Вопрос или проблема
Мы используем сервер политики сети Microsoft, и нам нужны события сервера политики сети с идентификаторами 6273 и 6272, но эти события не записываются в журналы.
Мы подтвердили следующее:
Сервер политики сети настроен на запись событий успеха и неудачи:
PS > auditpol /get /subcategory:"Network Policy Server"
Политика аудита системы
Категория/Подкатегория Настройка
Вход/Выход
Сервер политики сети Успех и Неудача
PS > cat $env:systemroot\security\audit\audit.csv | select-string net
,System,Audit Network Policy Server,{0cce9243-69ae-11d9-bed3-505054503030},Success and Failure,,3
Мы подтвердили, что NPS настроен на запись этих событий:
- Откройте NPS > Щелкните правой кнопкой мыши на NPS (Локальный) > Свойства > Вкладка Общие, отмечены оба флажка для успешных и отклоненных запросов аутентификации
Недопустимые обходные пути:
Текстовые журналы. Они записываются без проблем, но у нас есть множество сервисов и инструментов, настроенных на использование данных журнала событий, которые должны работать
Что мы пробовали:
- Перезагрузка
- Отключение/включение политики аудита сервера политики сети
- Отключение конфигурации сервера политики сети для записи успешных и отклоненных запросов аутентификации
- Сочетание вышеизложенного с перезагрузкой служб eventlog и ias
Я хотел бы поделиться решением проблемы с отсутствующими журналами просмотра событий в “Службах политики и доступа к сети” на Windows Server 2019.
Решение:
- CMD > sc sidtype IAS unrestricted
- Перезагрузите сервер
- Попробуйте снова подключиться
Я бы попробовал отключить ведение журнала, а затем снова включить его (возможно, с перезагрузкой перед повторным включением)
Из повышенной командной строки:
Чтобы отключить
auditpol /set /subcategory:"Network Policy Server" /success:disable /failure:disable
Чтобы включить
auditpol /set /subcategory:"Network Policy Server" /success:enable /failure:enable
Ответ или решение
Отсутствие событий журнала в Network Policy Server: детальное руководство по устранению проблемы
Вам необходимо получить события с идентификаторами 6273 и 6272 из Microsoft Network Policy Server (NPS), но об их отсутствии в журналах. Проведенные вами проверки подтверждают, что многие аспекты настроек и сервисов работают корректно. Давайте проанализируем данный вопрос более подробно и предложим несколько решений.
Шаги для устранения неполадок
-
Проверка конфигураций журналов событий:
Вы уже подтвердили, что NPS настроен на ведение журналов как для успешных, так и для неудачных попыток аутентификации. Также вы проверили, что параметр аудита вauditpolнастроен правильно. Важно убедиться, что настройки были применены:PS > auditpol /get /subcategory:"Network Policy Server"Убедитесь, что вывод отображает
Success and Failure. -
Перезагрузка NPS и связанных служб:
Вы выполняли перезагрузку NPS и связанных с ним служб, однако стоит помнить, что после изменения параметров аудита может потребоваться полная перезагрузка системы. -
Проверка SID:
Иногда проблема может быть связана с неправильными правами доступа к журналам. В командной строке с повышенными привилегиями выполните следующую команду:CMD > sc sidtype IAS unrestrictedПосле выполнения команды, рекомендуется сделать перезагрузку сервера.
-
Отключение и повторная активация аудита:
Вы также упомянули отключение и повторное включение параметров аудита. Выполните следующую последовательность:- Отключите аудит:
auditpol /set /subcategory:"Network Policy Server" /success:disable /failure:disable- После этого снова включите аудит:
auditpol /set /subcategory:"Network Policy Server" /success:enable /failure:enableВажно повторно перезагрузить систему после внесения этих изменений.
-
Проверка прав доступа к журлу событий:
Убедитесь, что службы, отвечающие за NPS, имеют достаточно прав для записи в журнал событий Windows. Проверка может быть выполнена через средства управления службами.
Итог
После выполнения вышеописанных шагов проверьте, возникают ли события с идентификаторами 6273 и 6272 в журнале событий NPS при следующем запросе аутентификации. Если проблема продолжает существовать, возможно, стоит рассмотреть обновление системы или консультацию с технической поддержкой Microsoft.
Надеемся, эти рекомендации помогут вам восстановить необходимую функциональность Network Policy Server и обеспечить корректное ведение журналов событий.