A Hálózati házirend- és elérési szolgáltatások a következő hálózati csatlakozási megoldásokat nyújtják:

  • Hálózatvédelem (NAP). A Hálózatvédelem egy ügyfél-állapotházirendek létrehozására, kényszerítésére és javítására szolgáló technológia, amely a Windows Vista® ügyfélként működő operációs rendszer és a Windows Server® 2008 operációs rendszer része. A Hálózatvédelem alkalmazásával a rendszergazdák létrehozhatnak és automatikusan kényszeríthetnek állapotházirendeket, amelyek tartalmazhatnak szoftverkövetelményeket, biztonsági frissítésekre vonatkozó követelményeket, a kötelezően szükséges számítógép-konfigurációra vonatkozó információkat és egyéb beállításokat. Azoknak az ügyfélszámítógépeknek, amelyek nem felelnek meg az állapotházirendnek, korlátozott jogú hálózati hozzáférés biztosítható addig, amíg a konfigurációjuk frissítése meg nem történik a házirendnek való megfelelés érdekében. A Hálózatvédelem telepítésétől függően a nem megfelelő ügyfelek automatikusan frissíthetőek, így a felhasználók gyorsan visszanyerhetik a teljes hálózati hozzáférést anélkül, hogy kézzel kellene frissíteni vagy újrakonfigurálni a számítógépeiket.

  • Biztonságos vezeték nélküli és vezetékes hozzáférés. A 802.1X vezeték nélküli hozzáférési pontok üzembe helyezésekor a biztonságos vezeték nélküli hozzáférés a vezeték nélküli felhasználókat biztonságos, jelszóalapú, egyszerűen kialakítható hitelesítési módszerrel látja el. Ha 802.1X hitelesítő kapcsolókat helyez üzembe, a vezetékes hozzáférés lehetővé teszi a hálózat biztonságossá tételét oly módon, hogy az intranet felhasználói csak akkor csatlakozhatnak a hálózathoz, illetve szerezhetnek IP-címet a DHCP használatával, ha a rendszer már hitelesítette őket.

  • Távelérési megoldások. A távelérési megoldásokkal virtuális magánhálózati és hagyományos betárcsázós hozzáférést nyújthat a felhasználók számára a szervezet hálózatához. A virtuális magánhálózati megoldásokkal fiókirodákat is csatlakoztathat a hálózathoz, teljes körű szolgáltatásokat nyújtó szoftveres útválasztókat telepíthet a hálózatra, és megoszthatja az internetkapcsolatot az intraneten.

  • Központi hálózatiházirend-kezelés RADIUS-kiszolgálóval és -proxyval. Ahelyett, hogy külön konfigurálná a hálózati hozzáférési pontokat (például vezeték nélküli hozzáférési pontok, 802.1X hitelesítő kapcsolók, VPN-kiszolgálók és telefonos kiszolgálók), házirendeket hozhat létre egyetlen helyen, amelyek meghatározzák a hálózati csatlakozási kérelmek minden jellemzőjét, például hogy kinek, mikor engedélyezett a csatlakozás, és milyen szintű biztonságot kell használni a hálózathoz való csatlakozáshoz.

Szerepkör-szolgáltatások a Hálózati házirend- és elérési szolgáltatásokhoz

A Hálózati házirend- és elérési szolgáltatások telepítésekor a következő szerepkör-szolgáltatások érhetők el:

  • Hálózati házirend-kiszolgáló (NPS). Az NPS a RADIUS-kiszolgáló és -proxy Microsoft által elkészített implementációja. Az NPS segítségével központilag kezelheti a hálózati hozzáférést különféle hálózati hozzáférési kiszolgálókkal, mint például a vezeték nélküli hozzáférési pontok, a virtuális magánhálózati kiszolgálók, a telefonos kiszolgálók és a 802.1X hitelesítő kapcsolók. Ezen felül az NPS segítségével biztonságos, jelszavas hitelesítéssel láthatja el a vezeték nélküli kapcsolatokat a PEAP-MS-CHAP v2 használatával. Az NPS tartalmazza a hálózatvédelem telepítéséhez szükséges főbb összetevőket is.

