A hálózati házirend-kiszolgáló (NPS) a hálózatvédelmi kényszerítési módszerek esetében a hálózatvédelmi ügyfelek hozzáférési kérelmeinek kiértékelésére használt központi kiszolgáló. A hálózati házirend-kiszolgálóhoz a hálózati állapotkövetelmények házirendekkel definiálhatók, amelyek a NAP-ügyfélszámítógépek hozzáférését az állapotuktól függően engedélyezik vagy korlátozzák. A hálózatvédelmi házirendeket kezelő hálózati házirend-kiszolgáló elnevezése: NAP állapotházirend-kiszolgáló. A hálózatban a telepítéstől függően egy vagy több NAP állapotházirend-kiszolgáló lehet. A NAP állapotházirend-kiszolgáló RADIUS-ügyfelek, kapcsolatkérelem-házirendek, hálózati házirendek, rendszerállapot-házirendek és rendszerállapot-érvényesítők (SHV) használatával határozza meg és tartatja be a hálózati állapotkövetelményeket.

Az állapotjegyző telepítésekor a rendszer a hálózati házirend-kiszolgálót is automatikusan telepíti a számítógépen. Ha az állapotjegyző több példányát telepítette, és a hálózatvédelmi állapotházirendeket egy másik számítógépre szeretné áthelyezni a házirendek központi kezelése céljából, a helyi hálózati házirend-kiszolgálót RADIUS-proxyként kell beállítania. Ha hálózati házirend-kiszolgálót használ RADIUS-proxyként, a rendszer a kapcsolatkérelem-házirendet úgy állítja be, hogy a helyi hálózati házirend-kiszolgáló hálózati hozzáférési kérelmeit a távoli RADIUS-kiszolgálónak továbbítsa értékelésre.

A hálózati házirend-kiszolgálóról további információt a https://go.microsoft.com/fwlink/?LinkId=94389 webhelyen talál. (Előfordulhat, hogy a lap angol nyelven jelenik meg).

A művelet elvégzéséhez legalább a Domain Admins csoporthoz vagy egy ezzel egyenértékű jogokat biztosító csoporthoz kell tartoznia. A megfelelő fiókokkal és csoporttagságokkal kapcsolatos információkat a https://go.microsoft.com/fwlink/?LinkId=83477 hely tartalmazza. (Előfordulhat, hogy a lap angol nyelven jelenik meg.)

A NAP állapotházirend-kiszolgáló konfigurációjának ellenőrzése

Az alábbi eljárásokkal a RADIUS-proxyként használt helyi hálózati házirend-kiszolgáló konfigurációját ellenőrizheti. Ha az állapotjegyző helyi kiszolgálója RADIUS-proxyként van konfigurálva, olvassa el az NPS-proxy konfigurációjának ellenőrzése című részt.

RADIUS-ügyfelek

Ha távoli állapotjegyző-kiszolgálókat állított be RADIUS-proxyként annak érdekében, hogy a rendszer a kapcsolatkérelmeket a helyi hálózati házirend-kiszolgálóhoz továbbítsa kiértékelés céljából, a helyi hálózati házirend-kiszolgálón minden távoli állapotjegyző-kiszolgáló esetében be kell állítani a megfelelő RADIUS-ügyfelet. Az IPsec-kényszerítést használó hálózatvédelem nem igényel RADIUS-ügyfeleket, ha minden állapotjegyző-kiszolgáló egyben NAP állapotházirend-kiszolgáló is. Ha olyan állapotjegyző-kiszolgálókat használ, amelyek esetében a hálózati házirend-kiszolgáló van beállítva RADIUS-proxyként, az alábbi eljárással ellenőrizheti, hogy a RADIUS-ügyfelek megfelelően vannak-e beállítva a helyi hálózati házirend-kiszolgálón annak érdekében, hogy az feldolgozhassa a távoli állapotjegyző-kiszolgálók által kapott ügyfélkapcsolódási kérelmeket.

A RADIUS-ügyfelek ellenőrzése

  1. Kattintson a Start menü Futtatás parancsára, írja be az nps.msc parancsot, majd nyomja le az ENTER billentyűt.

  2. A hálózati házirend-kiszolgáló konzolfáján kattintson duplán a RADIUS-ügyfelek és -kiszolgálók elemre, majd kattintson a RADIUS-ügyfelek elemre.

