設置網路策略伺服器計費
Network Policy Server (NPS) 的日誌記錄分為三種類型:
事件記錄。 主要用於審核連線嘗試並對其進行故障排除。 您可以透過在 NPS 控制台中取得 NPS 屬性來設置 NPS 事件日誌記錄。
將使用者身份驗證和計算請求記錄到本機檔案。 主要用於連接分析和計費目的。 作為安全調查工具也很有用,因為它為您提供了一種在攻擊後追蹤惡意使用者活動的方法。 您可以使用計算設置精靈設置本機檔案日誌記錄。
將使用者驗證和計算請求記錄到 Microsoft SQL Server XML 相容資料庫。 用於允許執行 NPS 的多台伺服器擁有一個資料來源。 也提供了使用關聯式資料庫的優點。 您可以使用 Accounting Configuration wizard 來設置 SQL Server 日誌記錄。
使用 Accounting Configuration wizard
透過使用 Accounting Configuration 精靈,您可以設置以下四個計算設置:
- 僅 SQL 日誌記錄。 透過使用此設置,您可以設置到 SQL Server 的資料連結,以允許 NPS 連接到 SQL Server 並向其發送計算資料。 此外,此精靈還可以在 SQL Server 上設置資料庫,以確保資料庫與 NPS SQL Server 日誌記錄相容。
- 僅文字記錄。 透過使用此設置,您可以將 NPS 設置為將計算資料記錄到文字檔案中。
- 同步日誌記錄。 透過使用此設置,您可以設置 SQL Server 資料連結和資料庫。 您也可以設置文字檔案日誌記錄,以便 NPS 同時記錄到文字檔案和 SQL Server 資料庫。
- 帶備份的 SQL 日誌記錄。 透過使用此設置,您可以設置 SQL Server 資料連結和資料庫。 此外,您也可以設置在 SQL Server 日誌記錄失敗時 NPS 使用的文字檔案日誌記錄。
除了這些設置之外,SQL Server 日誌記錄和文字日誌記錄都可以讓您指定在日誌記錄失敗時 NPS 是否繼續處理連線請求。 您可以在本機檔案日誌記錄屬性、SQL Server 日誌記錄屬性中以及執行 Accounting Configuration Wizard 時的日誌記錄失敗操作部分中指定此項目。
執行 Accounting Configuration Wizard
若要執行 Accounting Configuration Wizard,請完成下列步驟:
- 開啟 NPS 控制台或 NPS Microsoft Management Console (MMC) 管理單元。
- 在控制台中,點選計算。
- 在詳細資料窗格中的計算中,點選Configure Accounting。
設置 NPS 日誌檔屬性
您可以將 Network Policy Server (NPS) 設置為對使用者身分驗證要求、Access-Accept 訊息、Access-Reject 訊息、計算要求和回應以及定期狀態更新執行 Remote Authentication Dial-In User Service (RADIUS) 計算。 您可以使用此程序來設置要在其中儲存計算資料的日誌檔案。
有關解釋日誌檔案的詳細資訊,請參閱解釋 NPS 資料庫格式日誌檔案。
為了防止日誌檔案填滿硬碟,強烈建議您將它們保存在與系統分割區不同的分割區上。 以下提供了有關設置 NPS 計算的詳細資訊:
若要傳送日誌檔案資料以供其他流程收集,可以將 NPS 設置為寫入命名管道。 若要使用命名管道,請將日誌檔案資料夾設置為 \.\pipe 或 \ComputerName\pipe。 命名管道伺服器程式建立一個名為\.\pipe\iaslog.log 的命名管道來接受資料。 當您使用命名管道時,在本機檔案屬性對話框中的建立新日誌檔案中,選擇從不(檔案大小不受限制)。
