Server NPS (Network Policy Server) je centrální server, který se používá u všech metod vynucení architektury NAP (Network Access Protection) k vyhodnocování žádostí klientů NAP o přístup. Na serveru NPS jsou definovány požadavky na stav sítě pomocí zásad, které povolují nebo omezují přístup klientských počítačů NAP na základě jejich stavu. Server služby NPS, který je hostitelem těchto zásad NAP, se nazývá server zásad stavu NAP. V závislosti na nasazení může v síti existovat jeden nebo více serverů zásad stavu NAP. K definování a vynucení požadavků na stav sítě používá server zásad stavu NAP klienty RADIUS, zásady vyžádání nového připojení, zásady sítě, zásady stavu a validátory stavu systému (SHV).
Při instalaci autority pro registraci stavu (HRA) se do téhož počítače automaticky nainstaluje server NPS. Pokud nasadíte více autorit pro registraci stavu (HRA) a dáte přednost centralizaci vyhodnocování zásad tím, že umístíte zásady stavu NAP do jiného počítače, je nutné nakonfigurovat místní server se spuštěným serverem NPS jako proxy server RADIUS. Použijete-li server NPS jako proxy server RADIUS, budou nakonfigurovány zásady vyžádání nového připojení, které dají místnímu serveru se spuštěným serverem NPS pokyn, aby předával žádosti o přístup k síti skupinám vzdálených serverů RADIUS k vyhodnocení.
Další informace o serveru NPS naleznete na adrese
Minimálním požadavkem k provedení tohoto postupu je členství ve skupině Domain Admins nebo ve skupině s ekvivalentními oprávněními. Podrobnosti o používání příslušných účtů a členství ve skupinách naleznete na adrese
Ověření konfigurace serveru zásad stavu NAP
K ověření konfigurace místního serveru se spuštěným serverem NPS jako serveru zásad stavu NAP použijte následující postupy. Pokud je místní server HRA nakonfigurován jako proxy server RADIUS, přečtěte si část Ověření konfigurace proxy serveru NPS.
Klienti RADIUS
Pokud jste nakonfigurovali vzdálené servery HRA jako proxy servery RADIUS, které předávají žádosti o připojení místnímu serveru se spuštěným serverem NPS k vyhodnocení, musí mít místní server se spuštěným serverem NPS pro každý vzdálený server HRA odpovídající položku klienta RADIUS. Vynucení protokolu IPsec architektury NAP nevyžaduje klienty RADIUS v případě, že všechny servery HRA jsou zároveň servery zásad stavu NAP. Pokud používáte servery HRA, u kterých je server NPS nakonfigurován jako proxy server RADIUS, ověřte následujícím postupem, zda jsou klienti RADIUS na místním serveru se spuštěným serverem NPS správně nakonfigurováni, aby tento server mohl zpracovávat žádosti klientů o připojení přijaté vzdálenými servery HRA.
Postup ověření klientů RADIUS |
Klikněte na tlačítko Start, klikněte na příkaz Spustit, zadejte příkaz nps.msc a stiskněte klávesu ENTER.
Ve stromu konzoly NPS dvakrát klikněte na položku Klienti a servery RADIUS a pak klikněte na položku Klienti RADIUS.
V podokně podrobností dvakrát klikněte na popisný název klienta RADIUS, který odpovídá serveru HRA se spuštěným serverem NPS nainstalovaným a nakonfigurovaným jako proxy server RADIUS. Pokud žádná položka klienta RADIUS neexistuje, vytvořte následujícím postupem nového klienta RADIUS. Tento postup se používá pouze tehdy, jsou-li vzdálené servery HRA nakonfigurovány tak, aby předávaly žádosti o připojení místnímu serveru se spuštěným serverem NPS.
-
Pravým tlačítkem myši klikněte na položku Klienti RADIUS a potom klikněte na příkaz Nový.
-
Do pole Popisný název zadejte název klienta RADIUS, například HRA-1.
-
Do pole Adresa (IP nebo DNS) zadejte IP adresu nebo název DNS vzdáleného serveru HRA, klikněte na tlačítko Ověřit a pak na tlačítko Přeložit.
