ネットワーク ポリシー サーバー アカウンティングを構成する
ネットワーク ポリシー サーバー (NPS) には、次の 3 種類のログ作成方法があります。
イベント ログ。 主に、接続試行の監査およびトラブルシューティングに使用されます。 NPS コンソールで NPS のプロパティを取得して、NPS のイベントログを構成できます。
ユーザー認証とアカウンティング要求のログをローカル ファイルに記録する。 主に、接続解析や課金目的に使用されます。 また、セキュリティの調査ツールとしても便利で、悪意のあるユーザーの攻撃後の活動を追跡する手段にもなります。 ローカル ファイルのログは、アカウンティング構成ウィザードを使って構成できます。
ユーザー認証とアカウンティング要求のログを Microsoft SQL Server の XML に準拠したデータベースに記録する。 NPS を実行している複数のサーバーが、1 つのデータ ソースを共有するために使用されます。 また、リレーショナル データベースを使用できるという利点があります。 アカウンティング構成ウィザードを使って SQL Server のログの記録を構成できます。
アカウンティング構成ウィザードを使う
アカウンティング構成ウィザードを使って、次の 4 つのアカウンティング設定を構成できます:
- SQL のログの記録のみ。 この設定を使って、NPS が SQL サーバーに接続してアカウンティング データを送信できるようにする、SQL Server へのデータ リンクを構成できます。 さらに、ウィザードは SQL Server のデータベースを構成して、データベースが確実に NPS SQL サーバーログとの互換性を持つようにすることもできます。
- テキストのログの記録のみ。 この設定を使って、アカウンティングデータをテキスト ファイルに記録するように NPS を構成できます。
- 並列のログの記録。 この設定を使って、SQL Server データ リンクとデータベースを構成できます。 また、NPS がテキストファイルと SQL Server データベースに同時にログを記録するように、テキスト ファイルのログの記録を構成することもできます。
- バックアップを伴う SQL のログの記録。 この設定を使って、SQL Server データ リンクとデータベースを構成できます。 さらに、SQL Server のログの記録が失敗した場合に NPS が使うテキスト ファイルのログ記録を構成することもできます。
これらの設定に加えて、SQL Server ログの記録とテキスト ログの記録の両方において、ログの記録が失敗した場合に NPS が接続要求の処理を続けるかどうかを指定できます。 [ローカル ファイルのログのプロパティ] の [ログ失敗アクション セクション] と、[SQL サーバーのログ プロパティ] で、そして [アカウンティング構成ウィザード] を実行しているときに、 この指定を行うことができます。
アカウンティング構成ウィザードを実行するために
アカウンティング構成ウィザードを実行するには、以下の手順を行います:
- NPS コンソールまたは NPS Microsoft 管理コンソール (MMC) スナップインを開きます。
- コンソール ツリーで、[アカウンティング] をクリックします。
- 詳細ウィンドウの [アカウンティング] で、[アカウンティングを構成する] をクリックします。
NPS ログ ファイル プロパティを構成する
ネットワーク ポリシー サーバー (NPS) を構成して、ユーザー認証要求、アクセス許可メッセージ、アクセス拒否メッセージ、アカウンティング要求と応答、および定期的なステータスの更新に対するリモート認証ダイヤルイン ユーザー サービス (RADIUS) アカウンティングを実行できます。 この手順によってアカウンティング データを格納したいログ ファイルを構成できます。
ログ ファイルの解釈の詳細については、[NPS データベース形式のログファイルを解釈する] をご覧ください。
ログ ファイルのためにハード ドライブの領域を使い切ってしまうことがないように、ログ ファイルはシステム パーティションとは別のパーティションに保存することを強くお勧めします。 ここでは、NPS のアカウンティングの構成についてさらに詳しく説明します:
別のプロセスによって収集されるログ ファイル データを送信するには、名前付きパイプに書き込むように NPS を構成できます。 名前付きパイプを使うために、ログ ファイル フォルダーを \.\pipe または \ComputerName\pipe. に設定します。 名前付きパイプ サーバー プログラムは、データを受け入れるための \\.\pipe\iaslog.log という名前の名前付きパイプを作ります。 名前付きパイプを使うときは、[ローカル ファイルのプロパティ] ダイアログ ボックスの [新しいログ ファイルを作成する] で [Never (ファイル サイズの制限なし)] を選びます。
ログ ファイル ディレクトリは、%systemdrive%、%systemroot% や %windir% など、(ユーザー変数ではなく) システム環境変数を使用して作成できます。 たとえば、環境変数 %windir% を使う以下のパスによって、\System32\Logs サブフォルダー (つまり、%windir%\System32\Logs) 内のシステム ディレクトリにログ ファイルが保存されます。
ログ ファイルの形式を切り替える場合、新しいログを作成する必要はありません。 ログ ファイルの形式を変更する場合、変更する時点でアクティブなファイルには 2 種類の形式が使用されることになります (ログの最初のレコードには変更前の形式が、ログの最後のレコードには新しい形式が使用されます)。
