次の方法で共有

ネットワーク ポリシー サーバーアカウンティングの構成

ネットワーク ポリシー サーバー (NPS) のログ記録には、次の 3 種類があります。

  • イベント ログ。 主に、接続試行の監査とトラブルシューティングに使用されます。 NPS コンソールで NPS プロパティを取得することで、NPS イベント ログを構成できます。

  • ローカル ファイルへのユーザー認証とアカウンティング要求のログ記録。 主に接続分析と課金の目的で使用されます。 また、攻撃後に悪意のあるユーザーのアクティビティを追跡する方法が提供されるため、セキュリティ調査ツールとしても役立ちます。 アカウンティング構成ウィザードを使用して、ローカル・ファイル・ロギングを構成できます。

  • Microsoft SQL Server XML に準拠したデータベースに対するユーザー認証とアカウンティング要求のログ記録。 NPS を実行する複数のサーバーに 1 つのデータ ソースを許可するために使用します。 また、リレーショナル データベースを使用する利点もあります。 アカウンティング構成ウィザードを使用して、SQL Server のログ記録を構成できます。

アカウンティング構成ウィザードを使用する

アカウンティング構成ウィザードを使用すると、次の 4 つのアカウンティング設定を構成できます。

  • SQL ログのみ。 この設定を使用すると、NPS が SQL Server に接続し、アカウンティング データを SQL Server に送信できるようにする SQL Server へのデータ リンクを構成できます。 さらに、ウィザードでは、データベースが NPS SQL Server ログと互換性があることを確認するために、SQL Server 上のデータベースを構成できます。
  • テキスト ログのみ。 この設定を使用すると、アカウンティング データをテキスト ファイルに記録するように NPS を構成できます。
  • 並列ログ記録。 この設定を使用すると、SQL Server データ リンクとデータベースを構成できます。 また、テキスト ファイルのログ記録を構成して、NPS がテキスト ファイルと SQL Server データベースに同時にログを記録するようにすることもできます。
  • バックアップを使用した SQL ログ。 この設定を使用すると、SQL Server データ リンクとデータベースを構成できます。 さらに、SQL Server のログ記録に失敗した場合に NPS で使用されるテキスト ファイルのログ記録を構成できます。

これらの設定に加えて、SQL Server ログとテキスト ログの両方を使用して、ログ記録に失敗した場合に NPS が接続要求を処理し続けるかどうかを指定できます。 これは、ローカル ファイル ログ プロパティの ログ記録アクション セクション 、SQL Server ログ プロパティ、およびアカウンティング構成ウィザードの実行中に指定できます。

アカウンティング構成ウィザードを実行するには

アカウンティング構成ウィザードを実行するには、次の手順を実行します。

  1. NPS コンソールまたは NPS Microsoft 管理コンソール (MMC) スナップインを開きます。
  2. コンソール ツリーで、[ 会計] をクリックします。
  3. 詳細ウィンドウの [ 会計] で、[ 会計の構成] をクリックします。

NPS ログ ファイルのプロパティを構成する

ネットワーク ポリシー サーバー (NPS) を構成して、ユーザー認証要求、Access-Accept メッセージ、Access-Reject メッセージ、アカウンティング要求と応答、および定期的な状態更新のリモート認証ダイヤルイン ユーザー サービス (RADIUS) アカウンティングを実行できます。 この手順を使用して、アカウンティング データを格納するログ ファイルを構成できます。

ログ ファイルの解釈の詳細については、「 NPS データベース形式のログ ファイルの解釈」を参照してください。

ログ ファイルがハード ドライブを埋め込むのを防ぐために、システム パーティションとは別のパーティションに保持することを強くお勧めします。 NPS のアカウンティングの構成の詳細については、次を参照してください。

  • 別のプロセスによって収集するログ ファイル データを送信するには、名前付きパイプに書き込む NPS を構成できます。 名前付きパイプを使用するには、ログ ファイル フォルダーを \.\pipe または \ComputerName\pipe に設定します。 名前付きパイプ サーバー プログラムは、\.\pipe\iaslog.log という名前付きパイプを作成してデータを受け入れます。 [ローカル ファイルのプロパティ] ダイアログ ボックスで、[新しいログ ファイルの作成] で、名前付きパイプを使用する場合は [Never (無制限のファイル サイズ)] を選択します。

  • ログ ファイル ディレクトリは、%systemdrive%、%systemroot%、%windir%などのシステム環境変数 (ユーザー変数ではなく) を使用して作成できます。 たとえば、次のパスでは、環境変数 %windir%を使用して、サブフォルダー \System32\Logs (つまり、\System32\Logs) のシステム ディレクトリにログ ファイル %windir%検索します。

