A hálózati házirend-kiszolgáló (NPS) a hálózatvédelmi kényszerítési módszerek esetében a hálózatvédelmi ügyfelek hozzáférési kérelmeinek kiértékelésére használt központi kiszolgáló. A hálózati házirend-kiszolgálóhoz a hálózati állapotkövetelmények házirendekkel definiálhatók, amelyek a NAP-ügyfélszámítógépek hozzáférését az állapotuktól függően engedélyezik vagy korlátozzák. A hálózatvédelmi házirendeket kezelő hálózati házirend-kiszolgáló elnevezése: NAP állapotházirend-kiszolgáló. A hálózatban a telepítéstől függően egy vagy több NAP állapotházirend-kiszolgáló lehet. A NAP állapotházirend-kiszolgáló RADIUS-ügyfelek, kapcsolatkérelem-házirendek, hálózati házirendek, rendszerállapot-házirendek és rendszerállapot-érvényesítők (SHV) használatával határozza meg és tartatja be a hálózati állapotkövetelményeket.
Az állapotjegyző telepítésekor a rendszer a hálózati házirend-kiszolgálót is automatikusan telepíti a számítógépen. Ha az állapotjegyző több példányát telepítette, és a hálózatvédelmi állapotházirendeket egy másik számítógépre szeretné áthelyezni a házirendek központi kezelése céljából, a helyi hálózati házirend-kiszolgálót RADIUS-proxyként kell beállítania. Ha hálózati házirend-kiszolgálót használ RADIUS-proxyként, a rendszer a kapcsolatkérelem-házirendet úgy állítja be, hogy a helyi hálózati házirend-kiszolgáló hálózati hozzáférési kérelmeit a távoli RADIUS-kiszolgálónak továbbítsa értékelésre.
A hálózati házirend-kiszolgálóról további információt a
A művelet elvégzéséhez legalább a Domain Admins csoporthoz vagy egy ezzel egyenértékű jogokat biztosító csoporthoz kell tartoznia. A megfelelő fiókokkal és csoporttagságokkal kapcsolatos információkat a
A NAP állapotházirend-kiszolgáló konfigurációjának ellenőrzése
Az alábbi eljárásokkal a RADIUS-proxyként használt helyi hálózati házirend-kiszolgáló konfigurációját ellenőrizheti. Ha az állapotjegyző helyi kiszolgálója RADIUS-proxyként van konfigurálva, olvassa el az NPS-proxy konfigurációjának ellenőrzése című részt.
RADIUS-ügyfelek
Ha távoli állapotjegyző-kiszolgálókat állított be RADIUS-proxyként annak érdekében, hogy a rendszer a kapcsolatkérelmeket a helyi hálózati házirend-kiszolgálóhoz továbbítsa kiértékelés céljából, a helyi hálózati házirend-kiszolgálón minden távoli állapotjegyző-kiszolgáló esetében be kell állítani a megfelelő RADIUS-ügyfelet. Az IPsec-kényszerítést használó hálózatvédelem nem igényel RADIUS-ügyfeleket, ha minden állapotjegyző-kiszolgáló egyben NAP állapotházirend-kiszolgáló is. Ha olyan állapotjegyző-kiszolgálókat használ, amelyek esetében a hálózati házirend-kiszolgáló van beállítva RADIUS-proxyként, az alábbi eljárással ellenőrizheti, hogy a RADIUS-ügyfelek megfelelően vannak-e beállítva a helyi hálózati házirend-kiszolgálón annak érdekében, hogy az feldolgozhassa a távoli állapotjegyző-kiszolgálók által kapott ügyfélkapcsolódási kérelmeket.
A RADIUS-ügyfelek ellenőrzése |
Kattintson a Start menü Futtatás parancsára, írja be az nps.msc parancsot, majd nyomja le az ENTER billentyűt.
A hálózati házirend-kiszolgáló konzolfáján kattintson duplán a RADIUS-ügyfelek és -kiszolgálók elemre, majd kattintson a RADIUS-ügyfelek elemre.
A jobb oldali ablaktáblában kattintson duplán annak a RADIUS-ügyfélnek a rövid nevére, amely a RADIUS-proxyként beállított és hálózati házirend-kiszolgálóként telepített állapotjegyző-kiszolgálóhoz tartozik. Ha nincs RADIUS-ügyfél, az alábbi eljárás segítségével hozzon létre újat. Ez az eljárás csak akkor használható, ha távoli állapotjegyző-kiszolgálók úgy vannak beállítva, hogy a kapcsolódási kérelmeket a hálózati házirend-kiszolgálót futtató helyi kiszolgálónak továbbítsák.
-
Kattintson a jobb gombbal a RADIUS-ügyfelek elemre, majd kattintson az Új parancsra.
-
A Felhasználóbarát név mezőbe írja be a RADIUS-ügyfél nevét (például: HRA-1).
-
A Cím (IP vagy DNS) mezőbe írja be a távoli állapotjegyző-kiszolgáló IP-címét vagy DNS-nevét, kattintson az Ellenőrzés, majd a Feloldás gombra.
-
Ellenőrizze, hogy a megjelenített IP-cím a megfelelő távoli állapotjegyző-kiszolgálóhoz tartozik-e, majd kattintson az OK gombra.
-
A Közös titkos kulcs és a Közös titkos kulcs jóváhagyása mezőbe írja be a távoli állapotjegyző-kiszolgálón, a távoli RADIUS-kiszolgálócsoport beállításai között megadott titkos kulcsot.
-
Ha a távoli állapotjegyző-kiszolgáló a távoli RADIUS-kiszolgálócsoport beállításai között engedélyezte az üzenethitelesítő jellemzőt, jelölje be A hozzáférés-kérési üzeneteknek tartalmazniuk kell a Message-Authenticator attribútumot jelölőnégyzetet. Ha a beállítás nincs engedélyezve a távoli állapotjegyző-kiszolgálón, törölje a jelölőnégyzet jelölését.
-
Jelölje be A RADIUS-ügyfél NAP-kompatibilis jelölőnégyzetet, majd kattintson az OK gombra.
-
Az új RADIUS-ügyfél konfigurációjának érvényesítéséhez folytassa ezt az eljárást.
-
Kattintson a jobb gombbal a RADIUS-ügyfelek elemre, majd kattintson az Új parancsra.
A Tulajdonságok ablakban ellenőrizze, hogy a RADIUS-ügyfél engedélyezése jelölőnégyzet be van-e jelölve.
Ellenőrizze, hogy A RADIUS-ügyfél NAP-kompatibilis jelölőnégyzet be van-e jelölve.
Ha az állapotjegyző úgy van beállítva, hogy a hozzáférési kérelmektől megköveteli, hogy tartalmazzák a Message-Authenticator attribútumot, ellenőrizze, hogy A hozzáférés-kérési üzeneteknek tartalmazniuk kell a Message-Authenticator attribútumot jelölőnégyzet be van-e jelölve. Más esetben törölje a jelölőnégyzet jelölését.
A Szállító neve listában ellenőrizze, hogy a RADIUS Standard érték van-e kiválasztva.
A Cím (IP vagy DNS) mezőben ellenőrizze, hogy a listában szereplő DNS-név vagy IP-cím megfelel-e a távoli állapotjegyző-kiszolgálónak, majd kattintson az Ellenőrzés gombra.
Az Ügyfél ellenőrzése párbeszédpanelen kattintson a Feloldás gombra.
Az IP-cím listában ellenőrizze, hogy az IP-cím megfelel-e annak az állapotjegyző-kiszolgálónak, amely a kérelmeket a hálózati házirend-kiszolgálót futtató helyi kiszolgálónak továbbítja, és hogy a hálózati házirend-kiszolgálót futtató helyi kiszolgáló rendelkezik-e hálózati kapcsolattal az IP-címhez.
Kattintson az OK gombra. Ha a közös titkos kulcs vélhetően nem megfelelő, a Közös titkos kulcs és a Közös titkos kulcs jóváhagyása mezőbe írja be a kulcsot, majd kattintson az OK gombra.
Ismételje meg az eljárást a hálózat minden olyan állapotjegyzője, amelyet a kapcsolatkérelmek hálózati házirend-kiszolgálót futtató helyi kiszolgálónak való továbbítására állított be.
Kapcsolatkérelem-házirendek
A kapcsolatkérelem-házirendek hálózati hozzáférési kérelmeket ellenőrző, és az ellenőrzés helyét megadó feltételek és beállítások. Az alábbi eljárással ellenőrizheti, hogy a hálózati házirend-kiszolgálót futtató helyi kiszolgáló kapcsolatkérelem-házirendje be van-e állítva a hálózatvédelem IPsec-kényszerítésére.
A kapcsolatkérelem-házirend ellenőrzése |
A hálózati házirend-kiszolgáló konzolfáján kattintson duplán a Házirendek csomópontra, majd kattintson a Kapcsolatkérelem-házirendek elemre.
A jobb oldali ablaktáblában kattintson duplán arra a kapcsolatkérelem-házirendre, amelyet az IPsec által védett NAP-ügyfelektől érkező hálózati hozzáférési kérelmek hitelesítésére használ. Ha a házirend nem található, a létrehozásához hajtsa végre az alábbi lépéseket.
-
Kattintson a jobb gombbal a Kapcsolatkérelem-házirendek elemre, majd kattintson az Új parancsra.
-
A Házirend neve mezőbe írja be a házirend nevét (például: NAP IPsec (HRA)).
-
A Hálózat-hozzáférési kiszolgáló típusa választógombhoz tartozó listából válassza az Állapotjegyző elemet, majd kattintson a Tovább gombra.
-
A kapcsolatkérelem-házirendhez legalább egy feltételt meg kell adni. Olyan feltétel hozzáadásához, amely nem utasítja el a bejövő hozzáférési kérelmeket, a Feltételek megadása lapon kattintson a Hozzáadás gombra.
-
A Feltétel kijelölése ablakban jelölje ki a Nap és időpont korlátozásai elemet, majd kattintson a Hozzáadás gombra.
-
A Nap ás időpont korlátozásai ablakban jelölje be az Engedélyezve választógombot. Ellenőrizze, hogy minden nap és időpont engedélyezve van-e, kattintson az OK, majd a Tovább gombra.
-
Ha a hálózati házirend-kiszolgálót futtató helyi kiszolgáló NAP állapotházirend-kiszolgáló, jelölje be az Ezen a kiszolgálón történjen a kérelmek hitelesítése választógombot, kattintson háromszor a Tovább, majd a Befejezés gombra. Ha a hálózati házirend-kiszolgálót futtató helyi kiszolgáló a kérelmeket másik kiszolgálónak továbbítja kiértékelésre, olvassa el az NPS-proxy konfigurációjának ellenőrzése című részt.
-
Kattintson a jobb gombbal a Kapcsolatkérelem-házirendek elemre, majd kattintson az Új parancsra.
Az Áttekintés lapon jelölje be a Házirend engedélyezve jelölőnégyzetet.
Az Áttekintés lap Hálózat-hozzáférési kiszolgáló típusa listájából válassza az Állapotjegyző vagy a Meghatározatlan elemet. A hozzáférési kiszolgáló típusának megadásáról további információt a témakör „További szempontok” című részében talál.
Kattintson a Feltételek fülre, és ellenőrizze, hogy minden beállított feltétel megfelel-e a kompatibilis és a nem kompatibilis NAP-ügyfeleknek. A Nap és időpont korlátozásai például beállítható úgy, hogy a hálózati hozzáférést csak adott nap adott időpontjában engedélyezze.
Kattintson a Beállítások fülre. A Szükséges hitelesítési módszerek csoportban kattintson a Hitelesítési módszerek elemre, majd törölje a Hálózati házirend hitelesítési beállításainak felülbírálása jelölőnégyzet jelölését.
A Kapcsolatkérelem továbbítása csoportban kattintson a Hitelesítés elemre.
Ha a hálózati házirend-kiszolgálót futtató helyi kiszolgálót NAP állapotházirend-kiszolgálóként szeretné használni, jelölje be az Ezen a kiszolgálón történjen a kérelmek hitelesítése választógombot.
Kattintson az OK gombra a tulajdonságablak bezárásához.
Hálózati házirendek
A hálózati házirendek feltételek, beállítások és korlátozások segítségével határozzák meg a hálózathoz való csatlakozás módját. A hálózatvédelmi ügyfelek állapotának kiértékeléséhez kell lennie legalább egy hálózati házirendnek, amely az állapotkövetelményeknek megfelelő számítógépekre, és egy másik házirendnek, amely a követelményeket nem teljesítő számítógépekre alkalmazható. Az alábbi eljárás segítségével ellenőrizheti, hogy a házirendek létre vannak-e hozva, és be vannak-e állítva a hálózatvédelmi IPsec-kényszerítéshez.
A hálózati házirendek ellenőrzése |
A hálózati házirend-kiszolgáló konzolfáján kattintson duplán a Házirendek csomópontra, majd kattintson a Hálózati házirendek elemre.
A jobb oldali ablaktáblában ellenőrizze, hogy van-e legalább egy-egy házirend a megfelelő és a nem megfelelő számítógépek számára, és hogy a házirendek Állapot oszlopában az Engedélyezve érték szerepel-e. A használni kívánt házirend engedélyezéséhez kattintson rá a jobb gombbal, majd kattintson az Engedélyezés parancsra. Ha a házirendek nem találhatók, hálózati házirend létrehozásához hajtsa végre az alábbi lépéseket.
-
Kattintson a jobb gombbal a Hálózati házirendek elemre, majd kattintson az Új parancsra.
