配置网络策略服务器记帐

网络策略服务器 (NPS) 有三种类型的日志记录:

  • 事件日志记录。 主要用于对连接尝试进行审核和疑难解答。 可以通过在 NPS 控制台中获取 NPS 属性来配置 NPS 事件日志记录。

  • 将用户身份验证和记帐请求记录到本地文件。 主要用于进行连接分析和记帐。 作为安全调查工具也非常有用,因为它为您提供一种在攻击之后跟踪恶意用户活动的方法。 您可以使用记帐配置向导来配置本地文件日志记录。

  • 将用户身份验证和记帐请求记录到与 XML 兼容的 Microsoft SQL Server 数据库。 用于允许多个运行 NPS 的服务器拥有一个数据源。 还提供使用关系数据库的优势。 您可以使用记帐配置向导来配置 SQL Server 日志记录。

使用记帐配置向导

通过使用记帐配置向导,您可以配置以下四个记帐设置:

  • 仅 SQL 日志记录。 通过使用此设置,你可以将数据链接配置为允许 NPS 连接到 SQL 服务器并将其发送到的 SQL Server。 此外,向导还可以在 SQL Server 上配置数据库,以确保数据库与 NPS SQL 服务器日志记录兼容。
  • 仅限文本日志记录。 通过使用此设置,您可以配置 NPS 以将记帐数据记录到文本文件中。
  • 并行日志记录。 通过使用此设置,你可以配置 SQL Server 的数据链接和数据库。 你还可以配置文本文件日志记录,以便 NPS 同时记录到文本文件和 SQL Server 数据库中。
  • SQL 日志记录备份。 通过使用此设置,你可以配置 SQL Server 的数据链接和数据库。 此外,还可以配置 NPS 在 SQL Server 日志记录失败时使用的文本文件日志记录。

除了这些设置外,SQL Server 日志记录和文本日志记录还允许您指定在记录失败时 NPS 是否继续处理连接请求。 你可以在 "本地文件日志记录属性" 的 "日志记录失败操作" 部分中指定此项,SQL server 日志记录属性 "和" 运行记帐配置向导 "中。

运行记帐配置向导

若要运行记帐配置向导,请完成以下步骤:

  1. 打开 NPS 控制台或 NPS Microsoft 管理控制台 (MMC) 管理单元。
  2. 在控制台树中,单击 " 记帐"。
  3. 在详细信息窗格中,在 " 记帐" 中单击 " 配置记帐"。

配置 NPS 日志文件属性

你可以配置网络策略服务器 (NPS) 为用户身份验证请求、) 消息、Access-Accept 消息、记帐请求和响应以及定期状态更新执行远程身份验证拨入用户服务 (RADIUS Access-Reject。 您可以使用此过程来配置您要在其中存储记帐数据的日志文件。

有关解释日志文件的详细信息,请参阅 解释 NPS 数据库格式日志文件

若要防止日志文件填充硬盘驱动器,强烈建议将它们保留在与系统分区隔离的分区中。 下面提供了有关为 NPS 配置记帐的详细信息:

  • 若要发送可共其他过程收集的日志文件数据,可以配置要写入已命名管道的 NPS。 若要使用命名管道,请将日志文件文件夹设置为 \.\pipe 或 \ComputerName\pipe。 命名管道服务器程序创建名为 \.\pipe\iaslog.log 的命名管道,以接受数据。 使用已命名的管道时,请在“本地文件属性”对话框的“新建日志文件”中,选择“从不(文件大小无限制)”。

  • 可以使用系统环境变量(如 %systemdrive%、%systemroot% 和 windir%,而不是用户变量)来创建日志文件目录。 例如,下面的路径(使用环境变量% windir%)在 (\System32\Logs 的子文件夹中找到系统目录中的日志文件,即%windir%\System32\Logs) 。

  • 切换日志文件格式不会导致创建新的日志。 如果更改日志文件格式,则更改时处于活动状态的文件将包含两种格式的混合形式(日志开始处的记录将具有以前的格式,日志结尾处的记录将具有新的格式)。

