네트워크 정책 서버 계정 구성

NPS (네트워크 정책 서버)에는 다음과 같은 세 가지 유형의 로깅이 있습니다.

  • 이벤트 로깅. 주로 연결 시도를 감사 하 고 문제를 해결 하는 데 사용 됩니다. Nps 콘솔에서 NPS 속성을 가져와 NPS 이벤트 로깅을 구성할 수 있습니다.

  • 사용자 인증 및 계정 요청을 로컬 파일에 기록합니다. 주로 연결 분석과 청구 목적으로 사용 됩니다. 공격 후 악의적인 사용자의 활동을 추적 하는 방법을 제공 하기 때문에 보안 조사 도구로도 유용 합니다. 계정 구성 마법사를 사용 하 여 로컬 파일 로깅을 구성할 수 있습니다.

  • Microsoft SQL Server XML 규격 데이터베이스에 사용자 인증 및 계정 요청을 기록합니다. NPS를 실행 하는 여러 서버에서 하나의 데이터 원본을 갖도록 허용 하는 데 사용 됩니다. 에서는 관계형 데이터베이스를 사용 하는 경우의 이점도 제공 합니다. 계정 구성 마법사를 사용 하 여 SQL Server 로깅을 구성할 수 있습니다.

계정 구성 마법사 사용

계정 구성 마법사를 사용 하 여 다음과 같은 4 가지 계정 설정을 구성할 수 있습니다.

  • SQL 로깅 전용입니다. 이 설정을 사용 하면 NPS가 SQL 서버에 연결 하 여 계정 데이터를 보낼 수 있도록 하는 SQL Server에 대 한 데이터 연결을 구성할 수 있습니다. 또한 마법사는 데이터베이스가 NPS SQL 서버 로깅과 호환 되는지 확인 하기 위해 SQL Server에서 데이터베이스를 구성할 수 있습니다.
  • 텍스트 로깅에만해당 합니다. 이 설정을 사용 하 여 계정 데이터를 텍스트 파일에 기록 하도록 NPS를 구성할 수 있습니다.
  • 병렬 로깅. 이 설정을 사용 하 여 SQL Server 데이터 연결 및 데이터베이스를 구성할 수 있습니다. 또한 NPS가 텍스트 파일 및 SQL Server 데이터베이스에 동시에 기록 하도록 텍스트 파일 로깅을 구성할 수 있습니다.
  • 백업을 사용 하 여 로깅을 SQL합니다. 이 설정을 사용 하 여 SQL Server 데이터 연결 및 데이터베이스를 구성할 수 있습니다. 또한 SQL Server 로깅이 실패할 경우 NPS에서 사용 하는 텍스트 파일 로깅을 구성할 수 있습니다.

이러한 설정 외에도 SQL Server 로깅 및 텍스트 로깅을 사용 하면 로깅이 실패할 경우 NPS가 연결 요청을 계속 처리할지 여부를 지정할 수 있습니다. 계정 구성 마법사를 실행 하는 동안 로컬 파일 로깅 속성의 로깅 실패 작업 섹션 , SQL 서버 로깅 속성 및에서 지정할 수 있습니다.

계정 구성 마법사를 실행 하려면

계정 구성 마법사를 실행 하려면 다음 단계를 완료 합니다.

  1. NPS 콘솔 또는 NPS MMC (Microsoft Management Console) 스냅인을 엽니다.
  2. 콘솔 트리에서 계정을 클릭 합니다.
  3. 세부 정보 창의 계정에서 계정 구성을 클릭 합니다.

NPS 로그 파일 속성 구성

사용자 인증 요청, Access-Accept 메시지, Access-Reject 메시지, 계정 요청 및 응답, 정기 상태 업데이트에 대 한 RADIUS(Remote Authentication Dial-In User Service) (RADIUS) 계정을 수행 하도록 NPS (네트워크 정책 서버)를 구성할 수 있습니다. 이 절차를 사용 하 여 회계 데이터를 저장 하려는 로그 파일을 구성할 수 있습니다.

로그 파일을 해석 하는 방법에 대 한 자세한 내용은 NPS 데이터베이스 형식 로그 파일 해석을 참조 하세요.

