Настройка учета сервера политики сети Configure Network Policy Server Accounting

Существует три типа ведения журнала для NPS сервера политики сети ( ) . There are three types of logging for Network Policy Server (NPS):

Ведение журнала событий. Event logging. Используется в основном для аудита и устранения неполадок при попытках подключения. Used primarily for auditing and troubleshooting connection attempts. Ведение журнала событий NPS можно настроить, получая свойства NPS в консоли NPS. You can configure NPS event logging by obtaining the NPS properties in the NPS console.

Регистрация запросов проверки подлинности пользователя и учетных данных в локальном файле. Logging user authentication and accounting requests to a local file. Используется в основном для анализа подключений и выставления счетов. Used primarily for connection analysis and billing purposes. Также полезно в качестве средства для анализа безопасности, поскольку оно предоставляет метод отслеживания действий злоумышленника после атаки. Also useful as a security investigation tool because it provides you with a method of tracking the activity of a malicious user after an attack. Ведение журнала локального файла можно настроить с помощью мастера настройки учета. You can configure local file logging using the Accounting Configuration wizard.

Регистрация запросов проверки подлинности и учетных записей пользователей в базе данных, совместимой с XML Microsoft SQL Server. Logging user authentication and accounting requests to a Microsoft SQL Server XML-compliant database. Используется, чтобы разрешить нескольким серверам службы NPS иметь один источник данных. Used to allow multiple servers running NPS to have one data source. Также предоставляет преимущества использования реляционной базы данных. Also provides the advantages of using a relational database. Вы можете настроить ведение журнала SQL Server с помощью мастера настройки учета. You can configure SQL Server logging by using the Accounting Configuration wizard.

Использование мастера настройки учета Use the Accounting Configuration wizard

С помощью мастера настройки учета можно настроить следующие четыре параметра учета: By using the Accounting Configuration wizard, you can configure the following four accounting settings:

• Только ведение журнала SQL. SQL logging only. С помощью этого параметра можно настроить связь данных с SQL Server, которая позволяет серверу политики сети подключаться к серверу SQL Server и передавать данные учета. By using this setting, you can configure a data link to a SQL Server that allows NPS to connect to and send accounting data to the SQL server. Кроме того, мастер может настроить базу данных на SQL Server, чтобы убедиться, что база данных совместима с ведением журнала сервера политики сети SQL Server. In addition, the wizard can configure the database on the SQL Server to ensure that the database is compatible with NPS SQL server logging.
• Только ведение журнала текста. Text logging only. С помощью этого параметра можно настроить сервер политики сети для ведения журнала данных учета в текстовом файле. By using this setting, you can configure NPS to log accounting data to a text file.
• Параллельное ведение журнала. Parallel logging. С помощью этого параметра можно настроить SQL Server связи с данными и базы данных. By using this setting, you can configure the SQL Server data link and database. Кроме того, можно настроить ведение журнала для текстового файла, чтобы серверы NPS одновременно заносятся в текстовый файл и базу данных SQL Server. You can also configure text file logging so that NPS logs simultaneously to the text file and the SQL Server database.
• Ведение журнала SQL с помощью резервного копирования. SQL logging with backup. С помощью этого параметра можно настроить SQL Server связи с данными и базы данных. By using this setting, you can configure the SQL Server data link and database. Кроме того, можно настроить ведение журнала для текстового файла, используемого NPS при сбое SQL Server ведения журнала. In addition, you can configure text file logging that NPS uses if SQL Server logging fails.

Помимо этих параметров, как SQL Server ведения журнала, так и ведения журнала текста позволяют указать, будет ли NPS продолжать обрабатывать запросы на подключение при сбое ведения журнала. In addition to these settings, both SQL Server logging and text logging allow you to specify whether NPS continues to process connection requests if logging fails. Это можно указать в разделе » действие при сбое ведения журнала» в свойствах ведения журнала локального файла, в свойствах ведения журнала SQL Server и во время работы мастера настройки учета. You can specify this in the Logging failure action section in local file logging properties, in SQL server logging properties, and while you are running the Accounting Configuration Wizard.

Запуск мастера настройки учета To run the Accounting Configuration Wizard

Чтобы запустить мастер настройки учета, выполните следующие действия. To run the Accounting Configuration Wizard, complete the following steps:

1. Откройте консоль NPS или оснастку NPS консоли управления (MMC). Open the NPS console or the NPS Microsoft Management Console (MMC) snap-in.
2. В дереве консоли щелкните учет. In the console tree, click Accounting.
3. В области сведений в поле учет выберите Настройка учета. In the details pane, in Accounting, click Configure Accounting.

Настройка свойств файла журнала NPS Configure NPS Log File Properties

Сервер политики сети (NPS) можно настроить на выполнение протокол RADIUS (RADIUS) для запросов проверки подлинности пользователей, Access-Accept сообщений, Access-Reject сообщений, запросов учета и ответов, а также периодического обновления состояния. You can configure Network Policy Server (NPS) to perform Remote Authentication Dial-In User Service (RADIUS) accounting for user authentication requests, Access-Accept messages, Access-Reject messages, accounting requests and responses, and periodic status updates. Эту процедуру можно использовать для настройки файлов журналов, в которых будут храниться данные учета. You can use this procedure to configure the log files in which you want to store the accounting data.

Дополнительные сведения об интерпретации файлов журналов см. в разделе Интерпретация файлов журнала в формате базы данных NPS. For more information about interpreting log files, see Interpret NPS Database Format Log Files.

Чтобы файлы журнала не заполнили жесткий диск, настоятельно рекомендуется размещать их в разделе, отдельном от системного раздела. To prevent the log files from filling the hard drive, it is strongly recommended that you keep them on a partition that is separate from the system partition. Ниже приведены дополнительные сведения о настройке учета для сервера политики сети. The following provides more information about configuring accounting for NPS:

Чтобы отправить данные файла журнала для сбора другим процессом, можно настроить NPS для записи в именованный канал. To send the log file data for collection by another process, you can configure NPS to write to a named pipe. Чтобы использовать именованные каналы, задайте для папки файла журнала значение \ .\pipe или \ компутернаме\пипе.. To use named pipes, set the log file folder to \.\pipe or \ComputerName\pipe. Серверная программа именованного канала создает именованный канал с именем \ .\пипе\иаслог.лог для приема данных. The named pipe server program creates a named pipe called \.\pipe\iaslog.log to accept the data. В диалоговом окне Свойства локального файла в поле создать новый файл журнала выберите значение никогда (неограниченный размер файла) при использовании именованных каналов. In the Local file properties dialog box, in Create a new log file, select Never (unlimited file size) when you use named pipes.

Каталог файла журнала может быть создан с помощью системных переменных среды (вместо пользовательских переменных), таких как% SystemDrive%,% systemroot% и% WINDIR%. The log file directory can be created by using system environment variables (instead of user variables), such as %systemdrive%, %systemroot%, and %windir%. Например, следующий путь, используя переменную среды% WINDIR%, находит файл журнала в системном каталоге во вложенной папке \System32\Logs (то есть%windir%\System32\Logs ) . For example, the following path, using the environment variable %windir%, locates the log file at the system directory in the subfolder \System32\Logs (that is, %windir%\System32\Logs).

Переключение форматов файлов журнала не приводит к созданию нового журнала. Switching log file formats does not cause a new log to be created. Если изменить формат файла журнала, то файл, который активен во время изменения, будет содержать смесь двух форматов (записи в начале журнала будут иметь предыдущий формат, а записи в конце журнала будут иметь новый формат). If you change log file formats, the file that is active at the time of the change will contain a mixture of the two formats (records at the start of the log will have the previous format, and records at the end of the log will have the new format).

Если при выполнении учета RADIUS произошел сбой из-за переполнения жесткого диска или других причин, NPS останавливает обработку запросов на подключение, предотвращая доступ пользователей к сетевым ресурсам. If RADIUS accounting fails due to a full hard disk drive or other causes, NPS stops processing connection requests, preventing users from accessing network resources.

Сервер политики сети предоставляет возможность выполнять вход в базу данных Microsoft® SQL Server™ в дополнение к локальному файлу или вместо него. NPS provides the ability to log to a Microsoft® SQL Server™ database in addition to, or instead of, logging to a local file.

Членство в группе «Администраторы домена » является минимальным требованием для выполнения этой процедуры. Membership in the Domain Admins group is the minimum required to perform this procedure.