    A következő technológiák az NPS szerepkör-szolgáltatás telepítése után használhatók:

    • NAP állapotházirend-kiszolgáló. Ha az NPS kiszolgálót NAP állapotházirend-kiszolgálóként konfigurálja, az NPS kiértékeli a hálózaton kommunikálni kívánó Hálózatvédelem-kompatibilis ügyfélszámítógépek által küldött állapotkimutatásokat. Olyan hálózatvédelmi házirendeket konfigurálhat az NPS-en, amelyek segítségével az ügyfélszámítógépek frissíthetik konfigurációikat, hogy megfeleljenek a szervezet hálózati házirendjének.

    • IEEE 802.11 vezeték nélküli kapcsolat. Az NPS MMC beépülő modullal a 802.1X-alapú kapcsolatkérelem-házirendeket az IEEE 802.11 vezeték nélküli ügyfélhálózati eléréshez konfigurálhatja. A vezeték nélküli hozzáférési pontokat ezen kívül RADIUS-ügyfélként konfigurálhatja az NPS-ben, az NPS-t pedig RADIUS-kiszolgálóként használhatja a csatlakozási kérelmek feldolgozásához, valamint a 802.11 vezeték nélküli kapcsolatok hitelesítésének, engedélyezésének és fiókkezelésének elvégzéséhez. Az IEEE 802.11 vezeték nélküli elérést teljesen integrálhatja a Hálózatvédelemmel a vezeték nélküli 802.1X hitelesítési infrastruktúrák telepítésekor, így a vezeték nélküli ügyfelek csak akkor csatlakozhatnak a hálózathoz, ha rendszerállapotuk megfelel az állapotházirendnek.

    • IEEE 802.3 vezetékes kapcsolat. Az NPS MMC beépülő modullal a 802.1X-alapú kapcsolatkérelem-házirendeket az IEEE 802.3 vezetékes ügyféli Ethernet-hálózat eléréséhez konfigurálhatja. A 802.1X-kompatibilis kapcsolókat ezen kívül RADIUS-ügyfélként konfigurálhatja az NPS-ben, az NPS-t pedig RADIUS-kiszolgálóként használhatja a csatlakozási kérelmek feldolgozásához, valamint a 802.3 Ethernet-kapcsolatok hitelesítésének, engedélyezésének és fiókkezelésének elvégzéséhez. Az IEEE 802.3 vezetékes ügyfélhozzáférés teljesen integrálható a Hálózatvédelemmel vezetékes 802.1X hitelesítési infrastruktúra telepítésekor.

    • RADIUS-kiszolgáló. Az NPS központilag végzi a hitelesítést, engedélyezést és fiókkezelést a vezeték nélküli, hitelesítő kapcsolói, illetve távelérésű telefonos és VPN-kapcsolatokhoz. Ha az NPS-t RADIUS-kiszolgálóként használja, a hálózati elérést biztosító kiszolgálókat (például vezeték nélküli elérési pontok és VPN-kiszolgálók) RADIUS-ügyfélként konfigurálhatja az NPS-ben. Konfigurálnia kell azokat a hálózati házirendeket is, amelyeket az NPS a csatlakozási kérelmek hitelesítésére használ. A RADIUS-nyilvántartást beállíthatja úgy, hogy az NPS a nyilvántartási adatokat a helyi merevlemezen vagy egy Microsoft® SQL Server™ adatbázisban lévő naplófájlba mentse.

    • RADIUS proxy. Ha az NPS-t RADIUS-proxyként használja, be kell állítania a kapcsolatkérelmek házirendjeit, amelyek meghatározzák, hogy az NPS-kiszolgáló mely kapcsolatkérelmeket továbbítsa más RADIUS-kiszolgálóknak, és hogy ezek a kiszolgálók melyek legyenek. Az NPS-t úgy is beállíthatja, hogy továbbítsa azokat a nyilvántartási adatokat, amelyeket egy távoli RADIUS-kiszolgálócsoportban lévő számítógépeknek naplózniuk kell.