  • 如果 RADIUS 记帐因硬盘驱动器已满或其他原因而失败,则 NPS 将停止处理连接请求,从而防止用户访问网络资源。

  • NPS ®™ 除了记录到本地文件外,还提供记录到 Microsoft SQL Server 数据库的功能。

Domain Admins组中的成员身份是执行此过程所需的最低要求。

配置 NPS 日志文件属性

  1. 打开 NPS 控制台或 NPS Microsoft 管理控制台 (MMC) 管理单元。
  2. 在控制台树中,单击 " 记帐"。
  3. 在详细信息窗格的 " 日志文件属性" 中,单击 " 更改日志文件属性"。 此时将打开 " 日志文件属性 " 对话框。
  4. 在 "日志文件属性" 的 "设置" 选项卡上,在 "记录以下信息" 中,确保选择记录足够的信息来实现会计目标。 例如,如果日志需要完成会话相关,请选中所有复选框。
  5. 在 " 日志记录失败" 操作中,选择 " 如果登录失败,则放弃连接请求" ( 如果你希望 NPS 在日志文件已满或由于某种原因而无法使用时停止处理 Access-Request 消息。 如果希望 NPS 在记录失败的情况下继续处理连接请求,请不要选中此复选框。
  6. 在 " 日志文件属性 " 对话框中,单击 " 日志文件 " 选项卡。
  7. 在 " 日志文件 " 选项卡上的 " 目录" 中,键入要存储 NPS 日志文件的位置。 默认位置为 systemroot\System32\LogFiles 文件夹。
    如果未在 " 日志文件目录" 中提供完整路径语句,将使用默认路径。 例如,如果在 "日志文件目录" 中键入NPSLogFile ,则该文件位于%systemroot%\System32\NPSLogFile。
  8. 在 " 格式" 中,单击 " DTS 相容"。 如果愿意,可以改为选择旧的文件格式,如 ODBC (旧) IAS (旧)
    ODBCIAS旧文件类型包含 NPS 发送到其 SQL Server 数据库的信息的子集。 符合 DTS的文件类型的 xml 格式与 NPS 用来将数据导入到其 SQL Server 数据库中的 xml 格式完全相同。 因此, DTS 兼容文件格式可为 NPS 的标准 SQL Server 数据库提供更高效且更完整的数据传输。
  9. 在 " 创建新的日志文件" 中,若要将 NPS 配置为按指定的时间间隔启动新的日志文件,请单击要使用的时间间隔:
    • 对于繁重事务量和日志记录活动,单击 " 每天"。
    • 对于较少的事务量和日志记录活动,单击 每周每月
    • 若要将所有事务都存储在一个日志文件中,请单击 " 从不 (无限制文件大小")
    • 若要限制每个日志文件的大小,请单击 " 当日志文件达到此大小",然后键入文件大小(在此之后创建新的日志)。 默认大小为 10 兆字节 (MB)。
  10. 如果希望在硬盘接近容量时,NPS 删除旧日志文件以便为新日志文件创建磁盘空间,请确保选中 " 如果磁盘已满,请删除旧的日志文件 "。 此选项不可用,但如果 创建新的日志文件 的值永远不会 (不受限制的文件大小) 。 此外,如果最早的日志文件是当前日志文件,则不会将其删除。

配置 NPS SQL Server 日志记录

您可以使用此过程将 RADIUS 记帐数据记录到运行 Microsoft SQL Server 的本地或远程数据库。

注意

NPS 将记帐数据格式化为 XML 文档,该文档将其发送到你在 NPS 中指定的 SQL Server 数据库中的report_event存储过程。 若要使 SQL Server 日志记录正常工作,SQL Server 数据库中必须有一个名为report_event的存储过程,该存储过程可接收和分析 NPS 中的 XML 文档。

