Table of contents
TOC
Zwiń spis treści
Rozwiń spis treści

Konfigurowanie ewidencjonowania aktywności serwera zasad sieciowych

James McIllece|Ostatnia aktualizacja: 10.03.2017
|
1 Współautor

Istnieją trzy typy rejestrowania dla serwera zasad sieciowych (NPS):

  • Rejestrowanie zdarzeń. Używane głównie do inspekcji i rozwiązywania problemów prób nawiązania połączenia. Można skonfigurować rejestrowanie uzyskując właściwości serwera NPS w konsoli serwera NPS zdarzeń serwera NPS.

  • Rejestrowanie żądań ewidencjonowania aktywności i uwierzytelniania użytkowników do lokalnego pliku. Zazwyczaj używany do celów analizy i rozliczeń połączenia. Przydatne także jako narzędzie do badania zabezpieczeń, ponieważ umożliwia śledzenie działań złośliwych użytkowników po przeprowadzeniu ataku. Można skonfigurować rejestrowanie w pliku lokalnym za pomocą Kreatora konfiguracji ewidencjonowania aktywności.

  • Rejestrowanie żądań ewidencjonowania aktywności i uwierzytelniania użytkowników w bazie danych programu Microsoft SQL Server XML zgodne ze standardem. Umożliwia wielu serwerów zasad sieciowych do źródła danych. Zapewnia również zalety korzystania z relacyjnej bazy danych. Rejestrowanie programu SQL Server można skonfigurować przy użyciu Kreatora konfiguracji ewidencjonowania aktywności.

Za pomocą Kreatora konfiguracji ewidencjonowania aktywności

Za pomocą Kreatora konfiguracji ewidencjonowania aktywności, można skonfigurować następujące cztery ustawienia ewidencjonowania aktywności:

  • Tylko rejestrowanie SQL. Za pomocą tego ustawienia można skonfigurować łącze danych do serwera SQL, która umożliwia serwerowi NPS nawiązać połączenie i wysyłania danych ewidencjonowania aktywności na serwerze SQL. Kreatora można również skonfigurować bazy danych na serwerze SQL, aby upewnić się, że bazy danych jest zgodny z rejestrowanie serwera NPS SQL.
  • Tylko rejestrowanie tekstowe. Za pomocą tego ustawienia, można skonfigurować serwer NPS do rejestrowania danych ewidencjonowania aktywności w pliku tekstowym.
  • Równoległe rejestrowanie. Za pomocą tego ustawienia można skonfigurować łącze danych programu SQL Server i bazy danych. Można również skonfigurować rejestrowanie do pliku tekstowego, aby serwer NPS rejestrowanie jednocześnie do pliku tekstowego i bazy danych programu SQL Server.
  • Rejestrowanie aktywności serwera SQL z kopii zapasowej. Za pomocą tego ustawienia można skonfigurować łącze danych programu SQL Server i bazy danych. Ponadto można skonfigurować rejestrowanie do pliku tekstowego, który serwer NPS używa w przypadku niepowodzenia rejestrowania programu SQL Server.

Oprócz tych ustawień, zarówno rejestrowanie programu SQL Server i rejestrowania w pliku tekstowym umożliwiają określenie, czy serwer NPS kontynuuje przetwarzanie żądań połączenia w przypadku niepowodzenia rejestrowania. Można określić to w rejestrowanie niepowodzenia akcji sekcji we właściwościach rejestrowania pliku lokalnego, we właściwościach rejestrowania serwera SQL, a podczas uruchamiania Kreatora konfiguracji ewidencjonowania aktywności.

Aby uruchomić Kreatora konfiguracji ewidencjonowania aktywności

Aby uruchomić Kreatora konfiguracji ewidencjonowania aktywności, wykonaj następujące czynności:

  1. Otwórz konsolę serwera NPS lub przystawki Serwer zasad Sieciowych programu Microsoft Management Console (MMC).
  2. W drzewie konsoli kliknij ewidencjonowanie aktywności.
  3. W okienku szczegółów w ewidencjonowanie aktywności, kliknij przycisk skonfigurować ewidencjonowanie aktywności.

Konfigurowanie właściwości pliku dziennika serwera NPS

Można skonfigurować serwer zasad sieciowych (NPS) do wykonywania żądań uwierzytelniania użytkowników, komunikatów udzielenia dostępu, komunikatów odmowy dostępu, żądania ewidencjonowania i odpowiedzi i aktualizacji okresowy stan ewidencjonowania aktywności usługi Usługa użytkowników zdalnego uwierzytelniania (RADIUS). Ta procedura służy do konfigurowania plików dziennika, w którym chcesz przechowywać danych ewidencjonowania aktywności.