로그 파일이 하드 드라이브를 채우지 않도록 하려면 시스템 파티션과는 별개의 파티션에 보관 하는 것이 좋습니다. 다음은 NPS의 계정을 구성 하는 방법에 대 한 자세한 정보를 제공 합니다.

  • 컬렉션에 대 한 로그 파일 데이터를 다른 프로세스에서 전송 하려면 명명 된 파이프에 쓰도록 NPS를 구성 하면 됩니다. 명명 된 파이프를 사용 하려면 로그 파일 폴더를 \.\pipe 또는 \ComputerName\pipe.로 설정 합니다. 명명 된 파이프 서버 프로그램은 데이터를 수락 하기 위해 \.\pipe\iaslog.log 라는 명명 된 파이프를 만듭니다. 명명 된 파이프를 사용 하는 경우 로컬 파일 속성 대화 상자의 새 로그 파일 만들기에서 안 함 (파일 크기 제한 없음)을 선택 합니다.

  • 로그 파일 디렉터리는 사용자 변수 대신 시스템 환경 변수를 사용 하 여 만들 수 있습니다 (예:% 최대 수%,% systemroot%,% windir%). 예를 들어,% windir% 환경 변수를 사용 하는 다음 경로는 \System32\Logs 하위 폴더 (즉,%windir%\System32\Logs)의 시스템 디렉터리에서 로그 파일을 찾습니다.

  • 로그 파일 형식을 전환 하면 새 로그가 생성 되지 않습니다. 로그 파일 형식을 변경 하는 경우 변경 시 활성 상태인 파일에는 두 가지 형식이 혼합 되어 포함 됩니다. 즉, 로그의 시작 부분에 있는 레코드는 이전 형식이 고 로그의 끝에 있는 레코드는 새 형식이 됩니다.

  • 전체 하드 디스크 드라이브 또는 기타 원인으로 인해 RADIUS 계정이 실패 하면 NPS는 연결 요청 처리를 중지 하 여 사용자가 네트워크 리소스에 액세스 하지 못하도록 합니다.

  • NPS는 ®™ 로컬 파일에 기록 하는 것 외에도 Microsoft SQL Server 데이터베이스에 로그인 하는 기능을 제공 합니다.

이 절차를 수행 하려면 최소한 Domain Admins 그룹의 구성원 이어야 합니다.