  • ログ ファイル形式を切り替えると、新しいログは作成されません。 ログ ファイル形式を変更すると、変更時にアクティブなファイルに 2 つの形式が混在します (ログの先頭のレコードは以前の形式になり、ログの末尾のレコードは新しい形式になります)。

  • ハード ディスク ドライブ全体またはその他の原因により RADIUS アカウンティングが失敗した場合、NPS は接続要求の処理を停止し、ユーザーがネットワーク リソースにアクセスできないようにします。

  • NPS では、ローカル ファイルへのログ記録に加えて、またはログに記録する代わりに、Microsoft® SQL Server™ データベースにログを記録する機能が提供されます。

Domain Admins グループのメンバーシップは、この手順を実行するために最低限必要です。

NPS ログ ファイルのプロパティを構成するには

  1. NPS コンソールまたは NPS Microsoft 管理コンソール (MMC) スナップインを開きます。
  2. コンソール ツリーで、[ 会計] をクリックします。
  3. 詳細ウィンドウの [ ログ ファイルのプロパティ] で、[ ログ ファイルのプロパティの変更] をクリックします。 [ ログ ファイルのプロパティ ] ダイアログ ボックスが開きます。
  4. [ ログ ファイルのプロパティ] の [ 設定] タブの [ ログに次の情報を記録する] で、会計目標を達成するために十分な情報をログに記録することを選択していることを確認します。 たとえば、ログでセッションの相関関係を実現する必要がある場合は、すべてのチェック ボックスをオンにします。
  5. ログ記録の失敗時のアクションで、ログ ファイルがいっぱいだったり、何らかの理由で使用できない場合にNPSがAccess-Requestメッセージの処理を停止したい場合は、ログ記録が失敗したら接続要求を破棄を選択します。 ログ記録に失敗した場合に NPS で接続要求の処理を続行する場合は、このチェック ボックスをオンにしないでください。
  6. [ ログ ファイルのプロパティ ] ダイアログ ボックスで、[ ログ ファイル ] タブをクリックします。
  7. [ ログ ファイル ] タブの [ディレクトリ] に、NPS ログ ファイルを格納する場所を入力します。 既定の場所は systemroot\System32\LogFiles フォルダーです。
    ログ ファイル ディレクトリに完全なパス ステートメントを指定しない場合は、既定のパスが使用されます。 たとえば、ログ ファイル ディレクトリNPSLogFile と入力した場合、ファイルは \System32\NPSLogFile %systemroot%にあります。
  8. [形式] で、[DTS 準拠] をクリックします。 必要に応じて、 代わりに、ODBC (レガシ)IAS (レガシ) などのレガシ ファイル形式を選択できます。
    ODBCIAS のレガシ ファイルの種類には、NPS が SQL Server データベースに送信する情報のサブセットが含まれています。 DTS 準拠ファイルの種類の XML 形式は、NPS が SQL Server データベースにデータをインポートするために使用する XML 形式と同じです。 したがって、 DTS 準拠 ファイル形式を使用すると、NPS 用の標準 SQL Server データベースへのデータをより効率的かつ完全に転送できます。
  9. [ 新しいログ ファイルの作成] で、指定した間隔で新しいログ ファイルを開始するように NPS を構成するには、使用する間隔をクリックします。
    • トランザクション量とログ 記録アクティビティが多い場合は、[ 毎日] をクリックします。
    • トランザクションボリュームとログ記録アクティビティが少ない場合は、[ 毎週 ] または [ 毎月] をクリックします。
    • すべてのトランザクションを 1 つのログ ファイルに格納するには、[ なし] (無制限のファイル サイズ) をクリックします。
    • 各ログ ファイルのサイズを制限するには、[ ログ ファイルがこのサイズに達したとき] をクリックし、ファイル サイズを入力して、新しいログを作成します。 既定のサイズは 10 MB です。
  10. NPS で古いログ ファイルを削除して、ハード ディスクの容量が近いときに新しいログ ファイルのディスク領域を作成する場合 は、[ディスクがいっぱいになったときに古いログ ファイルを削除 する] が選択されていることを確認します。 ただし、[ 新しいログ ファイルの作成 ] の値が [なし] (無制限のファイル サイズ) の場合は、このオプションは使用できません。 また、最も古いログ ファイルが現在のログ ファイルの場合、削除されません。

NPS SQL Server ログ設定の構成

この手順を使用して、Microsoft SQL Server を実行しているローカルまたはリモート データベースに RADIUS アカウンティング データを記録できます。

NPS は、NPS で指定した SQL Server データベースの report_event ストアド プロシージャに送信される XML ドキュメントとしてアカウンティング データを書式設定します。 SQL Server ログが正常に機能するには、NPS から XML ドキュメントを受信して解析できる 、report_event という名前のストアド プロシージャが SQL Server データベースに必要です。

