.

Para impedir que os arquivos de log encham o disco rígido, é altamente recomendável mantê-los em uma partição separada da partição do sistema. O seguinte fornece mais informações sobre como configurar a contabilidade para o NPS:

  • Para enviar os dados do arquivo de log para coleta por outro processo, você pode configurar o NPS para gravar em um pipe nomeado. Para usar pipes nomeados, defina a pasta do arquivo de log como \.\pipe ou \ComputerName\pipe. O programa de servidor do pipe nomeado cria um pipe nomeado chamado \.\pipe\iaslog.log para aceitar os dados. Na caixa de diálogo Propriedades do arquivo local, em Criar um arquivo de log, selecione Nunca (tamanho de arquivo ilimitado) ao usar pipes nomeados.

  • O diretório do arquivo de log pode ser criado usando variáveis de ambiente do sistema (em vez de variáveis de usuário), como %systemdrive%, %systemroot% e %windir%. Por exemplo, o caminho a seguir, usando a variável de ambiente %windir%, localiza o arquivo de log no diretório do sistema na subpasta \System32\Logs (ou seja, %windir%\System32\Logs).

  • Alternar formatos de arquivo de log não faz com que um log seja criado. Se você alterar os formatos de arquivo de log, o arquivo que estiver ativo no momento da alteração conterá uma combinação dos dois formatos (os registros no início do log terão o formato anterior e os registros no final terão o novo formato).

  • Se a contabilização RADIUS falhar devido a uma unidade de disco rígido cheia ou por outras causas, o NPS interromperá o processamento de solicitações de conexão, impedindo que os usuários acessem recursos de rede.

  • O NPS permite que você faça logon em um banco de dados do Microsoft® SQL Server™ além de, ou em vez de, fazer logon em um arquivo local.

A associação ao grupo Administradores de Domínio é o mínimo necessário para realizar esse procedimento.

Para configurar as propriedades do arquivo de log do NPS

  1. Abra o console do NPS ou o suplemento do MMC (Console de Gerenciamento Microsoft) do NPS.
  2. Na árvore do console, clique em Contabilização.
  3. No painel de detalhes, em Propriedades do Arquivo de Log, clique em Alterar Propriedades do Arquivo de Log. A caixa de diálogo Propriedades do Novo Perfil é aberta.
  4. Em Propriedades do Arquivo de Log, na guia Configurações, em Registrar as informações a seguir, opte por registrar informações suficientes para atingir suas metas de contabilização. Por exemplo, se os logs precisarem realizar a correlação de sessões, marque todas as caixas de seleção.
  5. Em Ação de falha de log, selecione Se o log falhar, descartar as solicitações de conexão se você quiser que o NPS pare de processar mensagens de solicitação de acesso quando os arquivos de log estiverem cheios ou indisponíveis por algum motivo. Se você quiser que o NPS continue processando solicitações de conexão se o log falhar, não marque essa caixa de seleção.
  6. Na caixa de diálogo Propriedades do Arquivo de Log, clique na guia Arquivo de Log.
  7. Na guia Arquivo de Log, em Diretório, digite o local onde deseja armazenar arquivos de log do NPS. O local padrão é a pasta systemroot\System32\LogFiles.
    Se você não fornecer uma instrução de caminho completo no Diretório de Arquivos de Log, o caminho padrão será usado. Por exemplo, se você digitar NPSLogFile no Diretório de Arquivos de Log, o arquivo estará localizado em %systemroot%\System32\NPSLogFile.
  8. Em Formato, clique em Compatível com DTS. Se preferir, selecione um formato de arquivo herdado, como ODBC (Herdado) ou IAS (Herdado).
    Os tipos de arquivo herdados ODBC e IAS contêm um subconjunto das informações que o NPS envia para seu banco de dados do SQL Server. O formato XML do tipo de arquivo Compatível com DTS é idêntico ao formato XML que o NPS usa para importar dados para seu banco de dados do SQL Server. Portanto, o formato de arquivo Compatível com DTS fornece uma transferência mais eficiente e completa de dados para o banco de dados do SQL Server padrão para o NPS.
  9. Em Criar um arquivo de log, para configurar o NPS para iniciar novos arquivos de log em intervalos especificados, clique no intervalo que deseja usar:
    • Para atividades de log e volumes de transações pesados, clique em Diário.
    • Para volumes de transação e atividades de registro em log menores, clique em Semanal ou Mensal.
    • Para armazenar todas as transações em um arquivo de log, clique em Nunca (tamanho de arquivo ilimitado).
    • Para limitar o tamanho de cada arquivo de log, clique em Quando o arquivo de log atingir este tamanho e digite um tamanho de arquivo; depois disso, um log é criado. O tamanho padrão é 10 MB (megabytes).
  10. Se você quiser que o NPS exclua arquivos de log antigos para criar espaço em disco para novos arquivos de log quando o disco rígido estiver próximo da capacidade máxima, certifique-se de que Quando o disco estiver cheio, excluir arquivos de log mais antigos esteja selecionado. No entanto, essa opção não estará disponível se o valor de Criar um arquivo de log for Nunca (tamanho de arquivo ilimitado). Além disso, se o arquivo de log mais antigo for o arquivo de log atual, ele não será excluído.

Configurar o registro em log do SQL Server do NPS

Você pode usar esse procedimento para registrar em log dados de contabilização RADIUS em um banco de dados local ou remoto que executa o Microsoft SQL Server.

Observação

O NPS formata dados de contabilização como um documento XML que envia para o procedimento armazenado report_event no banco de dados do SQL Server que você designa no NPS. Para que o registro em log do SQL Server funcione corretamente, você precisa ter um procedimento armazenado chamado report_event no banco de dados do SQL Server que possa receber e analisar os documentos XML do NPS.

A associação no Admins. do Domínio ou equivalente é o requisito mínimo exigido para concluir este procedimento.

Para configurar o registro em log do SQL Server no NPS

  1. Abra o console do NPS ou o suplemento do MMC (Console de Gerenciamento Microsoft) do NPS.
  2. Na árvore do console, clique em Contabilização.
  3. No painel de detalhes, em Propriedades de Registro em Log do SQL Server, clique em Alterar Propriedades de Registro em Log do SQL Server. A caixa de diálogo Propriedades de Registro em Log do SQL Server é aberta.
  4. Em Registrar as seguintes informações, selecione as informações que você deseja registrar em log:
    • Para registrar todas as solicitações de contabilização, clique em Solicitações de contabilização.
    • Para registrar solicitações de autenticação, clique em Solicitações de autenticação.
    • Para registrar o status da contabilização periódica, clique em Status de contabilização periódica.
    • Para registrar o status periódico, como solicitações de contabilização provisório, clique em Status periódico.
  5. Para configurar o número de sessões simultâneas permitidas entre o servidor que executa o NPS e o SQL Server, digite um número em Número máximo de sessões simultâneas.
  6. Para configurar a fonte de dados do SQL Server, em Registro em Log do SQL Server, clique em Configurar. A caixa de diálogo Propriedades de Link de Dados é aberta. Na guia Conexão, especifique o seguinte:
    • Para especificar o nome do servidor no qual o banco de dados está armazenado, digite ou selecione um nome em Selecionar ou inserir um nome de servidor.
    • Para especificar o método de autenticação com o qual fazer logon no servidor, clique em Usar a segurança integrada do Windows NT. Ou clique em Usar um nome de usuário e senha específicos e digite as credenciais em Nome de usuário e Senha.
    • Para permitir uma senha em branco, clique em Senha em branco.
    • Para armazenar a senha, clique em Permitir salvamento da senha.
    • Para especificar a qual banco de dados se conectar no computador que executa o SQL Server, clique em Selecionar o banco de dados no servidor e selecione um nome de banco de dados na lista.
  7. Para testar a conexão entre o NPS e o SQL Server, clique em Testar Conexão. Clique em OK para fechar as Propriedades do Link de Dados.
  8. Em Ação de falha de registro, selecione Habilitar log de arquivo de texto para failover se quiser que o NPS continue com o log de arquivo de texto se o log do SQL Server falhar.
  9. Em Ação de falha de log, selecione Se o log falhar, descartar as solicitações de conexão se você quiser que o NPS pare de processar mensagens de solicitação de acesso quando os arquivos de log estiverem cheios ou indisponíveis por algum motivo. Se você quiser que o NPS continue processando solicitações de conexão se o log falhar, não marque essa caixa de seleção.

Nome de usuário de ping

Alguns servidores proxy RADIUS e servidores de acesso à rede enviam periodicamente solicitações de autenticação e contabilização (conhecidas como solicitações de ping) para verificar se o NPS está presente na rede. Essas solicitações de ping incluem nomes de usuário fictícios. Quando o NPS processa essas solicitações, os logs de eventos e de contabilização ficam cheios de registros de rejeição de acesso, dificultando o controle de registros válidos.

Quando você configura uma entrada do registro para o nome de usuário de ping, o NPS faz a correspondência entre o valor de entrada do registro e ao valor do nome de usuário nas solicitações de ping de outros servidores. Uma entrada do registro de nome de usuário de ping especifica o nome de usuário fictício (ou um padrão de nome de usuário, com variáveis, que corresponde ao nome de usuário fictício) enviado por servidores proxy RADIUS e servidores de acesso à rede. Quando o NPS recebe solicitações de ping que correspondem ao valor de entrada do registro de nome de usuário ping, o NPS rejeita as solicitações de autenticação sem processá-las. O NPS não registra transações envolvendo o nome de usuário fictício em nenhum arquivo de log, o que facilita a interpretação do log de eventos.

O nome de usuário de ping não está instalado por padrão. Você precisa adicionar o nome de usuário de ping ao registro. Você pode adicionar uma entrada ao registro usando o Editor do Registro.

Cuidado

a edição incorreta do Registro pode danificar gravemente o sistema. Antes de alterar o Registro, faça backup de todos os dados importantes do computador.

Para adicionar o nome de usuário de ping ao registro

O nome de usuário de ping pode ser adicionado à seguinte chave do registro como um valor de cadeia de caracteres por um membro do grupo de Administradores local:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IAS\Parameters

  • Nome: ping user-name
  • Tipo: REG_SZ
  • Dados: nome de usuário

Dica

Para indicar mais de um nome de usuário para um valor de nome de usuário ping, insira um padrão de nome, como um nome DNS, incluindo caracteres curinga, em Dados.