-
A Házirend neve mezőbe írja be a házirend nevét (például: NAP IPsec (HRA-kompatibilis) vagy NAP IPsec (nem HRA-kompatibilis)).
-
A Hálózat-hozzáférési kiszolgáló típusa választógombhoz tartozó listából válassza az Állapotjegyző elemet, majd kattintson a Tovább gombra.
-
A Feltételek megadása lapon kattintson a Hozzáadás gombra.
-
A Feltétel kijelölése ablakban kattintson az Állapotházirendek elemre, majd a Hozzáadás gombra.
-
Ha a hálózati házirendet kompatibilis ügyfélszámítógépekre szeretné alkalmazni, az Állapotházirendek listából válasszon egy olyan házirendet, amely a kompatibilis ügyfelek állapotához van beállítva, majd kattintson az OK gombra.
-
Ha a hálózati házirendet nem kompatibilis ügyfélszámítógépekre szeretné alkalmazni, az Állapotházirendek listából válasszon egy olyan házirendet, amely a nem kompatibilis ügyfelek állapotához van beállítva, majd kattintson az OK gombra.
-
Kattintson a Tovább gombra, jelölje be a Hozzáférés engedélyezve választógombot, majd kattintson a Tovább gombra.
-
A Hitelesítési módszerek konfigurálása lapon jelölje be a Csak a számítógép állapotának ellenőrzése jelölőnégyzetet, majd kattintson kétszer a Tovább gombra.
-
A Beállítások konfigurálása lapon kattintson az NAP-kényszerítés elemre.
-
Válasszon kényszerítési módot a házirendhez. További információt a témakör NAP-kényszerítési módszerek című részében talál.
-
A nem kompatibilis ügyfelek automatikus szervizelésének engedélyezéséhez jelölje be az Ügyfélszámítógépek automatikus szervizelésének engedélyezése jelölőnégyzetet. Ha nem szeretné engedélyezni ezt, törölje a jelölőnégyzet jelölését.
-
Kattintson a Tovább gombra, majd kattintson a Befejezés gombra.
-
Az új hálózati házirend konfigurációjának érvényesítéséhez folytassa ezt az eljárást.
-
Kattintson a jobb gombbal a Hálózati házirendek elemre, majd kattintson az Új parancsra.
A jobb oldali ablaktáblában ellenőrizze, hogy a Feldolgozási sorrend oszlopban szereplő értékek megfelelnek az igényeknek. A speciális házirendeket az általános házirendek előtt dolgozza fel rendszer. A házirendek sorrendjének módosításához kattintson a jobb gombbal a házirend nevére, majd kattintson a Mozgatás fel vagy a Mozgatás le parancsra.
A jobb oldali ablaktáblában ellenőrizze, hogy a kompatibilis és a nem kompatibilis hálózatvédelmi házirendek Hozzáférési típus oszlopában egyaránt Hozzáférés engedélyezve érték szerepel-e. A hozzáférési engedélyek beállításához kattintson a jobb gombbal a házirend nevére, kattintson a Tulajdonságok parancsra, az Áttekintés fülre, majd jelölje be a Hozzáférés engedélyezése. A hozzáférés engedélyezése, ha a kapcsolatkérelem megfelel ennek a házirendnek. választógombot.
A jobb oldali ablaktáblában ellenőrizze, hogy az IPsec által védett hálózatvédelmi ügyfelek házirendjeinek Forrás oszlopában Állapotjegyző vagy Meghatározatlan érték szerepel-e. A hozzáférési kiszolgáló típusának megadásáról további információt a témakör „További szempontok” című részében talál.
A jobb oldali ablaktáblában kattintson duplán a kompatibilis ügyfelekhez használt hálózati házirend nevére, majd kattintson a Feltételek fülre.
Ellenőrizze, hogy a feltételek egyike Állapotházirend névvel rendelkezik-e, és hogy az Érték oszlop értéke megfelel-e a kompatibilis ügyfelek állapotához beállított állapotházirendnek. Ha a feltétel nem található, hajtsa végre az alábbi lépéseket.
-
Kattintson a Hozzáadás gombra, jelölje ki az Állapotházirendek elemet, majd kattintson a Hozzáadás gombra.
-
Az Állapotházirendek listából válassza ki a kompatibilis ügyfelek állapotának megfelelő házirendet, majd kattintson az OK gombra. Ha nem található állapotházirend, ellenőrizze az állapotházirendeket, majd ismételje meg az eljárást.
-
Kattintson a Hozzáadás gombra, jelölje ki az Állapotházirendek elemet, majd kattintson a Hozzáadás gombra.
Kattintson a Korlátozások fülre, majd kattintson a Hitelesítési módszerek elemre.
