Configurar las cuentas de servidor de directivas de redes

  • Artículo

Hay tres tipos de registro para el Servidor de directivas de redes (NPS):

  • Registro de eventos. Se usa principalmente para la auditoría y la solución de problemas de intentos de conexión. Puede configurar el registro de eventos NPS mediante la obtención de las propiedades de NPS en la consola NPS.

  • Registro de las solicitudes de autenticación y cuentas de usuario en un archivo local. Se usa principalmente para realizar el análisis de las conexiones y para la facturación. Además, resulta útil como herramienta de investigación de seguridad, ya que le proporciona un método para realizar un seguimiento de la actividad de un usuario malintencionado después de un ataque. Puede configurar el registro de archivos local mediante el Asistente para configurar cuentas.

  • Registro de solicitudes de autenticación y cuentas de usuario en una base de datos compatible con XML de Microsoft SQL Server. Se usa para permitir que varios servidores que ejecuten NPS tengan un origen de datos. Además, ofrece las ventajas de usar una base de datos relacional. Puede configurar el registro de SQL Server mediante el Asistente para configurar cuentas.

Uso del Asistente para configurar cuentas

Mediante el Asistente para configurar cuentas, puede configurar las cuatro opciones de cuenta siguientes:

  • Solo registro de SQL. Mediante esta opción, puede configurar un vínculo de datos a una instancia de SQL Server que permita a NPS conectarse datos de contabilidad y enviarlos al servidor SQL. Además, el asistente puede configurar la base de datos en SQL Server para asegurarse de que dicha base de datos es compatible con el registro de SQL Server NPS.
  • Solo registro de texto. Con esta opción, puede configurar NPS para registrar los datos de contabilidad en un archivo de texto.
  • Registro paralelo. Con esta opción, puede configurar el vínculo de datos y la base de datos de SQL Server. También puede configurar el registro de archivos de texto para que NPS registre simultáneamente el archivo de texto y la base de datos de SQL Server.
  • Registro de SQL con copia de seguridad. Con esta opción, puede configurar el vínculo de datos y la base de datos de SQL Server. Además, puede configurar el registro de archivos de texto que NPS usa si se produce un error en el registro de SQL Server.

Además de esta configuración, tanto el registro de SQL Server como el registro de texto permiten especificar si NPS continúa procesando solicitudes de conexión si se produce un error en el registro. Puede especificar esto en la sección Acción de error de registro en las propiedades de registro de archivos locales, en las propiedades de registro del servidor SQL y mientras ejecuta el Asistente para configurar cuentas.

Para ejecutar el Asistente para configurar cuentas

Para ejecutar el Asistente para configurar cuentas, complete los pasos siguientes:

  1. Abra la consola NPS o el complemento Microsoft Management Console (MMC).
  2. En el árbol de consola, haga clic en Cuentas.
  3. En el panel de detalles, en Cuentas, haga clic en Configurar cuentas.

Configuración de propiedades de archivo de registro NPS

Se puede configurar el Servidor de directivas de redes (NPS) para que realice cuentas de Servicio de autenticación remota telefónica de usuario (RADIUS) para solicitudes de autenticación de usuarios, mensajes de aceptación de acceso, mensajes de rechazo de acceso, solicitudes y respuestas de cuentas, así como actualizaciones del estado periódico. Puede usar este procedimiento para configurar los archivos de registro en los que desea almacenar los datos de cuentas.

Para más información sobre cómo interpretar los archivos de registro, consulte Interpretación de archivos de registro de formato de base de datos NPS.

Para evitar que los archivos de registro llenen el disco duro, se recomienda mantenerlos en una partición diferente de la del sistema. A continuación se ofrece más información sobre la configuración de cuentas de NPS:

  • Para enviar los datos del archivo de registro para que sean recopilados por otro proceso, puede configurar NPS para que escriba en una canalización con nombre. Para usar canalizaciones con nombre, configure la carpeta del archivo de registro como \.\pipe o \ComputerName\pipe. El programa del servidor de canalizaciones con nombre crea una canalización con nombre denominada \.\pipe\iaslog.log para aceptar los datos. En el cuadro de diálogo de propiedades de Archivo local, en Crear un nuevo archivo de registro, seleccione Nunca (tamaño de archivo ilimitado) al utilizar canalizaciones con nombre.

  • El directorio de archivo de registro se puede crear mediante variables de entorno del sistema (en lugar de variables de usuario), como %unidadDelSistema%, %raízDelSistema% y %windir%. Por ejemplo, en la ruta de acceso siguiente, mediante la variable de entorno %windir%, se ubica el archivo de registro en el directorio del sistema en la subcarpeta \System32\Registros (es decir, %windir%\System32\Registros).