  3. A jobb oldali ablaktáblában kattintson duplán annak a RADIUS-ügyfélnek a rövid nevére, amely a RADIUS-proxyként beállított és hálózati házirend-kiszolgálóként telepített állapotjegyző-kiszolgálóhoz tartozik. Ha nincs RADIUS-ügyfél, az alábbi eljárás segítségével hozzon létre újat. Ez az eljárás csak akkor használható, ha távoli állapotjegyző-kiszolgálók úgy vannak beállítva, hogy a kapcsolódási kérelmeket a hálózati házirend-kiszolgálót futtató helyi kiszolgálónak továbbítsák.

    1. Kattintson a jobb gombbal a RADIUS-ügyfelek elemre, majd kattintson az Új parancsra.

    2. A Felhasználóbarát név mezőbe írja be a RADIUS-ügyfél nevét (például: HRA-1).

    3. A Cím (IP vagy DNS) mezőbe írja be a távoli állapotjegyző-kiszolgáló IP-címét vagy DNS-nevét, kattintson az Ellenőrzés, majd a Feloldás gombra.

    4. Ellenőrizze, hogy a megjelenített IP-cím a megfelelő távoli állapotjegyző-kiszolgálóhoz tartozik-e, majd kattintson az OK gombra.

    5. A Közös titkos kulcs és a Közös titkos kulcs jóváhagyása mezőbe írja be a távoli állapotjegyző-kiszolgálón, a távoli RADIUS-kiszolgálócsoport beállításai között megadott titkos kulcsot.

    6. Ha a távoli állapotjegyző-kiszolgáló a távoli RADIUS-kiszolgálócsoport beállításai között engedélyezte az üzenethitelesítő jellemzőt, jelölje be A hozzáférés-kérési üzeneteknek tartalmazniuk kell a Message-Authenticator attribútumot jelölőnégyzetet. Ha a beállítás nincs engedélyezve a távoli állapotjegyző-kiszolgálón, törölje a jelölőnégyzet jelölését.

    7. Jelölje be A RADIUS-ügyfél NAP-kompatibilis jelölőnégyzetet, majd kattintson az OK gombra.

    8. Az új RADIUS-ügyfél konfigurációjának érvényesítéséhez folytassa ezt az eljárást.

  4. A Tulajdonságok ablakban ellenőrizze, hogy a RADIUS-ügyfél engedélyezése jelölőnégyzet be van-e jelölve.

  5. Ellenőrizze, hogy A RADIUS-ügyfél NAP-kompatibilis jelölőnégyzet be van-e jelölve.

  6. Ha az állapotjegyző úgy van beállítva, hogy a hozzáférési kérelmektől megköveteli, hogy tartalmazzák a Message-Authenticator attribútumot, ellenőrizze, hogy A hozzáférés-kérési üzeneteknek tartalmazniuk kell a Message-Authenticator attribútumot jelölőnégyzet be van-e jelölve. Más esetben törölje a jelölőnégyzet jelölését.

  7. A Szállító neve listában ellenőrizze, hogy a RADIUS Standard érték van-e kiválasztva.

  8. A Cím (IP vagy DNS) mezőben ellenőrizze, hogy a listában szereplő DNS-név vagy IP-cím megfelel-e a távoli állapotjegyző-kiszolgálónak, majd kattintson az Ellenőrzés gombra.

  9. Az Ügyfél ellenőrzése párbeszédpanelen kattintson a Feloldás gombra.

  10. Az IP-cím listában ellenőrizze, hogy az IP-cím megfelel-e annak az állapotjegyző-kiszolgálónak, amely a kérelmeket a hálózati házirend-kiszolgálót futtató helyi kiszolgálónak továbbítja, és hogy a hálózati házirend-kiszolgálót futtató helyi kiszolgáló rendelkezik-e hálózati kapcsolattal az IP-címhez.

  11. Kattintson az OK gombra. Ha a közös titkos kulcs vélhetően nem megfelelő, a Közös titkos kulcs és a Közös titkos kulcs jóváhagyása mezőbe írja be a kulcsot, majd kattintson az OK gombra.

  12. Ismételje meg az eljárást a hálózat minden olyan állapotjegyzője, amelyet a kapcsolatkérelmek hálózati házirend-kiszolgálót futtató helyi kiszolgálónak való továbbítására állított be.

Kapcsolatkérelem-házirendek

A kapcsolatkérelem-házirendek hálózati hozzáférési kérelmeket ellenőrző, és az ellenőrzés helyét megadó feltételek és beállítások. Az alábbi eljárással ellenőrizheti, hogy a hálózati házirend-kiszolgálót futtató helyi kiszolgáló kapcsolatkérelem-házirendje be van-e állítva a hálózatvédelem IPsec-kényszerítésére.