-
Zkontrolujte, zda zobrazená IP adresa odpovídá správnému vzdálenému serveru HRA, a klikněte na tlačítko OK.
-
Do polí Sdílený tajný klíč a Potvrzení sdíleného tajného klíče zadejte tajný klíč, který je nakonfigurován v nastavení skupiny vzdálených serverů RADIUS na vzdáleném serveru HRA.
-
Pokud je na vzdáleném serveru HRA v nastavení konfigurace skupiny vzdálených serverů RADIUS povolen atribut ověřovacích dat zprávy, zaškrtněte políčko Zpráva se žádostí o přístup musí obsahovat atribut ověřovacích dat zprávy. Není-li na vzdáleném serveru HRA tato možnost povolena, zrušte zaškrtnutí tohoto políčka.
-
Zaškrtněte políčko Klient RADIUS umožňuje architekturu NAP a klikněte na tlačítko OK.
-
Pokračujte v aktuálním postupu a ověřte konfiguraci nového klienta RADIUS.
-
Pravým tlačítkem myši klikněte na položku Klienti RADIUS a potom klikněte na příkaz Nový.
V okně Vlastnosti ověřte, zda je zaškrtnuto políčko Povolit tohoto klienta RADIUS.
Ověřte, zda je zaškrtnuto políčko Klient RADIUS umožňuje architekturu NAP.
Pokud je vzdálený server HRA nakonfigurován tak, aby vyžadoval, aby žádosti o přístup obsahovaly atribut ověřovacích dat zprávy, ověřte, zda je zaškrtnuto políčko Zpráva se žádostí o přístup musí obsahovat atribut ověřovacích dat zprávy. Jinak ověřte, zda je zaškrtnutí tohoto políčka zrušeno.
U položky Název dodavatele ověřte, zda je vybrána možnost RADIUS Standard.
Zkontrolujte, zda název DNS nebo IP adresa v poli Adresa (IP nebo DNS) odpovídá správnému vzdálenému serveru HRA, a klikněte na tlačítko Ověřit.
V dialogovém okně Ověřit klienta klikněte na tlačítko Přeložit.
Zkontrolujte, zda IP adresa v poli IP adresa odpovídá serveru HRA, který je nakonfigurován k předávání žádostí místnímu serveru se spuštěným serverem NPS, a zda se tento místní server se spuštěným serverem NPS může k této síťové IP adrese připojit.
Klikněte na tlačítko OK. Existuje-li podezření na neshodu v zadání sdíleného tajného klíče, zadejte tajný klíč do polí Sdílený tajný klíč a Potvrzení sdíleného tajného klíče a pak klikněte na tlačítko OK.
Tento postup opakujte pro každý server HRA v síti nakonfigurovaný tak, aby předával žádosti o připojení místnímu serveru NPS ke zpracování.
Zásady vyžádání nového připojení
Zásady vyžádání nového připojení jsou podmínky a nastavení, které slouží k ověřování žádostí o přístup k síti a určují, kde bude ověřování probíhat. Následující postup můžete použít ke kontrole, zda jsou na místním serveru se spuštěným serverem NPS nakonfigurovány zásady vyžádání nového připojení pro vynucení protokolu IPsec architektury NAP.
Postup ověření zásad vyžádání nového připojení |
Ve stromu konzoly NPS dvakrát klikněte na položku Zásady a pak klikněte na položku Zásady vyžádání nového připojení.
V podokně podrobností dvakrát klikněte na zásady vyžádání nového připojení, které se používají k ověřování žádostí o přístup k síti přicházejících od klientů NAP chráněných protokolem IPsec. Nejsou-li tyto zásady zobrazeny, vytvořte zásady vyžádání nového připojení následujícím postupem.
-
Klikněte pravým tlačítkem myši na položku Zásady vyžádání nového připojení a pak klikněte na příkaz Nový.
-
Do pole Název zásady zadejte název zásady vyžádání nového připojení (například NAP IPsec s HRA).
-
Jako Typ serveru pro přístup k síti vyberte možnost Autorita pro registraci stavu (Health Registration Authority) a klikněte na tlačítko Další.
-
Zásady vyžádání nového připojení vyžadují, aby byla zadána alespoň jedna podmínka. Chcete-li přidat podmínku, která neodepře žádné příchozí žádosti o přístup, klikněte na stránce Zadat podmínky na tlačítko Přidat.
-
V okně Vybrat podmínku klikněte na možnost Omezení data a času a pak klikněte na tlačítko Přidat.
-
V okně Omezení denní doby vyberte možnost Povoleno. Ověřte, zda jsou povoleny všechny dny a časy, klikněte na tlačítko OK a poté na tlačítko Další.
-
Jestliže je místní server se spuštěným serverem NPS serverem zásad stavu NAP, ověřte, zda je vybrána možnost Ověřit požadavky tímto serverem, třikrát klikněte na tlačítko Další a pak klikněte na tlačítko Dokončit. Bude-li místní server se spuštěným serverem NPS předávat žádosti jinému serveru k vyhodnocení, přečtěte si část Ověření konfigurace proxy serveru NPS.
-
Klikněte pravým tlačítkem myši na položku Zásady vyžádání nového připojení a pak klikněte na příkaz Nový.
Na kartě Přehled zkontrolujte, zda je zaškrtnuto políčko Povolit zásadu.
Na kartě Přehled ověřte, zda je Typ serveru pro přístup k síti nastaven na možnost Autorita pro registraci stavu (Health Registration Authority) nebo Neurčený. Další informace o zadání typu serveru pro přístup naleznete dále v tomto tématu v části Další informace.
Klikněte na kartu Podmínky a ověřte, zda všechny nakonfigurované podmínky odpovídají klientům NAP splňujícím požadavky i klientům NAP nesplňujícím požadavky. Například Omezení data a času mohou být nakonfigurována tak, aby umožňovala přístup k síti pouze v zadaných dnech a časech.
Klikněte na kartu Nastavení. V části Požadované metody ověřování klikněte na možnost Metody ověřování a ověřte, zda je zrušeno zaškrtnutí políčka Přepsat nastavení ověřování v zásadách sítě.
V části Přesměrování požadavku na připojení klikněte na možnost Ověřování.
Chcete-li místní server se spuštěným serverem NPS povolit jako server zásad stavu NAP, ověřte, zda je vybrána možnost Ověřit požadavky tímto serverem.
Kliknutím na tlačítko OK zavřete stránku vlastností.
Zásady sítě
Zásady sítě používají podmínky, nastavení a omezení k tomu, aby určily, kdo se může připojit k síti. Aby bylo možné hodnotit stav klientů NAP, musí existovat alespoň jedna zásada sítě, která bude platit pro počítače splňující požadavky na stav, a alespoň jedna zásada sítě, která bude platit pro počítače nesplňující požadavky. Následujícím postupem můžete ověřit, zda jsou vytvořeny a nakonfigurovány tyto zásady pro vynucení protokolu IPsec architektury NAP.
Postup ověření zásad sítě |
Ve stromu konzoly NPS dvakrát klikněte na položku Zásady a pak klikněte na položku Zásady sítě.
V podokně podrobností ověřte, zda existuje alespoň jedna zásada pro počítače splňující požadavky a jedna zásada pro počítače nesplňující požadavky a zda tyto zásady mají Stav nastaven na Povoleno. Zásadu povolíte tak, že kliknete pravým tlačítkem myši na její název a pak kliknete na příkaz Povolit. Nejsou-li tyto zásady zobrazeny, vytvořte zásady sítě následujícím postupem.
-
Pravým tlačítkem myši klikněte na položku Zásady sítě a potom klikněte na příkaz Nová.
-
Do pole Název zásady zadejte název zásady sítě (například NAP IPsec s HRA splňující požadavky nebo NAP IPsec s HRA nesplňující požadavky).
-
Jako Typ serveru pro přístup k síti vyberte možnost Autorita pro registraci stavu (Health Registration Authority) a klikněte na tlačítko Další.
-
Na stránce Zadat podmínky klikněte na tlačítko Přidat.