Jelölje be a Csak a számítógép állapotának ellenőrzése jelölőnégyzetet.
Kattintson a Beállítások fülre, majd az NAP-kényszerítés elemre.
Jelölje be a kompatibilis hálózati házirend Teljes hálózati hozzáférés engedélyezése választógombját, majd kattintson az OK gombra. Ezzel befejeződött a kompatibilis hálózati házirend ellenőrzése.
A jobb oldali ablaktáblában kattintson duplán a nem kompatibilis ügyfelekhez használt hálózati házirend nevére, majd kattintson a Feltételek fülre.
Ellenőrizze, hogy a feltételek egyike az Állapotházirend névvel rendelkezik-e és hogy az Érték oszlop értéke megfelel-e a nem kompatibilis ügyfelek állapotához beállított állapotházirendnek. Ha a feltétel nem található, hajtsa végre az alábbi lépéseket.
-
Kattintson a Hozzáadás gombra, jelölje ki az Állapotházirendek elemet, majd kattintson a Hozzáadás gombra.
-
Az Állapotházirendek listából válassza ki a nem megfelelő ügyfelek állapotának megfelelő házirendet, majd kattintson az OK gombra. Ha nem található állapotházirend, ellenőrizze az állapotházirendeket, majd ismételje meg az eljárást.
-
Kattintson a Hozzáadás gombra, jelölje ki az Állapotházirendek elemet, majd kattintson a Hozzáadás gombra.
Kattintson a Korlátozások fülre, majd kattintson a Hitelesítési módszerek elemre.
Jelölje be a Csak a számítógép állapotának ellenőrzése jelölőnégyzetet.
Kattintson a Beállítások fülre, majd a NAP-kényszerítés elemre.
- Ha a hálózatvédelmet teljes kényszerítési módban telepítette, a nem megfelelő hálózati házirendhez jelölje be a Korlátozott hozzáférés engedélyezése választógombot.
- Ha a hálózatvédelmet késleltetett kényszerítési módban telepítette, a nem megfelelő hálózati házirendhez jelölje be a Teljes hálózati hozzáférés engedélyezése korlátozott időre választógombot.
- Ha a hálózatvédelmet kimutatás módban telepítette, a nem megfelelő hálózati házirendhez jelölje be a Teljes hálózati hozzáférés engedélyezése választógombot.
- Ha engedélyezni szeretné a nem megfelelő NAP-ügyfelek automatikus szervizelését, jelölje be az Ügyfélszámítógépek automatikus szervizelésének engedélyezése jelölőnégyzetet.
- Ha a hálózatvédelmet teljes kényszerítési módban telepítette, a nem megfelelő hálózati házirendhez jelölje be a Korlátozott hozzáférés engedélyezése választógombot.
Kattintson az OK gombra.
A lépéseket szükség szerint ismételje meg minden olyan hálózati házirend konfigurációjának ellenőrzéséhez, amelyet az IPsec által védett NAP-ügyfelektől származó hozzáférési kérelmek kiértékeléséhez használ.
NAP-kényszerítési módszerek
Ha engedélyezi a hálózatvédelmet a hálózaton, az alábbi három kényszerítési módszer áll rendelkezésre. A kényszerítési módszereket a hálózatvédelem szakaszos telepítéséhez használhatja.
-
A kimutatási mód engedélyezéséhez jelölje be a Teljes hálózati hozzáférés engedélyezése választógombot a megfelelő és a nem megfelelő NAP-ügyfélszámítógépek esetében egyaránt. Kimutatási módban a rendszer naplózza az ügyfélszámítógépek állapotát, de a hálózati hozzáférést nem korlátozza. A megfelelő és a nem megfelelő számítógépek is kaphatnak állapottanúsítványt.
-
A késleltetett kényszerítési mód engedélyezéséhez megfelelő hálózati házirend esetében jelölje be a Teljes hálózati hozzáférés engedélyezése választógombot, nem megfelelő hálózati házirend esetében pedig jelölje be a Teljes hálózati hozzáférés engedélyezése korlátozott időre választógombot. A dátumot és időpontot is meg kell adnia a nem megfelelő ügyfelek hozzáférésének korlátozásakor. Késleltetett kényszerítési módban a hálózati állapotkövetelményeknek nem megfelelő ügyfélszámítógépek azonnal megkapják a hálózatvédelmi értesítéseket, de a rendszer csak a megadott napon és időpontban korlátozza a hálózati hozzáférésüket.
