Configurar las cuentas de servidor de directivas de redes

Hay tres tipos de registro para el Servidor de directivas de redes (NPS):

  • Registro de eventos. Se usa principalmente para la auditoría y la solución de problemas de intentos de conexión. Puede configurar el registro de eventos NPS obteniendo las propiedades de NPS en la consola de NPS.

  • Registrar solicitudes de autenticación y contabilidad de usuario en un archivo local. Se usa principalmente para realizar el análisis de las conexiones y para la facturación. Además, resulta útil como herramienta de investigación de seguridad, ya que le proporciona un método para realizar un seguimiento de la actividad de un usuario malintencionado después de un ataque. Puede configurar el registro de archivos local mediante el Asistente para configuración de contabilidad.

  • Registro de solicitudes de autenticación y contabilidad de usuarios en una base Microsoft SQL Server de datos compatible con XML. Se usa para permitir que varios servidores que ejecuten NPS tengan un origen de datos. Además, ofrece las ventajas de usar una base de datos relacional. Puede configurar el SQL Server mediante el Asistente para configuración de contabilidad.

Usar el Asistente para configuración de contabilidad

Mediante el Asistente para configuración de contabilidad, puede configurar las cuatro opciones de contabilidad siguientes:

  • SQL solo el registro. Con esta configuración, puede configurar un vínculo de datos a un SQL Server que permita a NPS conectarse y enviar datos de contabilidad al SQL servidor. Además, el asistente puede configurar la base de datos en SQL Server para asegurarse de que la base de datos es compatible con el registro de servidor nps SQL servidor.
  • Solo el registro de texto. Con esta configuración, puede configurar NPS para registrar los datos de contabilidad en un archivo de texto.
  • Registro paralelo. Con esta configuración, puede configurar el vínculo de datos y la base SQL Server datos. También puede configurar el registro de archivos de texto para que NPS se registra simultáneamente en el archivo de texto y la base SQL Server datos.
  • SQL registro con copia de seguridad. Con esta configuración, puede configurar el vínculo de datos y la base SQL Server datos. Además, puede configurar el registro de archivos de texto que NPS usa si SQL Server error en el registro.

Además de esta configuración, tanto el registro de SQL Server como el registro de texto permiten especificar si NPS sigue procesando solicitudes de conexión si se produce un error en el registro. Puede especificarlo en la sección Acción de error de registro en propiedades de registro de archivos locales, en propiedades de registro de servidor de SQL y mientras ejecuta el Asistente para configuración de cuentas.

Para ejecutar el Asistente para configuración de contabilidad

Para ejecutar el Asistente para configuración de contabilidad, complete los pasos siguientes:

  1. Abra la consola NPS o el complemento NPS Microsoft Management Console (MMC).
  2. En el árbol de consola, haga clic en Contabilidad.
  3. En el panel de detalles, en Contabilidad,haga clic en Configurar contabilidad.

Configuración de las propiedades del archivo de registro nps

Puede configurar el servidor de directivas de red (NPS) para realizar cuentas de Servicio de autenticación remota telefónica de usuario (RADIUS) para las solicitudes de autenticación de usuario, los mensajes de Access-Accept, los mensajes de Access-Reject, las solicitudes y respuestas de cuentas y las actualizaciones periódicas del estado. Puede usar este procedimiento para configurar los archivos de registro en los que desea almacenar los datos de contabilidad.

Para obtener más información sobre cómo interpretar los archivos de registro, vea Interpretación de archivos de registro de formato de base de datos NPS.

Para evitar que los archivos de registro llenen el disco duro, se recomienda mantenerlos en una partición diferente de la del sistema. A continuación se proporciona más información sobre cómo configurar la contabilidad de NPS:

  • Para enviar los datos del archivo de registro para que sean recopilados por otro proceso, puede configurar NPS para que escriba en una canalización con nombre. Para usar canalizaciones con nombre, establezca la carpeta del archivo de registro en \.\pipe o \NombreDeEquipo\canalización. El programa de servidor de canalización con nombre crea una canalización con nombre denominada \.\pipe\iaslog.log para aceptar los datos. En el cuadro de diálogo de propiedades de Archivo local, en Crear un nuevo archivo de registro, seleccione Nunca (tamaño de archivo ilimitado) al utilizar canalizaciones con nombre.

  • El directorio de archivo de registro se puede crear mediante variables de entorno del sistema (en lugar de variables de usuario), como %unidadDelSistema%, %raízDelSistema% y %windir%. Por ejemplo, la ruta de acceso siguiente, mediante la variable de entorno %windir%, busca el archivo de registro en el directorio del sistema en la subcarpeta \System32\Logs (es decir, %windir%\System32\Logs).