-
V okně Vybrat podmínku klikněte na možnost Zásady stavu a pak klikněte na tlačítko Přidat.
-
Bude-li tato zásada sítě platit pro klientské počítače splňující požadavky, vyberte v části Zásady stavu zásadu stavu, která byla nakonfigurována tak, aby odpovídala stavu klientů splňujících požadavky, a pak klikněte na tlačítko OK.
-
Bude-li tato zásada sítě platit pro klientské počítače nesplňující požadavky, vyberte v části Zásady stavu zásadu stavu, která byla nakonfigurována tak, aby odpovídala stavu klientů nesplňujících požadavky, a pak klikněte na tlačítko OK.
-
Klikněte na tlačítko Další, vyberte možnost Udělit přístup a klikněte na tlačítko Další.
-
Na stránce Konfigurovat metody ověřování zaškrtněte políčko Provést pouze kontrolu stavu počítače a pak dvakrát klikněte na tlačítko Další.
-
Na stránce Konfigurovat nastavení klikněte na možnost Vynucení architektury NAP.
-
Zvolte pro tuto zásadu režim vynucení. Další informace naleznete v části Režimy vynucení architektury NAP dále v této kapitole.
-
Chcete-li povolit automatickou nápravu klientů nesplňujících požadavky, zaškrtněte políčko Povolit automatickou nápravu klientských počítačů. Nechcete-li povolit automatickou nápravu, zrušte zaškrtnutí tohoto políčka.
-
Klikněte na tlačítko Další a poté na tlačítko Dokončit.
-
Pokračujte v aktuálním postupu a ověřte konfiguraci nové zásady sítě.
-
Pravým tlačítkem myši klikněte na položku Zásady sítě a potom klikněte na příkaz Nová.
V podokně podrobností ověřte, zda je pro dané nasazení správně nakonfigurováno Pořadí zpracování zásad. Konkrétnější zásady se zpracovávají dříve než obecnější zásady. Chcete-li změnit pořadí zásad, klikněte pravým tlačítkem myši na název zásady a pak klikněte na příkaz Nahoru nebo Dolů.
V podokně podrobností ověřte, zda je u zásad NAP pro klienty splňující požadavky i pro klienty nesplňující požadavky nakonfigurován Typ přístupu jako Udělit přístup. Chcete-li konfigurovat oprávnění k přístupu, klikněte pravým tlačítkem myši na název zásady, klikněte na příkaz Vlastnosti, klikněte na kartu Přehled a vyberte možnost Udělit přístup.
V podokně podrobností ověřte, zda Zdroj zásad sloužících ke zpracování klientů NAP chráněných protokolem IPsec je Autorita pro registraci stavu (Health Registration Authority) nebo Neurčený. Další informace o zadání typu serveru pro přístup naleznete dále v tomto tématu v části Další informace.
V podokně podrobností dvakrát klikněte na název zásady sítě sloužící pro klienty splňující požadavky a pak klikněte na kartu Podmínky.
Ověřte, zda alespoň jedna z určených podmínek je Zásada stavu a zda Hodnota odpovídá zásadě stavu, kterou jste nakonfigurovali, aby odpovídala stavu klientů splňujících požadavky. Pokud tato podmínka není zobrazena, proveďte následující kroky.
-
Klikněte na tlačítko Přidat, klikněte na možnost Zásady stavu a pak klikněte na tlačítko Přidat.
-
V seznamu Zásady stavu vyberte zásadu, která odpovídá stavu klientů splňujících požadavky, a pak klikněte na tlačítko OK. Nejsou-li zásady stavu k dispozici, ověřte zásady stavu a zopakujte tento postup.
-
Klikněte na tlačítko Přidat, klikněte na možnost Zásady stavu a pak klikněte na tlačítko Přidat.
Klikněte na kartu Omezení a pak klikněte na možnost Metody ověřování.
Ověřte, zda je zaškrtnuto políčko Provést pouze kontrolu stavu počítače.
Klikněte na kartu Nastavení a pak klikněte na možnost Vynucení architektury NAP.
