Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Системное администрирование и сети

Нет журналов событий NPS (Сервера сетевой политики)

На чтение 4 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. Проблема: Отсутствие журналов событий NPS
  4. Проверенные факторы
  5. Решение
  6. Заключение

Вопрос или проблема

Столкнулись с очень болезненной проблемой. Мы используем сервер политик сети Microsoft и необходимо, чтобы подсистема безопасности сервера политик сети работала – в частности, события с ID 6273 и 6272. NPS работает, но журналы событий не записываются.

Мы подтвердили следующее:

Сервер политик сети настроен на ведение журналов успешных и неудачных событий:

PS > auditpol /get /subcategory:"Network Policy Server"
Системная политика аудита

Категория/Подкатегория                   Настройка
Вход/Выход
  Сервер политик сети                    Успех и Неудача

PS > cat $env:systemroot\security\audit\audit.csv | select-string net

,Система,Аудит сервера политик сети,{0cce9243-69ae-11d9-bed3-505054503030},Успех и Неудача,,3

Мы подтвердили, что NPS настроен на ведение журнала этих событий:

  • Открыть NPS > Правый клик на NPS (Локальный) > Свойства > Вкладка Общие, отмечены оба флажка успешных и отклоненных запросов аутентификации

Неприемлемые обходные пути:

Текстовые журналы. Они записываются без проблем, но у нас есть различные сервисы и инструменты, которые настроены на использование данных из журнала событий, которые должны работать.

Что мы пробовали:

  • Перезагрузка :shrug:
  • Вручную отключить политику аудита сервера политик сети, затем включить снова
  • Отключить конфигурацию сервера политик сети для ведения журнала успешных и отклоненных запросов аутентификации
  • Совместить вышеуказанное с перезагрузкой служб журналирования событий и IAS

Несмотря на любые изменения, события NPS не записываются в журнал событий.

Я немного в замешательстве, кроме как погрузиться в procmon, но я не имею представления, когда/где это может не срабатывать, поэтому что-то столь многословное может не быть полезным.

Спасибо!

Я бы попробовал установить журналирование в отключенное состояние, а затем включить его снова (возможно, с перезагрузкой перед повторным включением).

Из повышенной командной строки:

Чтобы отключить

auditpol /set /subcategory:"Network Policy Server" /success:disable /failure:disable

Чтобы включить

auditpol /set /subcategory:"Network Policy Server" /success:enable /failure:enable

Хотел бы поделиться решением проблемы, касающейся отсутствующих журналов событий в “Службах политики и доступа к сети” на Windows Server 2019.

Решение:

  1. CMD > sc sidtype IAS unrestricted
  2. Перезагрузите сервер
  3. Попробуйте подключиться снова

https://techcommunity.microsoft.com/t5/windows-10/windows-server-2019-nps-radius-no-event-viewer-logs-solution/m-p/3789866

Ответ или решение

Конечно! Давайте рассмотрим проблему отсутствия записей журналов событий в Network Policy Server (NPS) и предложим полное решение.

Проблема: Отсутствие журналов событий NPS

Согласно описанию, вы столкнулись с тем, что Network Policy Server работает, но события, такие как ID 6272 и 6273, не записываются в журналы событий. Вы уже проверили, что политика аудита для NPS настроена на регистрацию успешных и неудачных событий, и что в настройках NPS в включены соответствующие опции.

Проверенные факторы

Вы упомянули несколько вещей, которые вы уже проверили:

  • Политика аудита для NPS настроена правильно.
  • Настройки NPS включают запись успешных и отклоненных запросов аутентификации.

Решение

Исходя из предоставленной информации, можно предложить следующие шаги:

  1. Переключите параметры аудита:

    • Попробуйте отключить аудит NPS полностью, перезагрузить сервер, а затем снова включить его. Это позволяет переинициализировать настройки аудита и может решить проблему. Используйте следующие команды в повышенной командной строке:

    Для отключения:

    auditpol /set /subcategory:"Network Policy Server" /success:disable /failure:disable

    Для включения:

    auditpol /set /subcategory:"Network Policy Server" /success:enable /failure:enable

  2. Настройка SID для IAS:
    Если вы работаете на Windows Server 2019 или более поздней версии, также попробуйте изменить SID для IAS. Выполните следующую команду в командной строке с правами администратора:

    sc sidtype IAS unrestricted

    После выполнения команды перезагрузите сервер.

  3. Проверка прав доступа:
    Убедитесь, что у учетной записи, от имени которой работает NPS, есть все необходимые права на запись в журналы событий. Если это необходимо, пересмотрите настройки политик безопасности.

  4. Журнал событий Windows:
    Убедитесь, что у вас достаточно свободного места на диске, где располагаются журналы событий. Если места недостаточно, это может быть причиной того, что новые записи не могут быть добавлены.

  5. Проверка других служб:
    Перезапустите службы, связанные с NPS и журналами событий. Это может включать службу "Network Policy and Access Services" и "Windows Event Log".

Заключение

Эти шаги должны помочь вам восстановить запись событий NPS в журнале Windows. Если проблема сохраняется даже после выполнения всех вышеперечисленных рекомендаций, возможно, следует рассмотреть использование инструментов для мониторинга, таких как Process Monitor (Procmon), чтобы диагностировать, как события обрабатываются системой.

Если у вас есть дополнительные вопросы или нужна помощь с какими-либо из этих шагов, пожалуйста, дайте знать!

nps windows windows-event-log
Оцените материал
Добавить комментарий

Капча загружается...

© 2024 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности