네트워크 정책 서버 계정 구성

  • 아티클

NPS(네트워크 정책 서버)에 대한 로깅에는 다음 세 가지 유형이 있습니다.

  • 이벤트 로깅. 연결 시도 감사 및 문제 해결에 주로 사용됩니다. NPS 콘솔에서 NPS 속성을 가져와서 NPS 이벤트 로깅을 구성할 수 있습니다.

  • 로컬 파일에 대한 사용자 인증 및 회계 요청을 로깅합니다. 주로 연결 분석 및 청구 용도로 사용됩니다. 또한 공격 후 악의적인 사용자의 활동을 추적하는 방법을 제공하기 때문에 보안 조사 도구로도 유용합니다. 회계 구성 마법사를 사용하여 로컬 파일 로깅을 구성할 수 있습니다.

  • Microsoft SQL Server XML 규격 데이터베이스에 대한 사용자 인증 및 회계 요청을 로깅합니다. NPS를 실행하는 여러 서버에 하나의 데이터 원본이 있도록 허용하는 데 사용됩니다. 관계형 데이터베이스를 사용할 때의 이점도 제공합니다. 회계 구성 마법사를 사용하여 SQL Server 로깅을 구성할 수 있습니다.

회계 구성 마법사 사용

회계 구성 마법사를 사용하여 다음 네 가지 회계 설정을 구성할 수 있습니다.

  • SQL 로깅만 해당합니다. 이 설정을 사용하여 NPS가 연결하여 회계 데이터를 SQL Server로 보낼 수 있도록 SQL Server에 대한 데이터 링크를 구성할 수 있습니다. 또한 마법사는 데이터베이스가 NPS SQL Server 로깅과 호환되도록 SQL Server에서 데이터베이스를 구성할 수 있습니다.
  • 텍스트 로깅만 해당합니다. 이 설정을 사용하여 회계 데이터를 텍스트 파일에 기록하도록 NPS를 구성할 수 있습니다.
  • 병렬 로깅. 이 설정을 사용하여 SQL Server 데이터 링크 및 데이터베이스를 구성할 수 있습니다. NPS가 텍스트 파일 및 SQL Server 데이터베이스에 동시에 로그되도록 텍스트 파일 로깅을 구성할 수도 있습니다.
  • 백업을 사용한 SQL 로깅 이 설정을 사용하여 SQL Server 데이터 링크 및 데이터베이스를 구성할 수 있습니다. 또한 SQL Server 로깅이 실패할 경우 NPS에서 사용하는 텍스트 파일 로깅을 구성할 수 있습니다.

이러한 설정 외에도 SQL Server 로깅 및 텍스트 로깅을 통해 로깅이 실패할 경우 NPS가 연결 요청을 계속 처리할지 여부를 지정할 수 있습니다. 로컬 파일 로깅 속성의 로깅 실패 작업 섹션 , SQL Server 로깅 속성 및 회계 구성 마법사를 실행하는 동안 지정할 수 있습니다.

회계 구성 마법사를 실행하려면

회계 구성 마법사를 실행하려면 다음 단계를 완료합니다.

  1. NPS 콘솔 또는 NPS MMC(Microsoft Management Console) 스냅인을 엽니다.
  2. 콘솔 트리에서 회계를 클릭합니다.
  3. 세부 정보 창의 회계에서 회계 구성을 클릭합니다.

NPS 로그 파일 속성 구성

사용자 인증 요청, Access-Accept 메시지, 액세스 거부 메시지, 회계 요청 및 응답 및 정기적인 상태 업데이트를 위해 RADIUS(원격 인증 전화 접속 사용자 서비스)를 수행하도록 NPS(네트워크 정책 서버)를 구성할 수 있습니다. 이 절차를 사용하여 회계 데이터를 저장할 로그 파일을 구성할 수 있습니다.

로그 파일 해석에 대한 자세한 내용은 NPS 데이터베이스 형식 로그 파일 해석을 참조 하세요.