  • El cambio de los formatos de archivo de registro no hace que se cree otro registro. Si cambia los formatos de archivo de registro, el archivo que está activo en el momento del cambio contendrá una mezcla de ambos formatos (los registros al principio del registro tendrán el formato anterior, mientras que los que están en el final del registro tendrán el formato nuevo).

  • Si la cuenta RADIUS presenta un error debido a que el disco duro está lleno o por otros motivos, NPS deja de procesar las solicitudes de conexión, con lo que impide que los usuarios tengan acceso a los recursos de red.

  • NPS proporciona la capacidad de registro en una base de datos de Microsoft® SQL Server™ además de, o en lugar de, registro en un archivo local.

La pertenencia al grupo Administradores de dominio es el mínimo necesario para realizar este procedimiento.

Para configurar las propiedades del archivo de registro nps

  1. Abra la consola NPS o el complemento NPS Microsoft Management Console (MMC).
  2. En el árbol de consola, haga clic en Contabilidad.
  3. En el panel de detalles, en Propiedades del archivo de registro, haga clic en Cambiar propiedades del archivo de registro. Se abre el cuadro de diálogo Propiedades del archivo de registro.
  4. En Propiedades del archivo deregistro , en la pestaña Configuración, en Registrar la siguiente información ,asegúrese de que decide registrar suficiente información para lograr sus objetivos de contabilidad. Por ejemplo, si los registros necesitan realizar la correlación de sesión, active todas las casillas.
  5. En laacción Error de registro, seleccione Si se produce un error en el registro, descarte las solicitudes de conexión si desea que NPS detenga el procesamiento de mensajes Access-Request cuando los archivos de registro estén llenos o no estén disponibles por algún motivo. Si desea que NPS siga procesando solicitudes de conexión si se produce un error en el registro, no active esta casilla.
  6. En el cuadro de diálogo Propiedades del archivo de registro , haga clic en la pestaña Archivo de registro .
  7. En la pestaña Archivo de registro, en Directorio, escriba la ubicación donde desea almacenar los archivos de registro nps. La ubicación predeterminada es la carpeta raízDelSistema\System32\archivosDeRegistro.
    Si no proporciona una instrucción de ruta de acceso completa en el directorio del archivode registro , se usa la ruta de acceso predeterminada. Por ejemplo, si escribe NPSLogFile en el directorio delarchivo de registro , el archivo se encuentra en %systemroot%\System32\NPSLogFile.
  8. En Formato ,haga clic en Compatible con DTS. Si lo prefiere, puede seleccionar un formato de archivo heredado, como ODBC (heredado) o IAS (heredado).
    Los tipos de archivo heredados ODBC e IAS contienen un subconjunto de la información que NPS envía a su base SQL Server datos. El formato XML del tipo de archivo compatible con DTS es idéntico al formato XML que USA NPS para importar datos en su base de SQL Server datos. Por lo tanto, el formato de archivo compatible con DTS proporciona una transferencia de datos más eficaz y completa a la base de datos SQL Server estándar para NPS.
  9. En Crear un nuevo archivo de registro, para configurar NPS para iniciar nuevos archivos de registro a intervalos especificados, haga clic en el intervalo que desea usar:
    • Para un gran volumen de transacciones y actividad de registro, haga clic en Diariamente.
    • Para volúmenes de transacciones menores y actividad de registro, haga clic en Semanalo Mensual.
    • Para almacenar todas las transacciones en un archivo de registro, haga clic en Nunca (tamaño de archivo ilimitado).
    • Para limitar el tamaño de cada archivo de registro, haga clic en Cuando el archivo de registro alcance este tamaño y, a continuación, escriba un tamaño de archivo, después del cual se crea un nuevo registro. El tamaño predeterminado es 10 megabytes (MB).
  10. Si desea que NPS elimine los archivos de registro antiguos para crear espacio en disco para los nuevos archivos de registro cuando el disco duro esté cerca de su capacidad, asegúrese de que cuando el disco esté lleno, elimine los archivos de registro más antiguos seleccionados. Sin embargo, esta opción no está disponible si el valor de Crear un nuevo archivo de registro es Nunca (tamaño de archivo ilimitado). Además, si el archivo de registro más antiguo es el archivo de registro actual, no se elimina.

Configuración del registro de SQL Server NPS

Puede usar este procedimiento para registrar datos de contabilidad RADIUS en una base de datos local o remota que ejecute Microsoft SQL Server.

Nota:

NPS da formato a los datos de contabilidad como un documento XML que envía al procedimiento almacenado report_event en la base de datos SQL Server que designe en NPS. Para SQL Server el registro funcione correctamente, debe tener un procedimiento almacenado denominado report_event en la base de datos SQL Server que pueda recibir y analizar los documentos XML de NPS.

La pertenencia a Administradores de dominio, o equivalente, es lo mínimo necesario para completar este procedimiento.

