Konfigurowanie ewidencjonowania aktywności serwera zasad sieciowych

Istnieją trzy typy rejestrowania dla serwera zasad sieciowych (NPS):

• Rejestrowanie zdarzeń. Służy głównie do przeprowadzania inspekcji i rozwiązywania problemów z próbami połączenia. Rejestrowanie zdarzeń serwera NPS można skonfigurować, uzyskując właściwości serwera NPS w konsoli serwera NPS.

• rejestrowanie uwierzytelniania użytkowników i żądań rozliczania w lokalnym pliku. Używane głównie na potrzeby analizy połączeń i rozliczeń. Przydatne również jako narzędzie do badania zabezpieczeń, ponieważ zapewnia metodę śledzenia aktywności złośliwego użytkownika po ataku. Rejestrowanie plików lokalnych można skonfigurować za pomocą Kreatora konfiguracji księgowości.

• Rejestrowanie uwierzytelniania i ewidencjonowania aktywności użytkowników do bazy danych zgodnej z kodem XML programu Microsoft SQL Server. Służy do umożliwienia wielu serwerom z uruchomionym NPS korzystania z jednego źródła danych. Zapewnia również zalety korzystania z relacyjnej bazy danych. Rejestrowanie programu SQL Server można skonfigurować za pomocą Kreatora konfiguracji księgowości.

Użyj kreatora konfiguracji księgowości

Za pomocą Kreatora konfiguracji księgowości można skonfigurować następujące cztery ustawienia księgowe:

• Rejestrowanie SQL tylko. Za pomocą tego ustawienia można skonfigurować link danych do programu SQL Server, który umożliwia serwerowi NPS łączenie się z serwerem SQL i wysyłanie danych księgowych do serwera SQL. Ponadto kreator może skonfigurować bazę danych na SQL Server, aby upewnić się, że baza danych jest zgodna z rejestrowaniem serwera SQL NPS.
• rejestrowanie tekstu tylko. Za pomocą tego ustawienia można skonfigurować serwer NPS w celu rejestrowania danych księgowych w pliku tekstowym.
• Rejestrowanie równoległe. Za pomocą tego ustawienia można skonfigurować link danych i bazę danych programu SQL Server. Można również skonfigurować rejestrowanie plików tekstowych, aby NPS rejestrował jednocześnie do pliku tekstowego i bazy danych SQL Server.
• rejestrowanie SQL przy użyciukopii zapasowej. Za pomocą tego ustawienia można skonfigurować link danych i bazę danych programu SQL Server. Ponadto można skonfigurować rejestrowanie plików tekstowych, które serwer NPS używa w przypadku niepowodzenia rejestrowania programu SQL Server.

Oprócz tych ustawień zarówno rejestrowanie programu SQL Server, jak i rejestrowanie tekstu umożliwiają określenie, czy serwer NPS będzie nadal przetwarzać żądania połączeń w przypadku niepowodzenia rejestrowania. Można to określić w sekcji Działanie w przypadku niepowodzenia logowania we właściwościach rejestrowania plików lokalnych, we właściwościach rejestrowania serwera SQL oraz podczas uruchamiania Kreatora konfiguracji księgowości.

Aby uruchomić Kreatora konfiguracji księgowości

Aby uruchomić Kreatora konfiguracji księgowości, wykonaj następujące kroki:

1. Otwórz konsolę serwera NPS lub przystawkę programu MICROSOFT Management Console (MMC) npS.
2. W drzewie konsoli kliknij pozycję Księgowość.
3. W okienku szczegółów w obszarze Księgowość kliknij pozycję Konfiguruj księgowość.

Konfigurowanie właściwości pliku dziennika serwera NPS

Serwer zasad sieciowych (NPS) można skonfigurować do realizacji rozliczania RADIUS dla żądań uwierzytelniania użytkowników, komunikatów Access-Accept, komunikatów Access-Reject, żądań i odpowiedzi rozliczeniowych oraz okresowych aktualizacji stanu. Ta procedura umożliwia skonfigurowanie plików dziennika, w których chcesz przechowywać dane księgowe.

