Condividi tramite

Configurare la registrazione del Server dei criteri di rete

Esistono tre tipi di registrazione per Network Policy Server (NPS):

  • La registrazione degli eventi. Usato principalmente per il controllo e la risoluzione dei problemi relativi ai tentativi di connessione. È possibile configurare la registrazione degli eventi NPS ottenendo le proprietà NPS nella console NPS.

  • Registrazione delle richieste di autenticazione utente e contabilità a un file locale. Usato principalmente per scopi di analisi e fatturazione della connessione. Utile anche come strumento di analisi della sicurezza perché fornisce un metodo per tenere traccia dell'attività di un utente malintenzionato dopo un attacco. È possibile configurare la registrazione dei file locali tramite la procedura guidata di configurazione contabilità.

  • Registrazione delle richieste di autenticazione utente e contabilità a un database conforme a XML di Microsoft SQL Server. Usato per consentire a più server che eseguono NPS (Server dei criteri di rete) di accedere a un'unica origine dati. Offre inoltre i vantaggi dell'uso di un database relazionale. ** È possibile configurare la registrazione di SQL Server tramite la configurazione guidata di Contabilità.

Usare la procedura guidata di configurazione contabile

Usando la procedura guidata di configurazione contabile, è possibile configurare le seguenti quattro impostazioni contabili:

  • registrazione solo SQL. Usando questa impostazione, è possibile configurare un collegamento dati a un SQL Server che consente a NPS di connettersi e inviare dati contabili al SQL Server. Inoltre, la procedura guidata può configurare il database su SQL Server per garantire che il database sia compatibile con la registrazione del server SQL NPS.
  • registrazione testo solo. Usando questa impostazione, è possibile configurare Server dei criteri di rete (NPS) per registrare i dati contabili in un file di testo.
  • Registrazione parallela. Usando questa impostazione, è possibile configurare il collegamento dati e il database di SQL Server. È anche possibile configurare la registrazione su file di testo in modo che il Server dei criteri di rete (NPS) registri simultaneamente sia nel file di testo che nel database di SQL Server.
  • registrazione SQL con backup. Usando questa impostazione, è possibile configurare il collegamento dati e il database di SQL Server. Inoltre, è possibile configurare la registrazione su file di testo che NPS utilizza se la registrazione su SQL Server fallisce.

Oltre a queste impostazioni, sia la registrazione di SQL Server sia la registrazione su testo consentono di specificare se NPS continua a elaborare le richieste di connessione in caso di errore di registrazione. È possibile specificare questa opzione nella sezione Azione in caso di errore di registrazione nelle proprietà di registrazione dei file locali, nelle proprietà di registrazione di SQL Server e durante l'esecuzione della Progettazione guidata per la configurazione dell’Accounting.

Per eseguire la procedura guidata per la configurazione della contabilità

Per eseguire la Procedura guidata di configurazione contabilità, seguire questa procedura:

  1. Aprire la console NPS o lo strumento di gestione (snap-in) Microsoft Management Console (MMC) NPS.
  2. Nell'albero della console fare clic su Accounting.
  3. Nel riquadro dei dettagli, in contabilità, fare clic su Configura contabilità.

Configurare le proprietà del file di log di NPS

È possibile configurare il Server dei criteri di rete (NPS) per eseguire la registrazione RADIUS (Remote Authentication Dial-In User Service) per le richieste di autenticazione utente, i messaggi Access-Accept, i messaggi Access-Reject, le richieste e risposte di registrazione, e gli aggiornamenti periodici dello stato. È possibile utilizzare questa procedura per configurare i file di log in cui archiviare i dati contabili.

Per ulteriori informazioni sull'interpretazione dei file di log, vedere Interpretare i file di log nel formato di database NPS.

Per evitare che i file di log riempiano il disco rigido, è consigliabile mantenerli in una partizione separata dalla partizione di sistema. Di seguito vengono fornite ulteriori informazioni sulla configurazione della contabilità per Server dei criteri di rete.

  • Per inviare i dati del file di log per la raccolta da un altro processo, puoi configurare NPS per scrivere in una pipe nominata. Per usare named pipe, impostare la cartella del file di log su \.\pipe o \ComputerName\pipe. Il programma server named pipe crea una named pipe denominata \.\pipe\iaslog.log per accettare i dati. Nella finestra di dialogo Proprietà file locali, in Crea un nuovo file di log, selezionare Mai (dimensioni illimitate del file) quando si usano le pipe denominate.

  • La directory del file di log può essere creata usando variabili di ambiente di sistema (anziché variabili utente), ad esempio %systemdrive%, %systemroot%e %windir%. Ad esempio, il percorso seguente, usando la variabile di ambiente %windir%, individua il file di log nella directory di sistema nella sottocartella \System32\Logs , ovvero %windir%\System32\Logs.