Aby uzyskać więcej informacji na temat interpretowania plików dziennika, zobacz zinterpretować NPS bazy danych plików dziennika w formacie.

Aby uniemożliwić zapełnienie całego dysku twardego pliki dziennika, zdecydowanie zaleca się przechowywanie ich na partycji innej niż partycja systemowa. Poniżej zamieszczono więcej informacji na temat konfigurowania ewidencjonowania aktywności serwera NPS:

  • Aby wysyłać dane pliku dziennika dla kolekcji przez inny proces, można skonfigurować serwer NPS do zapisywania nazwanego potoku. Aby użyć potoków nazwanych, ustaw folder plików dziennika \. \pipe lub \ComputerName\pipe. Program serwera nazwanych potoków tworzy nazwany potok o nazwie \.\pipe\iaslog.log dane. W okno dialogowe właściwości pliku lokalnego, tworzenia nowych plików dziennika, wybierz nigdy (nieograniczony rozmiar pliku) podczas korzystania z nazwanych potoków.

  • Katalog plików dziennika może być utworzony przy użyciu systemowe zmienne środowiskowe (zamiast zmienne użytkownika), np. % systemdrive %, % systemroot % i % windir %. Na przykład następującą ścieżkę przy użyciu zmiennej środowiskowej % windir %, wskazuje plik dziennika w katalogu systemowym w podfolderze \System32\Logs (czyli %windir%\System32\Logs).

  • Przełączenie formatów pliku dziennika nie powoduje do utworzenia nowego dziennika. Jeśli zmienisz formatów pliku dziennika, plików, która jest aktywna w czasie zmiana będzie zawierać kombinację dwóch formatów (rekordy na początku dziennika będą miały poprzedni format, a rekordy na końcu dziennika będą miały nowy format).

  • Jeśli ewidencjonowania aktywności usługi RADIUS nie powiedzie się z powodu pełną dysk twardy lub innych przyczyn, serwer NPS zatrzymuje przetwarzanie żądań połączeń, uniemożliwia użytkownikom uzyskiwanie dostępu do zasobów sieciowych.

  • Serwer zasad Sieciowych pozwala, aby rejestrować w bazie Microsoft® SQL Server™, oprócz lub zamiast rejestrowanie do pliku lokalnego.

Członkostwo w grupie Administratorzy domeny grupa jest minimalnym wymaganiem do wykonania tej procedury.