可以使用系統環境變數(而非使用者變數)建立日誌檔案目錄,例如 %systemdrive%、%systemroot% 和 %windir%。 例如,以下路徑使用環境變數 %windir%,將日誌檔案定位在系統目錄的子資料夾 \System32\Logs 中(即 %windir%\System32\Logs)。
切換日誌檔案格式不會導致建立新日誌。 如果變更日誌檔案格式,則變更時處於活動狀態的檔案將包含兩種格式的混合(日誌開頭的記錄將具有先前的格式,並且日誌末端的記錄將具有新格式)。
如果 RADIUS 計算因硬碟已滿或其他原因而失敗,NPS 將停止處理連線要求,從而阻止使用者存取網路資源。
除了記錄到本機檔案之外,NPS 還提供記錄到 Microsoft® SQL Server™ 資料庫的功能,或取代記錄到本機檔案的功能。
執行此程序的最低要求是網域管理員群組的成員資格。
設置 NPS 日誌檔屬性
- 開啟 NPS 控制台或 NPS Microsoft Management Console (MMC) 管理單元。
- 在控制台中,點選計算。
- 在詳細資料窗格中的日誌檔案屬性中,點選變更日誌檔案屬性。 日誌檔案屬性對話框開啟。
- 在日誌檔案屬性的設置標籤上,在記錄下列資訊中,確保您選擇記錄足夠的資訊以實現您的會計目標。 例如,如果您的日誌需要完成會話關聯,請選取所有勾選框。
- 如果希望 NPS 在日誌檔案已滿或因某種原因無法使用時停止處理存取要求訊息,請在日誌記錄失敗操作中選擇如果日誌記錄失敗,則放棄連線要求。 如果您希望 NPS 在日誌記錄失敗時繼續處理連線要求,請不要選取此勾選框。
- 在日誌檔案屬性對話框中,點選日誌檔案標籤。
- 在日誌檔案標籤的目錄」中輸入要儲存 NPS 日誌檔案的位置。 預設位置是 systemroot\System32\LogFiles 資料夾。
如果您未在日誌檔案目錄中提供完整路徑語句,則使用預設路徑。 例如,如果您在日誌檔案目錄中輸入 NPSLogFile,則該檔案位於 %systemroot%\System32\NPSLogFile。 - 在格式中,點選DTS 相容。 如果您願意,您也可以選擇舊檔案格式,例如 ODBC(舊版)或 IAS(舊版)。
ODBC 和 IAS 舊檔案類型包含 NPS 傳送到其 SQL Server 資料庫的資訊的子集。 符合 DTS 的檔案類型的 XML 格式與 NPS 用於將資料匯入其 SQL Server 資料庫的 XML 格式相同。 因此,DTS 相容檔案格式可以更有效率、更完整地將資料傳送到 NPS 的標準 SQL Server 資料庫中。 - 在建立新日誌檔案中,若要將 NPS 設置為點選指定時間間隔啟動新日誌資料,請點選要使用的時間間隔:
- 對於大量交易量和日誌記錄活動,請點選每日。
- 對於較少的交易量和日誌記錄活動,請點選每週或每月。
- 若要將所有交易儲存在一個日誌檔案中,請點選從不(檔案大小不受限制)。
- 若要限制每個日誌檔案的大小,請點選當日誌檔案達到此大小時,然後輸入檔案大小,然後建立新日誌。 預設大小為 10 兆位元組 (MB)。
- 如果您希望 NPS 在硬碟接近容量時刪除舊日誌檔案以便為新日誌檔案建立磁碟空間,請確保選擇當磁碟已滿時刪除舊日誌檔案。 但是,如果建立新日誌檔案的值為從不(檔案大小不受限制),則此選項不可用。 此外,如果最舊的日誌資料是當前日誌資料,則不會刪除它。
設置 NPS SQL Server 日誌記錄
您可以使用此程序將 RADIUS 計算資料記錄到執行 Microsoft SQL Server 的本機或遠端資料庫。
注意
NPS 將會計資料格式化為 XML 文檔,並將其傳送至您在 NPS 中指定的 SQL Server 資料庫中的 report_event 預存程序。 為了使 SQL Server 日誌記錄正常執行,SQL Server 資料庫中必須有一個名為 report_event 的預存程序,該程序可以接收和解析來自 NPS 的 XML 資料。