Настройка свойств файла журнала NPS To configure NPS log file properties

1. Откройте консоль NPS или оснастку NPS консоли управления (MMC). Open the NPS console or the NPS Microsoft Management Console (MMC) snap-in.
2. В дереве консоли щелкните учет. In the console tree, click Accounting.
3. В области сведений в свойствах файла журнала щелкните изменить свойства файла журнала. In the details pane, in Log File Properties, click Change Log File Properties. Откроется диалоговое окно Свойства файла журнала . The Log File Properties dialog box opens.
4. В свойствах файла журнала на вкладке Параметры в поле заносить в журнал следующие сведения убедитесь, что выбрано ведение журнала достаточной информации для достижения целей бухгалтерского учета. In Log File Properties, on the Settings tab, in Log the following information, ensure that you choose to log enough information to achieve your accounting goals. Например, если в журналах необходимо выполнить корреляцию сеансов, установите флажок все. For example, if your logs need to accomplish session correlation, select all check boxes.
5. В окне действие при сбое ведения журнала выберите, Если ведение журнала не выполняется, отменяет запросы на подключение, если требуется, чтобы NPS не обрабатывал обработку Access-Request сообщений, если файлы журнала заполнены или недоступны по какой либо причине. In Logging failure action, select If logging fails, discard connection requests if you want NPS to stop processing Access-Request messages when log files are full or unavailable for some reason. Если требуется, чтобы сервер политики сети продолжал обрабатывать запросы на подключение при сбое ведения журнала, не выбирайте этот флажок. If you want NPS to continue processing connection requests if logging fails, do not select this check box.
6. В диалоговом окне Свойства файла журнала перейдите на вкладку файл журнала . In the Log File Properties dialog box, click the Log File tab.
7. На вкладке файл журнала в поле Каталог введите расположение, в котором нужно хранить файлы журналов NPS. On the Log File tab, in Directory, type the location where you want to store NPS log files. Расположением по умолчанию является папка systemroot\System32\LogFiles. The default location is the systemroot\System32\LogFiles folder.
   Если в каталоге файла журнала не указан полный путь, то используется путь по умолчанию. If you do not supply a full path statement in Log File Directory, the default path is used. Например, если ввести нпслогфиле в каталоге файла журнала, файл будет расположен по адресу%systemroot%\System32\NPSLogFile. For example, if you type NPSLogFile in Log File Directory, the file is located at %systemroot%\System32\NPSLogFile.
8. В меню Формат выберите пункт Совместимость с DTS. In Format, click DTS Compliant. При желании можно выбрать формат устаревшего файла, например ODBC ( Legacy ) или IAS ( Legacy ). If you prefer, you can instead select a legacy file format, such as ODBC (Legacy) or IAS (Legacy).
   Устаревшие типы файлов ODBC и IAS содержат подмножество сведений, которые NPS отправляет в свою базу данных SQL Server. ODBC and IAS legacy file types contain a subset of the information that NPS sends to its SQL Server database. Формат XML типа файла, совместимого с DTS , идентичен формату XML, который NPS использует для импорта данных в базу данных SQL Server. The DTS Compliant file type’s XML format is identical to the XML format that NPS uses to import data into its SQL Server database. Таким образом, формат файлов, совместимый с DTS , обеспечивает более эффективную и полную перенос данных в стандартную базу данных SQL Server для NPS. Therefore, the DTS Compliant file format provides a more efficient and complete transfer of data into the standard SQL Server database for NPS.
9. В окне Создание нового файла журнала для настройки сервера политики сети на запуск новых файлов журнала через определенные интервалы выберите нужный интервал. In Create a new log file, to configure NPS to start new log files at specified intervals, click the interval that you want to use:
   • Для интенсивного объема транзакций и ведения журнала щелкните ежедневно. For heavy transaction volume and logging activity, click Daily.
   • Для меньших объемов транзакций и действий ведения журнала щелкните еженедельно или ежемесячно. For lesser transaction volumes and logging activity, click Weekly or Monthly.
   • Чтобы сохранить все транзакции в одном файле журнала, установите флажок не ( ограничивать размер ) файлов. To store all transactions in one log file, click Never (unlimited file size).
   • Чтобы ограничить размер каждого файла журнала, установите флажок когда размер файла журнала достигнет этого размера, а затем введите размер файла, после которого создается новый журнал. To limit the size of each log file, click When log file reaches this size, and then type a file size, after which a new log is created. Размер по умолчанию — 10 мегабайт (МБ). The default size is 10 megabytes (MB).
10. Если вы хотите, чтобы сервер политики сети удалил старые файлы журнала, чтобы создать место на диске для новых файлов журнала, когда жесткий диск приближается к емкости, убедитесь, что выбран параметр при заполнении диска удалить старые файлы журнала . If you want NPS to delete old log files to create disk space for new log files when the hard disk is near capacity, ensure that When disk is full delete older log files is selected. Однако этот параметр недоступен, если значение параметра создать новый файл журналаникогда не ( ограничено размером ) файла. This option is not available, however, if the value of Create a new log file is Never (unlimited file size). Кроме того, если самый старый файл журнала является текущим файлом журнала, он не удаляется. Also, if the oldest log file is the current log file, it is not deleted.