A kapcsolatkérelem-házirend ellenőrzése

  1. A hálózati házirend-kiszolgáló konzolfáján kattintson duplán a Házirendek csomópontra, majd kattintson a Kapcsolatkérelem-házirendek elemre.

  2. A jobb oldali ablaktáblában kattintson duplán arra a kapcsolatkérelem-házirendre, amelyet az IPsec által védett NAP-ügyfelektől érkező hálózati hozzáférési kérelmek hitelesítésére használ. Ha a házirend nem található, a létrehozásához hajtsa végre az alábbi lépéseket.

    1. Kattintson a jobb gombbal a Kapcsolatkérelem-házirendek elemre, majd kattintson az Új parancsra.

    2. A Házirend neve mezőbe írja be a házirend nevét (például: NAP IPsec (HRA)).

    3. A Hálózat-hozzáférési kiszolgáló típusa választógombhoz tartozó listából válassza az Állapotjegyző elemet, majd kattintson a Tovább gombra.

    4. A kapcsolatkérelem-házirendhez legalább egy feltételt meg kell adni. Olyan feltétel hozzáadásához, amely nem utasítja el a bejövő hozzáférési kérelmeket, a Feltételek megadása lapon kattintson a Hozzáadás gombra.

    5. A Feltétel kijelölése ablakban jelölje ki a Nap és időpont korlátozásai elemet, majd kattintson a Hozzáadás gombra.

    6. A Nap ás időpont korlátozásai ablakban jelölje be az Engedélyezve választógombot. Ellenőrizze, hogy minden nap és időpont engedélyezve van-e, kattintson az OK, majd a Tovább gombra.

    7. Ha a hálózati házirend-kiszolgálót futtató helyi kiszolgáló NAP állapotházirend-kiszolgáló, jelölje be az Ezen a kiszolgálón történjen a kérelmek hitelesítése választógombot, kattintson háromszor a Tovább, majd a Befejezés gombra. Ha a hálózati házirend-kiszolgálót futtató helyi kiszolgáló a kérelmeket másik kiszolgálónak továbbítja kiértékelésre, olvassa el az NPS-proxy konfigurációjának ellenőrzése című részt.

  3. Az Áttekintés lapon jelölje be a Házirend engedélyezve jelölőnégyzetet.

  4. Az Áttekintés lap Hálózat-hozzáférési kiszolgáló típusa listájából válassza az Állapotjegyző vagy a Meghatározatlan elemet. A hozzáférési kiszolgáló típusának megadásáról további információt a témakör „További szempontok” című részében talál.

  5. Kattintson a Feltételek fülre, és ellenőrizze, hogy minden beállított feltétel megfelel-e a kompatibilis és a nem kompatibilis NAP-ügyfeleknek. A Nap és időpont korlátozásai például beállítható úgy, hogy a hálózati hozzáférést csak adott nap adott időpontjában engedélyezze.

  6. Kattintson a Beállítások fülre. A Szükséges hitelesítési módszerek csoportban kattintson a Hitelesítési módszerek elemre, majd törölje a Hálózati házirend hitelesítési beállításainak felülbírálása jelölőnégyzet jelölését.

  7. A Kapcsolatkérelem továbbítása csoportban kattintson a Hitelesítés elemre.

  8. Ha a hálózati házirend-kiszolgálót futtató helyi kiszolgálót NAP állapotházirend-kiszolgálóként szeretné használni, jelölje be az Ezen a kiszolgálón történjen a kérelmek hitelesítése választógombot.

  9. Kattintson az OK gombra a tulajdonságablak bezárásához.

Hálózati házirendek

A hálózati házirendek feltételek, beállítások és korlátozások segítségével határozzák meg a hálózathoz való csatlakozás módját. A hálózatvédelmi ügyfelek állapotának kiértékeléséhez kell lennie legalább egy hálózati házirendnek, amely az állapotkövetelményeknek megfelelő számítógépekre, és egy másik házirendnek, amely a követelményeket nem teljesítő számítógépekre alkalmazható. Az alábbi eljárás segítségével ellenőrizheti, hogy a házirendek létre vannak-e hozva, és be vannak-e állítva a hálózatvédelmi IPsec-kényszerítéshez.

A hálózati házirendek ellenőrzése

  1. A hálózati házirend-kiszolgáló konzolfáján kattintson duplán a Házirendek csomópontra, majd kattintson a Hálózati házirendek elemre.