Aby uzyskać więcej informacji na temat interpretowania plików dziennika, zobacz Interpret NPS Database Format Log Files.

Aby zapobiec wypełnianiu dysku twardego przez pliki dziennika, zdecydowanie zaleca się zachowanie ich na partycji oddzielonej od partycji systemowej. Poniżej przedstawiono więcej informacji na temat konfigurowania rozliczania dla NPS.

• Aby wysłać dane pliku dziennika do zbierania przez inny proces, można skonfigurować serwer NPS do zapisywania w nazwanym potoku. Aby użyć nazwanych potoków, ustaw folder pliku dziennika na \.\pipe lub \ComputerName\pipe. Nazwany program serwera potoku tworzy nazwany potok o nazwie \.\pipe\iaslog.log w celu przyjmowania danych. W oknie dialogowym Właściwości pliku lokalnego w obszarze Tworzenie nowego pliku dziennika wybierz pozycję Nigdy (nieograniczony rozmiar pliku) podczas korzystania z nazwanych potoków.

• Katalog plików dziennika można utworzyć przy użyciu zmiennych środowiskowych systemu (zamiast zmiennych użytkownika), takich jak %systemdrive%, %systemroot%i %windir%. Na przykład następująca ścieżka, używając zmiennej środowiskowej %windir%, lokalizuje plik dziennika w katalogu systemowym w podfolderze \System32\Logs (czyli %windir%\System32\Logs).

• Przełączanie formatów plików dziennika nie powoduje utworzenia nowego dziennika. Jeśli zmienisz formaty pliku dziennika, plik aktywny w czasie zmiany będzie zawierać kombinację dwóch formatów (rekordy na początku dziennika będą miały poprzedni format, a rekordy na końcu dziennika będą miały nowy format).

• Jeśli ewidencjonowanie aktywności usługi RADIUS nie powiedzie się z powodu pełnego dysku twardego lub innych przyczyn, serwer NPS zatrzymuje przetwarzanie żądań połączeń, uniemożliwiając użytkownikom dostęp do zasobów sieciowych.

• NPS umożliwia logowanie do bazy danych Microsoft® SQL Server™ oprócz lub zamiast rejestrowania w pliku lokalnym.

Członkostwo w grupie Administratorzy domeny jest minimalnym wymaganiem do wykonania tej procedury.