  • Útválasztás és távelérés. Az Útválasztás és távelérés segítségével virtuális magánhálózati és telefonos távelérésű szolgáltatásokat, valamint többprotokollos LAN-LAN, LAN-WAN, VPN és hálózati címfordítási (NAT) útválasztási szolgáltatásokat telepíthet.

    A következő technológiák az Útválasztás és távelérés szerepkör-szolgáltatás telepítése során használhatók:

    • Távelérés. Az Útválasztás és távelérés használatával PPTP, SSTP és L2TP protokollokat telepíthet az IPsec VPN-kapcsolatokhoz, ami távoli elérést biztosít a végfelhasználók számára a szervezet hálózatához. Létrehozhat két hely közötti VPN-kapcsolatot is két különböző helyen lévő kiszolgáló között. Minden kiszolgáló úgy van konfigurálva az Útválasztás és távelérés szolgáltatásban, hogy biztonságosan küldje el a személyes adatokat. A két kiszolgáló közötti kapcsolat lehet állandó (mindig aktív) vagy igény szerinti (igény szerinti tárcsázású).

      A Távelérés hagyományos telefonos távelérést is biztosít annak érdekében, hogy az utazó vagy otthonról dolgozó felhasználók a szervezet intranetjét betárcsázással is elérhessék. Az Útválasztás és távelérés szolgáltatást futtató kiszolgálóra telepített telefonos berendezés válaszol a telefonos hálózati ügyfelek kapcsolatkérelmeire. A távelérési kiszolgáló válaszol a hívásra, hitelesíti és engedélyezi a hívó felet, és átviszi az adatokat a telefonos hálózati ügyfél és a szervezeti intranet között.

    • Útválasztás. Az útválasztás egy teljes körű szolgáltatást nyújtó szoftveres útválasztó, illetve nyílt platform útválasztáshoz és hálózatok összekapcsolásához. Útválasztási szolgáltatásokat nyújt helyi hálózati (LAN) és nagy kiterjedésű hálózati (WAN) környezetek számára.

      A NAT telepítésekor az Útválasztás és távelérés szolgáltatást futtató kiszolgáló úgy van konfigurálva, hogy megossza az internetkapcsolatot a magánhálózaton lévő számítógépekkel, és lefordítsa a forgalmat nyilvános címe és a magánhálózat között. A NAT használatával a magánhálózat számítógépei némi védelmet is élveznek, mivel a NAT szolgáltatással konfigurált útválasztó csak akkor továbbítja a forgalmat az internetről a magánhálózatra, ha egy magánhálózati ügyfél azt kérte vagy ha a forgalom kifejezetten engedélyezve lett.

      Ha telepíti a VPN és NAT szolgáltatásokat, az Útválasztás és távelérés szolgáltatást futtató kiszolgáló hálózati címfordítást biztosít a magánhálózaton, és elfogadja a VPN-kapcsolatokat. Az internetre kapcsolódó számítógépek nem tudják meghatározni a magánhálózaton lévő számítógépek IP-címeit. A VPN-ügyfelek azonban csatlakozni tudnak a magánhálózaton lévő számítógépekhez, mint ha fizikailag is ugyanahhoz a hálózathoz csatlakoznának.

  • Állapotjegyző (HRA). Az Állapotjegyző a Hálózatvédelem egyik összetevője, amely állapottanúsítványokat bocsát ki azoknak az ügyfeleknek, amelyek átmennek az NPS által az ügyfél SoH használatával végzett állapotellenőrzésen. Az Állapotjegyző használata kizárólag a Hálózatvédelem IPsec kényszerítő módszerével történik.

  • HCAP protokoll. A HCAP segítségével integrálhatja a Microsoft hálózatvédelmi szolgáltatását a Cisco hálózati hozzáférés-vezérlő kiszolgálóval. Ha a HCAP protokollt együtt telepíti az NPS és Hálózatvédelem szolgáltatásokkal, az NPS képes az ügyfelek épségének kiértékelésére és a Cisco 802.1X elérési ügyfelek hitelesítésére.

