Bagikan melalui

Mengonfigurasi Akuntansi Server Kebijakan Jaringan

  • Artikel

Ada tiga jenis pengelogan untuk Server Kebijakan Jaringan (NPS):

  • Pengelogan peristiwa. Digunakan terutama untuk mengaudit dan memecahkan masalah upaya koneksi. Anda dapat mengonfigurasi pengelogan peristiwa NPS dengan mendapatkan properti NPS di konsol NPS.

  • Mencatat permintaan autentikasi pengguna dan akuntansi ke file lokal. Digunakan terutama untuk analisis koneksi dan tujuan penagihan. Juga berguna sebagai alat investigasi keamanan karena memberi Anda metode melacak aktivitas pengguna berbahaya setelah serangan. Anda dapat mengonfigurasi pengelogan file lokal menggunakan wizard Konfigurasi Akuntansi.

  • Mencatat permintaan autentikasi dan akuntansi pengguna ke database yang mematuhi XML Microsoft SQL Server. Digunakan untuk memungkinkan beberapa server yang menjalankan NPS memiliki satu sumber data. Juga memberikan keuntungan menggunakan database relasional. Anda dapat mengonfigurasi pengelogan SQL Server dengan menggunakan wizard Konfigurasi Akuntansi.

Menggunakan wizard Konfigurasi Akuntansi

Dengan menggunakan wizard Konfigurasi Akuntansi, Anda bisa mengonfigurasi empat pengaturan akuntansi berikut ini:

  • Hanya pengelogan SQL. Dengan menggunakan pengaturan ini, Anda dapat mengonfigurasi tautan data ke SQL Server yang memungkinkan NPS tersambung dan mengirim data akuntansi ke server SQL. Selain itu, wizard dapat mengonfigurasi database di SQL Server untuk memastikan bahwa database kompatibel dengan pengelogan server NPS SQL.
  • Pengelogan teks saja. Dengan menggunakan pengaturan ini, Anda dapat mengonfigurasi NPS untuk mencatat data akuntansi ke file teks.
  • Pengelogan paralel. Dengan menggunakan pengaturan ini, Anda dapat mengonfigurasi tautan data dan database SQL Server. Anda juga dapat mengonfigurasi pengelogan file teks sehingga log NPS secara bersamaan ke file teks dan database SQL Server.
  • Pengelogan SQL dengan cadangan. Dengan menggunakan pengaturan ini, Anda dapat mengonfigurasi tautan data dan database SQL Server. Selain itu, Anda dapat mengonfigurasi pengelogan file teks yang digunakan NPS jika pengelogan SQL Server gagal.

Selain pengaturan ini, pengelogan SQL Server dan pengelogan teks memungkinkan Anda menentukan apakah NPS terus memproses permintaan koneksi jika pengelogan gagal. Anda dapat menentukan ini di bagian Tindakan kegagalan pengelogan di properti pengelogan file lokal, di properti pengelogan server SQL, dan saat Anda menjalankan Wizard Konfigurasi Akuntansi.

Untuk menjalankan Wizard Konfigurasi Akuntansi

Untuk menjalankan Wizard Konfigurasi Akuntansi, selesaikan langkah-langkah berikut:

  1. Buka konsol NPS atau snap-in NPS Microsoft Management Console (MMC).
  2. Di pohon konsol, klik Akuntansi.
  3. Di panel detail, di Akuntansi, klik Konfigurasi akuntansi.

Mengonfigurasi Properti File Log NPS

Anda dapat mengonfigurasi Server Kebijakan Jaringan (NPS) untuk melakukan akuntansi Layanan Pengguna Dial-In Autentikasi Jarak Jauh (RADIUS) untuk permintaan autentikasi pengguna, pesan Access-Accept, pesan Penolakan Akses, permintaan dan respons akuntansi, dan pembaruan status berkala. Anda dapat menggunakan prosedur ini untuk mengonfigurasi file log tempat Anda ingin menyimpan data akuntansi.

Untuk informasi selengkapnya tentang menginterpretasikan file log, lihat Menginterpretasikan File Log Format Database NPS.

Untuk mencegah file log mengisi hard drive, sangat disarankan agar Anda menyimpannya di partisi yang terpisah dari partisi sistem. Berikut ini menyediakan informasi selengkapnya tentang mengonfigurasi akuntansi untuk NPS:

  • Untuk mengirim data file log untuk pengumpulan oleh proses lain, Anda dapat mengonfigurasi NPS untuk menulis ke pipa bernama. Untuk menggunakan pipa bernama, atur folder file log ke \.\pipe atau \ComputerName\pipe. Program server pipa bernama membuat pipa bernama \.\pipe\iaslog.log untuk menerima data. Dalam kotak dialog Properti file lokal, di Buat file log baru, pilih Tidak pernah (ukuran file tidak terbatas) saat Anda menggunakan pipa bernama.

