Vynucení architektury NAP pro zásady protokolu IPsec (Internet Protocol security) pro bránu firewall systému Windows je nasazeno pomocí serveru certifikátů stavu, serveru HRA (Health Registration Authority), serveru NPS (Network Policy Server) a klienta vynucení protokolu IPsec. Server certifikátů stavu vydá klientům architektury NAP certifikáty X.509 v případě, že jsou považováni za kompatibilní. Tyto certifikáty pak slouží k ověřování klientů NAP při zahajování komunikace (zabezpečené pomocí protokolu IPsec) s dalšími klienty architektury NAP v intranetu.

Vynucení protokolu IPsec omezí komunikaci v síti na kompatibilní klienty a poskytuje nejúčinnější implementaci architektury NAP. Jelikož tato metoda vynucení používá protokol IPsec, můžete určit požadavky na zabezpečenou komunikaci pro jednotlivé adresy IP nebo čísla portů TCP/UDP.

Požadavky

Při nasazení architektury NAP s protokolem IPsec je nutné provést následující konfiguraci:

  • Na serveru NPS nakonfigurujte zásadu vyžádání nového připojení, zásadu sítě a zásadu stavu architektury NAP. Tyto zásady lze jednotlivě nakonfigurovat pomocí konzoly serveru NPS nebo pomocí průvodce Nové zásady architektury NAP (Network Access Protection).

  • U klientských počítačů s podporou architektury NAP povolte klienta vynucení architektury NAP pro protokol IPsec a službu NAP.

  • Nainstalujte autoritu pro registraci stavu (HRA) do místního nebo vzdáleného počítače.

  • Nainstalujte a nakonfigurujte službu AD CS (Active Directory® Certificate Services) a šablony certifikátů.

  • Nakonfigurujte zásady skupiny a další nastavení potřebná pro nasazení.

  • Nakonfigurujte validátor stavu zabezpečení systému Windows (WSHV) nebo (v závislosti na nasazení architektury NAP) nainstalujte a nakonfigurujte jiné agenty stavu systému (SHA) a validátory stavu systému (SHV).

Pokud není v místním počítači nainstalována autorita pro registraci stavu, je nutné provést také následující konfiguraci:

  • Nainstalujte server NPS do počítače se spuštěnou autoritou pro registraci stavu.

  • Na vzdáleném serveru NPS autority pro registraci stavu nakonfigurujte server NPS jako proxy server RADIUS (Remote Authentication Dial-In User Service), který bude požadavky na připojení předávat místnímu serveru NPS.

Další informace o autoritě pro registraci stavu (HRA) naleznete v nápovědě k autoritě pro registraci stavu. Nápovědu zobrazíte otevřením konzoly autority pro registraci stavu a stisknutím klávesy F1 v konzole autority pro registraci stavu.


Obsah