Вопрос или проблема
Столкнулись с очень болезненной проблемой. Мы используем сервер политик сети Microsoft и необходимо, чтобы подсистема безопасности сервера политик сети работала – в частности, события с ID 6273 и 6272. NPS работает, но журналы событий не записываются.
Мы подтвердили следующее:
Сервер политик сети настроен на ведение журналов успешных и неудачных событий:
PS > auditpol /get /subcategory:"Network Policy Server"
Системная политика аудита
Категория/Подкатегория Настройка
Вход/Выход
Сервер политик сети Успех и Неудача
PS > cat $env:systemroot\security\audit\audit.csv | select-string net
,Система,Аудит сервера политик сети,{0cce9243-69ae-11d9-bed3-505054503030},Успех и Неудача,,3
Мы подтвердили, что NPS настроен на ведение журнала этих событий:
- Открыть NPS > Правый клик на NPS (Локальный) > Свойства > Вкладка Общие, отмечены оба флажка успешных и отклоненных запросов аутентификации
Неприемлемые обходные пути:
Текстовые журналы. Они записываются без проблем, но у нас есть различные сервисы и инструменты, которые настроены на использование данных из журнала событий, которые должны работать.
Что мы пробовали:
- Перезагрузка :shrug:
- Вручную отключить политику аудита сервера политик сети, затем включить снова
- Отключить конфигурацию сервера политик сети для ведения журнала успешных и отклоненных запросов аутентификации
- Совместить вышеуказанное с перезагрузкой служб журналирования событий и IAS
Несмотря на любые изменения, события NPS не записываются в журнал событий.
Я немного в замешательстве, кроме как погрузиться в procmon, но я не имею представления, когда/где это может не срабатывать, поэтому что-то столь многословное может не быть полезным.
Спасибо!
Я бы попробовал установить журналирование в отключенное состояние, а затем включить его снова (возможно, с перезагрузкой перед повторным включением).
Из повышенной командной строки:
Чтобы отключить
auditpol /set /subcategory:"Network Policy Server" /success:disable /failure:disable
Чтобы включить
auditpol /set /subcategory:"Network Policy Server" /success:enable /failure:enable
Хотел бы поделиться решением проблемы, касающейся отсутствующих журналов событий в “Службах политики и доступа к сети” на Windows Server 2019.
Решение:
- CMD > sc sidtype IAS unrestricted
- Перезагрузите сервер
- Попробуйте подключиться снова
Ответ или решение
Конечно! Давайте рассмотрим проблему отсутствия записей журналов событий в Network Policy Server (NPS) и предложим полное решение.
Проблема: Отсутствие журналов событий NPS
Согласно описанию, вы столкнулись с тем, что Network Policy Server работает, но события, такие как ID 6272 и 6273, не записываются в журналы событий. Вы уже проверили, что политика аудита для NPS настроена на регистрацию успешных и неудачных событий, и что в настройках NPS в включены соответствующие опции.
Проверенные факторы
Вы упомянули несколько вещей, которые вы уже проверили:
- Политика аудита для NPS настроена правильно.
- Настройки NPS включают запись успешных и отклоненных запросов аутентификации.
Решение
Исходя из предоставленной информации, можно предложить следующие шаги:
-
Переключите параметры аудита:
- Попробуйте отключить аудит NPS полностью, перезагрузить сервер, а затем снова включить его. Это позволяет переинициализировать настройки аудита и может решить проблему. Используйте следующие команды в повышенной командной строке:
Для отключения:
auditpol /set /subcategory:"Network Policy Server" /success:disable /failure:disableДля включения:
auditpol /set /subcategory:"Network Policy Server" /success:enable /failure:enable -
Настройка SID для IAS:
Если вы работаете на Windows Server 2019 или более поздней версии, также попробуйте изменить SID для IAS. Выполните следующую команду в командной строке с правами администратора:sc sidtype IAS unrestrictedПосле выполнения команды перезагрузите сервер.
-
Проверка прав доступа:
Убедитесь, что у учетной записи, от имени которой работает NPS, есть все необходимые права на запись в журналы событий. Если это необходимо, пересмотрите настройки политик безопасности. -
Журнал событий Windows:
Убедитесь, что у вас достаточно свободного места на диске, где располагаются журналы событий. Если места недостаточно, это может быть причиной того, что новые записи не могут быть добавлены. -
Проверка других служб:
Перезапустите службы, связанные с NPS и журналами событий. Это может включать службу "Network Policy and Access Services" и "Windows Event Log".
Заключение
Эти шаги должны помочь вам восстановить запись событий NPS в журнале Windows. Если проблема сохраняется даже после выполнения всех вышеперечисленных рекомендаций, возможно, следует рассмотреть использование инструментов для мониторинга, таких как Process Monitor (Procmon), чтобы диагностировать, как события обрабатываются системой.
Если у вас есть дополнительные вопросы или нужна помощь с какими-либо из этих шагов, пожалуйста, дайте знать!