Настройка учета сервера политики сети

  • Статья

Существует три типа ведения журнала для сервера политики сети (NPS):

  • Ведение журнала событий. Используется в основном для аудита и устранения неполадок при попытках подключения. Ведение журнала событий NPS можно настроить, получив свойства NPS в консоли NPS.

  • Ведение журнала запросов проверки подлинности пользователей и учетных записей в локальный файл. Используется в основном для анализа подключений и выставления счетов. Также полезно в качестве средства исследования безопасности, так как он предоставляет метод отслеживания активности вредоносного пользователя после атаки. Вы можете настроить ведение журнала локальных файлов с помощью мастера настройки учетной записи.

  • Ведение журнала запросов на проверку подлинности пользователей и учетную запись в базу данных, совместимую с XML-кодом Microsoft SQL Server. Используется для разрешения нескольких серверов, на которых работает NPS, один источник данных. Также предоставляет преимущества использования реляционной базы данных. Ведение журнала SQL Server можно настроить с помощью мастера настройки учета.

Использование мастера настройки учета

С помощью мастера настройки учета можно настроить следующие четыре параметра учета:

  • Только ведение журнала SQL. С помощью этого параметра можно настроить ссылку на SQL Server, которая позволяет NPS подключаться к серверу SQL Server и отправлять учетные данные. Кроме того, мастер может настроить базу данных в SQL Server, чтобы убедиться, что база данных совместима с журналом NPS SQL Server.
  • Только ведение журнала текста. С помощью этого параметра можно настроить NPS для записи данных учета в текстовый файл.
  • Параллельное ведение журнала. С помощью этого параметра можно настроить ссылку данных и базу данных SQL Server. Вы также можете настроить ведение журнала текстовых файлов, чтобы журналы NPS одновременно в текстовый файл и базу данных SQL Server.
  • Ведение журнала SQL с резервной копией. С помощью этого параметра можно настроить ссылку данных и базу данных SQL Server. Кроме того, можно настроить ведение журнала текстовых файлов, которое использует NPS, если ведение журнала SQL Server завершается сбоем.

Помимо этих параметров, ведение журнала SQL Server и текстовое ведение журнала позволяют указать, продолжает ли NPS обрабатывать запросы на подключение, если ведение журнала завершается ошибкой. Это можно указать в разделе действия "Ведение журнала" в свойствах локального ведения журнала файлов, в свойствах ведения журнала SQL Server и при запуске мастера настройки учета.

Запуск мастера настройки учета

Чтобы запустить мастер настройки учета, выполните следующие действия.

  1. Откройте консоль NPS или оснастку консоли управления NPS (MMC).
  2. В дереве консоли щелкните "Учет".
  3. В области сведений в области "Учет" нажмите кнопку "Настроить учет".

Настройка свойств файла журнала NPS

Сервер политики сети (NPS) можно настроить для выполнения учета запросов на проверку подлинности пользователей, запросов на проверку подлинности пользователей, сообщений, отклонений доступа, запросов и ответов на удаленный доступ, а также периодических обновлений состояния. Эту процедуру можно использовать для настройки файлов журналов, в которых требуется хранить данные учета.

Дополнительные сведения о интерпретации файлов журналов см. в разделе "Интерпретация файлов журнала формата базы данных NPS".

Чтобы предотвратить заполнение жесткого диска файлами журнала, настоятельно рекомендуется хранить их в секции, отдельной от системной секции. Ниже приведены дополнительные сведения о настройке учета NPS:

  • Чтобы отправить данные файла журнала для сбора другим процессом, можно настроить NPS для записи в именованный канал. Чтобы использовать именованные каналы, задайте для папки файла журнала значение \.\pipe или \ComputerName\pipe. Программа сервера именованных каналов создает именованный канал с именем \.\pipe\iaslog.log для принятия данных. В диалоговом окне "Свойства локального файла" в разделе "Создание нового файла журнала" при использовании именованных каналов выберите "Никогда" (неограниченный размер файла).

  • Каталог файлов журнала можно создать с помощью системных переменных среды (вместо пользовательских переменных), таких как %systemdrive%, %systemroot%, и %windir%. Например, следующий путь, используя переменную среды %windir%, находит файл журнала в системном каталоге в подпапке \System32\Logs (то есть %windir%\System32\Logs).

  • Переключение форматов файлов журнала не приводит к созданию нового журнала. Если изменить форматы файлов журнала, файл, активный во время изменения, будет содержать сочетание двух форматов (записи в начале журнала будут иметь предыдущий формат, а записи в конце журнала будут иметь новый формат).

  • Если учет RADIUS завершается ошибкой из-за полного жесткого диска или других причин, NPS останавливает обработку запросов на подключение, предотвращая доступ пользователей к сетевым ресурсам.

  • NPS предоставляет возможность входа в базу данных Microsoft® SQL Server™ в дополнение к локальному файлу или вместо нее.

Членство в группе доменных Администратор является минимальным обязательным для выполнения этой процедуры.

Настройка свойств файла журнала NPS

  1. Откройте консоль NPS или оснастку консоли управления NPS (MMC).
  2. В дереве консоли щелкните "Учет".
  3. В области сведений в свойствах файла журнала нажмите кнопку "Изменить свойства файла журнала". Откроется диалоговое окно "Свойства файла журнала".
  4. На вкладке "Свойства файла журнала" на вкладке Параметры в журнале приведены следующие сведения, убедитесь, что вы решили записать достаточно информации для достижения целей бухгалтерского учета. Например, если журналы должны выполнять корреляцию сеансов, выберите все проверка поля.
  5. В действии ведения журнала выберите "Если ведение журнала завершается ошибкой", не карта запросы на подключение, если вы хотите, чтобы NPS перестал обрабатывать сообщения Access-Request, если файлы журнала полны или недоступны по какой-либо причине. Если вы хотите, чтобы NPS продолжал обрабатывать запросы на подключение, если ведение журнала завершается ошибкой, не выбирайте этот проверка поле.
  6. В диалоговом окне "Свойства файла журнала" щелкните вкладку "Файл журнала".
  7. На вкладке "Файл журнала" в каталоге введите расположение, в котором нужно хранить файлы журналов NPS. Расположение по умолчанию — это папка systemroot\System32\LogFiles.
    Если в каталоге файлов журнала не указан полный путь, используется путь по умолчанию. Например, если ввести NPSLogFile в каталоге файлов журнала, файл находится в папке %systemroot%\System32\NPSLogFile.
  8. В поле "Формат" щелкните "Соответствие DTS". Если вы предпочитаете, вместо этого можно выбрать устаревший формат файла, например ODBC (устаревшая версия) или IAS (устаревшая версия).
    Устаревшие типы файлов ODBC и IAS содержат подмножество сведений, которые NPS отправляет в базу данных SQL Server. Формат XML-файла, совместимый с DTS, идентичен xml-формату, который NPS использует для импорта данных в базу данных SQL Server. Таким образом, формат файла, совместимого с DTS, обеспечивает более эффективную и полную передачу данных в стандартную базу данных SQL Server для NPS.
  9. В разделе "Создание файла журнала" для настройки NPS для запуска новых файлов журнала с заданными интервалами щелкните интервал, который требуется использовать:
    • Для больших объемов транзакций и действий ведения журнала нажмите кнопку "Ежедневно".
    • Для меньшего объема транзакций и действий ведения журнала щелкните еженедельно или ежемесячно.
    • Чтобы сохранить все транзакции в одном файле журнала, нажмите кнопку Никогда (неограниченный размер файла).
    • Чтобы ограничить размер каждого файла журнала, нажмите кнопку "Когда файл журнала достигает этого размера", а затем введите размер файла, после которого создается новый журнал. Размер по умолчанию составляет 10 мегабайт (МБ).
  10. Если вы хотите, чтобы NPS удалил старые файлы журналов, чтобы создать место на диске для новых файлов журнала, если жесткий диск близок к емкости, убедитесь, что при полном удалении старых файлов журнала выбран диск. Этот параметр недоступен, однако, если значение создания нового файлажурнала никогда (неограниченного размера файла)). Кроме того, если старый файл журнала является текущим файлом журнала, он не удаляется.

Настройка ведения журнала SQL Server для NPS

Эту процедуру можно использовать для записи данных учета RADIUS в локальную или удаленную базу данных под управлением Microsoft SQL Server.

Примечание.

NPS форматирует данные учета в виде XML-документа, который отправляется в хранимую процедуру report_event в базе данных SQL Server, назначенной в NPS. Для правильной работы журнала SQL Server необходимо иметь хранимую процедуру с именем report_event в базе данных SQL Server, которая может получать и анализировать XML-документы из NPS.

Членство в доменных Администратор или эквивалентных значениях является минимальным обязательным для выполнения этой процедуры.

