Configurar a contabilidade do servidor de políticas de rede

Há três tipos de log para o NPS (Servidor de Diretivas de Rede):

• Registo de eventos. Usado principalmente para auditoria e solução de problemas de tentativas de conexão. Você pode configurar o log de eventos do NPS obtendo as propriedades do NPS no console do NPS.

• Registro de solicitações de autenticação e contabilização do usuário em um arquivo local. Usado principalmente para análise de conexão e faturamento. Também útil como uma ferramenta de investigação de segurança porque fornece um método de rastrear a atividade de um usuário mal-intencionado após um ataque. Você pode configurar o log de arquivos locais usando o assistente de Configuração de Contabilidade.

• Registrando solicitações de autenticação e contabilidade do usuário em um banco de dados compatível com XML do Microsoft SQL Server. Usado para permitir que vários servidores que executam o NPS tenham uma fonte de dados. Também fornece as vantagens de usar um banco de dados relacional. Você pode configurar o log do SQL Server usando o assistente de Configuração de Contabilidade.

Usar o assistente de configuração de contabilidade

Usando o assistente de Configuração de Contabilidade, você pode definir as quatro configurações de contabilidade a seguir:

• Log apenas de SQL. Usando essa configuração, você pode configurar um link de dados para um SQL Server que permite que o NPS se conecte e envie dados de contabilidade para o SQL Server. Além disso, o assistente pode configurar o banco de dados no SQL Server para garantir que o banco de dados seja compatível com o log do servidor SQL do NPS.
• Apenas registo de texto. Usando essa configuração, você pode configurar o NPS para registrar dados de contabilidade em um arquivo de texto.
• Registo paralelo. Usando essa configuração, você pode configurar o link de dados e o banco de dados do SQL Server. Você também pode configurar o log de arquivo de texto para que o NPS registre simultaneamente no arquivo de texto e no banco de dados do SQL Server.
• Log SQL com backup. Usando essa configuração, você pode configurar o link de dados e o banco de dados do SQL Server. Além disso, você pode configurar o log de arquivo de texto que o NPS usa se o log do SQL Server falhar.

Além dessas configurações, o log do SQL Server e o log de texto permitem especificar se o NPS continua a processar solicitações de conexão se o log falhar. Você pode especificar isso na seção Ação de falha de registro em log nas propriedades de log de arquivo local, nas propriedades de log do SQL Server e enquanto estiver executando o Assistente de Configuração de Contabilidade.

Para executar o Assistente de Configuração de Contabilidade

Para executar o Assistente de Configuração de Contabilidade, conclua as seguintes etapas:

1. Abra o console do NPS ou o snap-in do Console de Gerenciamento Microsoft (MMC) do NPS.
2. Na árvore de console, clique em Contabilidade.
3. No painel de detalhes, em Contabilidade, clique em Configurar Contabilidade.

Configurar propriedades do arquivo de log do NPS

Você pode configurar o NPS (Servidor de Diretivas de Rede) para executar a contabilização RADIUS (Remote Authentication Dial-In User Service) para solicitações de autenticação de usuário, mensagens Access-Accept, mensagens Access-Reject, solicitações e respostas de contabilização e atualizações periódicas de status. Você pode usar este procedimento para configurar os arquivos de log nos quais deseja armazenar os dados contábeis.

Para obter mais informações sobre como interpretar arquivos de log, consulte Interpretar arquivos de log de formato de banco de dados NPS.

Para evitar que os arquivos de log preencham o disco rígido, é altamente recomendável mantê-los em uma partição separada da partição do sistema. O seguinte fornece mais informações sobre como configurar a contabilidade para NPS:

• Para enviar os dados do ficheiro de registo para recolha por outro processo, pode-se configurar o NPS para gravar num pipe nomeado. Para usar pipes nomeados, defina a pasta do arquivo de log como \.\pipe ou \ComputerName\pipe. O programa de servidor de tubo nomeado cria um tubo nomeado chamado \.\pipe\iaslog.log para receber os dados. Na caixa de diálogo Propriedades do arquivo local, em Criar um novo arquivo de log, selecione Nunca (tamanho de arquivo ilimitado) quando usar canais nomeados.

• O diretório do arquivo de log pode ser criado usando variáveis de ambiente do sistema (em vez de variáveis de usuário), como %systemdrive%, %systemroot%e %windir%. Por exemplo, o caminho a seguir, usando a variável de ambiente %windir%, localiza o arquivo de log no diretório do sistema na subpasta \System32\Logs (ou seja, %windir%\System32\Logs).

