NAP yeteneği olan istemci bilgisayarlarının Ağ Erişimi Koruması (NAP) Internet Protokolü güvenliği (IPsec) zorlama yöntemi için yapılandırıldığını doğrulamak için bu işlemleri kullanın. NAP yeteneği olan bilgisayar; üzerinde NAP bileşenleri yüklü olan ve değerlendirme için Ağ İlkesi Sunucusu'na (NPS) sistem durumu bildirimleri göndererek (SoH) sistem durumunu doğrulayabilen bilgisayardır. NAP hakkında daha fazla bilgi için bkz. https://go.microsoft.com/fwlink/?LinkId=94393 (Bu sayfa İngilizce içeriğe sahip olabilir).

Domain Admins veya eşdeğer bir gruba üyelik, bu yordamı gerçekleştirmek için en düşük gerekliliktir. https://go.microsoft.com/fwlink/?LinkId=83477 adresinden uygun hesapları ve grup üyeliklerini kullanmayla ilgili ayrıntıları gözden geçirin.

NAP istemci bileşenlerini doğrulama

NAP bileşenleri NAP Aracısı hizmetini, bir veya daha fazla NAP zorlama istemcisini ve en azından bir sistem durumu aracısı (SHA) içerir. Yüklü SHA'yı destekliyorsa diğer hizmetler de gerekebilir. Bu bileşenlerin tümü NAP istemci bilgisayarının sistem durumunu sürekli olarak izlemek ve değerlendirme için NAP sunucularının durumunu vermek için birlikte çalışırlar.

NAP Aracısı

NAP Aracısı hizmeti istemci bilgisayarındaki sistem durumu bilgilerini toplar ve yönetir. NAP aracısı yüklü tüm SHA'lardaki SoH'leri işler ve istemci sistem durumunu zorlama istemcilerine raporlar. İstemci bilgisayarlarının sistem durumu sertifikalarını isteme veya alma amacıyla için etkinleştirmek için NAP Aracısı çalışabilir olmalıdır.

NAP Aracısı hizmetinin başlatıldığını doğrulamak için
  1. Başlat menüsünden, Denetim Masası'nı, Sistem ve Bakım'ı, Yönetimsel Araçlar'ı tıklatın ve Hizmetler'i çift tıklatın.

  2. Hizmetler listesinde, Adı altından, Ağ Erişimi Koruması Aracısı'nı çift tıklatın.

  3. Hizmet durumunun Başlatıldı olduğunu ve Başlangıç türü kısmının Otomatik olarak ayarlandığını doğrulayın.

  4. Hizmet başlatılmamışsa, Başlangıç türü'nün yanında Otomatik'i seçin ve ardından Başlat'ı tıklatın.

  5. Ağ Erişimi Koruması Özellikleri iletişim kutusunu kapatmak için Tamam’ı tıklatın.

  6. Hizmet konsolunu kapatın.

Not

NAP Aracısı hizmetinin başlatılması SHA'ları otomatik olarak yeniden başlatır ve bilgisayar yeni bir sistem durumu sertifikası almaya çalışır. NAP sorunlarını gidermede bu kullanışlı olabilir.

NAP IPsec zorlama istemcisi

NAP IPsec zorlama istemcisi, tüm istemci bilgisayarlarda yüklü ve etkin olmalıdır. NAP zorlama istemcisi ağa erişim ister ve istemci bilgisayarın sistem durumunu NAP istemci mimarisinin diğer bileşenlerine iletir. NAP IPsec zorlama istemcisi, istemci bilgisayardaki sertifika deposuyla etkileşime geçerek IPsec korumalı ağlarına erişimi kısıtlar.

NAP IPsec zorlama istemcisinin başlatıldığını doğrulamak için
  1. Başlat'ı tıklatın, Tüm Programlar'ın üzerine gelin, Donatılar'ı ve ardından Komut İstemi'ni tıklatın.

  2. Komut isteminde, netsh nap client show state yazıp ENTER tuşuna basın. Bu komut, istemci bilgisayarın NAP durumunu görüntüler.

  3. Komut çıkışında, Zorlama istemcisi durumu altında, IPsec'in Bağlı Olduğu Taraf durumunun Başlatıldı = Evet olduğunu doğrulayın.

IPsec istemci yapılandırmasını kapatma

NAP istemcileri NAP sunucu bileşenleriyle iletişim kurmasını sağlayacak ayarlarla yapılandırılmalıdır. Grup İlkesi, NAP İstemci Yapılandırma konsolu veya komut satırını kullanarak bu ayarları yapılandırabilirsiniz. IPsec zorlama yöntemi için, NAP istemci ayarları İstek İlkesi ve Güvenilen Sunucu Grupları'nı içerir.