  • La modifica dei formati di file di log non comporta la creazione di un nuovo log. Se si modificano i formati di file di log, il file attivo al momento della modifica conterrà una combinazione dei due formati (i record all'inizio del log avranno il formato precedente e i record alla fine del log avranno il nuovo formato).

  • Se la contabilità RADIUS non riesce a causa di un'unità disco rigido completa o di altre cause, NPS interrompe l'elaborazione delle richieste di connessione, impedendo agli utenti di accedere alle risorse di rete.

  • NPS offre la possibilità di registrare su un database di Microsoft® SQL Server™ oltre a, o invece di, fare la registrazione su un file locale.

L'appartenenza al gruppo domain admins è il requisito minimo necessario per eseguire questa procedura.

Per configurare le proprietà del file di log NPS

  1. Aprire la console NPS o lo snap-in Microsoft Management Console (MMC) NPS.
  2. Nell'albero della console fare clic su Accounting.
  3. Nel riquadro dei dettagli, in Proprietà File di Log, fare clic su Modifica Proprietà File di Log. Si apre la finestra di dialogo Proprietà file di log .
  4. In Proprietà file di log, nella scheda Impostazioni, in Registrare le informazioni seguenti, assicurarsi di scegliere di registrare informazioni sufficienti per raggiungere gli obiettivi di contabilità. Ad esempio, se i log devono eseguire la correlazione di sessione, selezionare tutte le caselle di controllo.
  5. In Azione in caso di errore di registrazione, selezionare Se la registrazione ha esito negativo, scartare le richieste di connessione se si vuole che NPS interrompa l'elaborazione dei messaggi Access-Request quando i file di log sono completi o non disponibili per qualche motivo. Se si desidera che NPS continui a elaborare le richieste di connessione se la registrazione fallisce, non selezionare questa casella di controllo.
  6. Nella finestra di dialogo proprietà del file di log fare clic sulla scheda file di log.
  7. Nella scheda file di log, nella directory , digitare il percorso in cui archiviare i file di log di NPS. Il percorso predefinito è la cartella systemroot\System32\LogFiles.
    Se non si specifica un'istruzione percorso completa in directory dei file di log, viene usato il percorso predefinito. Ad esempio, se si digita NPSLogFile in directory dei file di log, il file si trova in %systemroot%\System32\NPSLogFile.
  8. In formato , fare clic su DTS Compliant. Se si preferisce, è invece possibile selezionare un formato di file legacy, ad esempio ODBC (Legacy) o IAS (Legacy).
    ODBC e IAS tipi di file legacy contengono un sottoinsieme delle informazioni che NPS invia al database di SQL Server. Il formato XML del tipo di file conforme a DTS è identico al formato XML utilizzato da NPS per importare i dati nel suo database SQL Server. Di conseguenza, il formato di file conforme DTS fornisce un trasferimento dei dati più efficiente e completo nel database SQL Server standard per NPS.
  9. In Creare un nuovo file di log, per configurare NPS (Server dei criteri di rete) affinché avvii nuovi file di log a intervalli specificati, fare clic sull'intervallo che si desidera utilizzare:
    • Per un elevato volume di transazioni e attività di registrazione, fare clic su Giornaliero .
    • Per volumi di transazioni minori e attività di registrazione, fare clic su settimanale o mensile.
    • Per archiviare tutte le transazioni in un unico file di log, fare clic su Mai (file di dimensione illimitata).
    • Per limitare le dimensioni di ogni file di log, fare clic su Quando il file di log raggiunge questa dimensione, quindi digitare una dimensione del file, dopo la quale viene creato un nuovo log. La dimensione predefinita è 10 megabyte (MB).
  10. Se si desidera che NPS elimini i vecchi file di log per creare spazio su disco per i nuovi file di log quando il disco rigido è quasi pieno, assicurarsi che sia selezionato Quando il disco è pieno, elimina i file di log meno recenti. Questa opzione non è disponibile, tuttavia, se il valore di Crea un nuovo file di log è Mai (dimensioni illimitate del file). Inoltre, se il file di log meno recente è il file di log corrente, non viene eliminato.

Configurare la registrazione di SQL Server NPS

È possibile usare questa procedura per registrare i dati contabili RADIUS in un database locale o remoto che esegue Microsoft SQL Server.

Nota

NPS formatta i dati contabili come un documento XML che invia alla stored procedure report_event nel database SQL Server designato in NPS. Affinché la registrazione di SQL Server funzioni correttamente, è necessario disporre di una stored procedure chiamata report_event nel database di SQL Server che sia in grado di ricevere e analizzare i documenti XML provenienti da NPS.

L'appartenenza a Domain Admins o equivalente è il requisito minimo necessario per completare questa procedura.