Настройка ведения журнала SQL Server NPS Configure NPS SQL Server Logging

Эту процедуру можно использовать для записи данных учета RADIUS в локальную или удаленную базу данных, работающую Microsoft SQL Server. You can use this procedure to log RADIUS accounting data to a local or remote database running Microsoft SQL Server.

NPS форматирует данные учета как XML-документ, который отправляется в report_event хранимую процедуру в базе данных SQL Server, назначенной в NPS. NPS formats accounting data as an XML document that it sends to the report_event stored procedure in the SQL Server database that you designate in NPS. Чтобы SQL Server ведение журнала работало правильно, в базе данных SQL Server должна быть хранимая процедура с именем report_event , которая может принимать и анализировать XML-документы из NPS. For SQL Server logging to function properly, you must have a stored procedure named report_event in the SQL Server database that can receive and parse the XML documents from NPS.

Членство в группе Администраторы домена или эквивалентной является минимальным требованием для выполнения данной процедуры. Membership in Domain Admins, or equivalent, is the minimum required to complete this procedure.

Настройка ведения журнала SQL Server в NPS To configure SQL Server logging in NPS

1. Откройте консоль NPS или оснастку NPS консоли управления (MMC). Open the NPS console or the NPS Microsoft Management Console (MMC) snap-in.
2. В дереве консоли щелкните учет. In the console tree, click Accounting.
3. В области сведений в SQL Server свойства ведения журнала щелкните изменить свойства ведения журнала SQL Server. In the details pane, in SQL Server Logging Properties, click Change SQL Server Logging Properties. Откроется диалоговое окно Свойства ведения журнала SQL Server . The SQL Server Logging Properties dialog box opens.
4. В поле записывать в журнал следующие сведения выберите сведения, которые необходимо заносить в журнал: In Log the following information, select the information that you want to log:
   • Чтобы регистрировать все запросы учета, щелкните запросы на учет. To log all accounting requests, click Accounting requests.
   • Чтобы вести журнал запросов проверки подлинности, щелкните запросы проверки подлинности. To log authentication requests, click Authentication requests.
   • Чтобы зарегистрировать состояние периодического учета, щелкните периодическое состояние учета. To log periodic accounting status, click Periodic accounting status.
   • Чтобы зарегистрировать периодическое состояние, например промежуточные запросы учета, щелкните периодическое состояние. To log periodic status, such as interim accounting requests, click Periodic status.
5. Чтобы настроить количество одновременных сеансов, разрешенных между сервером, на котором выполняется сервер политики сети, и SQL Server, введите число в поле Максимальное число одновременных сеансов. To configure the number of concurrent sessions allowed between the server running NPS and the SQL Server, type a number in Maximum number of concurrent sessions.
6. Чтобы настроить SQL Server источник данных, в SQL Server ведение журнала нажмите кнопку настроить. To configure the SQL Server data source, in SQL Server Logging, click Configure. Откроется диалоговое окно Свойства связи данных . The Data Link Properties dialog box opens. На вкладке Подключение укажите следующие настройки. On the Connection tab, specify the following:
   • Чтобы указать имя сервера, на котором хранится база данных, введите или выберите имя в поле выберите или введите имя сервера. To specify the name of the server on which the database is stored, type or select a name in Select or enter a server name.
   • Чтобы указать метод проверки подлинности, используемый для входа на сервер, установите флажок использовать встроенную безопасность Windows NT. To specify the authentication method with which to log on to the server, click Use Windows NT integrated security. Или щелкните использовать определенные имя пользователя и пароль, а затем введите учетные данные в окне имя пользователя и пароль. Or, click Use a specific user name and password, and then type credentials in User name and Password.
   • Чтобы разрешить пустой пароль, нажмите кнопку пустой пароль. To allow a blank password, click Blank password.
   • Чтобы сохранить пароль, нажмите кнопку Разрешить сохранение пароля. To store the password, click Allow saving password.
   • Чтобы указать, к какой базе данных подключаться на компьютере, на котором работает SQL Server, щелкните выбрать базу данных на сервере, а затем выберите имя базы данных из списка. To specify which database to connect to on the computer running SQL Server, click Select the database on the server, and then select a database name from the list.
7. Чтобы проверить подключение между NPS и SQL Server, нажмите кнопку проверить подключение. To test the connection between NPS and SQL Server, click Test Connection. Нажмите кнопку ОК , чтобы закрыть Свойства связи данных. Click OK to close Data Link Properties.
8. В поле действие при сбое ведения журнала выберите параметр включить ведение журнала текстового файла для отработки отказа , если требуется, чтобы служба NPS продолжала вести журнал в текстовом файле, если SQL Server ведение журнала In Logging failure action, select Enable text file logging for failover if you want NPS to continue with text file logging if SQL Server logging fails.
9. В окне действие при сбое ведения журнала выберите, Если ведение журнала не выполняется, отменяет запросы на подключение, если требуется, чтобы NPS не обрабатывал обработку Access-Request сообщений, если файлы журнала заполнены или недоступны по какой либо причине. In Logging failure action, select If logging fails, discard connection requests if you want NPS to stop processing Access-Request messages when log files are full or unavailable for some reason. Если требуется, чтобы сервер политики сети продолжал обрабатывать запросы на подключение при сбое ведения журнала, не выбирайте этот флажок. If you want NPS to continue processing connection requests if logging fails, do not select this check box.