İstek ilkesi

NAP istemci bilgisayarlarında varsayılan istek ilkesi ayarlarını değiştirmenize gerek yoktur. Bu ayarlar değişirse, benzer ayarların NAP sunucularınızda etkin olduğunu doğrulamak önemlidir. Varsayılan olarak, NAP özelliği olan bir istemci bilgisayar, iletişimi şifrelemek için karşılıklı olarak kabul edilebilir bir varsayılan güvenlik düzeneğini kullanarak NAP sunucusuyla anlaşma işlemi başlatır. Varsayılan istek ilkesi ayarlarını kullanmanızı öneririz.

İstek ilkesi ayarlarını görüntülemek için
  1. Başlat'ı tıklatın, Tüm Programlar'ın üzerine gelin, Donatılar'ı ve ardından Komut İstemi'ni tıklatın.

  2. NAP istemci ayarlarını dağıtmak için Grup İlkesi kullanılıyorsa, komut isteminde, netsh nap client show group yazıp ENTER'a basın. NAP istemci ayarlarını dağıtmak için yerel ilke kullanılıyorsa, komut isteminde, netsh nap client show config yazıp ENTER'a basın. Bu komutlar, Grup İlkesi'ni ve istemci bilgisayarlardaki yerel ilke NAP yapılandırma ayarlarını görüntüler.

  3. Komut çıkışında, Şifreleme hizmet sağlayıcısı (CSP) ve Karma algoritma ayarlarının HRA'da yapılandırılan ayarlara karşılık geldiğini doğrulayın. Varsayılan şifreleme hizmet sağlayıcısı, Microsoft RSA SChannel Şifreleme Sağlayıcısı, anahtar uzunluğu = 2048 şeklindedir. Varsayılan karma algoritma, sha1RSA (1.3.14.3.2.29) şeklindedir.

Güvenilen sunucu grupları

Güvenilen sunucu grupları, NAP istemci bilgisayarlarının sistem durumu sertifika isteklerini işlemek için HRA tarafından kullanılan Web siteleriyle bağlantı kurabilmesi için istemci sistem durumu kayıt ayarları içinde yapılandırılır. Güvenilen sunucu grupları yapılandırılmamışsa ya da yanlış yapılandırılmışsa, NAP istemci bilgisayarları sistem durumu sertifikalarını alamazlar.

Güvenilir sunucu gruplarının yapılanışını doğrulamak için
  1. Başlat'ı tıklatın, Tüm Programlar'ın üzerine gelin, Donatılar'ı ve ardından Komut İstemi'ni tıklatın.

  2. NAP istemci ayarlarını dağıtmak için Grup İlkesi kullanılıyorsa, komut isteminde, netsh nap client show group yazıp ENTER'a basın. NAP istemci ayarlarını dağıtmak için yerel ilke kullanılıyorsa, komut isteminde, netsh nap client show config yazıp ENTER'a basın. Bu komutlar, Grup İlkesi'ni ve istemci bilgisayarlardaki yerel ilke NAP yapılandırma ayarlarını görüntüler.

  3. Komut çıkışında, Güvenilen sunucu grubu yapılandırması altında, yapılandırmanın İşleme sırası, Grup, Gerekli Https ve URL yanındaki girişler için doğru olduğunu doğrulayın.

Not

Bir NAP istemci bilgisayarı sistem durumu sertifikasını, kullanılamaz olarak işaretlenmiş sunucular dışında yapılandırılmış tüm güvenilen sunucu gruplarındaki ilk URL'den elde etmeye çalışır. Daha fazla bilgi için bkz. IIS Yapılandırmasını Doğrulama ve HRA Kimlik Doğrulama Gereksinimlerini Anlama.

NAP istemci olaylarını gözden geçirme

NAP istemcisi olaylarındaki bilgileri gözden geçirme sorun gidermede size yardımcı olabilir. NAP istemci işlevselliğini anlamada da size yardımcı olabilir.

NAP istemci olaylarını Olay Görüntüleyicisi'nde görüntülemek için
  1. (Başlat'ı tıklatın, Tüm Programlar'ın üzerine gelin, Donatılar'ı tıklatın ve ardından Çalıştır'ı tıklatın.

  2. eventvwr.msc yazın ve ardından ENTER'a basın.

  3. Sol ağaçta, Olay Görüntüleyicisi(Yerel)\Uygulama ve Hizmet Günlükleri\Microsoft\Windows\Ağ Erişimi Koruması\Çalışıyor düğümüne gidin.

  4. Orta bölmede bir olay günlüğünü tıklatın.

  5. Varsayılan olarak Genel sekmesi görüntülenir. Ek bilgi görüntülemek için Ayrıntılar sekmesini tıklatın.

  6. Olayları görüntülemek üzere yeni bir pencere açmak için bir olayı sağ tıklattıktan sonra Olay Özellikleri'ni de tıklatabilirsiniz.

Ek başvurular