  • Direktori file log dapat dibuat dengan menggunakan variabel lingkungan sistem (bukan variabel pengguna), seperti %systemdrive%, %systemroot%, dan %windir%. Misalnya, jalur berikut, menggunakan variabel lingkungan %windir%, menemukan file log di direktori sistem di subfolder \System32\Logs (yaitu, %windir%\System32\Logs).

  • Mengalihkan format file log tidak menyebabkan log baru dibuat. Jika Anda mengubah format file log, file yang aktif pada saat perubahan akan berisi campuran dua format (rekaman di awal log akan memiliki format sebelumnya, dan rekaman di akhir log akan memiliki format baru).

  • Jika akuntansi RADIUS gagal karena hard disk drive penuh atau penyebab lainnya, NPS berhenti memproses permintaan koneksi, mencegah pengguna mengakses sumber daya jaringan.

  • NPS menyediakan kemampuan untuk masuk ke database Microsoft® SQL Server™ selain, atau alih-alih, masuk ke file lokal.

Keanggotaan dalam grup Admin Domain adalah minimum yang diperlukan untuk melakukan prosedur ini.

Untuk mengonfigurasi properti file log NPS

  1. Buka konsol NPS atau snap-in NPS Microsoft Management Console (MMC).
  2. Di pohon konsol, klik Akuntansi.
  3. Di panel detail, di Properti File Log, klik Ubah Properti File Log. Kotak dialog Properti File Log terbuka.
  4. Di Properti File Log, pada tab Pengaturan, di Log informasi berikut, pastikan Anda memilih untuk mencatat informasi yang cukup untuk mencapai tujuan akuntansi Anda. Misalnya, jika log Anda perlu menyelesaikan korelasi sesi, pilih semua kotak centang.
  5. Dalam tindakan kegagalan pengelogan, pilih Jika pengelogan gagal, buang permintaan koneksi jika Anda ingin NPS berhenti memproses pesan Permintaan Akses saat file log penuh atau tidak tersedia karena alasan tertentu. Jika Anda ingin NPS terus memproses permintaan koneksi jika pengelogan gagal, jangan pilih kotak centang ini.
  6. Dalam kotak dialog Properti File Log, klik tab File Log.
  7. Pada tab File Log, di Direktori, ketik lokasi tempat Anda ingin menyimpan file log NPS. Lokasi default adalah folder systemroot\System32\LogFiles.
    Jika Anda tidak memberikan pernyataan jalur lengkap di Direktori File Log, jalur default akan digunakan. Misalnya, jika Anda mengetik NPSLogFile di Direktori File Log, file terletak di %systemroot%\System32\NPSLogFile.
  8. Dalam Format, klik Sesuai DTS. Jika mau, Anda dapat memilih format file warisan, seperti ODBC (Warisan) atau IAS (Warisan).
    Jenis file warisan ODBC dan IAS berisi subset informasi yang dikirim NPS ke database SQL Server-nya. Format XML jenis file yang sesuai DTS identik dengan format XML yang digunakan NPS untuk mengimpor data ke database SQL Server-nya. Oleh karena itu, format file yang Sesuai DTS menyediakan transfer data yang lebih efisien dan lengkap ke database SQL Server standar untuk NPS.
  9. Di Buat file log baru, untuk mengonfigurasi NPS untuk memulai file log baru pada interval yang ditentukan, klik interval yang ingin Anda gunakan:
    • Untuk volume transaksi berat dan aktivitas pengelogan, klik Harian.
    • Untuk volume transaksi dan aktivitas pengelogan yang lebih sedikit, klik Mingguan atau Bulanan.
    • Untuk menyimpan semua transaksi dalam satu file log, klik Jangan Pernah (ukuran file tidak terbatas).
    • Untuk membatasi ukuran setiap file log, klik Saat file log mencapai ukuran ini, lalu ketik ukuran file, setelah itu log baru dibuat. Ukuran defaultnya adalah 10 megabyte (MB).
  10. Jika Anda ingin NPS menghapus file log lama untuk membuat ruang disk untuk file log baru ketika hard disk mendekati kapasitas, pastikan bahwa Ketika disk dihapus penuh file log lama dipilih. Opsi ini tidak tersedia, namun, jika nilai Buat file log baru tidak pernah (ukuran file tidak terbatas). Selain itu, jika file log terlama adalah file log saat ini, file log tersebut tidak dihapus.

Mengonfigurasi Pengelogan NPS SQL Server

Anda dapat menggunakan prosedur ini untuk mencatat data akuntansi RADIUS ke database lokal atau jarak jauh yang menjalankan Microsoft SQL Server.

Catatan

NPS memformat data akuntansi sebagai dokumen XML yang dikirimnya ke prosedur tersimpan report_event dalam database SQL Server yang Anda tetapkan di NPS. Agar pengelogan SQL Server berfungsi dengan baik, Anda harus memiliki prosedur tersimpan bernama report_event dalam database SQL Server yang dapat menerima dan mengurai dokumen XML dari NPS.

Keanggotaan di Admin Domain, atau yang setara, adalah minimum yang diperlukan untuk menyelesaikan prosedur ini.