A Hálózati házirend- és elérési szolgáltatások kiszolgálói szerepkör kezelése

A következő eszközöket használhatja a Hálózati házirend- és elérési szolgáltatások kiszolgálói szerepkör kezelésére:

  • NPS MMC beépülő modul. Az NPS MMC segítségével konfigurálhatja a RADIUS-kiszolgálókat, RADIUS-proxykat és a Hálózatvédelem technológiát.

  • Netsh-parancsok az NPS-hez. Az NPS Netsh-parancsai teljes mértékben egyenértékűek az NPS MMC beépülő modulban elérhető beállításokkal. A Netsh-parancsok futtathatók kézileg a Netsh parancssorból, illetve felügyeleti parancsfájlokból.

  • HRA MMC beépülő modul. A HRA MMC beépülő modullal kijelölheti azt a hitelesítésszolgáltatót, amelytől a HRA beszerzi az ügyfélszámítógépek állapottanúsítványait, illetve megadhatja azt az NPS-kiszolgálót, amelyre a HRA elküldheti az ügyfelek rendszerállapot-kimutatásait az állapotházirenddel való összevetés céljából.

  • Netsh-parancsok a HRA-hoz. A HRA Netsh-parancsai teljes mértékben egyenértékűek a HRA MMC beépülő modulban elérhető beállításokkal. A Netsh-parancsok futtathatók kézileg a Netsh parancssorból, illetve felügyeleti parancsfájlokból.

  • A NAP-ügyfél kezelése MMC beépülő modul. A NAP-ügyfél kezelése beépülő modul segítségével konfigurálhatja a biztonsági beállításokat és a felhasználói felület beállításait a hálózatvédelmi architektúrát támogató ügyfélszámítógépeken.

  • Netsh-parancsok a NAP-ügyfélbeállítások megadásához. A NAP-ügyfélbeállítások Netsh-parancsai teljes mértékben egyenértékűek a NAP-ügyfél kezelése MMC beépülő modulban elérhető beállításokkal. A Netsh-parancsok futtathatók kézileg a Netsh parancssorból, illetve felügyeleti parancsfájlokból.

  • Útválasztás és távelérés MMC beépülő modul. Ezzel az MMC beépülő modullal VPN-kiszolgálót, telefonos hálózati kiszolgálót, útválasztót, hálózati címfordítást, hálózati címfordításos virtuális magánhálózatot és pont-pont típusú VPN-kapcsolatot konfigurálhat.

  • Netsh-parancsok táveléréshez. A távelérés Netsh-parancsai teljes mértékben egyenértékűek az Útválasztás és távelérés MMC beépülő modulban elérhető beállításokkal. A Netsh-parancsok futtathatók kézileg a Netsh parancssorból, illetve felügyeleti parancsfájlokból.

  • Netsh-parancsok útválasztáshoz. Az útválasztás Netsh-parancsai teljes mértékben egyenértékűek az Útválasztás és távelérés MMC beépülő modulban elérhető beállításokkal. A Netsh-parancsok futtathatók kézileg a Netsh parancssorból, illetve felügyeleti parancsfájlokból.

  • Vezeték nélküli hálózat (IEEE 802.11) házirendjei - A Csoportházirend kezelése konzol (GPMC). A Vezeték nélküli hálózat (IEEE 802.11) házirendjei bővítmény automatizálja a vezeték nélküli hálózat beállítását azokon a számítógépeken, amelyek a WLAN automatikus konfiguráció szolgáltatást támogató illesztőprogramot használnak a vezeték nélküli hálózati adapterhez. A Vezeték nélküli hálózat (IEEE 802.11) házirendjei bővítmény a Csoportházirend kezelése konzolban használható a Windows XP és a Windows Vista vezeték nélküli ügyfelek konfigurációjának megadására. A Vezeték nélküli hálózat (IEEE 802.11) házirendjeinek csoportházirend-bővítményei tartalmazzák a globális vezeték nélküli beállításokat, az előnyben részesített hálózatok listáját, illetve a Wi-Fi Protected Access (WPA) és az IEEE 802.1X beállításait.