若要完成该过程,必须至少具有 Domain Admins 的成员资格或同等权限。

在 NPS 中配置 SQL Server 日志记录

  1. 打开 NPS 控制台或 NPS Microsoft 管理控制台 (MMC) 管理单元。
  2. 在控制台树中,单击 " 记帐"。
  3. 在详细信息窗格中SQL Server 日志记录属性中,单击 "更改 SQL Server 日志记录属性"。 此时将打开SQL Server 日志记录属性"对话框。
  4. "记录以下信息" 中,选择要记录的信息:
    • 若要记录所有记帐请求,请单击 " 记帐请求"。
    • 若要记录身份验证请求,请单击 " 身份验证请求"。
    • 若要记录定期记帐状态,请单击 " 定期记帐状态"。
    • 若要记录周期性状态(如过渡记帐请求),请单击 " 周期性状态"。
  5. 若要配置运行 NPS 的服务器和 SQL Server 之间允许的并发会话数,请在 "最大并发会话数" 中键入一个数字。
  6. 若要配置 SQL Server 数据源,请在SQL Server 日志记录中,单击 "配置"。 此时将打开 " 数据链接属性 " 对话框。 在 " 连接 " 选项卡上,指定下列各项:
    • 若要指定存储数据库的服务器的名称,请在 " 选择或输入服务器名称" 中键入或选择一个名称。
    • 若要指定用于登录到服务器的身份验证方法,请单击 "使用 Windows NT 集成安全性"。 或者,单击 " 使用特定用户名和密码",然后在 " 用户名 " 和 " 密码" 中键入凭据。
    • 若要允许空白密码,请单击 " 空白密码"。
    • 若要存储密码,请单击 " 允许保存密码"。
    • 若要在运行 SQL Server 的计算机上指定要连接到的数据库,请单击"选择服务器上的数据库",然后从列表中选择一个数据库名称。
  7. 若要测试 NPS 与 SQL Server 之间的连接,请单击 "测试连接"。 单击 "确定" 以关闭 数据链接属性
  8. 如果你希望 NPS 在 SQL Server 日志记录失败的情况下继续使用文本文件日志记录,请在 "日志记录失败操作" 中选择 "为故障转移启用文本文件日志记录"。
  9. 在 " 日志记录失败" 操作中,选择 " 如果登录失败,则放弃连接请求" ( 如果你希望 NPS 在日志文件已满或由于某种原因而无法使用时停止处理 Access-Request 消息。 如果希望 NPS 在记录失败的情况下继续处理连接请求,请不要选中此复选框。

Ping user-name

某些 RADIUS 代理服务器和网络访问服务器会定期发送身份验证和记帐请求, (称为 ping 请求) 验证 NPS 是否存在于网络上。 这些 ping 请求包括虚构的用户名。 NPS 处理这些请求时,将在事件和记帐日志中填充访问拒绝记录,使得跟踪有效记录更为困难。

ping 用户名配置注册表项时,NPS 会将注册表项的值与其他服务器的 ping 请求中的用户名值进行匹配。 Ping 用户名称注册表项指定虚构的用户名 (或包含变量的用户名模式,该名称与 RADIUS 代理服务器和网络访问服务器发送) 的虚拟用户名相匹配。 当 NPS 接收到与 ping 用户名称 注册表项值匹配的 ping 请求时,nps 将拒绝身份验证请求,而不处理请求。 NPS 不会在任何日志文件中记录涉及虚构用户名的事务,使得事件日志更容易解释。

默认情况下,不安装Ping 用户名。 必须将 ping 用户名 添加到注册表中。 可以使用注册表编辑器向注册表中添加条目。

注意

注册表编辑不当可能会严重损坏系统。 在更改注册表之前,应备份计算机上任何有价值的数据。

将 ping 用户名称添加到注册表

可以通过本地 Administrators 组的成员将 Ping 用户名作为字符串值添加到以下注册表项:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IAS\Parameters

  • 名称
  • 类型:
  • 数据用户名

提示

若要为 ping 用户名 值指定多个用户名,请在 数据中输入名称模式(如 DNS 名称,包括通配符)。