遇到了非常痛苦的事情。我们使用 Microsoft 的网络策略服务器,需要网络策略服务器安全事件子类别才能工作 - 具体来说,事件 ID 为 6273 和 6272。NPS 可以工作,但事件日志未写入。
我们已经验证了以下内容:
网络策略服务器配置为记录成功和失败事件:
PS > auditpol /get /subcategory:"Network Policy Server"
System audit policy
Category/Subcategory Setting
Logon/Logoff
Network Policy Server Success and Failure
PS > cat $env:systemroot\security\audit\audit.csv | select-string net
,System,Audit Network Policy Server,{0cce9243-69ae-11d9-bed3-505054503030},Success and Failure,,3
我们已确认 NPS 已配置为记录这些内容:
- 打开 NPS > 右键单击 NPS(本地)> 属性 > 常规选项卡,选中成功和拒绝的身份验证请求框
不可接受的解决办法:
文本日志。它们正在毫无问题地写入,但我们配置了各种服务和工具来使用事件日志数据,应该工作
我们尝试过的方法:
- 正在重新启动 :耸肩:
- 手动禁用网络策略服务器审核策略,重新启用
- 禁用网络策略服务器配置以记录成功和被拒绝的身份验证请求
- 将上述操作与重新启动 eventlog 和 ias 服务配对
无论发生什么变化,都不会将 NPS 事件写入事件日志
我有点茫然,除了深入研究 procmon 之外,但我不知道什么时候/在哪里可能会失败,所以如此冗长的东西可能没有什么帮助。
谢谢!
答案1
我会尝试将日志记录设置为禁用,然后再次启用它(可能需要重新启动才能再次启用它)
从提升的命令提示符:
禁用
auditpol /set /subcategory:"Network Policy Server" /success:disable /failure:disable
启用
auditpol /set /subcategory:"Network Policy Server" /success:enable /failure:enable
答案2
我想分享有关 Windows Server 2019 上“网络策略和访问服务”中缺少事件查看器日志的问题的解决方案。
解决方案:
- CMD > sc sidtype IAS 不受限制
- 重启服务器
- 再次尝试连接