Ověřte, zda je pro zásadu sítě platnou pro klienty splňující požadavky vybrána možnost Povolit úplný přístup k síti, a klikněte na tlačítko OK. Ověření zásady sítě platné pro klienty splňující požadavky je tím dokončeno.
V podokně podrobností dvakrát klikněte na název zásady sítě sloužící pro klienty nesplňující požadavky a pak klikněte na kartu Podmínky.
Ověřte, zda alespoň jedna z určených podmínek je Zásada stavu a zda Hodnota odpovídá zásadě stavu, kterou jste nakonfigurovali, aby odpovídala stavu klientů nesplňujících požadavky. Pokud tato podmínka není zobrazena, proveďte následující kroky.
-
Klikněte na tlačítko Přidat, na možnost Zásady stavu a pak na tlačítko Přidat.
-
V seznamu Zásady stavu vyberte zásadu, která odpovídá stavu klientů nesplňujících požadavky, a pak klikněte na tlačítko OK. Nejsou-li zásady stavu k dispozici, ověřte zásady stavu a zopakujte tento postup.
-
Klikněte na tlačítko Přidat, na možnost Zásady stavu a pak na tlačítko Přidat.
Klikněte na kartu Omezení a pak na možnost Metody ověřování.
Ověřte, zda je zaškrtnuto políčko Provést pouze kontrolu stavu počítače.
Klikněte na kartu Nastavení a pak na možnost Vynucení architektury NAP.
- Pokud jste nasadili architekturu NAP v režimu plného vynucení, ověřte, zda je pro zásadu sítě platnou pro klienty nesplňující požadavky vybrána možnost Povolit omezený přístup.
- Pokud jste nasadili architekturu NAP v režimu odloženého vynucení, ověřte, zda je pro zásadu sítě platnou pro klienty nesplňující požadavky vybrána možnost Povolit časově omezený úplný přístup k síti.
- Pokud jste nasadili architekturu NAP ve vykazovacím režimu, ověřte, zda je pro zásadu sítě platnou pro klienty nesplňující požadavky vybrána možnost Povolit úplný přístup k síti.
- Pokud chcete povolit automatickou nápravu klientů NAP nesplňujících požadavky, ověřte, zda je zaškrtnuto políčko Povolit automatickou nápravu klientských počítačů.
- Pokud jste nasadili architekturu NAP v režimu plného vynucení, ověřte, zda je pro zásadu sítě platnou pro klienty nesplňující požadavky vybrána možnost Povolit omezený přístup.
Klikněte na tlačítko OK.
Opakováním těchto kroků ověřte podle potřeby všechny zásady sítě, které se používají k vyhodnocování žádostí o přístup přicházejících od klientů NAP chráněných protokolem IPsec.
Režimy vynucení architektury NAP
Povolíte-li v síti architekturu NAP, jsou k dispozici tři režimy vynucení. Tyto režimy vynucení umožňují rozfázovat nasazení architektury NAP.
-
Chcete-li povolit vykazovací režim, vyberte pro klientské počítače NAP splňující i nesplňující požadavky možnost Povolit úplný přístup k síti. Ve vykazovacím režimu se stav klientských počítačů protokoluje, ale přístup k síti není omezen. Certifikáty stavu získávají počítače splňující požadavky i počítače nesplňující požadavky.
-
Chcete-li povolit režim odloženého vynucení, vyberte v zásadě sítě platné pro klienty splňující požadavky možnost Povolit úplný přístup k síti a v zásadě sítě platné pro klienty nesplňující požadavky možnost Povolit časově omezený úplný přístup k síti. Je třeba zadat také datum a čas, kdy bude přístup klientů nesplňujících požadavky omezen. V režimu odloženého vynucení platí, že pokud klientské počítače nesplní požadavky na stav sítě, obdrží ihned upozornění NAP, ale jejich přístup nebude omezen do zadaného data a času.
-
Chcete-li povolit režim plného vynucení, vyberte v zásadě sítě platné pro klienty splňující požadavky možnost Povolit úplný přístup k síti a v zásadě sítě platné pro klienty nesplňující požadavky možnost Povolit omezený přístup. V režimu plného vynucení platí, že pokud klientské počítače nesplní požadavky na stav sítě, bude jejich přístup k síti okamžitě omezen.