  2. A jobb oldali ablaktáblában ellenőrizze, hogy van-e legalább egy-egy házirend a megfelelő és a nem megfelelő számítógépek számára, és hogy a házirendek Állapot oszlopában az Engedélyezve érték szerepel-e. A használni kívánt házirend engedélyezéséhez kattintson rá a jobb gombbal, majd kattintson az Engedélyezés parancsra. Ha a házirendek nem találhatók, hálózati házirend létrehozásához hajtsa végre az alábbi lépéseket.

    1. Kattintson a jobb gombbal a Hálózati házirendek elemre, majd kattintson az Új parancsra.

    2. A Házirend neve mezőbe írja be a házirend nevét (például: NAP IPsec (HRA-kompatibilis) vagy NAP IPsec (nem HRA-kompatibilis)).

    3. A Hálózat-hozzáférési kiszolgáló típusa választógombhoz tartozó listából válassza az Állapotjegyző elemet, majd kattintson a Tovább gombra.

    4. A Feltételek megadása lapon kattintson a Hozzáadás gombra.

    5. A Feltétel kijelölése ablakban kattintson az Állapotházirendek elemre, majd a Hozzáadás gombra.

    6. Ha a hálózati házirendet kompatibilis ügyfélszámítógépekre szeretné alkalmazni, az Állapotházirendek listából válasszon egy olyan házirendet, amely a kompatibilis ügyfelek állapotához van beállítva, majd kattintson az OK gombra.

    7. Ha a hálózati házirendet nem kompatibilis ügyfélszámítógépekre szeretné alkalmazni, az Állapotházirendek listából válasszon egy olyan házirendet, amely a nem kompatibilis ügyfelek állapotához van beállítva, majd kattintson az OK gombra.

    8. Kattintson a Tovább gombra, jelölje be a Hozzáférés engedélyezve választógombot, majd kattintson a Tovább gombra.

    9. A Hitelesítési módszerek konfigurálása lapon jelölje be a Csak a számítógép állapotának ellenőrzése jelölőnégyzetet, majd kattintson kétszer a Tovább gombra.

    10. A Beállítások konfigurálása lapon kattintson az NAP-kényszerítés elemre.

    11. Válasszon kényszerítési módot a házirendhez. További információt a témakör NAP-kényszerítési módszerek című részében talál.

    12. A nem kompatibilis ügyfelek automatikus szervizelésének engedélyezéséhez jelölje be az Ügyfélszámítógépek automatikus szervizelésének engedélyezése jelölőnégyzetet. Ha nem szeretné engedélyezni ezt, törölje a jelölőnégyzet jelölését.

    13. Kattintson a Tovább gombra, majd kattintson a Befejezés gombra.

    14. Az új hálózati házirend konfigurációjának érvényesítéséhez folytassa ezt az eljárást.

  3. A jobb oldali ablaktáblában ellenőrizze, hogy a Feldolgozási sorrend oszlopban szereplő értékek megfelelnek az igényeknek. A speciális házirendeket az általános házirendek előtt dolgozza fel rendszer. A házirendek sorrendjének módosításához kattintson a jobb gombbal a házirend nevére, majd kattintson a Mozgatás fel vagy a Mozgatás le parancsra.

  4. A jobb oldali ablaktáblában ellenőrizze, hogy a kompatibilis és a nem kompatibilis hálózatvédelmi házirendek Hozzáférési típus oszlopában egyaránt Hozzáférés engedélyezve érték szerepel-e. A hozzáférési engedélyek beállításához kattintson a jobb gombbal a házirend nevére, kattintson a Tulajdonságok parancsra, az Áttekintés fülre, majd jelölje be a Hozzáférés engedélyezése. A hozzáférés engedélyezése, ha a kapcsolatkérelem megfelel ennek a házirendnek. választógombot.

  5. A jobb oldali ablaktáblában ellenőrizze, hogy az IPsec által védett hálózatvédelmi ügyfelek házirendjeinek Forrás oszlopában Állapotjegyző vagy Meghatározatlan érték szerepel-e. A hozzáférési kiszolgáló típusának megadásáról további információt a témakör „További szempontok” című részében talál.

  6. A jobb oldali ablaktáblában kattintson duplán a kompatibilis ügyfelekhez használt hálózati házirend nevére, majd kattintson a Feltételek fülre.

  7. Ellenőrizze, hogy a feltételek egyike Állapotházirend névvel rendelkezik-e, és hogy az Érték oszlop értéke megfelel-e a kompatibilis ügyfelek állapotához beállított állapotházirendnek. Ha a feltétel nem található, hajtsa végre az alábbi lépéseket.