Настройка ведения журнала SQL Server в NPS

  1. Откройте консоль NPS или оснастку консоли управления NPS (MMC).
  2. В дереве консоли щелкните "Учет".
  3. В области сведений в свойствах ведения журнала SQL Server щелкните Изменить свойства ведения журнала SQL Server. Откроется диалоговое окно "Свойства ведения журнала SQL Server".
  4. Войдите в журнал следующие сведения, выберите сведения, которые требуется завести в журнал:
    • Чтобы записать все запросы на учет, щелкните "Учетные запросы".
    • Чтобы регистрировать запросы проверки подлинности, щелкните запросы проверки подлинности.
    • Чтобы регистрировать периодическое состояние бухгалтерского учета, щелкните состояние периодического учета.
    • Чтобы регистрировать периодическое состояние, например промежуточные запросы на учет, щелкните периодическое состояние.
  5. Чтобы настроить число одновременных сеансов, разрешенных между сервером, на котором выполняется NPS и SQL Server, введите число в максимальном количестве одновременных сеансов.
  6. Чтобы настроить источник данных SQL Server, в журнале SQL Server нажмите кнопку "Настроить". Откроется диалоговое окно "Свойства канала данных". На вкладке Подключение ion укажите следующее:
    • Чтобы указать имя сервера, на котором хранится база данных, введите или выберите имя в поле Select или введите имя сервера.
    • Чтобы указать метод проверки подлинности, с помощью которого необходимо войти на сервер, нажмите кнопку "Использовать встроенную безопасность Windows NT". Или нажмите кнопку "Использовать определенное имя пользователя и пароль", а затем введите учетные данные в имени пользователя и пароле.
    • Чтобы разрешить пустой пароль, нажмите кнопку "Пустой пароль".
    • Чтобы сохранить пароль, нажмите кнопку "Разрешить сохранение пароля".
    • Чтобы указать, к какой базе данных необходимо подключиться на компьютере под управлением SQL Server, щелкните " Выбрать базу данных на сервере" и выберите имя базы данных из списка.
  7. Чтобы проверить подключение между NPS и SQL Server, нажмите кнопку "Тестировать Подключение". Нажмите кнопку "ОК" , чтобы закрыть свойства канала данных.
  8. В действии ведения журнала ошибок выберите включить ведение журнала текстовых файлов для отработки отказа, если вы хотите продолжить ведение журнала текстовых файлов в случае сбоя ведения журнала SQL Server.
  9. В действии ведения журнала выберите "Если ведение журнала завершается ошибкой", не карта запросы на подключение, если вы хотите, чтобы NPS перестал обрабатывать сообщения Access-Request, если файлы журнала полны или недоступны по какой-либо причине. Если вы хотите, чтобы NPS продолжал обрабатывать запросы на подключение, если ведение журнала завершается ошибкой, не выбирайте этот проверка поле.

Ping user-name

Некоторые прокси-серверы RADIUS и серверы доступа к сети периодически отправляют запросы проверки подлинности и учета (известные как запросы связи), чтобы убедиться, что NPS присутствует в сети. Эти запросы связи включают вымышленные имена пользователей. Когда NPS обрабатывает эти запросы, журналы событий и учета заполняются записями отклонения доступа, что затрудняет отслеживание допустимых записей.

При настройке записи реестра для проверки связи с именем пользователя NPS соответствует значению записи реестра со значением имени пользователя в запросах проверки связи другими серверами. Запись реестра имен ping указывает вымышленное имя пользователя (или шаблон имени пользователя, с переменными, которые соответствуют вымышленным имени пользователя), отправляемые прокси-серверами RADIUS и серверами сетевого доступа. Когда NPS получает запросы на проверку связи, соответствующие значению записи реестра имени пользователя , NPS отклоняет запросы проверки подлинности без обработки запроса. NPS не записывает транзакции, связанные с вымышленным именем пользователя в файлах журнала, что упрощает интерпретацию журнала событий.

По умолчанию имя пользователя не устанавливается. Необходимо добавить имя пользователя в реестр. Запись можно добавить в реестр с помощью редактора реестра.

Внимание

Неправильное редактирование реестра может значительно повредить систему. Перед внесением изменений в реестр рекомендуется создать резервную копию всех важных данных.

Добавление имени пользователя в реестр

Ping user-name можно добавить в следующий раздел реестра в качестве строкового значения членом локальной группы Администратор istrators:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IAS\Parameters

  • Имя: ping user-name
  • Тип: REG_SZ
  • Данные: имя пользователя

Совет

Чтобы указать несколько имен пользователя для значения имени ping, введите шаблон имени, например DNS-имя, включая дикие карта символы в data.