Zásady stavu
Zásady stavu definují, které validátory stavu systému (SHV) se budou vyhodnocovat a jak se budou používat k ověřování konfigurace počítačů pokoušejících se o připojení k síti. Zásady stavu klasifikují stav klientů na základě výsledků kontrol validátorů stavu systému (SHV). Potřebujete alespoň jednu zásadu stavu, které odpovídá stavu klientů splňujících požadavky, a alespoň jednu zásadu stavu, která odpovídá stavu klientů nesplňujících požadavky. Následujícím postupem můžete ověřit, zda jsou na serveru zásad stavu NAP nakonfigurovány zásady stavu pro klienty splňující požadavky i pro klienty nesplňující požadavky.
Postup ověření zásad stavu |
Ve stromu konzoly NPS dvakrát klikněte na položku Zásady a pak klikněte na položku Zásady stavu.
V podokně podrobností dvakrát klikněte ve sloupci Název zásady na název zásady stavu pro klienty splňující požadavky. Nejsou-li tyto zásady zobrazeny, vytvořte zásadu pro klienty splňující požadavky následujícím postupem.
-
Pravým tlačítkem myši klikněte na položku Zásady stavu a poté klikněte na příkaz Nový.
-
Do pole Název zásady zadejte název zásady stavu pro splnění požadavků (například NAP IPsec s HRA splňující požadavky).
-
V části Kontroly klienta validátory stavu systému vyberte možnost Klient projde všemi kontrolami validátorů stavu systému (vytvoříte tak přísnou zásadu stavu) nebo možnost Klient projde jednou či více kontrolami validátorů stavu systému (vytvoříte tak mírnější zásadu stavu).
-
V části Validátory stavu systému použité v této zásadě stavu zaškrtněte políčko u každého validátoru stavu systému, který bude sloužit k vyhodnocování stavu klientů. Ve výchozím nastavení je k dispozici validátor stavu zabezpečení systému Windows. Další validátory stavu systému jsou k dispozici, pokud byly nainstalovány.
-
Klikněte na tlačítko OK.
-
Pravým tlačítkem myši klikněte na položku Zásady stavu a poté klikněte na příkaz Nový.
V části Kontroly klienta validátory stavu systému ověřte, zda je vybrána možnost Klient projde všemi kontrolami validátorů stavu systému nebo možnost Klient projde jednou či více kontrolami validátorů stavu systému. Tyto podmínky slouží k vytvoření více nebo méně restriktivních zásad pro klienty splňující požadavky.
V části Validátory stavu systému použité v této zásadě stavu ověřte, zda jsou zaškrtnuta políčka u nainstalovaných validátorů stavu systému, které budou sloužit k vyhodnocování stavu klientských počítačů NAP chráněných protokolem IPsec, a pak klikněte na tlačítko OK.
V podokně podrobností dvakrát klikněte ve sloupci Název zásady na název zásady stavu pro klienty nesplňující požadavky. Není-li tato zásada zobrazena, vytvořte zásadu pro klienty nesplňující požadavky následujícím postupem.
-
Pravým tlačítkem myši klikněte na položku Zásady stavu a poté klikněte na příkaz Nový.
-
Do pole Název zásady zadejte název zásady stavu pro nesplnění požadavků (například NAP IPsec s HRA nesplňující požadavky).
-
V části Kontroly klienta validátory stavu systému vyberte možnost Klient neprojde jednou či více kontrolami validátorů stavu systému (vytvoříte tak přísnou zásadu stavu) nebo možnost Klient neprojde žádnou kontrolou validátorů stavu systému (vytvoříte tak mírnější zásadu stavu).
-
V části Validátory stavu systému použité v této zásadě stavu zaškrtněte políčko u každého validátoru stavu systému, který bude sloužit k vyhodnocování stavu klientů. Ve výchozím nastavení je k dispozici validátor stavu zabezpečení systému Windows. Další validátory stavu systému jsou k dispozici, pokud byly nainstalovány.
-
Klikněte na tlačítko OK.