• A alternância de formatos de arquivo de log não faz com que um novo log seja criado. Se você alterar os formatos de arquivo de log, o arquivo ativo no momento da alteração conterá uma mistura dos dois formatos (os registros no início do log terão o formato anterior e os registros no final do log terão o novo formato).

• Se a contabilização RADIUS falhar devido a uma unidade de disco rígido cheia ou outras causas, o NPS para de processar pedidos de ligação, impedindo os utilizadores de acederem aos recursos da rede.

• O NPS fornece a capacidade de registrar em um banco de dados do Microsoft® SQL Server™ além de, ou em vez de, registrar em um arquivo local.

A associação ao grupo Administradores do Domínio é o mínimo necessário para executar este procedimento.

Para configurar as propriedades do arquivo de log do NPS

1. Abra o console do NPS ou o snap-in do Console de Gerenciamento Microsoft (MMC) do NPS.
2. Na árvore de console, clique em Contabilidade.
3. No painel de detalhes, em Propriedades do Arquivo de Log, clique em Alterar Propriedades do Arquivo de Log. A caixa de diálogo Propriedades do Arquivo de Log é aberta.
4. Em Propriedades do Arquivo de Log, na guia Configurações , em Registrar as informações a seguir, certifique-se de que você opte por registrar informações suficientes para atingir suas metas de contabilidade. Por exemplo, se os seus logs precisarem efectuar a correlação de sessões, marque todas as caixas de seleção.
5. Em Ação de falha de registro, selecione Se o log falhar, descarte solicitações de conexão se quiser que o NPS pare de processar mensagens Access-Request quando os arquivos de log estiverem cheios ou indisponíveis por algum motivo. Se desejar que o NPS continue processando solicitações de conexão se o registro falhar, não marque essa caixa de seleção.
6. Na caixa de diálogo Propriedades do Arquivo de Log , clique na guia Arquivo de Log .
7. Na guia Arquivo de Log , em Diretório, digite o local onde deseja armazenar os arquivos de log do NPS. O local padrão é a pasta systemroot\System32\LogFiles.
   Se você não fornecer uma instrução de caminho completo no Diretório do Arquivo de Log, o caminho padrão será usado. Por exemplo, se você digitar NPSLogFile no diretório do arquivo de log, o arquivo estará localizado em %systemroot%\System32\NPSLogFile.
8. Em Formato, clique em Compatível com DTS. Se preferir, você pode selecionar um formato de arquivo herdado, como ODBC (Legado) ou IAS (Legado).
   Os tipos de arquivo herdados ODBC e IAS contêm um subconjunto das informações que o NPS envia para seu banco de dados do SQL Server. O formato XML do tipo de arquivo compatível com DTS é idêntico ao formato XML que o NPS usa para importar dados para seu banco de dados SQL Server. Portanto, o formato de arquivo compatível com DTS fornece uma transferência de dados mais eficiente e completa para o banco de dados padrão do SQL Server para NPS.
9. Em Criar um novo arquivo de log, para configurar o NPS para iniciar novos arquivos de log em intervalos especificados, clique no intervalo que você deseja usar:
   • Para volume de transações pesado e atividade de registro, clique em Diariamente.
   • Para volumes de transações menores e atividade de registro, clique em Semanal ou Mensal.
   • Para armazenar todas as transações em um arquivo de log, clique em Nunca (tamanho de arquivo ilimitado).
   • Para limitar o tamanho de cada arquivo de log, clique em Quando o arquivo de log atingir esse tamanho e digite um tamanho de arquivo, após o qual um novo log será criado. O tamanho padrão é 10 megabytes (MB).
10. Se desejar que o NPS exclua arquivos de log antigos para criar espaço em disco para novos arquivos de log quando o disco rígido estiver próximo da capacidade, certifique-se de que Quando o disco estiver cheio, excluir arquivos de log mais antigos esteja selecionado. Essa opção não estará disponível, no entanto, se o valor de Criar um novo arquivo de log for Nunca (tamanho de arquivo ilimitado). Além disso, se o arquivo de log mais antigo for o arquivo de log atual, ele não será excluído.

Configurar o log do NPS SQL Server

Você pode usar este procedimento para registrar dados de contabilidade RADIUS em um banco de dados local ou remoto executando o Microsoft SQL Server.