로그 파일이 하드 드라이브를 채우지 않도록 하려면 시스템 파티션과 분리된 파티션에 유지하는 것이 좋습니다. 다음은 NPS에 대한 회계 구성에 대한 자세한 정보를 제공합니다.

  • 다른 프로세스에서 수집에 대한 로그 파일 데이터를 보내려면 명명된 파이프에 쓰도록 NPS를 구성할 수 있습니다. 명명된 파이프를 사용하려면 로그 파일 폴더를 \.\pipe 또는 \ComputerName\pipe로 설정합니다. 명명된 파이프 서버 프로그램은 데이터를 수락하기 위해 \.\pipe\iaslog.log라는 명명된 파이프를 만듭니다. 로컬 파일 속성 대화 상자의 새 로그 파일 만들기에서 명명된 파이프를 사용할 때 [파일 크기 제한 없음]을 선택합니다.

  • %systemdrive%, %systemroot%, %windir%와 같은 사용자 변수 대신 시스템 환경 변수를 사용하여 로그 파일 디렉터리를 만들 수 있습니다. 예를 들어 다음 경로는 환경 변수 %windir%를 사용하여 하위 폴더 \System32\Logs(%windir%\System32\Logs)의 시스템 디렉터리에서 로그 파일을 찾습니다.

  • 로그 파일 형식을 전환해도 새 로그가 만들어지지는 않습니다. 로그 파일 형식을 변경하는 경우 변경 시 활성 상태인 파일에는 두 가지 형식이 혼합되어 포함됩니다(로그 시작 시 레코드는 이전 형식을 가지며 로그 끝에 있는 레코드에는 새 형식이 포함됨).

  • 전체 하드 디스크 드라이브 또는 기타 원인으로 인해 RADIUS 회계가 실패하는 경우 NPS는 연결 요청 처리를 중지하여 사용자가 네트워크 리소스에 액세스하지 못하게 합니다.

  • NPS는 로컬 파일에 로깅하는 것 외에도 Microsoft® SQL Server™ 데이터베이스에 로그하는 기능을 제공합니다.

Do기본 관리s 그룹의 멤버 자격은 이 절차를 수행하는 데 필요한 최소값입니다.