Para configurar SQL Server registro en NPS

  1. Abra la consola NPS o el complemento NPS Microsoft Management Console (MMC).
  2. En el árbol de consola, haga clic en Contabilidad.
  3. En el panel de detalles, en SQL Server propiedades de registro,haga clic en Cambiar SQL Server propiedades de registro. Se abre SQL Server cuadro de diálogo Propiedades del registro de registros.
  4. En Registrar la siguiente información,seleccione la información que desea registrar:
    • Para registrar todas las solicitudes de contabilidad, haga clic en Solicitudes de contabilidad.
    • Para registrar solicitudes de autenticación, haga clic en Solicitudes de autenticación.
    • Para registrar el estado de la contabilidad periódica, haga clic en Estado de contabilidad periódica.
    • Para registrar el estado periódico, como las solicitudes de contabilidad provisionales, haga clic en Estado periódico.
  5. Para configurar el número de sesiones simultáneas permitidas entre el servidor que ejecuta NPS y el SQL Server, escriba un número en Número máximo de sesiones simultáneas.
  6. Para configurar el origen SQL Server datos, en SQL Server,haga clic en Configurar. Se abre el cuadro de diálogo Propiedades de vínculo de datos . En la pestaña Conexión, especifique lo siguiente:
    • Para especificar el nombre del servidor en el que se almacena la base de datos, escriba o seleccione un nombre en Seleccionar o escriba un nombre de servidor.
    • Para especificar el método de autenticación con el que iniciar sesión en el servidor, haga clic en Usar Windows seguridad integrada de NT. O bien, haga clic en Usar un nombre de usuario y contraseña específicosy escriba las credenciales en Nombre de usuario y Contraseña.
    • Para permitir una contraseña en blanco, haga clic en Contraseña en blanco.
    • Para almacenar la contraseña, haga clic en Permitir guardar contraseña.
    • Para especificar a qué base de datos conectarse en el equipo que ejecuta SQL Server, haga clic en Seleccionar la base de datos en el servidor y, a continuación, seleccione un nombre de base de datos de la lista.
  7. Para probar la conexión entre NPS y SQL Server, haga clic en Probar conexión. Haga clic en Aceptar para cerrar Propiedades de vínculo de datos.
  8. En la acciónError de registro, seleccione Habilitar el registro de archivos de texto para la conmutación por error si desea que NPS continúe con el registro de archivos de texto si SQL Server error.
  9. En laacción Error de registro, seleccione Si se produce un error en el registro, descarte las solicitudes de conexión si desea que NPS deje de procesar mensajes Access-Request cuando los archivos de registro estén llenos o no estén disponibles por algún motivo. Si desea que NPS siga procesando solicitudes de conexión si se produce un error en el registro, no active esta casilla.

Ping user-name

Algunos servidores proxy RADIUS y servidores de acceso a la red envían periódicamente solicitudes de autenticación y contabilidad (conocidas como solicitudes de ping) para comprobar que nps está presente en la red. Estas solicitudes ping incluyen nombres de usuario ficticios. Cuando NPS procesa dichas solicitudes, los archivos de registro de eventos y cuentas se llenan de registros de rechazos de acceso, lo que hace más difícil realizar un seguimiento de los registros válidos.

Al configurar una entrada del Registro para hacer pingal nombre de usuario , NPS coincide con el valor de entrada del Registro con el valor de nombre de usuario en las solicitudes de ping de otros servidores. Una entrada del Registro ping user-name especifica el nombre de usuario ficticio (o un patrón de nombre de usuario, con variables, que coincide con el nombre de usuario ficticio) enviado por servidores proxy RADIUS y servidores de acceso a la red. Cuando NPS recibe solicitudes de ping que coinciden con el valor de entrada del Registro de nombre de usuario ping, NPS rechaza las solicitudes de autenticación sin procesar la solicitud. NPS no registra las transacciones relacionadas con el nombre de usuario ficticio de los archivos de registro, lo que facilita la interpretación del registro de eventos.

El nombre de usuario ping no está instalado de forma predeterminada. Debe agregar ping user-name al registro. Puede agregar una entrada al Registro mediante el Editor del Registro.

Precaución

la modificación incorrecta del Registro puede dañar gravemente el sistema. Antes de realizar cambios en el Registro, debe hacer una copia de seguridad de los datos de valor guardados en el equipo.

Para agregar ping user-name al registro

Un miembro del grupo administradores local puede agregar el nombre de usuario ping a la siguiente clave del Registro como un valor de cadena:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IAS\Parameters

  • Nombre:
  • Tipo:
  • Datos:nombre de usuario

Sugerencia

Para indicar más de un nombre de usuario para un valor de nombre de usuario ping, escriba un patrón de nombre, como un nombre DNS, incluidos los caracteres comodín, en Datos.