Pomocí tohoto postupu je možné ověřit, zda jsou klientské počítače umožňující architekturu NAP nakonfigurovány pro metodu vynucení protokolu IPsec (Internet Protocol security) architektury NAP (Network Access Protection). Počítač umožňující architekturu NAP je počítač, ve kterém jsou nainstalovány součásti architektury NAP a který může ověřit svůj stav odesláním prohlášení o stavu (SoH) na server NPS (Network Policy Server) k vyhodnocení. Další informace o architektuře NAP naleznete na adrese https://go.microsoft.com/fwlink/?LinkId=94393 (stránka může být v angličtině).

Minimálním požadavkem k provedení tohoto postupu je členství ve skupině Domain Admins nebo ve skupině s ekvivalentními oprávněními. Podrobnosti o používání příslušných účtů a členství ve skupinách naleznete na adrese https://go.microsoft.com/fwlink/?LinkId=83477 (stránka může být v angličtině).

Ověření součástí klienta NAP

K součástem architektury NAP patří služba Agent NAP, jeden nebo více klientů vynucení NAP (NAP Enforcement Client) a alespoň jeden agent stavu systému (SHA). Mohou být požadovány i další služby (podporují-li nainstalovaného agenta SHA). Všechny tyto součásti spolupracují na neustálém sledování stavu klientského počítače NAP a poskytují tento stav serverům NAP k vyhodnocení.

Agent NAP

Služba Agent NAP shromažďuje a spravuje informace o stavu klientského počítače. Agent NAP rovněž zpracovává prohlášení o stavu (SoH) ze všech nainstalovaných agentů stavu systému (SHA) a hlásí stav klienta klientům vynucení. Agent NAP musí být v provozu, aby mohly klientské počítače vyžadovat či přijímat certifikáty stavu.

Ověření spuštění služby Agent NAP
  1. Klikněte na tlačítko Start, klikněte na příkaz Ovládací panely, klikněte na položku Systém a údržba, klikněte na položku Nástroje pro správu a dvakrát klikněte na položku Služby.

  2. V seznamu služeb dvakrát klikněte ve sloupci Název na položku Agent architektury NAP (Network Access Protection).

  3. Ověřte, zda Stav služby je Spuštěno a Typ spouštění je nastaven na Automaticky.

  4. Pokud služba není spuštěná, vyberte jako Typ spouštění možnost Automaticky a pak klikněte na možnost Spustit.

  5. Kliknutím na tlačítko OK zavřete dialogové okno Architektura NAP - vlastnosti.

  6. Zavřete konzolu Služby.

Poznámka

Po restartování služby Agent NAP budou automaticky znovu inicializováni agenti stavu systému (SHA) a počítač se pokusí získat nový certifikát stavu. To lze využít při odstraňování potíží s architekturou NAP.

Klient vynucení protokolu IPsec architektury NAP

V klientských počítačích musí být povolen klient vynucení protokolu IPsec architektury NAP. Klient vynucení architektury NAP požaduje přístup k síti a sděluje stav klientského počítače dalším součástem architektury klienta NAP. Klient vynucení protokolu IPsec architektury NAP omezuje přístup k sítím chráněným pomocí protokolu IPsec tím, že komunikuje s úložištěm certifikátů v klientském počítači.

Ověření inicializace klienta vynucení protokolu IPSec architektury NAP
  1. Klikněte na tlačítko Start, přejděte na příkaz Všechny programy, klikněte na položku Příslušenství a klikněte na položku Příkazový řádek.

  2. Na příkazovém řádku zadejte příkaz netsh nap client show state a stiskněte klávesu ENTER. Tento příkaz zobrazí stav architektury NAP klientského počítače.

  3. Ve výstupu příkazového řádku ověřte v části Stav klienta vynucení, zda je u možnosti Předávající strana protokolu IPSec nastaven stav Inicializováno = Ano.

Ověření konfigurace klienta IPsec

U klientů NAP musí být nakonfigurováno nastavení, které jim umožňuje komunikovat se součástmi serveru NAP. Toto nastavení můžete nakonfigurovat pomocí Zásad skupiny, pomocí konzoly Konfigurace klienta NAP nebo pomocí příkazového řádku. V případě metody vynucení protokolu IPsec zahrnuje nastavení klienta NAP tato nastavení: nastavení zásad požadavku a nastavení skupin důvěryhodných serverů.