NPS 로그 파일 속성을 구성하려면

  1. NPS 콘솔 또는 NPS MMC(Microsoft Management Console) 스냅인을 엽니다.
  2. 콘솔 트리에서 회계를 클릭합니다.
  3. 세부 정보 창의 로그 파일 속성에서 로그 파일 속성 변경을 클릭합니다. 로그 파일 속성 대화 상자가 열립니다.
  4. 로그 파일 속성설정 탭에서 다음 정보를 기록하여 회계 목표를 달성하기에 충분한 정보를 기록하도록 선택해야 합니다. 예를 들어 로그가 세션 상관 관계를 수행해야 하는 경우 모든 검사 상자를 선택합니다.
  5. 로깅 실패 작업에서 어떤 이유로 로그 파일이 가득 차거나 사용할 수 없는 경우 NPS가 Access-Request 메시지 처리를 중지하도록 하려면 로깅이 실패하는 경우 연결 요청을 카드 선택합니다. 로깅이 실패할 경우 NPS가 연결 요청을 계속 처리하도록 하려면 이 검사 상자를 선택하지 마세요.
  6. 로그 파일 속성 대화 상자에서 로그 파일 탭을 클릭합니다.
  7. 로그 파일디렉터리에 NPS 로그 파일을 저장할 위치를 입력합니다. 기본 위치는 systemroot\System32\LogFiles 폴더입니다.
    로그 파일 디렉터리에 전체 경로 문을 제공하지 않으면 기본 경로가 사용됩니다. 예를 들어 로그 파일 디렉터리에 NPSLogFile을 입력하면 파일이 %systemroot%\System32\NPSLogFile에 있습니다.
  8. 형식에서 DTS 규격을 클릭합니다. 원하는 경우 ODBC(레거시) 또는 IAS(레거시)와 같은 레거시 파일 형식을 대신 선택할 수 있습니다.
    ODBCIAS 레거시 파일 형식에는 NPS가 SQL Server 데이터베이스에 보내는 정보의 하위 집합이 포함되어 있습니다. DTS 규격 파일 형식의 XML 형식은 NPS가 SQL Server 데이터베이스로 데이터를 가져오는 데 사용하는 XML 형식과 동일합니다. 따라서 DTS 규격 파일 형식은 NPS용 표준 SQL Server 데이터베이스로 데이터를 보다 효율적이고 완벽하게 전송합니다.
  9. 새 로그 파일 만들기에서 지정된 간격으로 새 로그 파일을 시작하도록 NPS를 구성하려면 사용할 간격을 클릭합니다.
    • 트랜잭션 볼륨이 많고 로깅 작업이 많은 경우 매일을 클릭합니다.
    • 적은 트랜잭션 볼륨 및 로깅 작업을 보려면 매주 또는 매월을 클릭합니다.
    • 모든 트랜잭션을 하나의 로그 파일에 저장하려면 [없음](무제한 파일 크기)을 클릭합니다.
    • 각 로그 파일의 크기를 제한하려면 로그 파일이 이 크기에 도달할 때를 클릭한 다음 파일 크기를 입력한 후 새 로그를 만듭니다. 기본 크기는 10MB(메가바이트)입니다.
  10. 하드 디스크가 용량에 근접할 때 NPS에서 새 로그 파일에 대한 디스크 공간을 만들기 위해 이전 로그 파일을 삭제하려면 디스크가 전체 삭제될 때 이전 로그 파일이 선택되어 있는지 확인합니다. 그러나 새 로그 파일 만들기 값 이 Never(무제한 파일크기)인 경우에는 이 옵션을 사용할 수 없습니다. 또한 가장 오래된 로그 파일이 현재 로그 파일인 경우 삭제되지 않습니다.

NPS SQL Server 로깅 구성

이 절차를 사용하여 RADIUS 회계 데이터를 Microsoft SQL Server를 실행하는 로컬 또는 원격 데이터베이스에 기록할 수 있습니다.

참고 항목

NPS는 NPS에서 지정한 SQL Server 데이터베이스의 report_event 저장 프로시저에 보내는 XML 문서로 회계 데이터의 형식을 지정합니다. SQL Server 로깅이 제대로 작동하려면 NPS에서 XML 문서를 받고 구문 분석할 수 있는 sql Server 데이터베이스에 report_event 저장 프로시저가 있어야 합니다.

멤버 자격이 Domain Admins, 또는 이와 동등한 최소한이이 절차를 완료 합니다.