-
A teljes kényszerítési mód engedélyezéséhez megfelelő hálózati házirend estében jelölje be a Teljes hálózati hozzáférés engedélyezése választógombot, nem megfelelő hálózati házirend estében pedig jelölje be a Korlátozott hozzáférés engedélyezése választógombot. Teljes kényszerítés módban az ügyfélszámítógépek hálózati hozzáférését a rendszer azonnal korlátozza, ha nem felelnek meg a hálózati állapotkövetelményeknek.
Állapotházirendek
Az állapotházirendek határozzák meg, hogy a rendszer mely rendszerállapot-érvényesítőket értékeli ki, valamint hogyan használja azokat a hálózathoz csatlakozni szándékozó számítógépek konfigurációjának ellenőrzésére. A rendszerállapot-érvényesítők ellenőrzéseinek eredménye alapján az állapotházirendek meghatározzák az ügyfél állapotának besorolását. Szükség van legalább egy állapotházirendre a megfelelő ügyfélállapothoz és legalább egyre a nem megfelelő ügyfélállapothoz. Az alábbi eljárással ellenőrizheti, hogy a megfelelő és a nem megfelelő állapotházirendek be vannak-e állítva a NAP állapotházirend-kiszolgálón.
Az állapotházirendek ellenőrzése |
A hálózati házirend-kiszolgáló konzolján kattintson duplán a Házirendek csomópontra, majd kattintson az Állapotházirendek elemre.
A jobb oldali ablaktábla Házirend neve oszlopában kattintson duplán a megfelelő állapotházirend nevére. Ha a házirend nem található, a létrehozásához hajtsa végre az alábbi lépéseket.
-
Kattintson a jobb gombbal az Állapotházirendek elemre, majd kattintson az Új parancsra.
-
A Házirend neve mezőbe írja be a megfelelő állapotházirend nevét (például: NAP IPsec (HRA)).
-
Az Ügyfelek rendszerállapot-érvényesítési ellenőrzései listából szigorú állapotházirend létrehozásához válassza ki Az ügyfél minden rendszerállapot-érvényesítési ellenőrzésnek megfelel elemet, kevésbé szigorú állapotházirend létrehozásához pedig válassza Az ügyfél egy vagy több rendszerállapot-érvényesítési ellenőrzésnek megfelel elemet.
-
Az állapotházirendben használt rendszerállapot-érvényesítők csoportban jelölje be az ügyfelek állapotának kiértékeléséhez használni kívánt rendszerállapot-érvényesítőkhöz tartozó jelölőnégyzetet. Alapértelmezés szerint a Windows biztonságiállapot-érvényesítő érhető el. A többi rendszerállapot-érvényesítőt telepíteni kell.
-
Kattintson az OK gombra.
-
Kattintson a jobb gombbal az Állapotházirendek elemre, majd kattintson az Új parancsra.
Az Ügyfelek rendszerállapot-érvényesítési ellenőrzései listából válassza ki Az ügyfél minden rendszerállapot-érvényesítési ellenőrzésnek megfelel vagy Az ügyfél egy vagy több rendszerállapot-érvényesítési ellenőrzésnek megfelel elemet. A feltételek használatával szigorúbb vagy kevésbé korlátozó megfelelő házirendet is létrehozhat.
Az állapotházirendben használt rendszerállapot-érvényesítők területen jelölje be az IPsec által védett NAP-ügyfélszámítógépek állapotának kiértékeléséhez használni kívánt telepített rendszerállapot-érvényesítőkhöz tartozó jelölőnégyzetet, majd kattintson az OK gombra.
A jobb oldali ablaktábla Házirend neve oszlopában kattintson duplán a nem megfelelő állapotházirend nevére. Ha a házirend nem található, a létrehozásához hajtsa végre az alábbi lépéseket.
-
Kattintson a jobb gombbal az Állapotházirendek elemre, majd kattintson az Új parancsra.
-
A Házirend neve mezőbe írja be a nem megfelelő állapotházirend nevét (például: NAP IPsec (nem HRA-kompatibilis)).
-
Az Ügyfelek rendszerállapot-érvényesítési ellenőrzései listából szigorú állapotházirend létrehozásához válassza ki Az ügyfél egy vagy több rendszerállapot-érvényesítési ellenőrzésnek nem felel meg elemet, kevésbé szigorú állapotházirend létrehozásához pedig válassza Az ügyfél egyetlen rendszerállapot-érvényesítési ellenőrzésnek sem felel meg elemet.
-
Az állapotházirendben használt rendszerállapot-érvényesítők területen jelölje be az ügyfelek állapotának kiértékeléséhez használni kívánt rendszerállapot-érvényesítőkhöz tartozó jelölőnégyzetet. Alapértelmezés szerint a Windows biztonságiállapot-érvényesítő érhető el. A többi rendszerállapot-érvényesítőt telepíteni kell.