A associação a Administradores de Domínio, ou equivalente, é o mínimo necessário para concluir este procedimento.

Para configurar o registo do SQL Server no NPS

1. Abra o console do NPS ou o snap-in do Console de Gerenciamento Microsoft (MMC) do NPS.
2. Na árvore de console, clique em Contabilidade.
3. No painel de detalhes, em Propriedades de Log do SQL Server, clique em Alterar Propriedades de Log do SQL Server. A caixa de diálogo Propriedades de Log do SQL Server é aberta.
4. Em Registar as seguintes informações, selecione as informações que pretende registar:
   • Para registrar todas as solicitações de contabilidade, clique em Solicitações de contabilidade.
   • Para registrar solicitações de autenticação, clique em Solicitações de autenticação.
   • Para registrar o status da contabilidade periódica, clique em Status da contabilidade periódica.
   • Para registrar o status periódico, como solicitações de contabilidade provisórias, clique em Status periódico.
5. Para configurar o número de sessões simultâneas permitidas entre o servidor que executa o NPS e o SQL Server, digite um número em Número máximo de sessões simultâneas.
6. Para configurar a fonte de dados do SQL Server, em Log do SQL Server, clique em Configurar. A caixa de diálogo Propriedades do Link de Dados é aberta. Na guia Conexão , especifique o seguinte:
   • Para especificar o nome do servidor no qual o banco de dados está armazenado, digite ou selecione um nome em Selecionar ou insira um nome de servidor.
   • Para especificar o método de autenticação com o qual fazer logon no servidor, clique em Usar segurança integrada do Windows NT. Em alternativa, clique em Utilizar um nome de utilizador e palavra-passe específicos e, em seguida, escreva credenciais em Nome de utilizador e Palavra-passe.
   • Para permitir uma palavra-passe em branco, clique em Palavra-passe em branco.
   • Para armazenar a senha, clique em Permitir salvar senha.
   • Para especificar a qual banco de dados se conectar no computador que executa o SQL Server, clique em Selecionar o banco de dados no servidor e selecione um nome de banco de dados na lista.
7. Para testar a conexão entre o NPS e o SQL Server, clique em Testar Conexão. Clique em OK para fechar Propriedades do Link de Dados.
8. Em Ação de falha de registro, selecione Habilitar log de arquivo de texto para failover se desejar que o NPS continue com o log de arquivo de texto se o log do SQL Server falhar.
9. Em Ação de falha de registro, selecione Se o log falhar, descarte solicitações de conexão se quiser que o NPS pare de processar mensagens Access-Request quando os arquivos de log estiverem cheios ou indisponíveis por algum motivo. Se desejar que o NPS continue processando solicitações de conexão se o registro falhar, não marque essa caixa de seleção.

Ping nome de usuário

Alguns servidores proxy RADIUS e servidores de acesso à rede enviam periodicamente solicitações de autenticação e contabilização (conhecidas como solicitações ping) para verificar se o NPS está presente na rede. Essas solicitações de ping incluem nomes de usuário fictícios. Quando o NPS processa essas solicitações, os logs de eventos e de contabilidade são preenchidos com registros de rejeição de acesso, dificultando o controle de registros válidos.

Quando você configura uma entrada do Registro para ping de nome de usuário, o NPS faz a correspondência entre o valor da entrada do Registro e o valor do nome de usuário em solicitações de ping de outros servidores. Uma entrada de registro de nome de usuário ping especifica o nome de usuário fictício (ou um padrão de nome de usuário, com variáveis, que corresponde ao nome de usuário fictício) enviado por servidores proxy RADIUS e servidores de acesso à rede. Quando o NPS recebe solicitações de ping que correspondem ao valor da entrada do Registro de nome de usuário ping , o NPS rejeita as solicitações de autenticação sem processar a solicitação. O NPS não registra transações envolvendo o nome de usuário fictício em nenhum arquivo de log, o que torna o log de eventos mais fácil de interpretar.

O nome de usuário de ping não é instalado por padrão. Você deve adicionar ping user-name ao registro. Você pode adicionar uma entrada ao Registro usando o Editor do Registro.

Para adicionar ping de nome de usuário ao registro

O nome de usuário ping pode ser adicionado à seguinte chave do Registro como um valor de cadeia de caracteres por um membro do grupo Administradores local:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IAS\Parameters

• Designação: ping user-name
• Tipo: REG_SZ
• Dados: Nome de utilizador