Имя пользователя проверки связи Ping user-name

Некоторые прокси-серверы RADIUS и серверы доступа к сети периодически отправляют запросы на проверку подлинности и учетные данные (называемые запросами проверки связи) для проверки наличия в сети сервера политики сети. Some RADIUS proxy servers and network access servers periodically send authentication and accounting requests (known as ping requests) to verify that the NPS is present on the network. Эти запросы проверки связи включают вымышленные имена пользователей. These ping requests include fictional user names. Когда сервер политики сети обрабатывает эти запросы, журналы событий и учета заполняются записями отклонений доступа, что усложняет отслеживание допустимых записей. When NPS processes these requests, the event and accounting logs become filled with access reject records, making it more difficult to keep track of valid records.

При настройке записи реестра для проверки связи «имя пользователя» сервер политики сети сопоставляет значение записи реестра со значением имени пользователя в запросах проверки связи другими серверами. When you configure a registry entry for ping user-name, NPS matches the registry entry value against the user name value in ping requests by other servers. Запись реестра ping user-name указывает вымышленное имя пользователя (или шаблон имени пользователя с переменными, которое соответствует вымышленному имени пользователя), отправленному прокси-серверами RADIUS и серверами сетевого доступа. A ping user-name registry entry specifies the fictional user name (or a user name pattern, with variables, that matches the fictional user name) sent by RADIUS proxy servers and network access servers. Когда сервер политики сети получает запросы проверки связи, соответствующие значению записи реестра ping user-name , сервер политики сети отклоняет запросы на проверку подлинности без обработки запроса. When NPS receives ping requests that match the ping user-name registry entry value, NPS rejects the authentication requests without processing the request. Сервер политики сети не регистрирует транзакции, в которых используется вымышленное имя пользователя, в любом файле журнала, что упрощает интерпретацию журнала событий. NPS does not record transactions involving the fictional user name in any log files, which makes the event log easier to interpret.

Имя пользователя ping не установлено по умолчанию. Ping user-name is not installed by default. В реестр необходимо добавить имя пользователя ping . You must add ping user-name to the registry. Вы можете добавить запись в реестр с помощью редактора реестра. You can add an entry to the registry using Registry Editor.

Неправильное редактирование реестра может значительно повредить систему. Incorrectly editing the registry might severely damage your system. Перед внесением изменений следует сделать резервную копию всех ценных данных на компьютере. Before making changes to the registry, you should back up any valued data on the computer.

Добавление ping user-name в реестр To add ping user-name to the registry

Имя пользователя Ping можно добавить в следующий раздел реестра как строковое значение с помощью члена локальной группы «Администраторы»: Ping user-name can be added to the following registry key as a string value by a member of the local Administrators group:

• Имя: ping user-name Name: ping user-name
• Тип: REG_SZ Type: REG_SZ
• Данные: имя пользователяData: User name

Чтобы указать несколько имен пользователей для имени пользователя ping , введите в данные шаблон имени, например DNS-имя, включая подстановочные знаки. To indicate more than one user name for a ping user-name value, enter a name pattern, such as a DNS name, including wildcard characters, in Data.