NPS에서 SQL Server 로깅을 구성하려면

  1. NPS 콘솔 또는 NPS MMC(Microsoft Management Console) 스냅인을 엽니다.
  2. 콘솔 트리에서 회계를 클릭합니다.
  3. 세부 정보 창의 SQL Server 로깅 속성에서 SQL Server 로깅 속성 변경을 클릭합니다. SQL Server 로깅 속성 대화 상자가 열립니다.
  4. 로그에서 다음 정보를 로그할 정보를 선택합니다.
    • 모든 회계 요청을 기록하려면 회계 요청을 클릭합니다.
    • 인증 요청을 기록하려면 인증 요청을 클릭합니다.
    • 정기적인 회계 상태 기록하려면 정기 회계 상태 클릭합니다.
    • 중간 회계 요청과 같은 정기적인 상태 기록하려면 주기적 상태 클릭합니다.
  5. NPS를 실행하는 서버와 SQL Server 간에 허용되는 동시 세션 수를 구성하려면 최대 동시 세션 수에 숫자를 입력합니다.
  6. SQL Server 데이터 원본을 구성하려면 SQL Server 로깅에서 구성을 클릭합니다. 데이터 링크 속성 대화 상자가 열립니다. 커넥트 탭에서 다음을 지정합니다.
    • 데이터베이스가 저장되는 서버의 이름을 지정하려면 선택에서 이름을 입력하거나 선택하거나 서버 이름을 입력합니다.
    • 서버에 로그온할 인증 방법을 지정하려면 Windows NT 통합 보안 사용을 클릭합니다. 또는 특정 사용자 이름 및 암호 사용을 클릭한 다음 사용자 이름암호에 자격 증명을 입력합니다.
    • 빈 암호를 허용하려면 빈 암호를 클릭합니다.
    • 암호를 저장하려면 암호 저장 허용을 클릭합니다.
    • SQL Server를 실행하는 컴퓨터에서 연결할 데이터베이스를 지정하려면 서버에서 데이터베이스 선택을 클릭한 다음 목록에서 데이터베이스 이름을 선택합니다.
  7. NPS와 SQL Server 간의 연결을 테스트하려면 테스트 커넥트ion을 클릭합니다. [확인]을 클릭하여 데이터 링크 속성을 닫습니다.
  8. 로깅 실패 작업에서 SQL Server 로깅이 실패할 경우 NPS가 텍스트 파일 로깅을 계속하도록 하려면 장애 조치(failover)에 대한 텍스트 파일 로깅 사용을 선택합니다.
  9. 로깅 실패 작업에서 어떤 이유로 로그 파일이 가득 차거나 사용할 수 없는 경우 NPS가 Access-Request 메시지 처리를 중지하도록 하려면 로깅이 실패하는 경우 연결 요청을 카드 선택합니다. 로깅이 실패할 경우 NPS가 연결 요청을 계속 처리하도록 하려면 이 검사 상자를 선택하지 마세요.

Ping 사용자 이름

일부 RADIUS 프록시 서버 및 네트워크 액세스 서버는 정기적으로 인증 및 회계 요청(ping 요청이라고 함)을 보내 NPS가 네트워크에 있는지 확인합니다. 이러한 ping 요청에는 가상의 사용자 이름이 포함됩니다. NPS가 이러한 요청을 처리하면 이벤트 및 회계 로그가 액세스 거부 레코드로 채워지므로 유효한 레코드를 추적하기가 더 어려워집니다.

ping 사용자 이름에 대한 레지스트리 항목을 구성하는 경우 NPS는 레지스트리 항목 값과 다른 서버의 ping 요청에서 사용자 이름 값과 일치합니다. ping 사용자 이름 레지스트리 항목은 RADIUS 프록시 서버 및 네트워크 액세스 서버에서 보낸 가상의 사용자 이름(또는 가상 사용자 이름과 일치하는 변수가 있는 사용자 이름 패턴)을 지정합니다. NPS가 ping 사용자 이름 레지스트리 항목 값과 일치하는 ping 요청을 받으면 NPS는 요청을 처리하지 않고 인증 요청을 거부합니다. NPS는 가상의 사용자 이름과 관련된 트랜잭션을 로그 파일에 기록하지 않으므로 이벤트 로그를 더 쉽게 해석할 수 있습니다.

Ping 사용자 이름은 기본적으로 설치되지 않습니다. 레지스트리에 ping 사용자 이름을 추가해야 합니다. 레지스트리 편집기를 사용하여 레지스트리에 항목을 추가할 수 있습니다.

주의

레지스트리를 잘못 편집하면 시스템이 심각하게 손상될 수 있습니다. 따라서 레지스트리를 변경하기 전에 컴퓨터의 중요한 데이터를 백업해 두어야 합니다.

레지스트리에 ping 사용자 이름을 추가하려면

Ping 사용자 이름은 로컬 관리istrators 그룹의 멤버에 의해 문자열 값으로 다음 레지스트리 키에 추가할 수 있습니다.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IAS\Parameters

  • 이름: ping user-name
  • 형식: REG_SZ
  • 데이터: 사용자 이름

ping 사용자 이름 값에 대해 둘 이상의 사용자 이름을 나타내려면 데이터에서 와일드카드 문자를 포함하여 DNS 이름과 같은 이름 패턴을 입력합니다.