    1. Kattintson a Hozzáadás gombra, jelölje ki az Állapotházirendek elemet, majd kattintson a Hozzáadás gombra.

    2. Az Állapotházirendek listából válassza ki a kompatibilis ügyfelek állapotának megfelelő házirendet, majd kattintson az OK gombra. Ha nem található állapotházirend, ellenőrizze az állapotházirendeket, majd ismételje meg az eljárást.

  8. Kattintson a Korlátozások fülre, majd kattintson a Hitelesítési módszerek elemre.

  9. Jelölje be a Csak a számítógép állapotának ellenőrzése jelölőnégyzetet.

  10. Kattintson a Beállítások fülre, majd az NAP-kényszerítés elemre.

  11. Jelölje be a kompatibilis hálózati házirend Teljes hálózati hozzáférés engedélyezése választógombját, majd kattintson az OK gombra. Ezzel befejeződött a kompatibilis hálózati házirend ellenőrzése.

  12. A jobb oldali ablaktáblában kattintson duplán a nem kompatibilis ügyfelekhez használt hálózati házirend nevére, majd kattintson a Feltételek fülre.

  13. Ellenőrizze, hogy a feltételek egyike az Állapotházirend névvel rendelkezik-e és hogy az Érték oszlop értéke megfelel-e a nem kompatibilis ügyfelek állapotához beállított állapotházirendnek. Ha a feltétel nem található, hajtsa végre az alábbi lépéseket.

    1. Kattintson a Hozzáadás gombra, jelölje ki az Állapotházirendek elemet, majd kattintson a Hozzáadás gombra.

    2. Az Állapotházirendek listából válassza ki a nem megfelelő ügyfelek állapotának megfelelő házirendet, majd kattintson az OK gombra. Ha nem található állapotházirend, ellenőrizze az állapotházirendeket, majd ismételje meg az eljárást.

  14. Kattintson a Korlátozások fülre, majd kattintson a Hitelesítési módszerek elemre.

  15. Jelölje be a Csak a számítógép állapotának ellenőrzése jelölőnégyzetet.

  16. Kattintson a Beállítások fülre, majd a NAP-kényszerítés elemre.

    • Ha a hálózatvédelmet teljes kényszerítési módban telepítette, a nem megfelelő hálózati házirendhez jelölje be a Korlátozott hozzáférés engedélyezése választógombot.

    • Ha a hálózatvédelmet késleltetett kényszerítési módban telepítette, a nem megfelelő hálózati házirendhez jelölje be a Teljes hálózati hozzáférés engedélyezése korlátozott időre választógombot.

    • Ha a hálózatvédelmet kimutatás módban telepítette, a nem megfelelő hálózati házirendhez jelölje be a Teljes hálózati hozzáférés engedélyezése választógombot.

    • Ha engedélyezni szeretné a nem megfelelő NAP-ügyfelek automatikus szervizelését, jelölje be az Ügyfélszámítógépek automatikus szervizelésének engedélyezése jelölőnégyzetet.

  17. Kattintson az OK gombra.

  18. A lépéseket szükség szerint ismételje meg minden olyan hálózati házirend konfigurációjának ellenőrzéséhez, amelyet az IPsec által védett NAP-ügyfelektől származó hozzáférési kérelmek kiértékeléséhez használ.

NAP-kényszerítési módszerek

Ha engedélyezi a hálózatvédelmet a hálózaton, az alábbi három kényszerítési módszer áll rendelkezésre. A kényszerítési módszereket a hálózatvédelem szakaszos telepítéséhez használhatja.

  • A kimutatási mód engedélyezéséhez jelölje be a Teljes hálózati hozzáférés engedélyezése választógombot a megfelelő és a nem megfelelő NAP-ügyfélszámítógépek esetében egyaránt. Kimutatási módban a rendszer naplózza az ügyfélszámítógépek állapotát, de a hálózati hozzáférést nem korlátozza. A megfelelő és a nem megfelelő számítógépek is kaphatnak állapottanúsítványt.

  • A késleltetett kényszerítési mód engedélyezéséhez megfelelő hálózati házirend esetében jelölje be a Teljes hálózati hozzáférés engedélyezése választógombot, nem megfelelő hálózati házirend esetében pedig jelölje be a Teljes hálózati hozzáférés engedélyezése korlátozott időre választógombot. A dátumot és időpontot is meg kell adnia a nem megfelelő ügyfelek hozzáférésének korlátozásakor. Késleltetett kényszerítési módban a hálózati állapotkövetelményeknek nem megfelelő ügyfélszámítógépek azonnal megkapják a hálózatvédelmi értesítéseket, de a rendszer csak a megadott napon és időpontban korlátozza a hálózati hozzáférésüket.