-
Pravým tlačítkem myši klikněte na položku Zásady stavu a poté klikněte na příkaz Nový.
V části Kontroly klienta validátory stavu systému ověřte, zda je vybrána možnost Klient neprojde jednou či více kontrolami validátorů stavu systému nebo možnost Klient neprojde žádnou kontrolou validátorů stavu systému. Tyto podmínky slouží k vytvoření více nebo méně restriktivních zásad pro klienty nesplňující požadavky.
V části Validátory stavu systému použité v této zásadě stavu ověřte, zda jsou zaškrtnuta políčka u nainstalovaných validátorů stavu systému, které budou sloužit k vyhodnocování stavu klientských počítačů NAP chráněných protokolem IPsec, a pak klikněte na tlačítko OK.
Opakujte tyto kroky pro všechny zásady stavu používané k vyhodnocování klientských počítačů NAP chráněných protokolem IPsec.
Validátory stavu systému
Validátory stavu systému definují požadavky na software a konfiguraci počítačů, které se pokoušejí připojit k síti. Pomocí následujícího postupu ověříte, zda jsou validátory stavu systému nakonfigurovány pro danou instalaci správně.
Ověření validátorů stavu systému |
V konzole NPS dvakrát klikněte na položku Architektura NAP (Network Access Protection) a pak klikněte na položku Validátory stavu systému.
V podokně podrobností dvakrát klikněte ve sloupci Název na název nainstalovaného validátoru stavu systému.
Konfigurace validátoru stavu systému se liší podle implementace. Používáte-li validátor stavu zabezpečení systému Windows, klikněte na tlačítko Konfigurovat.
- Chcete-li konfigurovat požadavky na stav pro počítače se systémem Windows Vista, klikněte na kartu Windows Vista.
- Chcete-li konfigurovat požadavky na stav pro počítače se systémem Windows XP s aktualizací Service Pack 3, klikněte na kartu Windows XP.
- Chcete-li konfigurovat požadavky na stav pro počítače se systémem Windows Vista, klikněte na kartu Windows Vista.
Požadavky na stav povolíte zaškrtnutím políček u součástí stavu. Zrušením zaškrtnutí těchto políček požadavky zakážete. Pokud používáte validátor WSHV, jsou k dispozici tyto požadavky na stav: Brána firewall, Antivirová ochrana, Ochrana před spywarem, Automatické aktualizace a Ochrana aktualizacemi zabezpečení.
Klikněte na tlačítko OK a nakonfigurujte pro danou instalaci překlad kódů chyb. Překlad kódů chyb určuje, jak budou klienti hodnoceni při uvedených chybových podmínkách. Pro každou podmínku můžete vybrat, aby vracela stav Vyhovuje nebo Nevyhovuje.
Klikněte na tlačítko OK a zavřete konzolu NPS.
Ověření konfigurace proxy serveru NPS
Následující postup slouží k ověření konfigurace místního serveru se spuštěným serverem NPS jako proxy serveru RADIUS. Tento postup se nepoužívá, pokud je místní server se spuštěným serverem NPS nakonfigurován jako server zásad stavu NAP.
Postup ověření konfigurace proxy serveru NPS |
Klikněte na tlačítko Start a na příkaz Spustit, zadejte příkaz nps.msc a potom stiskněte klávesu ENTER.
Ve stromu konzoly NPS dvakrát klikněte na položku Klienti a servery RADIUS a pak klikněte na položku Skupiny vzdálených serverů RADIUS.
V podokně podrobností dvakrát klikněte ve sloupci Název skupiny na název skupiny vzdálených serverů RADIUS. Není-li zobrazen žádný název skupiny vzdálených serverů RADIUS, přidejte pomocí následujících kroků novou skupinu vzdálených serverů RADIUS.
-
Ve stromu konzoly pod položkou Klienti a servery RADIUS klikněte pravým tlačítkem myši na položku Skupiny vzdálených serverů RADIUS a poté klikněte na příkaz Nový.
-
Do pole Název skupiny zadejte název skupiny vzdálených serverů RADIUS (například Server 1 zásad stavu NAP).