Aby skonfigurować właściwości pliku dziennika serwera NPS

1. Otwórz konsolę serwera NPS lub przystawkę programu MICROSOFT Management Console (MMC) npS.
2. W drzewie konsoli kliknij pozycję Księgowość.
3. W panelu szczegółów, w Właściwości pliku dziennika, kliknij Zmień właściwości pliku dziennika. Zostanie otwarte okno dialogowe właściwości pliku dziennika .
4. Na Właściwości pliku dziennika, na karcie Ustawienia, w Zaloguj następujące informacje, upewnij się, że musisz zarejestrować wystarczającą ilość informacji, aby osiągnąć cele rozliczeniowe. Na przykład, jeśli Twoje dzienniki muszą umożliwić korelację sesji, zaznacz wszystkie pola wyboru.
5. W akcji Niepowodzenia rejestrowaniawybierz pozycję Jeśli rejestrowanie zakończy się niepowodzeniem, odrzuć żądania połączenia, jeśli chcesz, aby serwer NPS przestał przetwarzać komunikaty Access-Request, gdy pliki dziennika są pełne lub niedostępne z jakiegoś powodu. Jeśli chcesz, aby serwer NPS kontynuował przetwarzanie żądań połączeń w przypadku niepowodzenia rejestrowania, nie zaznaczaj tego pola wyboru.
6. W oknie dialogowym właściwości pliku dziennika, kliknij kartę Plik dziennika.
7. Na karcie Plik dziennika w katalogu wpisz lokalizację, w której chcesz przechowywać pliki dziennika SERWERA NPS. Domyślną lokalizacją jest folder systemroot\System32\LogFiles.
   Jeśli nie podasz pełnej ścieżki dostępu w katalogu logów, zostanie użyta ścieżka domyślna. Jeśli na przykład wpiszesz plik NPSLogFile w katalogu plików dziennika, plik znajduje się w folderze %systemroot%\System32\NPSLogFile.
8. W obszarze Format kliknij pozycję Zgodne z DTS. Jeśli wolisz, możesz zamiast tego wybrać starszy format pliku, taki jak ODBC (starsza wersja) lub IAS (starsza wersja).
   Starsze typy plików ODBC i IAS zawierają podzestaw informacji wysyłanych przez serwer ZASAD do bazy danych programu SQL Server. Format XML zgodnego typu pliku DTS jest identyczny z formatem XML używanym przez serwer NPS do importowania danych do bazy danych programu SQL Server. W związku z tym format pliku zgodny z usługą DTS zapewnia bardziej wydajny i kompletny transfer danych do standardowej bazy danych programu SQL Server dla serwera NPS.
9. W Utwórz nowy plik dziennika, aby skonfigurować serwer NPS do uruchamiania nowych plików dziennika w określonych odstępach czasu, kliknij interwał, którego chcesz użyć:
   • W przypadku dużej liczby transakcji i aktywności rejestrowania kliknij pozycję Codziennie.
   • W przypadku mniejszych woluminów transakcji i aktywności rejestrowania kliknij pozycję Co tydzień lub Co miesiąc.
   • Aby zapisać wszystkie transakcje w jednym pliku dziennika, kliknij przycisk Nigdy (nieograniczony rozmiar pliku).
   • Aby ograniczyć rozmiar każdego pliku dziennika, kliknij Gdy plik dziennika osiągnie ten rozmiar, a następnie wpisz rozmiar pliku, po którym zostanie utworzony nowy dziennik. Domyślny rozmiar to 10 megabajtów (MB).
10. Jeśli chcesz, aby serwer NPS usuwał stare pliki dziennika w celu utworzenia miejsca na dysku dla nowych plików dziennika, gdy dysk twardy jest bliski zapełnienia, upewnij się, że Kiedy dysk jest pełny, usuwać starsze pliki dziennika jest zaznaczone. Ta opcja nie jest dostępna, jeśli wartość Utwórz nowy plik dziennika wynosi Nigdy (nieograniczony rozmiar pliku). Ponadto, jeśli najstarszy plik dziennika jest bieżącym plikiem dziennika, nie zostanie usunięty.

Konfigurowanie rejestrowania SQL Server NPS

Ta procedura służy do rejestrowania danych księgowych RADIUS do lokalnej lub zdalnej bazy danych z uruchomionym programem Microsoft SQL Server.

Członkostwo w grupie Administratorzy domeny lub równoważnej jest minimalnym wymaganiem do wykonania tej procedury.