NPS 로그 파일 속성을 구성 하려면

  1. NPS 콘솔 또는 NPS MMC (Microsoft Management Console) 스냅인을 엽니다.
  2. 콘솔 트리에서 계정을 클릭 합니다.
  3. 세부 정보 창의 로그 파일 속성에서 로그 파일 속성 변경을 클릭 합니다. 로그 파일 속성 대화 상자가 열립니다.
  4. 로그 파일 속성설정 탭에 있는 다음 정보 로그에서 계정 목표를 달성 하는 데 충분 한 정보를 기록 하도록 선택 해야 합니다. 예를 들어 로그에서 세션 상관 관계를 수행 해야 하는 경우 모든 확인란을 선택 합니다.
  5. 일부 이유로 인해 로그 파일이 가득 찼거나 사용할 수 없을 때 NPS에서 Access-Request 메시지 처리를 중지 하도록 하려면 로깅 실패 동작에서 로깅 실패를 선택 합니다. 로깅이 실패할 경우 NPS가 연결 요청을 계속 처리 하도록 하려면이 확인란을 선택 하지 마십시오.
  6. 로그 파일 속성 대화 상자에서 로그 파일 탭을 클릭 합니다.
  7. 로그 파일 탭의 디렉터리에 NPS 로그 파일을 저장 하려는 위치를 입력 합니다. 기본 위치는 systemroot\System32\LogFiles 폴더입니다.
    로그 파일 디렉터리에 전체 경로 문을 제공 하지 않으면 기본 경로가 사용 됩니다. 예를 들어 로그 파일 디렉터리npslogfile 을 입력 하면 파일 은%systemroot%\System32\NPSLogFile.에 있습니다.
  8. 형식에서 DTS 규격을 클릭 합니다. 원하는 경우 ODBC (레거시) 또는 IAS (레거시)와 같은 레거시 파일 형식을 대신 선택할 수 있습니다.
    ODBCIAS 레거시 파일 형식에는 NPS가 SQL Server 데이터베이스에 전송 하는 정보의 하위 집합이 포함 되어 있습니다. DTS 규격 파일 형식의 xml 형식은 NPS가 데이터를 SQL Server 데이터베이스로 가져오는 데 사용 하는 xml 형식과 동일 합니다. 따라서 DTS 규격 파일 형식은 NPS에 대 한 표준 SQL Server 데이터베이스에 보다 효율적이 고 완전 한 데이터 전송을 제공 합니다.
  9. 새 로그 파일 만들기에서 지정 된 간격으로 새 로그 파일을 시작 하도록 NPS를 구성 하려면 사용할 간격을 클릭 합니다.
    • 대량 트랜잭션 볼륨 및 로깅 작업의 경우 매일을 클릭 합니다.
    • 낮은 트랜잭션 볼륨 및 로깅 작업의 경우 매주 또는 매월을 클릭 합니다.
    • 모든 트랜잭션을 하나의 로그 파일에 저장 하려면 안 함 (파일 크기 제한 없음)을 클릭 합니다.
    • 각 로그 파일의 크기를 제한 하려면 로그 파일이이 크기에 도달 하면를 클릭 한 다음 파일 크기를 입력 합니다. 그러면 새 로그가 생성 됩니다. 기본 크기는 10mb입니다.
  10. 하드 디스크가 용량에 가까워질 때 NPS에서 이전 로그 파일을 삭제 하 여 새 로그 파일에 대 한 디스크 공간을 확보 하도록 하려면 디스크가 꽉 차면 오래 된 로그 파일 삭제 가 선택 되어 있는지 확인 합니다. 그러나이 옵션은 사용할 수 없지만 새 로그 파일 만들기 의 값이 Never (파일 크기 제한 없음)인 경우에는 사용할 수 없습니다. 또한 가장 오래 된 로그 파일이 현재 로그 파일이 면 삭제 되지 않습니다.

NPS SQL Server 로깅 구성

이 절차를 사용 하 여 Microsoft SQL Server를 실행 하는 로컬 또는 원격 데이터베이스에 RADIUS 계정 데이터를 기록할 수 있습니다.

참고

nps는 계정 데이터를 nps에서 지정 하는 SQL Server 데이터베이스의 report_event 저장 프로시저에 보내는 XML 문서로 서식 지정 합니다. SQL Server 로깅이 제대로 작동 하려면 NPS에서 XML 문서를 받고 구문 분석할 수 있는 SQL Server 데이터베이스에 report_event 라는 저장 프로시저가 있어야 합니다.

이 절차를 완료하려면 적어도 Domain Admins 그룹 구성원이거나 이에 해당하는 권한이 있어야 합니다.