-
Kattintson az OK gombra.
-
Kattintson a jobb gombbal az Állapotházirendek elemre, majd kattintson az Új parancsra.
Az Ügyfelek rendszerállapot-érvényesítési ellenőrzései listából válassza ki Az ügyfél egy vagy több rendszerállapot-érvényesítési ellenőrzésnek nem felel meg vagy Az ügyfél egyetlen rendszerállapot-érvényesítési ellenőrzésnek sem felel meg elemet. A feltételek használatával szigorúbb vagy kevésbé korlátozó nem megfelelő házirendet is létrehozhat.
Az állapotházirendben használt rendszerállapot-érvényesítők területen jelölje be az IPsec által védett NAP-ügyfélszámítógépek állapotának kiértékeléséhez használni kívánt telepített rendszerállapot-érvényesítőkhöz tartozó jelölőnégyzetet, majd kattintson az OK gombra.
Ismételje meg a lépéseket minden állapotházirend esetében, amelyet használni szeretne az IPsec által védett NAP-ügyfélszámítógépek kiértékeléséhez.
Rendszerállapot-érvényesítők
A rendszerállapot-érvényesítők szoftver- és konfigurációs követelményeket határoznak meg a hálózathoz kapcsolódni kívánó számítógépek számára. Az alábbi eljárással ellenőrizheti, hogy a rendszerállapot-érvényesítők megfelelően vannak-e beállítva.
A rendszerállapot-érvényesítők ellenőrzése |
A hálózati házirend-kiszolgáló konzolján kattintson duplán a Hálózatvédelem csomópontra, majd kattintson a Rendszerállapot-érvényesítők elemre.
A jobb oldali ablaktábla name oszlopában kattintson duplán a telepített rendszerállapot-érvényesítő nevére.
A rendszerállapot-érvényesítők konfigurációja az implementációtól függően eltérő lehet. Ha a Windows biztonságiállapot-érvényesítőt használja, kattintson a Konfigurálás gombra.
- A Windows Vista rendszerrel működő számítógépek állapotkövetelményeinek beállításához kattintson a Windows Vista fülre.
- A Windows XP Service Pack 3 rendszerrel működő számítógépek állapotkövetelményeinek beállításához kattintson a Windows XP fülre.
- A Windows Vista rendszerrel működő számítógépek állapotkövetelményeinek beállításához kattintson a Windows Vista fülre.
Az állapotkövetelmények engedélyezéséhez jelölje be a kívánt állapotkövetelmény melletti jelölőnégyzetet. A letiltáshoz törölje a jelölőnégyzet jelölését. A Windows biztonságiállapot-érvényesítő használata esetén elérhető állapotkövetelmények: Tűzfal, Vírusvédelem, Kémprogramokkal szembeni védelem, Automatikus frissítés és Biztonsági frissítés védelme.
Kattintson az OK gombra, majd állítsa be a hibakódok feloldását. A hibakódok feloldása azt határozza meg, hogy az ügyfeleket a rendszer hogyan értékeli a listában szereplő hibák esetén. Minden feltétel esetében a Kompatibilis és a Nem kompatibilis visszatérési állapotot adhatja meg.
Kattintson az OK gombra, és zárja be a hálózati házirend-kiszolgálót.
NPS-proxy konfigurációjának ellenőrzése
Az alábbi eljárással a RADIUS-proxyként használt hálózati házirend-kiszolgálót futtató helyi kiszolgáló konfigurációját ellenőrizheti. Az eljárás nem használható, ha a hálózati házirend-kiszolgálót futtató helyi kiszolgáló NAP állapotházirend-kiszolgálóként van beállítva.
NPS-proxy konfigurációjának ellenőrzése |
Kattintson a Start menü Futtatás parancsára, írja be az nps.msc parancsot, majd nyomja le az ENTER billentyűt.
A konzolfán kattintson duplán a RADIUS-ügyfelek és -kiszolgálók elemre, majd kattintson a Távoli RADIUS-kiszolgálócsoportok elemre.
A jobb oldali ablaktábla Csoportnév oszlopában kattintson duplán a RADIUS-kiszolgálócsoport nevére. Ha nem található távoli RADIUS-kiszolgálócsoport, a hozzáadáshoz hajtsa végre az alábbi lépéseket.
-
A konzolfa RADIUS-ügyfelek és -kiszolgálók csomópontjában kattintson a jobb gombbal a Távoli RADIUS-kiszolgálócsoportok elemre, majd kattintson az Új parancsra.
-
A Csoportnév mezőbe írja be a távoli RADIUS-kiszolgálócsoport nevét, például: NAP állapotházirend-kiszolgáló1).
