Az Állapotjegyző (HRA) szolgáltatást nyújt a hálózatvédelmi (NAP) platform részére, melyet az X.509 nyilvános kulcsú infrastruktúrában regisztrációszolgáltatónak nevezünk. Az Állapotjegyzőnek mint regisztrációszolgáltatónak az ügyfelek hitelesítő adatait kell ellenőrizni, és tanúsítványkérelmet kell továbbítania a hitelesítésszolgáltatóhoz az ügyfél nevében. Az Állapotjegyző a tanúsítványkérelmeket úgy ellenőrzi, hogy a Hálózati házirend-kiszolgáló segítségével meghatározza, hogy a NAP-ügyfél megfelel-e a rendszerállapotra vonatkozó előírásoknak. Ha az ügyfél megfelel, az Állapotjegyző egy állapottanúsítványnak nevezett tanúsítványt kér a hitelesítésszolgáltatótól. Az állapottanúsítványt NAP-ügyfélszámítógépek használják az IPsec-védett hálózaton belüli kommunikációhoz. Ilyen minőségben az Állapotjegyző a hálózatvédelmi IPsec-kényszerítési módszer NAP-kényszerítési kiszolgálójaként működik.
Fontos fogalmak
Az állapotjegyzőnek a hálózatvédelem telepítésében játszott szerepe megértéséhez tekintse át a következő fogalmakat.
-
Állapottanúsítványok
A NAP-ügyfélszámítógépek részére kiadott X.509 szabványú tanúsítványok bizonyítják a rendszerállapotra vonatkozó előírásoknak való megfelelésüket. A NAP-ügyfélszámítógép az állapotjegyző rendelkezésére bocsátott, saját rendszerállapotáról tett nyilatkozattal, úgynevezett rendszerállapot-kimutatással szerzi meg az állapottanúsítványt. A NAP-ügyfél folyamatosan figyelemmel kíséri saját rendszerállapotát, és törli az állapottanúsítványt, ha már nem megfelelő. Az állapottanúsítványok a hálózatvédelmi ügyfelek hitelesítésére használhatók, amikor azok IPsec-védett kommunikációt kezdeményeznek más hálózatvédelmi ügyfelekkel az intraneten. A hálózatvédelmi IPsec-kényszerítés az állapottanúsítvánnyal nem rendelkező számítógépekről érkező bejövő kommunikációs kísérletek megakadályozásával korlátozza az IPsec-alapú hálózatvédelmi ügyfelek kommunikációját.
-
Hálózatvédelmi hitelesítésszolgáltatók
Az Active Directory® tanúsítványszolgáltatásokhoz (AD CS) tartozó X.509 tanúsítványokat futtató kiszolgálók, amelyeket hálózatvédelmi ügyfelek részére bocsátanak ki, amikor azok megfelelnek a rendszerállapotra vonatkozó előírásoknak. Meg kell adnia egy vagy több hitelesítésszolgáltatót, amely(ek) hálózatvédelmi állapottanúsítványokat fog(nak) kiadni. További információt a következő témakörökben talál: Hálózatvédelmi hitelesítésszolgáltató konfigurálása és Hitelesítésszolgáltató konfigurációjának ellenőrzése.
-
Állapotjegyző kérelmi házirendje
Olyan beállítások, amelyek meghatározzák, hogy az ügyfelek állapottanúsítványok kérelmezésénél hogyan kommunikálhatnak az állapotjegyzővel. A titkosítási és átviteli házirendek beállításaival testreszabhatja az állapotjegyző kérelmi házirendjét. Az állapotjegyző kérelmi házirendjének módosítása nem szükséges. Az alapértelmezett beállítások használata javasolt. Ha mégis a beállítások módosítása mellett dönt, fontos, hogy az állapotjegyző-kiszolgálókon és a NAP-ügyfélszámítógépeken ugyanazok a beállítások legyenek érvényben. További információt a következő témakörökben talál: Az Állapotjegyző kérelemházirendjének ismertetése, Az Állapotjegyző titkosítási házirendjének konfigurálása és Az Állapotjegyző átviteli házirendjének konfigurálása.
-
Internet Information Services (IIS)
Az állapotjegyző telepítésekor automatikusan települő internetalapú szolgáltatások. Az IIS szolgáltatás HTTP/HTTPS-kapcsolatot teremt az állapotjegyző-kiszolgálótól állapottanúsítványokat kérő NAP-ügyfelek számára. A kérelmeket ISAPI-bővítmény használatával dolgozza fel, mely a névtelen felhasználók rendelkezésére áll, vagy olyan felhasználókra korlátozódik, akik hitelesítették magukat a tartományban. További információt a következő témakörökben talál: Az Állapotjegyző hitelesítési követelményeinek ismertetése és Az IIS konfigurációjának ellenőrzése.
-
Hálózati házirend-kiszolgáló (NPS)
A RADIUS-kiszolgáló és -proxy Microsoft-implementációja. Ha a kiszolgálón még nem fut a hálózati házirend-kiszolgáló, akkor az állapotjegyző telepítésével automatikusan települni fog. A Hálózati házirend-kiszolgálót NPS-proxyként vagy NAP állapotházirend-kiszolgálóként is be lehet állítani az állapotjegyző kiszolgálón. A Hálózati házirend-kiszolgáló NAP állapotházirend-kiszolgálóként való konfigurálásával a hálózatvédelmi házirendeket és beállításokat is konfigurálni kell; ilyenek például:
-
Kapcsolatkérelmi házirendek: Hálózati hozzáférési kérelmeket ellenőrző, illetve az ellenőrzés helyét megadó feltételek és beállítások.
-
Hálózati házirendek: Feltételek, korlátozások és beállítások, melyek segítségével megadhatja, kik kapcsolódhatnak a hálózathoz.
-
Állapotházirendek: Rendszerállapotra vonatkozó előírások, melyek meghatározzák, mely rendszerállapot-érvényesítőket használja a rendszer a hálózathoz kapcsolódni kívánó számítógépek ellenőrzésére.
-
Rendszerállapot-érvényesítők: A rendszerállapot-ügynök NAP állapotházirend-kiszolgáló szoftvere. A rendszerállapot-érvényesítők konfigurációs követelményeket határoznak meg a hálózathoz kapcsolódni kívánó számítógépek számára.
-
Kapcsolatkérelmi házirendek: Hálózati hozzáférési kérelmeket ellenőrző, illetve az ellenőrzés helyét megadó feltételek és beállítások.
A hálózati házirend-kiszolgáló RADIUS proxyként való konfigurálásakor ellenőrizze a távoli RADIUS-kiszolgálócsoportokkal létesített hálózati kapcsolatok megfelelő működését, valamint a kiszolgálók NAP állapotházirend-kiszolgálóként való konfigurációját. További információt a következő témakörben talál: A hálózati házirend-kiszolgáló konfigurációjának ellenőrzése.