    A megadott beállítások letöltődnek azokra a vezeték nélküli Windows-ügyfelekre, amelyek a tartomány tagjai. A házirend által megadott vezeték nélküli beállítások a Számítógép konfigurációja csoportházirend része. A Vezeték nélküli hálózat (IEEE 802.11) házirendjei alapértelmezés szerint nincsenek konfigurálva és engedélyezve.

  • Netsh-parancsok vezeték nélküli helyi hálózathoz (WLAN). A Netsh WLAN a Csoportházirend helyett használható a Windows Vista vezeték nélküli kapcsolatának és biztonsági beállításainak konfigurálásához. A Netsh wlan parancsokkal konfigurálhatja a helyi számítógépet, de bejelentkezési parancsfájl segítségével konfigurálhat több számítógépet is. Használhatja a Netsh wlan parancsokat a vezeték nélküli Csoportházirend-beállítások megtekintésére is, valamint felügyelheti vele a vezeték nélküli internetszolgáltató és a felhasználó vezeték nélküli beállításait.

    A vezeték nélküli Netsh-felület a következő előnyöket nyújtja:

    • Vegyes mód támogatása: Segítségével a rendszergazdák többféle biztonsági beállítás támogatására konfigurálhatják az ügyfeleket. Az ügyfelek beállíthatók például a WPA2 és a WPA hitelesítési szabványok egyidejű támogatására. Ezáltal az ügyfél a WPA2 használatával csatlakozhat a WPA2 szabványt támogató hálózatokhoz, és a WPA-t használhatja olyan hálózatokhoz, amelyek csak a WPA-t támogatják.

    • Nem kívánt hálózatok letiltása: A rendszergazdák letilthatják és elrejthetik a vállalaton kívüli vezeték nélküli hálózatokat úgy, hogy hálózatokat és hálózattípusokat vesznek fel a letiltott hálózatok listájára. Hasonló módon lehetséges a vállalati vezeték nélküli hálózatokhoz való hozzáférés engedélyezése is.

  • Vezetékes hálózat (IEEE 802.3) házirendjei - A Csoportházirend kezelése konzol (GPMC). A Vezetékes hálózat (IEEE 802.3) házirendjeivel megadhatja és módosíthatja azoknak a Windows Vista-ügyfeleknek a konfigurációját, amelyek a Vezetékes automatikus konfigurációs szolgáltatást támogató hálózati adapterrel és illesztőprogrammal rendelkeznek. A Vezeték nélküli hálózat (IEEE 802.11) házirendjeinek csoportházirend-bővítményei globális vezetékes és IEEE 802.1X-beállításokat tartalmaznak. Ezek a beállítások tartalmaznak minden olyan vezetékes konfigurációs elemet, amely az Általános és a Biztonság lapon elérhető.

    A megadott beállítások letöltődnek azokra a vezeték nélküli Windows-ügyfelekre, amelyek a tartomány tagjai. A házirend által megadott vezeték nélküli beállítások a Számítógép konfigurációja csoportházirend része. A Vezetékes hálózat (IEEE 802.3) házirendjei alapértelmezés szerint nincsenek konfigurálva és engedélyezve.

  • Netsh-parancsok vezetékes helyi hálózathoz (LAN). A Netsh LAN-felület a Csoportházirend helyett használható a Windows Server 2008 rendszerben a Windows Vista vezetékes kapcsolatának és biztonsági beállításainak konfigurálásához. A Netsh LAN parancssorral konfigurálhatja a helyi számítógépet, több számítógép konfigurálásához pedig bejelentkezési parancsfájlba írhatja a parancsokat. A Netsh LAN-parancsok segítségével megtekintheti a Vezetékes hálózat (IEEE 802.3) házirendjeit, valamint felügyelheti az ügyfél vezetékes 1x-beállításait.

További források

Ha további információra van szüksége a Hálózati házirend- és elérési szolgáltatásokról, nyissa meg a következő MMC beépülő modulok egyikét, és nyomja meg az F1 billentyűt a súgó megjelenítéséhez:

  • NPS MMC beépülő modul

  • Útválasztás és távelérés MMC beépülő modul

  • HRA MMC beépülő modul