Vynucení architektury NAP (Network Access Protection) pro virtuální privátní síť (VPN) se nasadí pomocí serverové a klientské součásti vynucení sítě VPN. Použijete-li tuto metodu vynucení, mohou servery VPN vynucovat zásady stavu při pokusech klientských počítačů o připojení k síti pomocí připojení VPN. Vynucení sítě VPN poskytuje silně omezený přístup k síti pro všechny počítače, které se k síti připojují pomocí připojení VPN.

Poznámka

Vynucení sítě VPN je odlišné od karanténní kontroly přístupu k síti, což je funkce systému Windows Server® 2003 a serveru ISA (Internet Security and Acceleration) 2004.

Požadavky

Při nasazení architektury NAP v sítích VPN je třeba provést následující konfiguraci:

  • Nainstalujte a nakonfigurujte službu Směrování a vzdálený přístup jako server VPN. Nakonfigurujte ve službě Směrování a vzdálený přístup server NPS (Network Policy Server) jako primární server RADIUS (Remote Authentication Dial-In User Service).

  • Na serveru NPS nakonfigurujte servery VPN jako klienty RADIUS. Rovněž nakonfigurujte zásadu vyžádání nového připojení, síťovou zásadu a zásadu stavu architektury NAP. Tyto zásady lze jednotlivě nakonfigurovat pomocí konzoly serveru NPS nebo pomocí průvodce Nové zásady architektury NAP (Network Access Protection).

  • V klientských počítačích s podporou architektury NAP povolte vzdálený přístup architektury NAP a klienty vynucení protokolu EAP.

  • Povolení služby NAP v klientských počítačích s podporou architektury NAP

  • Nakonfigurujte validátor stavu zabezpečení systému Windows (WSHV) nebo v závislosti na nasazení architektury NAP nainstalujte a nakonfigurujte jiné agenty stavu systému (SHA) a validátory stavu systému (SHV).

  • Pokud používáte protokoly PEAP-TLS (Protected Extensible Authentication Protocol-Transport Layer Security) nebo EAP-TLS s čipovými kartami nebo certifikáty, nasaďte infrastrukturu veřejných klíčů (PKI) se službou AD CS (Active Directory® Certificate Services).

  • Jestliže používáte protokol PEAP-MS-CHAP v2 (Protected Extensible Authentication Protocol-Microsoft Challenge Handshake Authentication Protocol verze 2), vydejte pomocí služby AD CS certifikáty serveru nebo zakupte certifikáty serveru od důvěryhodné kořenové certifikační autority (CA).

Další informace

Pokud nasadíte metodu vynucení architektury NAP pro sítě VPN a konfigurujete vynucení architektury NAP pomocí možnosti Povolit časově omezený úplný přístup k síti, budou klienti VPN připojení k síti po vypršení časového limitu automaticky odpojeni bez ohledu na to, zda jsou kompatibilní se zásadou stavu či nikoli.

Po tomto datu a uvedeném čase jsou klienti VPN, kteří nejsou kompatibilní se zásadou stavu, při pokusu o připojení k síti umístění do omezené sítě, zatímco kompatibilním klientům je povolen úplný přístup k síti.

Obsah