Per configurare la registrazione di SQL Server in NPS

  1. Apri la console NPS o lo snap-in NPS Microsoft Management Console (MMC).
  2. Nell'albero della console fare clic su Accounting.
  3. Nel riquadro dei dettagli, in Proprietà di Registrazione di SQL Server, fare clic su Modifica le Proprietà di Registrazione di SQL Server. La finestra di dialogo Proprietà di Registrazione di SQL Server si apre.
  4. In Registrare le informazioni seguentiselezionare le informazioni da registrare:
    • Per registrare tutte le richieste di contabilità, fare clic su Richieste di contabilità.
    • Per registrare le richieste di autenticazione, fare clic su Richieste di autenticazione.
    • Per registrare lo stato di contabilità periodica, fare clic su stato di contabilità periodica.
    • Per registrare lo stato periodico, ad esempio le richieste di contabilità provvisorie, fare clic su stato periodico.
  5. Per configurare il numero di sessioni simultanee consentite tra il server che esegue Server dei criteri di rete e SQL Server, inserire un numero in Numero massimo di sessioni simultanee.
  6. Per configurare l'origine dati di SQL Server, nella sezione registrazione di SQL Server, fare clic su Configura. La finestra di dialogo Proprietà collegamento dati si apre. Nella scheda Connessione specificare quanto segue:
    • Per specificare il nome del server in cui è archiviato il database, digitare o selezionare un nome in Selezionare o immettere un nome del server.
    • Per specificare il metodo di autenticazione con cui accedere al server, fare clic su Utilizzare la sicurezza integrata di Windows NT. In alternativa, fare clic su Usare un nome utente e una password specifici, quindi digitare le credenziali in nome utente e Password.
    • Per consentire una password vuota, fare clic su Password vuota.
    • Per archiviare la password, fare clic su Consenti salvataggio password.
    • Per specificare il database a cui connettersi nel computer che esegue SQL Server, fare clic su Selezionare il database nel servere quindi selezionare un nome di database dall'elenco.
  7. Per testare la connessione tra NPS e SQL Server, fare clic su Test Connessione. Fare clic su OK per chiudere Proprietà collegamento dati.
  8. Nell'azione di registrazione degli errori , selezionare Abilita la registrazione dei file di testo per il failover se desideri che NPS continui con la registrazione dei file di testo qualora la registrazione su SQL Server fallisca.
  9. In 'azione Registrazione errori, selezionare Se la registrazione ha esito negativo, scartare le richieste di connessione se si vuole che NPS interrompa l'elaborazione dei messaggi Access-Request quando i file di log sono completi o non disponibili per qualche motivo. Se si vuole che Server dei criteri di rete continui a elaborare le richieste di connessione nell'eventualità di un errore di registrazione, non selezionare questa casella di controllo.

Ping nome utente

Alcuni server proxy RADIUS e server di accesso alla rete inviano periodicamente richieste di autenticazione e contabilità (note come richieste ping) per verificare che l'NPS sia presente nella rete. Queste richieste ping includono nomi utente fittizi. Quando NPS elabora queste richieste, i log degli eventi e dell'accounting si riempiono di record di rifiuto di accesso, rendendo più difficile monitorare i record validi.

Quando si configura una voce del Registro di sistema per ping user-name, NPS confronta il valore della voce del Registro di sistema con il valore del nome utente nelle richieste di ping provenienti da altri server. Una ping user-name voce del Registro di sistema specifica il nome utente fittizio (o un modello di nome utente, con variabili, che corrisponde al nome utente fittizio) inviato dai server proxy RADIUS e dai server di accesso di rete. Quando il Server dei criteri di rete riceve richieste di ping che corrispondono al valore della voce di registro del nome utente di ping , il Server dei criteri di rete rifiuta le richieste di autenticazione senza elaborare la richiesta. NPS non registra le transazioni che coinvolgono il nome utente fittizio nei file di log, rendendo più facile l'interpretazione del registro eventi.

Ping user-name non è installato per impostazione predefinita. È necessario aggiungere ping user-name al Registro di sistema. È possibile aggiungere una voce al Registro di sistema usando l'Editor del Registro di sistema.

Attenzione

È possibile che eventuali modifiche non corrette del Registro di sistema danneggino gravemente il sistema. Prima di apportare modifiche al Registro di sistema, si consiglia di effettuare il backup di tutti i dati importanti presenti sul computer.

Per aggiungere ping user-name al registro di sistema

Il nome utente per il ping può essere aggiunto alla seguente chiave del Registro di sistema come valore di stringa da un membro del gruppo Administrators locale.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IAS\Parameters

  • Nome: ping user-name
  • Tipo: REG_SZ
  • data: nome utente

Suggerimento

Per indicare più di un nome utente per un valore ping user-name, immettere un modello di nome, ad esempio un nome DNS, inclusi i caratteri jolly, in Data.