-
Kattintson a Hozzáadás gombra, majd a Kiszolgáló mezőbe írja be a helyi állapotjegyző által továbbított NAP IPsec ügyfélkapcsolat-kérelmek kiértékelésére használt hálózati házirend-kiszolgálót futtató kiszolgáló DNS-nevét vagy IP-címét.
-
Kattintson az Ellenőrzés, majd a Feloldás gombra. Ellenőrizze, hogy a megjelenített IP-cím megfelelő-e, majd kattintson az OK gombra.
-
Kattintson a Hitelesítés és nyilvántartás fülre.
-
A Közös titkos kulcs és a Közös titkos kulcs jóváhagyása mezőbe írja be a NAP állapotházirend-kiszolgálón a hálózati házirend-kiszolgáló beállításai között megadott kulcsot.
-
Kattintson kétszer az OK gombra.
-
A konzolfa RADIUS-ügyfelek és -kiszolgálók csomópontjában kattintson a jobb gombbal a Távoli RADIUS-kiszolgálócsoportok elemre, majd kattintson az Új parancsra.
A kiszolgálócsoport tulajdonságablakának RADIUS-kiszolgáló oszlopában kattintson a távoli RADIUS-kiszolgáló nevére, majd kattintson a Szerkesztés gombra.
A Cím lapon kattintson az Ellenőrzés gombra.
Az Ügyfél ellenőrzése párbeszédpanelen kattintson a Feloldás gombra. Ellenőrizze, hogy a RADIUS-ügyfél IP-címe megfelel-e a hálózat azon NAP állapotházirend-kiszolgálójának, amely a hálózati házirend-kiszolgálót futtató helyi kiszolgáló RADIUS-proxyjához van beállítva.
Kattintson az OK gombra, majd a Hitelesítés és nyilvántartás fülre.
Ellenőrizze, hogy a hitelesítési és a nyilvántartási port megfelelő-e. Az alapértelmezett hitelesítési port a 1812-es, az alapértelmezett nyilvántartási port pedig a 1813-as.
Csak akkor jelölje be A kérelemnek tartalmaznia kell az üzenethitelesítő attribútumot jelölőnégyzetet, ha a NAP állapotházirend-kiszolgálón engedélyezve van az üzenethitelesítő attribútum hozzáférés-kérési üzenetkövetelménye. Ha a NAP állapotházirend-kiszolgáló nem igényli az attribútumot, törölje a jelölőnégyzet jelölését.
Ha a közös titkos kulcs vélhetően nem megfelelő, a Közös titkos kulcs és a Közös titkos kulcs jóváhagyása mezőbe írja be a kulcsot, majd kattintson kétszer az OK gombra.
A hálózati házirend-kiszolgáló konzolfáján kattintson duplán a Házirendek csomópontra, majd kattintson a Kapcsolatkérelem-házirendek elemre.
A jobb oldali ablaktáblában kattintson duplán arra a kapcsolatkérelem-házirendre, amelyet az IPsec által védett NAP-ügyfelektől érkező hálózati hozzáférési kérelmek hitelesítésére használ.
A Beállítások lap Kapcsolatkérelem továbbítása csoportjában kattintson a Hitelesítés elemre.
Jelölje be A kérelmek továbbítása hitelesítéshez az alábbi távoli RADIUS-kiszolgálócsoporthoz választógombot, és ellenőrizze, hogy a kiválasztott távoli RADIUS-kiszolgálócsoport neve megfelel-e a hálózat NAP állapotházirend-kiszolgálójának.
Ismételje meg a lépéseket minden csoport és hálózati házirend-kiszolgálót futtató távoli kiszolgáló esetében.
Zárja be a Hálózati házirend-kiszolgáló konzolt.
További szempontok
Ha a kapcsolatkérelem-házirendhez és a hálózati házirendhez használt hálózati hozzáférési kiszolgáló típusa Meghatározatlan, a hálózati házirend-kiszolgáló ezt a házirendet használja a hálózati hozzáférési kiszolgálók minden típusától származó kapcsolatkérelmek kiértékeléséhez. Ha a hálózatelérési kiszolgáló típusa Állapotjegyző, a házirend csak az állapotjegyző-kiszolgáló által továbbított kapcsolatkérelmeket értékeli ki. Ha legalább egy engedélyezett házirend forrása Állapotjegyző, a hálózati házirend-kiszolgáló a Meghatározatlan forrással rendelkező összes házirendet figyelmen kívül hagyja az IPsec által védett NAP-ügyfélszámítógépek hálózati hozzáférési kérelmeinek feldolgozása során.