Zásady požadavku

Výchozí nastavení zásad požadavku v klientských počítačích NAP není nutné měnit. Pokud se toto nastavení změní, je důležité zajistit, aby bylo na serverech NAP povoleno podobné nastavení. Klientský počítač podporující architekturu NAP zahajuje ve výchozím nastavení proces vyjednávání se serverem NAP pomocí vzájemně přijatelného výchozího mechanismu zabezpečení pro šifrovanou komunikaci. Doporučujeme používat výchozí nastavení zásad požadavku.

Zobrazení nastavení zásad požadavku
  1. Klikněte na tlačítko Start, přejděte na příkaz Všechny programy, klikněte na položku Příslušenství a klikněte na položku Příkazový řádek.

  2. Pokud jsou k nasazení nastavení klienta NAP použity zásady skupiny, zadejte na příkazovém řádku příkaz netsh nap client show group a stiskněte klávesu ENTER. Pokud jsou k nasazení nastavení klienta NAP použity místní zásady, zadejte na příkazovém řádku příkaz netsh nap client show config a stiskněte klávesu ENTER. Tyto příkazy zobrazí nastavení konfigurace architektury NAP pro zásady skupiny a místní zásady v klientských počítačích.

  3. Ve výstupu příkazového řádku ověřte, zda nastavení Zprostředkovatel kryptografických služeb (CSP) a Algoritmus hash odpovídá nastavení nakonfigurovanému pro autoritu pro registraci stavu (HRA). Výchozí zprostředkovatel kryptografických služeb (CSP) je Microsoft RSA SChannel Cryptographic Provider, keylength = 2048. Výchozí algoritmus hash je sha1RSA (1.3.14.3.2.29).

Skupiny důvěryhodných serverů

Skupiny důvěryhodných serverů se konfigurují v rámci nastavení registrace stavu klientů, aby klientské počítače NAP mohly kontaktovat webové servery používané autoritou pro registraci stavu (HRA) ke zpracování žádostí o certifikáty stavu. Pokud nejsou skupiny důvěryhodných serverů nakonfigurovány nebo jsou nakonfigurovány nesprávně, nepodaří se klientským počítačům NAP získat certifikáty stavu.

Ověření konfigurace skupin důvěryhodných serverů
  1. Klikněte na tlačítko Start, přejděte na příkaz Všechny programy, klikněte na položku Příslušenství a klikněte na položku Příkazový řádek.

  2. Pokud jsou k nasazení nastavení klienta NAP použity zásady skupiny, zadejte na příkazovém řádku příkaz netsh nap client show group a stiskněte klávesu ENTER. Pokud jsou k nasazení nastavení klienta NAP použity místní zásady, zadejte na příkazovém řádku příkaz netsh nap client show config a stiskněte klávesu ENTER. Tyto příkazy zobrazí nastavení konfigurace architektury NAP pro zásady skupiny a místní zásady v klientských počítačích.

  3. Ve výstupu příkazového řádku ověřte v části Konfigurace skupiny důvěryhodných serverů správnost konfigurace u položek Pořadí zpracování, Skupina, Požadovat Https a Adresa URL.

Poznámka

Klientský počítač NAP se pokusí získat certifikát stavu z první adresy URL ve všech nakonfigurovaných skupinách důvěryhodných serverů (pokud nebyl tento server označen jako nedostupný). Další informace naleznete v tématech Ověření konfigurace služby IIS a Principy požadavků autority pro registraci stavu (HRA) na ověřování.

Zobrazení událostí klienta NAP

Zobrazení informací obsažených v událostech klienta NAP může přispět k řešení problémů. Pomůže vám také pochopit, jak klient NAP funguje.

Zobrazení událostí klienta NAP v Prohlížeči událostí
  1. Klikněte na tlačítko Start, přejděte na příkaz Všechny programy, klikněte na položku Příslušenství a klikněte na položku Spustit.

  2. Zadejte eventvwr.msc a stiskněte klávesu ENTER.

  3. V levém stromu přejděte do uzlu Prohlížeč událostí (Místní)\Protokoly aplikací a služeb\Microsoft\Windows\Architektura NAP (Network Access Protection)\Funkční.

  4. V prostředním podokně klikněte na událost.

  5. Ve výchozím nastavení se zobrazí karta Obecné. Chcete-li zobrazit další informace, klikněte na kartu Podrobnosti.

  6. Rovněž můžete kliknout na událost pravým tlačítkem a poté kliknutím na příkaz Vlastnosti události otevřít nové okno pro zobrazení událostí.

Další informace