  • A teljes kényszerítési mód engedélyezéséhez megfelelő hálózati házirend estében jelölje be a Teljes hálózati hozzáférés engedélyezése választógombot, nem megfelelő hálózati házirend estében pedig jelölje be a Korlátozott hozzáférés engedélyezése választógombot. Teljes kényszerítés módban az ügyfélszámítógépek hálózati hozzáférését a rendszer azonnal korlátozza, ha nem felelnek meg a hálózati állapotkövetelményeknek.

Állapotházirendek

Az állapotházirendek határozzák meg, hogy a rendszer mely rendszerállapot-érvényesítőket értékeli ki, valamint hogyan használja azokat a hálózathoz csatlakozni szándékozó számítógépek konfigurációjának ellenőrzésére. A rendszerállapot-érvényesítők ellenőrzéseinek eredménye alapján az állapotházirendek meghatározzák az ügyfél állapotának besorolását. Szükség van legalább egy állapotházirendre a megfelelő ügyfélállapothoz és legalább egyre a nem megfelelő ügyfélállapothoz. Az alábbi eljárással ellenőrizheti, hogy a megfelelő és a nem megfelelő állapotházirendek be vannak-e állítva a NAP állapotházirend-kiszolgálón.

Az állapotházirendek ellenőrzése

  1. A hálózati házirend-kiszolgáló konzolján kattintson duplán a Házirendek csomópontra, majd kattintson az Állapotházirendek elemre.

  2. A jobb oldali ablaktábla Házirend neve oszlopában kattintson duplán a megfelelő állapotházirend nevére. Ha a házirend nem található, a létrehozásához hajtsa végre az alábbi lépéseket.

    1. Kattintson a jobb gombbal az Állapotházirendek elemre, majd kattintson az Új parancsra.

    2. A Házirend neve mezőbe írja be a megfelelő állapotházirend nevét (például: NAP IPsec (HRA)).

    3. Az Ügyfelek rendszerállapot-érvényesítési ellenőrzései listából szigorú állapotházirend létrehozásához válassza ki Az ügyfél minden rendszerállapot-érvényesítési ellenőrzésnek megfelel elemet, kevésbé szigorú állapotházirend létrehozásához pedig válassza Az ügyfél egy vagy több rendszerállapot-érvényesítési ellenőrzésnek megfelel elemet.

    4. Az állapotházirendben használt rendszerállapot-érvényesítők csoportban jelölje be az ügyfelek állapotának kiértékeléséhez használni kívánt rendszerállapot-érvényesítőkhöz tartozó jelölőnégyzetet. Alapértelmezés szerint a Windows biztonságiállapot-érvényesítő érhető el. A többi rendszerállapot-érvényesítőt telepíteni kell.

    5. Kattintson az OK gombra.

  3. Az Ügyfelek rendszerállapot-érvényesítési ellenőrzései listából válassza ki Az ügyfél minden rendszerállapot-érvényesítési ellenőrzésnek megfelel vagy Az ügyfél egy vagy több rendszerállapot-érvényesítési ellenőrzésnek megfelel elemet. A feltételek használatával szigorúbb vagy kevésbé korlátozó megfelelő házirendet is létrehozhat.

  4. Az állapotházirendben használt rendszerállapot-érvényesítők területen jelölje be az IPsec által védett NAP-ügyfélszámítógépek állapotának kiértékeléséhez használni kívánt telepített rendszerállapot-érvényesítőkhöz tartozó jelölőnégyzetet, majd kattintson az OK gombra.

  5. A jobb oldali ablaktábla Házirend neve oszlopában kattintson duplán a nem megfelelő állapotházirend nevére. Ha a házirend nem található, a létrehozásához hajtsa végre az alábbi lépéseket.

    1. Kattintson a jobb gombbal az Állapotházirendek elemre, majd kattintson az Új parancsra.

    2. A Házirend neve mezőbe írja be a nem megfelelő állapotházirend nevét (például: NAP IPsec (nem HRA-kompatibilis)).

    3. Az Ügyfelek rendszerállapot-érvényesítési ellenőrzései listából szigorú állapotházirend létrehozásához válassza ki Az ügyfél egy vagy több rendszerállapot-érvényesítési ellenőrzésnek nem felel meg elemet, kevésbé szigorú állapotházirend létrehozásához pedig válassza Az ügyfél egyetlen rendszerállapot-érvényesítési ellenőrzésnek sem felel meg elemet.

    4. Az állapotházirendben használt rendszerállapot-érvényesítők területen jelölje be az ügyfelek állapotának kiértékeléséhez használni kívánt rendszerállapot-érvényesítőkhöz tartozó jelölőnégyzetet. Alapértelmezés szerint a Windows biztonságiállapot-érvényesítő érhető el. A többi rendszerállapot-érvényesítőt telepíteni kell.