NPS에서 SQL Server 로깅을 구성 하려면

  1. NPS 콘솔 또는 NPS MMC (Microsoft Management Console) 스냅인을 엽니다.
  2. 콘솔 트리에서 계정을 클릭 합니다.
  3. 세부 정보 창의 SQL Server 로깅 속성에서 SQL Server 로깅 속성 변경을 클릭 합니다. SQL Server 로깅 속성 대화 상자가 열립니다.
  4. 다음 정보를 로그에 기록 하려는 정보를 선택 합니다.
    • 모든 계정 요청을 기록 하려면 계정 요청을 클릭 합니다.
    • 인증 요청을 기록 하려면 인증 요청을 클릭 합니다.
    • 정기 계정 상태를 기록 하려면 정기 계정 상태를 클릭 합니다.
    • 중간 계정 요청과 같은 정기 상태를 기록 하려면 정기 상태를 클릭 합니다.
  5. NPS를 실행 하는 서버와 SQL Server 간에 허용 되는 동시 세션 수를 구성 하려면 최대 동시 세션수에 숫자를 입력 합니다.
  6. SQL Server 데이터 원본을 구성 하려면 SQL Server 로깅에서 구성을 클릭 합니다. 데이터 연결 속성 대화 상자가 열립니다. 연결 탭에서 다음을 지정 합니다.
    • 데이터베이스가 저장된 서버의 이름을 지정하려면 서버 이름 선택에서 이름을 입력하거나 선택합니다.
    • 서버에 로그온할 인증 방법을 지정하려면 Windows NT 통합 보안 사용 을클릭합니다. 또는 특정 사용자 이름 및 암호 사용 을클릭한 다음 사용자 이름 및 암호 에 자격 증명을 입력합니다.
    • 빈 암호를 허용하려면 빈 암호를 클릭합니다.
    • 암호를 저장하려면 암호 저장 허용을클릭합니다.
    • SQL Server 실행하는 컴퓨터에서 연결할 데이터베이스를 지정하려면 서버에서 데이터베이스 선택을클릭한 다음 목록에서 데이터베이스 이름을 선택합니다.
  7. NPS와 SQL Server 간의 연결을 테스트하려면 연결 테스트를클릭합니다. 확인을 클릭하여 데이터 링크 속성을닫습니다.
  8. 로깅 실패 작업에서SQL Server 로깅이 실패하는 경우 NPS에서 텍스트 파일 로깅을 계속하려면 장애 조치(failover)에 텍스트 파일 로깅 사용을 선택합니다.
  9. 로깅 실패 작업에서로깅이 실패하면 NPS가 어떤 이유로 로그 파일이 가득 차거나 사용할 수 없을 때 Access-Request 메시지 처리를 중지하려면 연결 요청을 삭제합니다를 선택합니다. 로깅이 실패할 경우 NPS에서 연결 요청을 계속 처리하도록 하려면 이 확인란을 선택하지 마십시오.

Ping 사용자 이름

일부 RADIUS 프록시 서버 및 네트워크 액세스 서버는 정기적으로 인증 및 계정 요청(ping 요청이라고 함)을 전송하여 NPS가 네트워크에 있는지 확인합니다. 이러한 ping 요청에는 가상의 사용자 이름이 포함됩니다. NPS가 이러한 요청을 처리하면 이벤트 및 계정 로그가 액세스 거부 레코드로 채워지게 되어 유효한 레코드를 추적하기가 더 어려워집니다.

ping 사용자 이름에 대한 레지스트리 항목을 구성하는 경우 NPS는 다른 서버의 ping 요청에서 사용자 이름 값에 대한 레지스트리 항목 값과 일치합니다. ping 사용자 이름 레지스트리 항목은 RADIUS 프록시 서버 및 네트워크 액세스 서버에서 보낸 가상의 사용자 이름(또는 가상 사용자 이름과 일치하는 변수가 있는 사용자 이름 패턴)을 지정합니다. NPS가 ping 사용자 이름 레지스트리 항목 값과 일치하는 ping 요청을 받으면 NPS는 요청을 처리하지 않고 인증 요청을 거부합니다. NPS는 가상의 사용자 이름과 관련된 트랜잭션을 로그 파일에 기록하지 않으므로 이벤트 로그를 더 쉽게 해석할 수 있습니다.

Ping 사용자 이름은 기본적으로 설치되지 않습니다. 레지스트리에 ping 사용자 이름을 추가해야 합니다. 레지스트리 편집기를 사용하여 레지스트리에 항목을 추가할 수 있습니다.

주의

레지스트리를 잘못 편집하면 시스템이 심각하게 손상될 수 있습니다. 따라서 레지스트리를 변경하기 전에 컴퓨터의 중요한 데이터를 백업해 두어야 합니다.

레지스트리에 ping 사용자 이름을 추가하려면

Ping 사용자 이름은 로컬 Administrators 그룹의 멤버가 다음 레지스트리 키에 문자열 값으로 추가할 수 있습니다.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IAS\Parameters

  • 이름:
  • 형식:
  • 데이터:사용자 이름

ping 사용자 이름 값에 대해 사용자 이름을 두 개 이상 나타내려면 데이터 에 와일드카드 문자를 포함한 DNS 이름과 같은 이름 패턴을 입력합니다.