Aby skonfigurować logowanie serwera SQL Server w usłudze NPS

1. Otwórz konsolę serwera NPS lub przystawkę programu MICROSOFT Management Console (MMC) npS.
2. W drzewie konsoli kliknij pozycję Księgowość.
3. W okienku szczegółów w właściwości rejestrowania programu SQL Serverkliknij Zmień właściwości rejestrowania programu SQL Server. Zostanie otwarte okno dialogowe właściwości rejestrowania programu SQL Server .
4. W Zaloguj następujące informacje, wybierz informacje, które chcesz zarejestrować:
   • Aby zarejestrować wszystkie żądania ewidencjonowania aktywności, kliknij pozycję Żądania księgowości.
   • Aby rejestrować żądania uwierzytelniania, kliknij pozycję Żądania uwierzytelniania.
   • Aby zarejestrować okresowy stan ewidencjonowania aktywności, kliknij przycisk Okresowy stan ewidencjonowania aktywności.
   • Aby rejestrować okresowy stan, taki jak tymczasowe żądania ewidencjonowania aktywności, kliknij pozycję Stan okresowy.
5. Aby skonfigurować liczbę współbieżnych sesji dozwolonych między serwerem nps i programem SQL Server, wpisz liczbę w Maksymalna liczba współbieżnych sesji.
6. Aby skonfigurować źródło danych programu SQL Server, w sekcji Rejestrowanie SQL Serverkliknij Konfiguruj. Okno dialogowe właściwości łącza danych zostaje otwarte. Na karcie Połączenie określ następujące elementy:
   • Aby określić nazwę serwera, na którym jest przechowywana baza danych, wpisz lub wybierz nazwę w Wybierz lub wprowadź nazwę serwera.
   • Aby określić metodę uwierzytelniania, za pomocą której chcesz zalogować się na serwerze, kliknij Użyj zintegrowanego zabezpieczeń systemu Windows NT. Lub kliknij Użyj określonej nazwy użytkownika i hasła, a następnie wpisz dane logowania w Nazwa użytkownika i Hasło.
   • Aby zezwolić na puste hasło, kliknij pozycję Puste hasło.
   • Aby zapisać hasło, kliknij pozycję Zezwalaj na zapisywanie hasła.
   • Aby określić, z którą bazą danych nawiązywać połączenie na komputerze z uruchomionym programem SQL Server, kliknij Wybierz bazę danych na serwerze, a następnie wybierz nazwę bazy danych z listy.
7. Aby przetestować połączenie między serwerem NPS i programem SQL Server, kliknij pozycję Testuj połączenie. Kliknij przycisk OK , aby zamknąć właściwości łącza danych.
8. W akcji niepowodzenia rejestrowaniawybierz Włącz rejestrowanie plików tekstowych dla awaryjnego przełączenia, aby serwer NPS kontynuował rejestrowanie plików tekstowych, jeśli rejestrowanie w SQL Server zakończy się niepowodzeniem.
9. W akcji Niepowodzenia rejestrowaniawybierz pozycję Jeśli rejestrowanie zakończy się niepowodzeniem, odrzuć żądania połączenia, jeśli chcesz, aby serwer NPS przestał przetwarzać komunikaty Access-Request, gdy pliki dziennika są pełne lub niedostępne z jakiegoś powodu. Jeśli chcesz, aby serwer NPS kontynuował przetwarzanie żądań połączeń w przypadku niepowodzenia rejestrowania, nie zaznaczaj tego pola wyboru.

Wyślij polecenie ping do użytkownika

Niektóre serwery proxy usługi RADIUS i serwery dostępu do sieci okresowo wysyłają żądania uwierzytelniania i ewidencjonowania aktywności (nazywane żądaniami ping), aby sprawdzić, czy serwer NPS jest obecny w sieci. Te żądania ping obejmują fikcyjne nazwy użytkowników. Gdy serwer NPS przetwarza te żądania, dzienniki zdarzeń i ewidencjonowania aktywności stają się wypełnione rekordami odrzucania dostępu, co utrudnia śledzenie prawidłowych rekordów.

Podczas konfigurowania wpisu rejestru dla nazwy użytkownika ping serwer NPS pasuje do wartości wpisu rejestru względem wartości nazwy użytkownika w żądaniach ping przez inne serwery. Wpis rejestru ping nazwy użytkownika określa fikcyjną nazwę użytkownika (lub wzorzec nazwy użytkownika ze zmiennymi, które są zgodne z fikcyjną nazwą użytkownika) wysyłane przez serwery proxy usługi RADIUS i serwery dostępu do sieci. Gdy serwer NPS odbiera żądania ping zgodne z wartością wpisu rejestru nazwy użytkownika ping , serwer NPS odrzuca żądania uwierzytelniania bez przetwarzania żądania. NPS nie rejestruje transakcji obejmujących fikcyjną nazwę użytkownika w żadnych plikach dzienników, co ułatwia interpretowanie dziennika zdarzeń.

Polecenie Ping user-name nie jest instalowane domyślnie. Musisz dodać polecenie ping user-name do rejestru. Wpis można dodać do rejestru przy użyciu Edytora rejestru.

Aby dodać ping user-name do rejestru

Polecenie Ping user-name można dodać do następującego klucza rejestru jako wartość ciągu przez członka lokalnej grupy Administratorzy:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IAS\Parameters

• Nazwa: ping user-name
• Typ: REG_SZ
• Dane: nazwa użytkownika