Du kan bruke konsollen NAP-klientkonfigurasjon til å angi sikkerhetsmekanismene som en klientdatamaskin bruker til å kommunisere med HRA-servere (Health Registration Authority – tilstandsregistreringsinstans). I tillegg kan du bruke konsollen NAP-klientkonfigurasjon til å angi HRA-serverne som en klientdatamaskin kan kommunisere med. En klientdatamaskin må kommunisere med en HRA-server for å hente et helsesertifikat. Et helsesertifikat er påkrevd for NAP med Internet Protocol-sikkerhet- (IPsec) basert håndhevelse.
Når du skal angi hvilken sikkerhetsmekanisme en klient skal bruke til å kommunisere med en HRA-server, må du konfigurere forespørselspolicyen. Forespørselspolicyen angir den asymmetriske nøkkelalgoritmen, nummeralgoritmen og kryptografitjenesteleverandøren en klientdatamaskin bruker når den innleder kommunikasjon med en HRA-server. Du kan bare angi én asymmetrisk nøkkelalgoritme, nummeralgoritme og kryptografitjenesteleverandør på en klientdatamaskin.
Når du konfigurerer en asymmetrisk nøkkelalgoritme, nummeralgoritme eller kryptografitjenesteleverandør på klienten, må du konfigurere nøyaktig samme forespørselspolicy på HRA-serveren. Hvis du for eksempel konfigurerer klientene slik at de krypterer kommunikasjon ved bare å bruke den asymmetriske nøkkelalgoritmen Rivest-Shamir-Adelman (RSA) med en minimumsnøkkellengde på 128, må du konfigurere HRA-serverne slik at de godtar kommunikasjon som er kryptert med nøyaktig den samme asymmetriske nøkkelalgoritmen og nøyaktig den samme minimumsnøkkellengden. Hvis HRA-serverne og klientdatamaskinene ikke er konfigurert for bruk av den samme forespørselspolicyen, vil ikke HRA-serverne kunne kommunisere med klientdatamaskinene, og klientdatamaskinene kan bli regnet for å være ikke-samsvarende slik at deres nettverkstilkobling blir begrenset. Hvis du ikke konfigurerer innstillinger for forespørselspolicy på en klientdatamaskin, starter klientdatamaskinen en forhandlingsprosess med HRA-serveren ved å bruke standard sikkerhetsmekanisme for kryptering av kommunikasjon.
Viktig! | |
Du bør ikke endre innstillinger for forespørselspolicy med mindre du har testet innstillingene for forespørselspolicy grundig i et sikkert testmiljø. Hvis du endrer innstillinger for forespørselspolicy, kan det føre til at klientdatamaskinene mister nettverkstilkoblingen. |
Når du skal angi hvilke HRA-servere du vil at en klientdatamaskin skal kommunisere med, må du konfigurere en gruppe med klarerte servere. En gruppe med klarerte servere består av én eller flere HRA-servere. Hvis du har mer enn én HRA-server i en gruppe med klarerte servere, kan du angi i hvilken rekkefølge klientdatamaskinene skal forsøke å kontakte serverne. Dette er nyttig hvis du har flere HRA-servere i ulike nettverkssegmenter eller domener, og du vil angi hvilke servere en klient skal forsøke å få tilgang til først. Du må konfigurere minst én gruppe med klarerte servere. Ellers vil ikke en klientdatamaskin vite hvordan den skal kontakte en HRA-server for å få et helsesertifikat.
Konfigurere forespørselspolicy for NAP-klient
Konfigurere grupper med klarerte servere for NAP-klienter