De statusregistratieautoriteit (HRA) biedt een service voor het NAP-platform (Network Access Protection) waarnaar doorgaans wordt verwezen als registratieautoriteit in een X.509 PKI (Public Key Infrastructure). Als registratieautoriteit is HRA verantwoordelijk voor het valideren van clientreferenties en het namens de client doorsturen van een certificaataanvraag naar een certificeringsinstantie. HRA valideert certificaataanvragen door de NPS (Network Policy Server) te controleren om vast te stellen of de NAP-client compatibel is met vereisten ten aanzien van de netwerkstatus. Als wordt vastgesteld dat de client compatibel is, vraagt HRA een speciaal soort certificaat aan bij de certificeringsinstantie, namelijk een statuscertificaat. Het statuscertificaat wordt door NAP-clientcomputers gebruikt om te communiceren in een met IPsec beveiligd netwerk. In deze hoedanigheid fungeert HRA als een server voor het afdwingen van NAP via de methode NAP IPsec (Internet Protocol security) Enforcement.
Belangrijke basisbegrippen
Bekijk de volgende basisbegrippen voor een inzicht van de rol van HRA in een NAP-implementatie.
-
Statuscertificaten
X.509-certificaten die aan NAP-clientcomputers worden uitgegeven en die worden gebruikt als bewijs van compatibiliteit met vereisten ten aanzien van de netwerkstatus. De NAP-clientcomputer verkrijgt een statuscertificaat door een statusverklaring aan HRA aan te bieden. De NAP-client controleert de status continu en verwijdert het statuscertificaat als de client niet meer compatibel is. Statuscertificaten kunnen worden gebruikt om NAP-clients te verifiëren bij het initiëren van met IPsec beveiligde communicatie met andere NAP-clients in een intranet. NAP IPsec Enforcement beperkt de communicatie voor IPsec NAP-clients door het afwijzen van binnenkomende communicatiepogingen die afkomstig zijn van computers zonder statuscertificaat.
-
NAP-certificeringsinstanties
Servers waarop AD CS (Active Directory® Certificate Services) wordt uitgevoerd, die X.509-certificaten hosten en deze uitvaardigen aan NAP-clients wanneer is vastgesteld dat deze compatibel zijn met vereisten ten aanzien van de netwerkstatus. U moet een of meer certificeringsinstanties opgeven die NAP-statuscertificaten kunnen uitvaardigen. Zie NAP-certificeringsinstanties configureren en CA-configuratie verifiëren voor meer informatie.
-
HRA-aanvraagbeleid
Instellingen die bepalen op welke manier clients met HRA mogen communiceren bij het aanvragen van statuscertificaten. U kunt HRA-aanvraagbeleid aanpassen door de instellingen voor cryptografiebeleid en transportbeleid aan te passen. U hoeft de instellingen voor HRA-aanvraagbeleid niet te wijzigen. Hiervoor worden de standaardinstellingen aanbevolen. Als u deze instellingen wilt wijzigen, moet u ervoor zorgen dat dezelfde instellingen worden geconfigureerd op zowel HRA-servers als NAP-clientcomputers. Zie Aanvraagbeleid voor HRA, Cryptografiebeleid voor HRA configureren en Transportbeleid voor HRA configureren voor meer informatie.
-
Internet Information Services (IIS)
Een set innternetservices die automatisch wordt geïnstalleerd wanneer u HRA installeert. De IIS-service biedt een HTTP/HTTPS-interface voor NAP-clients om contact op te nemen met de HRA-server en statuscertificaten aan te vragen. IIS verwerkt deze aanvragen met behulp van een ISAPI-uitbreiding (Internet Server Application Programming Interface) die kan worden aangeboden aan anonieme gebruikers of gebruikers met beperkte toegang die geverifieerd zijn bij het domein. Zie Verificatievereisten voor HRA en IIS-configuratie verifiëren voor meer informatie.
-
Network Policy Server (NPS)
De Microsoft-implementatie van een RADIUS-server (Remote Authentication Dial-In User Service) en -proxy. Als NPS nog niet wordt uitgevoerd op uw server, wordt deze service automatisch geïnstalleerd wanneer u HRA installeert. U kunt NPS op uw HRA-server configureren als NAP-statusbeleidsserver of als NPS-proxy. Wanneer u NPS configureert als een NAP-statusbeleidsserver, moet u tevens NAP-beleid en instellingen configureren, waaronder:
-
Beleidsinstellingen voor verbindingsaanvragen: voorwaarden en instellingen die aanvragen voor netwerktoegang valideren en aangeven waar de validering plaatsvindt.
-
Netwerkbeleid: voorwaarden, beperkingen en instellingen waarmee u kunt opgeven wie verbinding kan maken met het netwerk.
-
Instellingen voor statusbeleid: vereisten ten aanzien van de systeemstatus die definiëren welke SHV's (System Health Validators, systeemstatuscontroles) worden gebruikt bij het valideren van de configuratie van computers die verbinding proberen te krijgen met uw netwerk.
-
System Health Validator (SHV): een softwarematige tegenhanger van een System Health Agent (SHA) op een NAP-statusbeleidsserver. SHV's definiëren de configuratievereisten van computers die verbinding proberen te krijgen met uw netwerk.
-
Beleidsinstellingen voor verbindingsaanvragen: voorwaarden en instellingen die aanvragen voor netwerktoegang valideren en aangeven waar de validering plaatsvindt.
Wanneer u NPS configureert als een RADIUS-proxy, moet u netwerkconnectiviteit met externe groepen RADIUS-servers verifiëren en de configuratie daarvan als NAP-statusbeleidsservers valideren. Zie NPS-configuratie verifiëren voor meer informatie.