配置网络策略服务器记帐
网络策略服务器 (NPS) 有三种类型的日志记录:
事件日志记录。 主要用于对连接尝试进行审核和故障排除。 可以通过在 NPS 控制台中获取 NPS 属性来配置 NPS 事件日志记录。
将用户身份验证和记帐请求记录到一个本地文件。 主要用于连接的分析和计费。 作为安全调查工具也非常有用,因为它提供了一种在攻击之后跟踪恶意用户活动的方法。 可以使用记帐配置向导配置本地文件日志记录。
将用户身份验证和记帐请求记录到与 Microsoft SQL Server XML 兼容的数据库。 用于允许多个运行 NPS 的服务器拥有一个数据源。 还提供使用关系数据库的优势。 可以使用记帐配置向导配置 SQL Server 日志记录。
使用记帐配置向导
通过使用记帐配置向导,可以配置以下四项记帐设置:
- 仅限 SQL 日志记录。 通过使用此设置,可以配置指向 SQL Server 的数据链接,该链接允许 NPS 连接到 SQL Server 并将记帐数据发送到 SQL Server。 此外,向导可以在 SQL Server 上配置数据库,以确保数据库与 NPS SQL Server 日志记录兼容。
- 仅限文本日志记录。 通过使用此设置,可以将 NPS 配置为将记帐数据记录到文本文件中。
- 并行日志记录。 通过使用此设置,可以配置 SQL Server 数据链接和数据库。 还可以配置文本文件日志记录,以便 NPS 同时记录到文本文件和 SQL Server 数据库。
- 带备份的 SQL 日志记录。 通过使用此设置,可以配置 SQL Server 数据链接和数据库。 此外,还可以配置 NPS 在 SQL Server 日志记录失败时使用的文本文件日志记录。
除了这些设置之外,SQL Server 日志记录和文本日志记录都允许指定在日志记录失败时 NPS 是否继续处理连接请求。 可以在本地文件日志记录属性、SQL Server 日志记录属性中以及运行计帐配置向导时在“日志记录失败操作部分”中指定此项。
运行记帐配置向导
若要运行记帐配置向导,请完成以下步骤:
- 打开 NPS 控制台或 NPS Microsoft 管理控制台 (MMC) 管理单元。
- 在控制台树中,单击“记帐”。
- 在详细信息窗格中的“记帐”中,单击“配置记帐”。
配置 NPS 日志文件属性
可以配置网络策略服务器 (NPS),让其对用户身份验证请求、访问-接受消息、访问-拒绝消息、记帐请求和响应以及定期状态更新执行远程身份验证拨入用户服务 (RADIUS) 记帐。 可以使用此过程来配置要在其中存储记帐数据的日志文件。
有关解释日志文件的详细信息,请参阅解释 NPS 数据库格式日志文件。
为防止日志文件填充硬盘驱动器,强烈建议将它们保留在与系统分区隔离的分区中。 下面提供了有关配置 NPS 记帐的详细信息:
若要发送可供其他过程收集的日志文件数据,可以配置 NPS,写入已命名管道。 若要使用已命名的管道,请将日志文件文件夹设置为 \.\pipe 或 \ComputerName\pipe。 已命名的管道服务器程序将创建名为 \.\pipe\iaslog.log 的已命名管道来接受数据。 使用已命名的管道时,请在“本地文件属性”对话框的“新建日志文件”中,选择“从不(文件大小无限制)”。
可以使用系统环境变量(而不是用户变量)来创建日志文件目录,例如 %systemdrive%、%systemroot% 和 windir%。 例如,以下路径(使用环境变量 %windir%)将日志文件定位于子文件夹 \System32\Logs 中的系统目录(即 %windir%\System32\Logs)。
切换日志文件格式不会导致创建新的日志。 如果更改日志文件格式,则更改时处于活动状态的文件将包含两种格式的混合形式(日志开始处的记录将具有以前的格式,日志结尾处的记录将具有新格式)。
如果 RADIUS 记帐因硬盘驱动器已满或其他原因而失败,则 NPS 将停止处理连接请求,阻止用户访问网络资源。
除了记录到本地文件外,NPS 还可以只记录到 Microsoft® SQL Server™ 数据库。
“域管理员”组中的成员身份是执行此过程所需的最低要求。
配置 NPS 日志文件属性
- 打开 NPS 控制台或 NPS Microsoft 管理控制台 (MMC) 管理单元。
- 在控制台树中,单击“记帐”。
- 在详细信息窗格中的“日志文件属性”中,单击“更改日志文件属性”。 此时将打开“日志文件属性”对话框。
- 在“日志文件属性”的“设置”选项卡上的“记录以下信息”中,确保选择记录足够的信息来实现计帐目标。 例如,如果日志需要完成会话关联,请选中所有复选框。
- 在“日志记录失败操作”中,如果希望 NPS 在日志文件已满或由于某种原因不可用时停止处理访问-请求消息,请选择“如果日志记录失败,放弃连接请求”。 如果希望 NPS 在日志记录失败时继续处理连接请求,请不要选中此复选框。
- 在“日志文件属性”对话框中,单击“日志文件”选项卡。
- 在“日志文件”选项卡的“目录”中,键入要存储 NPS 日志文件的位置。 默认位置为 systemroot\System32\LogFiles 文件夹。
如果没有在“日志文件目录”中提供完整的路径说明,则将使用默认路径。 例如,如果在“日志文件目录”中键入 NPSLogFile,则该文件位于 %systemroot%\System32\NPSLogFile。 - 在“格式”中单击“符合 DTS”。 如果愿意,可以改为选择传统文件格式,例如“ODBC (传统)”或“IAS (传统)”。