この手順を完了するには、Domain Admins または同等のメンバーシップが最低限必要です。

NPS で SQL Server ログを構成するには

  1. NPS コンソールまたは NPS Microsoft 管理コンソール (MMC) スナップインを開きます。
  2. コンソール ツリーで、[ 会計] をクリックします。
  3. 詳細ウィンドウの [SQL Server ログのプロパティ] で、[ SQL Server ログのプロパティの変更] をクリックします。 [SQL Server ログのプロパティ] ダイアログ ボックスが開きます。
  4. [ ログに記録する情報] で、ログに記録する情報を選択します。
    • すべてのアカウンティング要求をログに記録するには、[ 会計要求] をクリックします。
    • 認証要求をログに記録するには、[ 認証要求] をクリックします。
    • 定期会計ステータスをログに記録するには、[ 定期会計ステータス] をクリックします。
    • 中間会計要求などの定期的なステータスをログに記録するには、[ 定期ステータス] をクリックします。
  5. NPS を実行しているサーバーと SQL Server の間で許可される同時セッションの数を構成するには、[ 同時セッションの最大数] に数を入力します。
  6. SQL Server データ ソースを構成するには、 SQL Server ログで [ 構成] をクリックします。 [ データ リンクのプロパティ ] ダイアログ ボックスが開きます。 [ 接続 ] タブで、次を指定します。
    • データベースが格納されているサーバーの名前を指定するには、[選択] で名前を入力 または選択するか、サーバー名を入力します
    • サーバーにログオンする認証方法を指定するには、[ Windows NT 統合セキュリティの使用] をクリックします。 または、[ 特定のユーザー名とパスワードを使用する] をクリックし、[ ユーザー名 ] と [パスワード] に資格情報を入力 します
    • 空白のパスワードを許可するには、[空白の パスワード] をクリックします。
    • パスワードを保存するには、[パスワードの 保存を許可する] をクリックします。
    • SQL Server を実行しているコンピューターで接続するデータベースを指定するには、[ サーバー上のデータベースの選択] をクリックし、一覧からデータベース名を選択します。
  7. NPS と SQL Server の間の接続をテストするには、[ 接続のテスト] をクリックします。 [ OK] を クリックして データ リンクのプロパティを閉じます。
  8. SQL Server のログ記録に失敗した場合に NPS でテキスト ファイルのログ記録を続行する場合は、[ログ記録の失敗アクション] で、[フェールオーバー用にテキスト ファイルのログ記録を有効にする] を選択します。
  9. ログ記録の失敗時のアクションで、ログ ファイルがいっぱいだったり、何らかの理由で使用できない場合にNPSがAccess-Requestメッセージの処理を停止したい場合は、ログ記録が失敗したら接続要求を破棄を選択します。 ログ記録に失敗した場合に NPS で接続要求の処理を続行する場合は、このチェック ボックスをオンにしないでください。

ping ユーザー名

一部の RADIUS プロキシ サーバーとネットワーク アクセス サーバーは、NPS がネットワーク上に存在することを確認するために、認証要求とアカウンティング要求 (ping 要求と呼ばれます) を定期的に送信します。 これらの ping 要求には、架空のユーザー名が含まれます。 NPS がこれらの要求を処理すると、イベント ログとアカウンティング ログにアクセス 拒否レコードが格納され、有効なレコードを追跡することが困難になります。

ping ユーザー名のレジストリ エントリを構成すると、NPS は、他のサーバーによる ping 要求のユーザー名の値とレジストリ エントリの値を照合します。 ping ユーザー名レジストリ エントリは、RADIUS プロキシ サーバーとネットワーク アクセス サーバーによって送信される架空のユーザー名 (または、架空のユーザー名と一致する変数を持つユーザー名パターン) を指定します。 NPS が ping ユーザー名 レジストリ エントリの値と一致する ping 要求を受信すると、NPS は要求を処理せずに認証要求を拒否します。 NPS では、架空のユーザー名を含むトランザクションがログ ファイルに記録されないため、イベント ログの解釈が容易になります。

Ping ユーザー名 は既定ではインストールされません。 レジストリに ping ユーザー名を追加する必要があります。 レジストリ エディターを使用して、レジストリにエントリを追加できます。

注意事項

レジストリを間違って編集すると、システムに重大な障害をもたらす可能性があります。 レジストリを変更する前に、コンピューター上の重要なデータのバックアップを作成する必要があります。

レジストリに ping ユーザー名を追加するには

Ping ユーザー名は、ローカル Administrators グループのメンバーによって文字列値として次のレジストリ キーに追加できます。

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IAS\Parameters

  • 名前: ping user-name
  • 種類: REG_SZ
  • データ: ユーザー名

ヒント

ping ユーザー名の値に対して複数の ユーザー名 を指定するには、名前パターン (ワイルドカード文字を含む DNS 名など) を データに入力します。

  • Last updated on