    5. Kattintson az OK gombra.

  6. Az Ügyfelek rendszerállapot-érvényesítési ellenőrzései listából válassza ki Az ügyfél egy vagy több rendszerállapot-érvényesítési ellenőrzésnek nem felel meg vagy Az ügyfél egyetlen rendszerállapot-érvényesítési ellenőrzésnek sem felel meg elemet. A feltételek használatával szigorúbb vagy kevésbé korlátozó nem megfelelő házirendet is létrehozhat.

  7. Az állapotházirendben használt rendszerállapot-érvényesítők területen jelölje be az IPsec által védett NAP-ügyfélszámítógépek állapotának kiértékeléséhez használni kívánt telepített rendszerállapot-érvényesítőkhöz tartozó jelölőnégyzetet, majd kattintson az OK gombra.

  8. Ismételje meg a lépéseket minden állapotházirend esetében, amelyet használni szeretne az IPsec által védett NAP-ügyfélszámítógépek kiértékeléséhez.

Rendszerállapot-érvényesítők

A rendszerállapot-érvényesítők szoftver- és konfigurációs követelményeket határoznak meg a hálózathoz kapcsolódni kívánó számítógépek számára. Az alábbi eljárással ellenőrizheti, hogy a rendszerállapot-érvényesítők megfelelően vannak-e beállítva.

A rendszerállapot-érvényesítők ellenőrzése

  1. A hálózati házirend-kiszolgáló konzolján kattintson duplán a Hálózatvédelem csomópontra, majd kattintson a Rendszerállapot-érvényesítők elemre.

  2. A jobb oldali ablaktábla name oszlopában kattintson duplán a telepített rendszerállapot-érvényesítő nevére.

  3. A rendszerállapot-érvényesítők konfigurációja az implementációtól függően eltérő lehet. Ha a Windows biztonságiállapot-érvényesítőt használja, kattintson a Konfigurálás gombra.

    • A Windows Vista rendszerrel működő számítógépek állapotkövetelményeinek beállításához kattintson a Windows Vista fülre.

    • A Windows XP Service Pack 3 rendszerrel működő számítógépek állapotkövetelményeinek beállításához kattintson a Windows XP fülre.

  4. Az állapotkövetelmények engedélyezéséhez jelölje be a kívánt állapotkövetelmény melletti jelölőnégyzetet. A letiltáshoz törölje a jelölőnégyzet jelölését. A Windows biztonságiállapot-érvényesítő használata esetén elérhető állapotkövetelmények: Tűzfal, Vírusvédelem, Kémprogramokkal szembeni védelem, Automatikus frissítés és Biztonsági frissítés védelme.

  5. Kattintson az OK gombra, majd állítsa be a hibakódok feloldását. A hibakódok feloldása azt határozza meg, hogy az ügyfeleket a rendszer hogyan értékeli a listában szereplő hibák esetén. Minden feltétel esetében a Kompatibilis és a Nem kompatibilis visszatérési állapotot adhatja meg.

  6. Kattintson az OK gombra, és zárja be a hálózati házirend-kiszolgálót.

NPS-proxy konfigurációjának ellenőrzése

Az alábbi eljárással a RADIUS-proxyként használt hálózati házirend-kiszolgálót futtató helyi kiszolgáló konfigurációját ellenőrizheti. Az eljárás nem használható, ha a hálózati házirend-kiszolgálót futtató helyi kiszolgáló NAP állapotházirend-kiszolgálóként van beállítva.

NPS-proxy konfigurációjának ellenőrzése

  1. Kattintson a Start menü Futtatás parancsára, írja be az nps.msc parancsot, majd nyomja le az ENTER billentyűt.

  2. A konzolfán kattintson duplán a RADIUS-ügyfelek és -kiszolgálók elemre, majd kattintson a Távoli RADIUS-kiszolgálócsoportok elemre.

  3. A jobb oldali ablaktábla Csoportnév oszlopában kattintson duplán a RADIUS-kiszolgálócsoport nevére. Ha nem található távoli RADIUS-kiszolgálócsoport, a hozzáadáshoz hajtsa végre az alábbi lépéseket.

    1. A konzolfa RADIUS-ügyfelek és -kiszolgálók csomópontjában kattintson a jobb gombbal a Távoli RADIUS-kiszolgálócsoportok elemre, majd kattintson az Új parancsra.