ハード ディスクの空き容量がないなどの理由で RADIUS アカウンティングが失敗した場合、NPS は接続要求の処理を停止するため、ユーザーがネットワーク リソースにアクセスできなくなります。
NPS では、ローカル ファイルに加えて、またはローカル ファイルの代わりに、Microsoft® SQL Server™ データベースにログを記録することもできます。
この手順を実行するには、少なくともDomain Admins グループのメンバーシップが必要です。
NPS ログ ファイル プロパティを構成するために
- NPS コンソールまたは NPS Microsoft 管理コンソール (MMC) スナップインを開きます。
- コンソール ツリーで、[アカウンティング] をクリックします。
- 詳細ウィンドウの [ログ ファイルのプロパティ] で、[ログ ファイルをプロパティの変更する] をクリックします。 ログ ファイルのプロパティ ダイアログ ボックスが開きます。
- ログファイルのプロパティ の [設定] タブの、[次の情報をログに記録する] で、アカウンティングの目標を達成するために十分な情報をログに記録するように選択していることを確認します。 たとえば、ログでセッションの関連付けを完了する必要がある場合は、すべてのチェック ボックスをオンにします。
- 何らかの理由によって、ログ ファイルがいっぱいであるとき、または使えないとき、 NPS によるアクセス要求メッセージの処理を停止したい場合は、[ログの失敗アクション] で、[ログの記録が失敗したら接続要求を破棄する] を選びます。 ログの記録に失敗したときに、NPS による接続要求の処理を続けたい場合は、このチェックボックスをオンにしないでください。
- [ログ ファイルのプロパティ] のダイアログ ボックスで、[ログファイル] タブをクリックします。
- [ログ ファイル] タブで、[ディレクトリ] に、NPS ログ ファイルを保存する場所を入力します。 デフォルトの場所は、システムルート\System32\LogFiles フォルダーです。
[ログ ファイル ディレクトリ] で完全なパスの記述をしなかった場合は、デフォルトのパスが使われます。 たとえば、[ログファイル ディレクトリ] で [NPSlogfile] と入力すると、ファイルは %systemroot%\System32\NPSLogFile. に作られます。 - [形式] で、[DTS 準拠] をクリックします。 必要に応じて、代わりに [ODBC (レガシ)] または [IAS (レガシ)] などのレガシ ファイル形式を選べます。
[ODBC] および [IAS] のレガシファイルの種類には、NPS が SQL Server データベースに送信する情報のサブセットが含まれます。 DTS 準拠したファイルの種類の XML 形式は、NPS が SQL Server データベースにデータをインポートするために使用する XML 形式と同じです。 そのため、DTS 準拠ファイル形式を使うと、データをより効率的かつ完全に NPS の標準 SQL Server データベースに転送できます。 - [ログ ファイルを新規作成する] で、指定された間隔で新しいログ ファイルを開始するように NPS を構成するために、設定したい間隔をクリックします:
- トランザクション量とログのアクティビティが多い場合は、[毎日] をクリックします。
- トランザクション量とログのアクティビティが比較的少ない場合は、[毎週] または [毎月] をクリックします。
- 1 つのログ ファイルにすべてのトランザクションを保存するには、[Never (ファイル サイズの制限なし)] をクリックします。
- 各ログ ファイルのサイズを制限するには、[ログファイルがこのサイズに達したとき] をクリックし、ファイル サイズを入力します。これにより、新しいログが作成されます。 既定のサイズは 10 MB です。
- ハードディスクの容量が上限値に近づいたとき、NPS で古いログファイルを削除して新しいログ ファイル用のディスク領域を作りたい場合は、[ディスクがいっぱいになったときは古いログファイルを削除する] が選ばれていることを確認します。 ただし、[新しいログ ファイルを作成する] の値が [Never (ファイル サイズの制限なし)] である場合は、このオプションは使えません。 また、最も古いログ ファイルが現在のログ ファイルである場合は削除されません。
NPS SQL Server のログの記録を構成する
この手順を使って、Microsoft SQL Server を実行中のローカルまたはリモートのデータベースに RADIUS アカウンティング データを記録します。
Note
NPS はアカウンティング データを、 NPS で指定される SQL Server データベースの report_event ストアド プロシージャに送信する XML ドキュメントとしてフォーマットします。 SQL Server のログの記録が適切に機能するには、NRS からの XML ドキュメントを受信して解析を行う report_event という名のストアド プロシージャが、SQL Server データベース内にある必要があります。
この手順を完了するには、少なくとも、Domain Admins グループ、またはそれと同等の権限を持つグループのメンバである必要があります。
NPS で SQL Server ログの記録を構成するために