至少要有 Domain Admins 的成員資格或是對等成員資格,才能完成此程序。
在 NPS 中設置 SQL Server 日誌記錄
- 開啟 NPS 控制台或 NPS Microsoft Management Console (MMC) 管理單元。
- 在控制台中,點選計算。
- 在詳細資料窗格中的SQL Server 日誌記錄屬性中,點選變更 SQL Server 日誌記錄屬性。 SQL Server 日誌記錄屬性對話框開啟。
- 在記錄以下資訊中,選擇要記錄的資訊:
- 若要記錄所有計算要求,請點選計算要求。
- 若要記錄身份驗證請求,請點選身份驗證請求。
- 若要記錄定期計算狀態,請點選定期計算狀態。
- 若要記錄定期狀態(例如臨時計算要求),請點選定期狀態。
- 若要設置執行 NPS 的伺服器和 SQL Server 之間允許的並發會話數,請在最大並發會話數中輸入數字。
- 若要設置 SQL Server 資料來源,請在 SQL Server 日誌記錄中點選設置。 資料連結屬性對話框開啟。 在連線標籤上,指定以下內容:
- 若要指定儲存資料庫的伺服器的名稱,請在選擇中輸入或選擇名稱,或輸入伺服器名稱。
- 若要指定登入伺服器的驗證方法,請點選使用 Windows NT 整合安全性。 或者,點選使用特定使用者名稱和密碼,然後在使用者名稱和密碼中輸入憑證。
- 若要允許空白密碼,請空白密碼。
- 若要儲存密碼,請點選允許儲存密碼。
- 若要指定要連接到執行 SQL Server 的電腦上的資料庫,請點選選擇伺服器上的資料庫,然後從清單中選擇資料庫名稱。
- 若要測試 NPS 和 SQL Server 之間的連接,請點選測試連接。 點選確定關閉資料連結屬性。
- 如果希望 NPS 在 SQL Server 日誌記錄失敗時繼續進行文字檔案日誌記錄,請在日誌記錄失敗操作中選擇「為故障轉移啟用文字檔案日誌記錄」。
- 如果希望 NPS 在日誌檔案已滿或因某種原因無法使用時停止處理存取要求訊息,請在日誌記錄失敗操作中選擇如果日誌記錄失敗,則放棄連線要求。 如果您希望 NPS 在日誌記錄失敗時繼續處理連線要求,請不要選取此勾選框。
Ping 使用者名稱
某些 RADIUS 代理伺服器和網路存取伺服器會定期傳送驗證和計算請求(稱為 ping 請求)以驗證網路上是否存在 NPS。 這些 ping 請求包含虛構的使用者名稱。 當 NPS 處理這些請求時,事件和計算日誌將充滿存取拒絕記錄,從而使追蹤有效記錄變得更加困難。
當您為 ping 使用者名稱設置登錄項目時,NPS 會將登錄項目值與其他伺服器的 ping 請求中的使用者名稱值進行比對。 ping 使用者名稱註冊表項指定 RADIUS 代理伺服器和網路存取伺服器所傳送的虛構使用者名稱(或具有變數的使用者名稱模式,與虛構使用者名稱相符)。 當 NPS 收到與 ping 使用者名稱登錄機碼值相符的 ping 要求時,NPS 會拒絕身分驗證要求,而不處理該要求。 NPS 不會在任何日誌檔案中記錄涉及虛構使用者名稱的事務,這使得事件日誌更易於解釋。
預設未安裝 Ping 使用者名稱。 您必須將 ping 使用者名稱新增至登錄中。 您可以使用 Registry Editor 程式向註冊表新增條目。
警告
不正確的編輯登錄可能會對系統造成嚴重損害。 變更登錄之前,您應該先備份電腦所有的重要資料。
將 ping 使用者名稱新增至註冊表
本機管理員群組的成員可以將 Ping 使用者名稱作為字串值新增至下列登錄項目:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IAS\Parameters
- 名稱:
ping user-name
- 類型:
REG_SZ
- 數據:使用者名
提示
若要為 ping 使用者名稱值指示多個使用者名,請在資料中輸入名稱模式,例如 DNS 名稱,包括通配符。