-
Klikněte na tlačítko Přidat a pak v poli Server zadejte název DNS nebo IP adresu serveru se spuštěným serverem NPS, který je nakonfigurován pro vyhodnocování žádostí o připojení klientů NAP chráněných protokolem IPsec předávaných z místního serveru HRA.
-
Klikněte na tlačítko Ověřit a poté na tlačítko Přeložit. Zkontrolujte, zda je zobrazená IP adresa pro dané nasazení správná, a klikněte na tlačítko OK.
-
Klikněte na kartu Ověřování a monitorování účtů.
-
Do polí Sdílený tajný klíč a Potvrzení sdíleného tajného klíče zadejte tajný klíč, který je nakonfigurován v nastavení serveru NPS na serveru zásad architektury NAP.
-
Klikněte dvakrát na tlačítko OK.
-
Ve stromu konzoly pod položkou Klienti a servery RADIUS klikněte pravým tlačítkem myši na položku Skupiny vzdálených serverů RADIUS a poté klikněte na příkaz Nový.
V okně vlastností skupiny serverů klikněte ve sloupci Server RADIUS na název vzdáleného serveru RADIUS a pak klikněte na tlačítko Upravit.
Na kartě Adresa klikněte na tlačítko Ověřit.
V dialogovém okně Ověřit klienta klikněte na tlačítko Přeložit. Ověřte, zda IP adresa klienta RADIUS v síti odpovídá serveru zásad stavu NAP v síti nakonfigurovanému s proxy serverem RADIUS, který odpovídá místnímu serveru se spuštěným serverem NPS.
Klikněte na tlačítko OK a pak klikněte na kartu Ověřování a monitorování účtů.
Ověřte, zda jsou v tomto nasazení správné porty pro ověřování a monitorování účtů. Výchozí port pro ověřování je 1812 a výchozí port pro monitorování účtů je 1813.
Ověřte, zda je políčko Žádost musí obsahovat atribut ověřovacích dat zprávy zaškrtnuto pouze v případě, že je na serveru zásad stavu NAP povolen odpovídající požadavek zpráv požadujících přístup na atribut ověřovacích dat zprávy. Pokud server zásad stavu NAP nepožaduje tento atribut, zrušte zaškrtnutí tohoto políčka.
Existuje-li podezření na neshodu v zadání sdíleného tajného klíče, zadejte tajný klíč do polí Sdílený tajný klíč a Potvrzení sdíleného tajného klíče a pak dvakrát klikněte na tlačítko OK.
Ve stromu konzoly NPS dvakrát klikněte na položku Zásady a pak klikněte na položku Zásady vyžádání nového připojení.
V podokně podrobností dvakrát klikněte na zásady vyžádání nového připojení, které se používají k ověřování žádostí o přístup k síti přicházejících od klientů NAP chráněných protokolem IPsec.
Klikněte na kartu Nastavení a pak v části Přesměrování požadavku na připojení klikněte na možnost Ověřování.
Ověřte, zda je vybrána možnost Předat požadavky na ověření vzdálené skupině serverů RADIUS, a ověřte, zda název vybrané skupiny vzdálených serverů RADIUS odpovídá správným serverům zásad stavu NAP v síti.
Opakujte tyto kroky pro všechny skupiny a vzdálené servery se spuštěným serverem NPS.
Zavřete konzolu NPS.
Další informace
Pokud je typ serveru pro přístup k síti v zásadách vyžádání nového připojení a v zásadách sítě nastaven na možnost Neurčený, bude server NPS používat tyto zásady k vyhodnocování všech žádostí o připojení, které pocházejí z libovolného typu serveru pro přístup k síti. Pokud je typ serveru pro přístup k síti nastaven na Autorita pro registraci stavu (Health Registration Authority), budou pomocí těchto zásad vyhodnocovány pouze žádosti o připojení, které jsou předávány ze serveru HRA. Pokud je v některých zásadách určena jako zdroj Autorita pro registraci stavu (Health Registration Authority), bude server NPS při zpracování žádostí klientů NAP o přístup k síti chráněných protokolem IPsec ignorovat všechny zásady se zdrojem Neurčený.