  • El cambio de los formatos de archivo de registro no hace que se cree otro registro. Si cambia los formatos de archivo de registro, el archivo que está activo en el momento del cambio contendrá una mezcla de ambos formatos (los registros al principio del registro tendrán el formato anterior, mientras que los que están en el final del registro tendrán el formato nuevo).

  • Si la cuenta RADIUS presenta un error debido a que el disco duro está lleno o por otros motivos, NPS deja de procesar las solicitudes de conexión, con lo que impide que los usuarios tengan acceso a los recursos de red.

  • NPS proporciona la capacidad de registro en una base de datos de Microsoft® SQL Server™ además de, o en lugar de, registro en un archivo local.

Para realizar este procedimiento, al menos, es necesario pertenecer al grupo Administradores del dominio.

Para configurar propiedades de archivo de registro NPS

  1. Abra la consola NPS o el complemento Microsoft Management Console (MMC).
  2. En el árbol de consola, haga clic en Cuentas.
  3. En el panel de detalles, en Propiedades de archivo de registro, haga clic en Cambiar propiedades de archivo de registro. Se abrirá el cuadro de diálogo Propiedades de archivo de registro.
  4. En Propiedades de archivo de registro, en la pestaña Configuración, en Registrar la siguiente información, asegúrese de que decide registrar suficiente información para lograr los objetivos de contabilidad. Por ejemplo, si los registros necesitan realizar la correlación de sesión, seleccione todas las casillas.
  5. En Acción de error de registro, seleccione Si se produce un error en el registro, descarte las solicitudes de conexión si desea que NPS detenga el procesamiento de mensajes Acceder-Solicitar cuando los archivos de registro estén llenos o no estén disponibles por algún motivo. Si desea que NPS siga procesando solicitudes de conexión si se produce un error en el registro, no active esta casilla.
  6. En el cuadro de diálogo Propiedades de archivo de registro, haga clic en la pestaña Archivo de registro.
  7. En la pestaña Archivo de registro, en Directorio, escriba la ubicación donde desea guardar los archivos de registro NPS. La ubicación predeterminada es la carpeta raízDelSistema\System32\archivosDeRegistro.
    Si no proporciona una declaración completa de ruta de acceso en Directorio del archivo de registro, se usa la ruta de acceso predeterminada. Por ejemplo, si escribe NPSLogFileen Directorio del archivo de registro, el archivo se encuentra en %systemroot%\System32\NPSLogFile.
  8. En Formato, haga clic en Compatible con DTS. Si lo prefiere, puede seleccionar un formato de archivo heredado, como ODBC (heredado) o IAS (heredado).
    Los tipos de archivo heredados ODBC e IAS contienen un subconjunto de la información que NPS envía a su base de datos SQL Server. El formato XML del tipo de archivo Compatible con DTS es idéntico al formato XML que NPS usa para importar datos en su base de datos SQL Server. Por lo tanto, el formato de archivo Compatible con DTS proporciona una transferencia más eficiente y completa de los datos a la base de datos estándar SQL Server para NPS.
  9. En Crear un nuevo archivo de registro, para configurar NPS para que inicie nuevos archivos de registro a intervalos especificados, haga clic en el intervalo que desea usar:
    • Para un volumen de transacciones y actividad de registro elevados, haga clic en Diariamente.
    • Para volúmenes de transacciones y actividad de registro menores, haga clic en Semanalmente o Mensualmente.
    • Para guardar todas las transacciones en un mismo archivo de registro, haga clic en Nunca (tamaño de archivo ilimitado).
    • Para limitar el tamaño de cada archivo de registro, haga clic en Cuando el archivo de registro alcance este tamaño y escriba un tamaño de archivo de registro, después de lo cual se crea un nuevo registro. El tamaño predeterminado es 10 megabytes (MB).
  10. Si desea que NPS elimine los archivos de registro antiguos para crear espacio en disco para nuevos archivos de registro cuando el disco duro esté a punto de agotar su capacidad, asegúrese de que la opción Cuando el disco esté lleno, eliminar los archivos de registro antiguos está seleccionada. Sin embargo, esta opción no está disponible si el valor de Crear nuevo archivo de registro es Nunca (tamaño de archivo ilimitado). Asimismo, si el archivo de registro más antiguo es el archivo de registro actual, no se elimina.

Configuración del registro de SQL Server de NPS

Puede usar este procedimiento para registrar datos de cuentas RADIUS en una base de datos local o remota que ejecuta Microsoft SQL Server.

Nota

NPS da formato a los datos de cuentas como un documento XML que envía al procedimiento almacenado report_event en la base de datos de SQL Server designada en NPS. Para que el registro de SQL Server funcione correctamente, debe tener un procedimiento almacenado llamado report_event en la base de datos de SQL Server que pueda recibir y analizar los documentos XML procedentes de NPS.

La pertenencia a Administradores de dominio, o equivalente, es lo mínimo necesario para completar este procedimiento.

Para configurar el registro de SQL Server en NPS

  1. Abra la consola NPS o el complemento Microsoft Management Console (MMC).
  2. En el árbol de consola, haga clic en Cuentas.
  3. En el panel de detalles, en Propiedades del registro de SQL Server, haga clic en Cambiar propiedades del registro de SQL Server. Se abrirá el cuadro de diálogo Propiedades del registro de SQL Server.
  4. En Registrar la siguiente información, seleccione la información que desee registrar:
    • Para registrar todas las solicitudes de cuentas, haga clic en Solicitudes de cuentas.
    • Para registrar las solicitudes de autenticación, haga clic en Solicitudes de autenticación.
    • Para registrar el estado de cuentas periódico, haga clic en Estado de cuentas periódico.
    • Para registrar el estado periódico, como las solicitudes de cuentas internas, haga clic en Estado periódico.
  5. Para configurar el número de sesiones simultáneas permitidas entre el servidor que ejecuta NPS y SQL Server, escriba un número en Número máximo de sesiones simultáneas.
  6. Para configurar el origen de datos de SQL Server, en Registro de SQL Server, haga clic en Configurar. Se abre el cuadro de diálogo Propiedades de vínculo de datos. En la pestaña Conexión, especifique lo siguiente:
    • Para especificar el nombre del servidor en el que está almacenada la base de datos, escriba o seleccione un nombre en Seleccionar o especificar un nombre de servidor.
    • Para especificar el método de autenticación con el que iniciar sesión en el servidor, haga clic en Usar seguridad integrada en Windows NT. O bien, haga clic en Usar un nombre de usuario y una contraseña específicos y, a continuación, escriba las credenciales en Nombre de usuario y Contraseña.
    • Para permitir una contraseña en blanco, haga clic en Contraseña en blanco.
    • Para almacenar la contraseña, haga clic en Permitir guardar contraseña.
    • Para especificar la base de datos a la que conectarse en el equipo que ejecuta SQL Server, haga clic en Seleccionar una base de datos del servidor actual y, a continuación, seleccione un nombre de base de datos de la lista.
  7. Para probar la conexión entre NPS y SQL Server, haga clic en Probar conexión. Haga clic en Aceptar para cerrar Propiedades de vínculo de datos.
  8. En Acción de error de registro, seleccione Habilitar el registro de archivos de texto para la conmutación por error si desea que NPS continúe con el registro de archivos de texto si se produce un error en el registro de SQL Server.
  9. En Acción de error de registro, seleccione Si se produce un error en el registro, descarte las solicitudes de conexión si desea que NPS detenga el procesamiento de mensajes Acceder-Solicitar cuando los archivos de registro estén llenos o no estén disponibles por algún motivo. Si desea que NPS siga procesando solicitudes de conexión si se produce un error en el registro, no active esta casilla.

Ping user-name

Algunos servidores proxy RADIUS y servidores de acceso a la red envían periódicamente solicitudes de autenticación y cuentas (conocidas como solicitudes ping) para comprobar que NPS está presente en la red. Estas solicitudes ping incluyen nombres de usuario ficticios. Cuando NPS procesa dichas solicitudes, los archivos de registro de eventos y cuentas se llenan de registros de rechazos de acceso, lo que hace más difícil realizar un seguimiento de los registros válidos.

Cuando configure una entrada del Registro para ping user-name, NPS hace coincidir el valor de la entrada del Registro con el valor del nombre de usuario de las solicitudes ping de otros servidores. Una entrada de Registro ping user-name especifica el nombre de usuario ficticio (o un patrón de nombre de usuario, con variables, que coincide con el nombre de usuario ficticio) enviado por los servidores proxy RADIUS y los servidores de acceso a la red. Cuando NPS recibe solicitudes ping que coinciden con el valor de la entrada de Registro ping user-name, NPS rechaza las solicitudes de autenticación sin procesar la solicitud. NPS no registra las transacciones relacionadas con el nombre de usuario ficticio de los archivos de registro, lo que facilita la interpretación del registro de eventos.

Ping user-name no está instalado de forma predeterminada. Debe agregar ping user-name al Registro. Puede agregar una entrada al Registro mediante el Editor del Registro.

Precaución

la modificación incorrecta del Registro puede dañar gravemente el sistema. Antes de realizar cambios en el Registro, debe hacer una copia de seguridad de los datos de valor guardados en el equipo.

Para agregar ping user-name al Registro

Un miembro del grupo Administradores local puede agregar ping user-name se puede agregar a la siguiente clave del Registro como valor de cadena:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IAS\Parameters

  • Nombre: ping user-name
  • Tipo: REG_SZ
  • Datos: nombre de usuario

Sugerencia

Para indicar más de un nombre de usuario para un valor de ping user-name, especifique un patrón de nombre, por ejemplo un nombre DNS que incluya caracteres comodín, en Data.