    2. A Csoportnév mezőbe írja be a távoli RADIUS-kiszolgálócsoport nevét, például: NAP állapotházirend-kiszolgáló1).

    3. Kattintson a Hozzáadás gombra, majd a Kiszolgáló mezőbe írja be a helyi állapotjegyző által továbbított NAP IPsec ügyfélkapcsolat-kérelmek kiértékelésére használt hálózati házirend-kiszolgálót futtató kiszolgáló DNS-nevét vagy IP-címét.

    4. Kattintson az Ellenőrzés, majd a Feloldás gombra. Ellenőrizze, hogy a megjelenített IP-cím megfelelő-e, majd kattintson az OK gombra.

    5. Kattintson a Hitelesítés és nyilvántartás fülre.

    6. A Közös titkos kulcs és a Közös titkos kulcs jóváhagyása mezőbe írja be a NAP állapotházirend-kiszolgálón a hálózati házirend-kiszolgáló beállításai között megadott kulcsot.

    7. Kattintson kétszer az OK gombra.

  4. A kiszolgálócsoport tulajdonságablakának RADIUS-kiszolgáló oszlopában kattintson a távoli RADIUS-kiszolgáló nevére, majd kattintson a Szerkesztés gombra.

  5. A Cím lapon kattintson az Ellenőrzés gombra.

  6. Az Ügyfél ellenőrzése párbeszédpanelen kattintson a Feloldás gombra. Ellenőrizze, hogy a RADIUS-ügyfél IP-címe megfelel-e a hálózat azon NAP állapotházirend-kiszolgálójának, amely a hálózati házirend-kiszolgálót futtató helyi kiszolgáló RADIUS-proxyjához van beállítva.

  7. Kattintson az OK gombra, majd a Hitelesítés és nyilvántartás fülre.

  8. Ellenőrizze, hogy a hitelesítési és a nyilvántartási port megfelelő-e. Az alapértelmezett hitelesítési port a 1812-es, az alapértelmezett nyilvántartási port pedig a 1813-as.

  9. Csak akkor jelölje be A kérelemnek tartalmaznia kell az üzenethitelesítő attribútumot jelölőnégyzetet, ha a NAP állapotházirend-kiszolgálón engedélyezve van az üzenethitelesítő attribútum hozzáférés-kérési üzenetkövetelménye. Ha a NAP állapotházirend-kiszolgáló nem igényli az attribútumot, törölje a jelölőnégyzet jelölését.

  10. Ha a közös titkos kulcs vélhetően nem megfelelő, a Közös titkos kulcs és a Közös titkos kulcs jóváhagyása mezőbe írja be a kulcsot, majd kattintson kétszer az OK gombra.

  11. A hálózati házirend-kiszolgáló konzolfáján kattintson duplán a Házirendek csomópontra, majd kattintson a Kapcsolatkérelem-házirendek elemre.

  12. A jobb oldali ablaktáblában kattintson duplán arra a kapcsolatkérelem-házirendre, amelyet az IPsec által védett NAP-ügyfelektől érkező hálózati hozzáférési kérelmek hitelesítésére használ.

  13. A Beállítások lap Kapcsolatkérelem továbbítása csoportjában kattintson a Hitelesítés elemre.

  14. Jelölje be A kérelmek továbbítása hitelesítéshez az alábbi távoli RADIUS-kiszolgálócsoporthoz választógombot, és ellenőrizze, hogy a kiválasztott távoli RADIUS-kiszolgálócsoport neve megfelel-e a hálózat NAP állapotházirend-kiszolgálójának.

  15. Ismételje meg a lépéseket minden csoport és hálózati házirend-kiszolgálót futtató távoli kiszolgáló esetében.

  16. Zárja be a Hálózati házirend-kiszolgáló konzolt.

További szempontok

Ha a kapcsolatkérelem-házirendhez és a hálózati házirendhez használt hálózati hozzáférési kiszolgáló típusa Meghatározatlan, a hálózati házirend-kiszolgáló ezt a házirendet használja a hálózati hozzáférési kiszolgálók minden típusától származó kapcsolatkérelmek kiértékeléséhez. Ha a hálózatelérési kiszolgáló típusa Állapotjegyző, a házirend csak az állapotjegyző-kiszolgáló által továbbított kapcsolatkérelmeket értékeli ki. Ha legalább egy engedélyezett házirend forrása Állapotjegyző, a hálózati házirend-kiszolgáló a Meghatározatlan forrással rendelkező összes házirendet figyelmen kívül hagyja az IPsec által védett NAP-ügyfélszámítógépek hálózati hozzáférési kérelmeinek feldolgozása során.

További hivatkozások

Tartalom