Du kan bruge konfigurationskonsollen til NAP-klienten til at angive de sikkerhedsmekanismer, en klientcomputer bruger ved kommunikation med HRA-servere (Health Registration Authority). Derudover kan du bruge konfigurationkonsollen til NAP-klienten til at angive de HRA-servere, en klientcomputer kan kommunikere med. En klientcomputer skal kommunikere med en HRA-server for at få et tilstandscertifikat. Der kræves et tilstandscertifikat til NAP med IPsec-baseret håndhævelse (IP-sikkerhed).
Du skal konfigurere anmodningspolitikken for at angive, hvilken sikkerhedsmekanisme en klient bruger ved kommunikation med en HRA-server. Anmodningspolitikken angiver den asymmetriske nøglealgoritme, den hash-algoritme og det program til kryptografiske tjenester, en klientcomputer bruger, når den begynder at kommunikere med en HRA-server. Du kan kun angive én asymmetrisk nøglealgoritme og hash-algoritme og ét program til kryptografiske tjenester på en klientcomputer.
Når du konfigurerer en asymmetrisk nøglealgoritme, en hash-algoritme eller et program til kryptografiske tjenester på klienten, skal du konfigurere nøjagtig den samme anmodningspolitik på HRA-serveren. Hvis du f.eks. konfigurerer, at klienterne kun kan kryptere kommunikationen ved hjælp af den asymmetriske nøglealgoritme RSA (Rivest-Shamir-Adelman) med en minimumnøglelængde på 128, skal du konfigurere HRA-serverne, så de accepterer kommunikation, der er krypteret med nøjagtig den samme asymmetriske nøglealgoritme og nøjagtig den samme minimumnøglelængde. Hvis HRA-serverne ikke er konfigureret til at bruge den samme anmodningspolitik som klientcomputerne, kan HRA-serverne ikke kommunikere med disse. Klientcomputerne anses derfor muligvis ikke for at overholdene kravene, hvilket kan resultere i en begrænset netværksforbindelse. Hvis du ikke konfigurerer indstillingerne for anmodningspolitik på en klientcomputer, starter klientcomputeren en forhandlingsproces med HRA-serveren ved hjælp af standardsikkerhedsmekanismen til kryptering af kommunikation.
Vigtigt! | |
Du må ikke ændre indstillingerne for anmodningspolitik, medmindre, du har testet dem grundigt i et sikkert testmiljø. Hvis du ændrer indstillingerne for anmodningspolitik, kan det bevirke, at klientcomputerne mister forbindelsen til netværket. |
Du skal konfigurere en servergruppe, der er tillid til, for at angive, hvilke HRA-servere en klientcomputer skal kommunikere med. En servergruppe, der er tillid til, består af en eller flere HRA-servere. Hvis du har mere end én HRA-server i en servergruppe, der er tillid til, kan du angive den rækkefølge, klientcomputerne forsøger at kontakte serverne i. Dette er praktisk, hvis du har flere HRA-servere i forskellige netværkssegmenter eller domæner, og du vil prioritere, hvilke servere en klient først skal forsøge at oprette adgang til. Du skal konfigurere mindst én servergruppe, der er tillid til. I modsat fald ved en klientcomputer ikke, hvordan den skal kontakte en HRA-server for at få et tilstandscertifikat.
Konfigurere anmodningspolitik for NAP-klient
Konfigurere servergrupper, der er tillid til, for NAP-klienter