ODBC 和 IAS 传统文件类型包含 NPS 发送到其 SQL Server 数据库的信息的子集。 “符合 DTS”文件类型的 XML 格式与 NPS 用于将数据导入其 SQL Server 数据库的 XML 格式相同。 因此,“符合 DTS”文件格式可以更高效、更完整地将数据传输到 NPS 的标准 SQL Server 数据库中。 - 在“创建新日志文件”中,若要将 NPS 配置为按指定的时间时隔启动新的日志文件,请单击要使用的时间时隔:
- 对于繁重的事务量和日志记录活动,请单击“每日”。
- 对于较少的事务量和日志记录活动,请单击“每周”或“每月”。
- 若要将所有事务存储在一个日志文件中,请单击“从不(文件大小无限制)”。
- 若要限制每个日志文件的大小,请单击“当日志文件达到此大小时”,然后键入文件大小,随后将创建新日志。 默认大小为 10 兆字节 (MB)。
- 如果希望 NPS 在硬盘接近容量时删除旧日志文件以便为新日志文件创建磁盘空间,请确保选择“磁盘满时删除较早的日志文件”。 但是,如果“创建新日志文件”的值为“从不(文件大小无限制)”,则此选项不可用。 此外,如果最早的日志文件为当前日志文件,则该文件不会被删除。
配置 NPS SQL Server 日志记录
可以使用此过程将 RADIUS 记帐数据记录到运行 Microsoft SQL Server 的本地或远程数据库。
注意
NPS 将记帐数据的格式设置为发送到在 NPS 中指定的 SQL Server 数据库的 report_event 存储过程的 XML 文档。 若要使 SQL Server 日志记录正常工作,必须在 SQL Server 数据库中具有一个名为 report_event 的存储过程,该存储过程可以从 NPS 接收和解析 XML 文档。
若要完成该过程,必须至少具有 Domain Admins 的成员资格或同等权限。
在 NPS 中配置 SQL Server 日志记录
- 打开 NPS 控制台或 NPS Microsoft 管理控制台 (MMC) 管理单元。
- 在控制台树中,单击“记帐”。
- 在详细信息窗格的“SQL Server 日志记录属性”中,单击“更改 SQL Server 日志记录属性”。 此时将打开“SQL Server 日志记录属性”对话框。
- 在“记录以下信息”中,选择要记录的信息:
- 若要记录所有记帐请求,请单击“记帐请求”。
- 若要记录身份验证请求,请单击“身份验证请求”。
- 若要记录定期计帐状态,请单击“定期计帐状态”。
- 若要记录定期状态,如临时记帐请求,请单击“定期状态”。
- 若要配置运行 NPS 的服务器和 SQL Server 之间允许的并发会话数,请在“最大并发会话数”中键入一个数值。
- 若要配置 SQL Server 数据源,请在“SQL Server 日志记录”中单击“配置”。 此时将打开“数据链接属性”对话框。 在“连接”选项卡上,指定以下内容:
- 若要指定存储数据库的服务器的名称,请在“选择或输入服务器名称”中键入一个名称或选择一个名称。
- 若要指定登录服务器的身份验证方法,请单击“使用 Windows NT 集成安全性”。 或者单击“使用特定的用户名和密码”,然后在“用户名”和“密码”中键入凭据。
- 若要允许空密码,请单击“空密码”。
- 若要存储密码,请单击“允许保存密码”。
- 若要在运行 SQL Server 的计算机上指定要连接到的数据库,请单击“选择服务器上的数据库”,然后从列表中选择数据库名称。
- 若要测试 NPS 和 SQL Server 之间的连接,请单击“测试连接”。 单击“确定”以关闭“数据链接属性”。
- 在“日志记录失败操作”中,如果希望 NPS 在 SQL Server 日志记录失败时继续进行文本文件日志记录,请选择“启用文本文件日志记录进行故障转移”。
- 在“日志记录失败操作”中,如果希望 NPS 在日志文件已满或由于某种原因不可用时停止处理访问-请求消息,请选择“如果日志记录失败,放弃连接请求”。 如果希望 NPS 在日志记录失败时继续处理连接请求,请不要选中此复选框。
Ping user-name
某些 RADIUS 代理服务器和网络访问服务器将定期发送身份验证和记帐请求(称为 ping 请求),来验证 NPS 是否存在于网络上。 这些 ping 请求包括虚构的用户名。 NPS 处理这些请求时,将在事件和记帐日志中填充访问拒绝记录,使得跟踪有效记录更加困难。
为 ping user-name 配置注册表项时,NPS 会将注册表项值与其他服务器发出的 ping 请求中的用户名值进行匹配。 ping user-name 注册表项指定了由 RADIUS 代理服务器和网络访问服务器发送的虚构的用户名(或与虚构的用户名匹配的用户名模式,带有变量)。 当 NPS 收到与 ping user-name 注册表项值匹配的 ping 请求时,NPS 将拒绝身份验证请求,而不处理该请求。 NPS 不会在任何日志文件中记录涉及虚构用户名的事务,这使事件日志更容易解释。
默认情况下未安装 ping user-name。 必须向注册表中添加 ping user-name。 可以使用注册表编辑器向注册表中添加条目。
注意
注册表编辑不当可能会严重损坏系统。 在更改注册表之前,应备份计算机上任何有价值的数据。
向注册表中添加 ping user-name
本地管理员组的成员可以将 ping user-name 作为字符串值添加到以下注册表项中:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IAS\Parameters
- 名称:
ping user-name
- 类型:
REG_SZ
- 数据:用户名
提示
若要为 ping user-name 值指明多个用户名,请在“数据”中输入包括通配符的名称模式(如 DNS 名称)。