Aby skonfigurować właściwości pliku dziennika serwera NPS

  1. Otwórz konsolę serwera NPS lub przystawki Serwer zasad Sieciowych programu Microsoft Management Console (MMC).
  2. W drzewie konsoli kliknij ewidencjonowanie aktywności.
  3. W okienku szczegółów w właściwości pliku dziennika, kliknij przycisk Zmień właściwości pliku dziennika. Właściwości pliku dziennika zostanie otwarte okno dialogowe.
  4. W właściwości pliku dziennikana ustawienia w karcie Rejestruj następujące informacje, upewnij się, wybierz opcję logowania wystarczająco dużej ilości informacji w celu osiągnięcia celów ewidencjonowania aktywności. Na przykład jeśli dzienniki niezbędne podczas wykonywania korelacji sesji, zaznacz wszystkie pola wyboru.
  5. W akcja po niepowodzeniu rejestrowania, wybierz opcję Jeśli rejestrowanie kończy się niepowodzeniem, Odrzuć żądania połączenia Jeśli serwer NPS zatrzymać przetwarzania komunikatów żądania dostępu, gdy pliki dziennika są pełne lub nie jest dostępny dla jakiegoś powodu. Jeśli serwer NPS, aby kontynuować przetwarzanie żądań połączeń w przypadku niepowodzenia rejestrowania, nie zaznaczaj tego pola wyboru.
  6. W właściwości pliku dziennika okno dialogowe, kliknij przycisk pliku dziennika kartę.
  7. Na pliku dziennika w karcie katalogu, wpisz lokalizację, w której chcesz przechowywać pliki dziennika serwera NPS. Domyślna lokalizacja to systemroot\System32\LogFiles folder. >[!NOTE] >Jeśli nie zostanie podana informacja o pełnej ścieżce w katalog plików dziennika, używana jest ścieżka domyślna. Na przykład, jeśli wpiszesz Pliki_dziennika_nps w katalog plików dziennika, plik znajduje się w % systemroot%\System32\NPSLogFile.
  8. W Format, kliknij przycisk zgodny z usługami DTS. Jeśli wolisz, można też wybrać starszy format pliku, takie jak ODBC (starszych) lub IAS (starszych). >[!NOTE] >ODBC i IAS typy plików starszych zawiera podzbiór informacji, który serwer NPS wysyła do bazy danych programu SQL Server. Zgodny z usługami DTS format XML typ pliku jest taka sama jak format XML, który serwer NPS używa do importowania danych do bazy danych programu SQL Server. W związku z tym zgodny z usługami DTS format pliku zapewnia bardziej wydajne i pełny transfer danych do bazy danych programu SQL Server standard serwera NPS.
  9. W tworzenia nowego pliku dziennika, aby skonfigurować serwer NPS do uruchamiania nowe pliki dziennika w określonych odstępach czasu, kliknij interwał, który chcesz użyć:
    • W przypadku dużej liczby transakcji i aktywności rejestrowania, kliknij przycisk codziennie.
    • Dla mniejszą liczbę transakcji i operacji rejestrowania, kliknij przycisk cotygodniowo lub comiesięcznego.
    • Aby przechowywać wszystkie transakcje w jeden plik dziennika, kliknij przycisk nigdy (nieograniczony rozmiar pliku).
    • Aby ograniczyć rozmiar każdego pliku dziennika, kliknij przycisk , gdy plik dziennika osiągnie ten rozmiar, a następnie wpisz rozmiar pliku, po którym jest tworzony nowy dziennik. Rozmiar domyślny to 10 megabajtów (MB).
  10. Jeśli serwer NPS, aby usunąć stare pliki dziennika, aby utworzyć miejsca na dysku dla nowych plików dziennika, gdy dysk twardy znajduje się w pobliżu pojemności, upewnij się, że gdy dysk jest pełny Usuń starsze pliki dziennika jest zaznaczone. Ta opcja nie jest dostępna, jednak jeśli wartość tworzenia nowego pliku dziennika jest nigdy (nieograniczony rozmiar pliku). Ponadto jeśli najstarsze plik dziennika jest bieżącego pliku dziennika, go nie są usuwane.

Konfigurowanie rejestrowania serwera SQL serwera NPS

Można użyć tej procedury, aby danych ewidencjonowania aktywności usługi RADIUS na lokalnych lub zdalnych bazy danych programu Microsoft SQL Server.

Uwaga

Serwer NPS formatuje dane ewidencjonowania aktywności jako dokumentu XML, który wysyła do report_event procedury przechowywanej w bazie danych programu SQL Server i wyznaczyć na serwerze zasad Sieciowych. Dla programu SQL Server rejestrowanie działał poprawnie, musi mieć procedury składowanej o nazwie report_event w bazie danych programu SQL Server, która może odbierać i analizowania dokumentów XML z serwera zasad Sieciowych.

Członkostwo w grupie Administratorzy domeny, albo równoważnej, jest minimalnym wymaganiem do wykonania tej procedury.

Aby skonfigurować rejestrowanie na serwerze zasad Sieciowych programu SQL Server

  1. Otwórz konsolę serwera NPS lub przystawki Serwer zasad Sieciowych programu Microsoft Management Console (MMC).
  2. W drzewie konsoli kliknij ewidencjonowanie aktywności.
  3. W okienku szczegółów w właściwości rejestrowania w programie SQL Server, kliknij przycisk Zmień właściwości rejestrowania serwera SQL. Właściwości rejestrowania w programie SQL Server zostanie otwarte okno dialogowe.
  4. W Rejestruj następujące informacje, wybierz informacje, które mają być rejestrowane:
    • Aby rejestrować wszystkie żądania ewidencjonowania aktywności, kliknij przycisk żądania ewidencjonowania.
    • Aby rejestrować żądania uwierzytelniania, kliknij przycisk żądania uwierzytelniania.
    • Aby rejestrować okresowy stan ewidencjonowania aktywności, kliknij przycisk okresowy stan ewidencjonowania aktywności.
    • Aby rejestrować okresowy stan, takich jak tymczasowe żądania ewidencjonowania aktywności, kliknij pozycję okresowy stan.
  5. Aby skonfigurować liczbę równoczesnych sesji dozwolonych między serwerem NPS i programu SQL Server, wpisz liczbę w maksymalną liczbę równoczesnych sesji.
  6. Aby skonfigurować źródło danych programu SQL Server w rejestrowania programu SQL Server, kliknij przycisk Konfigurowanie. Właściwości łącza danych zostanie otwarte okno dialogowe. Na połączenia karcie, podaj następujące informacje:
    • Aby określić nazwę serwera, na którym jest przechowywana baza danych, wpisz lub wybierz nazwę w wybierz lub wprowadź nazwę serwera.
    • Aby określić metodę uwierzytelniania, z którym zalogować się do serwera, kliknij przycisk użycia systemu Windows NT zintegrowane zabezpieczenia. Lub kliknij pozycję Użyj określonej nazwy użytkownika i hasła, a następnie wpisz poświadczenia w nazwy użytkownika i hasło.
    • Aby zezwolić pustego hasła, kliknij przycisk puste hasło.
    • Aby zapisać hasło, kliknij przycisk Zezwalaj na zapisywanie haseł.
    • Aby określić bazę danych do połączenia na komputerze z programem SQL Server, kliknij przycisk wybierz bazę danych na serwerze, a następnie wybierz nazwę bazy danych z listy.
  7. Aby przetestować połączenie między NPS i programu SQL Server, kliknij przycisk Testuj połączenie. Kliknij przycisk OK zamknąć właściwości łącza danych.
  8. W akcja po niepowodzeniu rejestrowania, wybierz opcję włączyć rejestrowanie do pliku tekstowego pracy awaryjnej czy chcesz, aby serwer zasad Sieciowych, aby kontynuować rejestrowanie do pliku tekstowego w przypadku niepowodzenia rejestrowania programu SQL Server.
  9. W akcja po niepowodzeniu rejestrowania, wybierz opcję Jeśli rejestrowanie kończy się niepowodzeniem, Odrzuć żądania połączenia Jeśli serwer NPS zatrzymać przetwarzania komunikatów żądania dostępu, gdy pliki dziennika są pełne lub nie jest dostępny dla jakiegoś powodu. Jeśli serwer NPS, aby kontynuować przetwarzanie żądań połączeń w przypadku niepowodzenia rejestrowania, nie zaznaczaj tego pola wyboru.

Nazwa użytkownika ping

Niektóre serwery proxy RADIUS i serwery dostępu do sieci okresowo wysyła żądania uwierzytelniania i ewidencjonowania aktywności (znane jako żądania ping), aby sprawdzić, czy serwer NPS jest obecny w sieci. Te żądania ping zawierają fikcyjne nazwy użytkowników. Serwer NPS przetwarza te żądania, dzienników zdarzeń i ewidencjonowania aktywności stają się wypełniane rekordów Odrzuć dostępu, co utrudnia do śledzenia rekordów.

Podczas konfigurowania wpis rejestru dla polecenie ping nazwa użytkownika, serwer zasad Sieciowych jest zgodna z wartością wpisu rejestru wartością nazwy użytkownika w żądaniach usługi ping przez inne serwery. A polecenie ping nazwa użytkownika wpis rejestru określa nazwę fikcyjnego użytkownika (lub wzorzec nazwy użytkownika, za pomocą zmiennych, który pasuje do nazwy użytkownika fikcyjnego) wysyłane przez serwery proxy RADIUS i serwery dostępu do sieci. Kiedy serwer NPS otrzyma żądania ping, które pasują polecenie ping nazwa użytkownika wartość wpisu rejestru, serwer zasad Sieciowych odrzuca żądania uwierzytelniania bez przetwarzania żądania. Serwer NPS nie rejestruje transakcje dotyczące nazwy użytkownika fikcyjnej w plikach dziennika, dzięki czemu łatwiej interpretować w dzienniku zdarzeń.

Polecenie ping nazwa użytkownika nie jest instalowany domyślnie. Należy dodać polecenie ping nazwa użytkownika w rejestrze. Można dodać wpis do rejestru za pomocą Edytora rejestru.

Przestroga

Niewłaściwe modyfikacje rejestru mogą spowodować poważne uszkodzenie systemu. Przed wprowadzeniem zmian w rejestrze, należy wykonać kopię zapasową wszystkich ważnych danych przechowywanych na komputerze.

Aby dodać nazwę użytkownika ping do rejestru

Nazwa użytkownika ping można dodać następujący klucz rejestru jako wartość ciągu członek lokalnej grupy administratorów:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IAS\Parameters

  • Nazwa: ping user-name
  • Typ: REG_SZ
  • Dane: nazwy użytkownika
Porada

Aby wskazać więcej niż jedną nazwę użytkownika dla polecenie ping nazwa użytkownika wartość, wprowadź wzorzec nazwy, takie jak nazwa DNS, w tym symboli wieloznacznych w danych.

© 2017 Microsoft