- NPS コンソールまたは NPS Microsoft 管理コンソール (MMC) スナップインを開きます。
- コンソール ツリーで、[アカウンティング] をクリックします。
- 詳細ウィンドウの、[SQL Server のログ プロパティ] で、[SQL Server ログ プロパティを変更する] をクリックします。 [SQL Server ログのプロパティ] ダイアログ ボックスが表示されます。
- [次の情報をログに記録する] で、ログに記録したい情報を選びます:
- すべてのアカウンティング要求をログに記録するには、[アカウンティング要求] をクリックします。
- 認証要求をログに記録するには、[認証要求] をクリックします。
- アカウンティングの状態を定期的にログに記録するには、[定期的なアカウンティングの状態] をクリックします。
- アカウンティング要求の暫定的な状態など、状態を定期的にログに記録するには、[定期的な状態] をクリックします。
- NPS を実行するサーバーと SQL Server との間で許可される同時セッションの数を構成するには、[同時セッションの最大数] に数値を入力します。
- SQL Server データソースを構成するには、[SQL Server のログ記録] で、[構成] をクリックします。 [データ リンクのプロパティ] ダイアログ ボックスが開きます。 [接続] タブで次の指定を行います:
- データベースが保存されるサーバーの名前を指定するために、[サーバー名を選ぶまたは入力する] で名前を入力または選択します。
- サーバーへのログオンに使う認証方法を指定するには、[Windows NT 統合セキュリティを使う] をクリックします。 または、[特定のユーザー名とパスワードを使用する] をクリックし、次に、[ユーザー名] と [パスワード] に資格情報を入力します。
- 空のパスワードを許可するには、[空のパスワード] をクリックします。
- パスワードを保存するには、[パスワードの保存を許可する] をクリックします。
- SQL Server を実行しているコンピューターで接続するデータベースを指定するには、サーバーの [サーバー上のデータベースを選ぶ] をクリックし、次に一覧からデータベース名を選択します。
- NPS と SQL Server との間の接続をテストするには、[接続をテストする] をクリックします。 OK をクリックして データ リンクのプロパティ を閉じます。
- SQL Server のログの記録が失敗したときに NPS によるテキスト ファイルのログの記録を続行したい場合は、[ログの失敗アクション] で、[フェールオーバー用にテキスト ファイルのログの記録を有効にする] を選びます。
- 何らかの理由によって、ログ ファイルがいっぱいであるとき、または使えないとき、 NPS によるアクセス要求メッセージの処理を停止したい場合は、[ログの失敗アクション] で、[ログの記録が失敗したら接続要求を破棄する] を選びます。 ログの記録に失敗したときに、NPS による接続要求の処理を続けたい場合は、このチェックボックスをオンにしないでください。
Ping ユーザー名
一部の RADIUS プロキシ サーバーとネットワーク アクセス サーバーは、認証要求とアカウンティング要求 (ping 要求と呼ばれる) を定期的に送り、NPS がネットワーク上に存在することを確認します。 こうした ping 要求には、架空のユーザー名が含まれます。 NPS でこれらの要求が処理される際、イベント ログおよびアカウンティング ログにアクセス拒否記録が多数記録されると、有効なデータが記録されるように管理することが難しくなります。
[ping ユーザー名] に対してレジストリ エントリを構成すると、NPS は他のサーバーからの ping 要求の中のユーザー名の値とレジストリ エントリの値とを照合します。 [ping ユーザー名] レジストリ エントリには、RADIUS プロキシ サーバーおよびネットワーク アクセス サーバーから送信される架空のユーザー名 (または、架空のユーザー名と一致する変数を含むユーザー名のパターン) を指定します。 NPS サーバーが [ping ユーザー名] レジストリ エントリ値と一致する ping 要求を受信すると、NPS は認証要求を処理することなく拒否します。 NPS では、架空のユーザー名が使用されたトランザクションはどのログ ファイルにも記録されません。そのため、イベント ログの確認が煩雑にならずに済みます。
既定では ping ユーザー名はインストールされません。 ping ユーザー名をレジストリに追加する必要があります。 レジストリへのエントリの追加は、レジストリ エディターを使用して実行できます。
注意事項
レジストリを間違って編集すると、システムに重大な障害をもたらす可能性があります。 レジストリを変更する前に、コンピューター上の重要なデータのバックアップを作成する必要があります。
ping ユーザー名をレジストリに追加するために
ping user-name は、ローカルの Administrators グループのメンバーが、次のレジストリ キーに文字列の値として追加できます。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IAS\Parameters
- 名前:
ping user-name
- 型:
REG_SZ
- データ: ユーザー名
ヒント
[ping ユーザー名] の値に複数のユーザー名を指定するには、[データ] に DNS 名 (ワイルドカード文字を含む) などの名前のパターンを入力します。