Untuk mengonfigurasi pengelogan SQL Server di NPS

  1. Buka konsol NPS atau snap-in NPS Microsoft Management Console (MMC).
  2. Di pohon konsol, klik Akuntansi.
  3. Di panel detail, di Properti Pembuatan Log SQL Server, klik Ubah Properti Pengelogan SQL Server. Kotak dialog Properti Pengelogan SQL Server terbuka.
  4. Di Log informasi berikut, pilih informasi yang ingin Anda catat:
    • Untuk mencatat semua permintaan akuntansi, klik Permintaan akuntansi.
    • Untuk mencatat permintaan autentikasi, klik Permintaan autentikasi.
    • Untuk mencatat status akuntansi berkala, klik Status akuntansi berkala.
    • Untuk mencatat status berkala, seperti permintaan akuntansi sementara, klik Status berkala.
  5. Untuk mengonfigurasi jumlah sesi bersamaan yang diizinkan antara server yang menjalankan NPS dan SQL Server, ketik angka dalam Jumlah maksimum sesi bersamaan.
  6. Untuk mengonfigurasi sumber data SQL Server, di Pengelogan SQL Server, klik Konfigurasikan. Kotak dialog Properti Tautan Data terbuka. Pada tab Koneksi ion, tentukan hal berikut:
    • Untuk menentukan nama server tempat database disimpan, ketik atau pilih nama di Pilih atau masukkan nama server.
    • Untuk menentukan metode autentikasi yang akan masuk ke server, klik Gunakan keamanan terintegrasi Windows NT. Atau, klik Gunakan nama pengguna dan kata sandi tertentu, lalu ketik kredensial di Nama pengguna dan Kata Sandi.
    • Untuk memperbolehkan kata sandi kosong, klik Kata sandi kosong.
    • Untuk menyimpan kata sandi, klik Izinkan menyimpan kata sandi.
    • Untuk menentukan database mana yang akan disambungkan di komputer yang menjalankan SQL Server, klik Pilih database di server, lalu pilih nama database dari daftar.
  7. Untuk menguji koneksi antara NPS dan SQL Server, klik Uji Koneksi ion. Klik OK untuk menutup Properti Tautan Data.
  8. Dalam Tindakan kegagalan pengelogan, pilih Aktifkan pengelogan file teks untuk failover jika Anda ingin NPS melanjutkan pengelogan file teks jika pengelogan SQL Server gagal.
  9. Dalam tindakan kegagalan pengelogan, pilih Jika pengelogan gagal, buang permintaan koneksi jika Anda ingin NPS berhenti memproses pesan Permintaan Akses saat file log penuh atau tidak tersedia karena alasan tertentu. Jika Anda ingin NPS terus memproses permintaan koneksi jika pengelogan gagal, jangan pilih kotak centang ini.

Nama pengguna Ping

Beberapa server proksi RADIUS dan server akses jaringan secara berkala mengirim permintaan autentikasi dan akuntansi (dikenal sebagai permintaan ping) untuk memverifikasi bahwa NPS ada di jaringan. Permintaan ping ini mencakup nama pengguna fiktif. Ketika NPS memproses permintaan ini, log peristiwa dan akuntansi menjadi penuh dengan catatan penolakan akses, sehingga lebih sulit untuk melacak rekaman yang valid.

Saat Anda mengonfigurasi entri registri untuk nama pengguna ping, NPS cocok dengan nilai entri registri terhadap nilai nama pengguna dalam permintaan ping oleh server lain. Entri registri nama pengguna ping menentukan nama pengguna fiktif (atau pola nama pengguna, dengan variabel, yang cocok dengan nama pengguna fiktif) yang dikirim oleh server proksi RADIUS dan server akses jaringan. Ketika NPS menerima permintaan ping yang cocok dengan nilai entri registri nama pengguna ping, NPS menolak permintaan autentikasi tanpa memproses permintaan. NPS tidak mencatat transaksi yang melibatkan nama pengguna fiktif dalam file log apa pun, yang membuat log peristiwa lebih mudah ditafsirkan.

Nama pengguna Ping tidak diinstal secara default. Anda harus menambahkan nama pengguna ping ke registri. Anda dapat menambahkan entri ke registri menggunakan Editor Registri.

Perhatian

Salah mengedit registri mungkin sangat merusak sistem Anda. Sebelum membuat perubahan pada registri, Anda harus mencadangkan semua data berharga pada komputer.

Untuk menambahkan nama pengguna ping ke registri

Nama pengguna Ping dapat ditambahkan ke kunci registri berikut sebagai nilai string oleh anggota grup Administrator lokal:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IAS\Parameters

  • Nama: ping user-name
  • Jenis: REG_SZ
  • Data: Nama pengguna

Tip

Untuk menunjukkan lebih dari satu nama pengguna untuk nilai nama pengguna ping, masukkan pola nama, seperti nama DNS, termasuk karakter kartubebas, di Data.