Voer de volgende procedure uit om te controleren of NAP-clientcomputers zijn geconfigureerd voor de methode NAP (Network Access Protection) IPsec (Internet Protocol security) Enforcement. Een NAP-computer is een computer waarop de NAP-onderdelen zijn geïnstalleerd en waarvan de status kan worden geverifieerd door een statusverklaring naar NPS (Network Policy Server) te sturen voor evaluatie. Zie
Als u deze procedure wilt uitvoeren, moet u minimaal lid zijn van de groep Domain Admins of een vergelijkbare groep. Zie
NAP-clientonderdelen verifiëren
NAP-onderdelen bestaan uit de service NAP-agent, een of meer NAP-uitvoeringsclients en ten minste één SHA (System Health Agent). Mogelijk zijn andere services vereist indien deze een geïnstalleerde SHA ondersteunen. Al deze onderdelen werken samen om doorlopend de status van een NAP-clientcomputer te controleren en deze status door te geven aan NAP-servers voor evaluatie.
NAP-agent
De service NAP-agent verzamelt en beheert statusinformatie over de clientcomputer. De NAP-agent verwerkt ook statusverklaringen van geïnstalleerde SHA's en rapporteert de clientstatus aan uitvoeringsclients. De NAP-agent moet operationeel zijn om clientcomputers toe te staan statuscertificaten aan te vragen of te ontvangen.
Controleren of de service NAP-agent is gestart |
Klik op Configuratiescherm in het menu Start, klik achtereenvolgens op Systeem en onderhoud en Systeembeheer en dubbelklik op Services.
Dubbelklik in de lijst met services op Network Access Protection Agent onder Naam.
Controleer of de Status van service is ingesteld op Gestart en of Opstarttype is ingesteld op Automatisch.
Als de service niet is gestart, kiest u Automatisch als Opstarttype en klikt u op Starten.
Klik op OK om het dialoogvenster Eigenschappen van Network Access Protection te sluiten.
Sluit de console Services.
Opmerking | |
Als u de service NAP-agent opnieuw start, worden automatisch de SHA's opnieuw geïnitialiseerd en wordt een poging gedaan om een nieuw statuscertificaat op te halen. Dit kan handig zijn bij het oplossen van problemen met NAP. |
NAP IPsec Enforcement-client
De NAP IPsec Enforcement-client moet worden geïnstalleerd en ingeschakeld op clientcomputers. De NAP-uitvoeringsclient vraagt toegang tot een netwerk aan en geeft de status van een clientcomputer door aan andere onderdelen van de NAP-clientarchitectuur. De NAP IPsec Enforcement-client beperkt de toegang tot met IPsec beveiligde netwerken door interactie met het certificaatarchief op een clientcomputer.
Controleren of de NAP IPsec Enforcement-client is geïnitialiseerd |
Klik op Start, wijs Alle programma's aan, klik op Bureau-accessoires en klik op Opdrachtprompt.
Typ netsh nap client show state achter de opdrachtprompt en druk vervolgens op ENTER. Deze opdracht geeft de NAP-status van de clientcomputer weer.
Controleer in de uitvoer van de opdracht onder Status uitvoeringsclient of de status IPsec Relying Party staat ingesteld op Initialized = Yes.
IPsec-clientconfiguratie verifiëren
NAP-clients moeten worden geconfigureerd met instellingen waarmee ze kunnen communiceren met NAP-serveronderdelen. U kunt deze instellingen configureren met behulp van Groepsbeleid, de console NAP-clientconfiguratie of de opdrachtregel. Voor de methode IPsec Enforcement worden de NAP-clientinstellingen Aanvraagbeleid en Vertrouwde servergroepen gebruikt.
Aanvraagbeleid
U hoeft de standaardinstellingen voor het aanvraagbeleid niet te wijzigen op NAP-clientcomputers. Als u deze instellingen wijzigt, moet u controleren of soortgelijke instellingen zijn ingeschakeld op uw NAP-servers. Standaard wordt vanaf de NAP-client een onderhandelingsproces met de NAP-server gestart met een wederzijds geaccepteerd beveiligingsmechanisme voor het versleutelen van communicatie. U kunt het beste de standaardinstellingen voor het aanvraagbeleid handhaven.
Instellingen voor aanvraagbeleid weergeven |
Klik op Start, wijs Alle programma's aan, klik op Bureau-accessoires en klik op Opdrachtprompt.
Als de instellingen van de NAP-client met behulp van Groepsbeleid zijn geïmplementeerd, typt u netsh nap client show group achter de opdrachtprompt en drukt u vervolgens op ENTER. Als de instellingen van de NAP-client met behulp van lokaal beleid zijn geïmplementeerd, typt u netsh nap client show config achter de opdrachtprompt en drukt u vervolgens op ENTER. Deze beide opdrachten geven de NAP-configuratie-instellingen van het groepsbeleid en het lokale beleid op clientcomputers weer.
Controleer in de uitvoer van de opdracht of de instellingen Cryptografieprovider en Hash-algoritme overeenkomen met de instellingen die zijn geconfigureerd op HRA. De standaardcryptografieprovider is Microsoft RSA SChannel Cryptographic Provider, sleutellengte = 2048. Het standaardhash-algoritme is sha1RSA (1.3.14.3.2.29).
Vertrouwde servergroepen
Vertrouwde servergroepen worden geconfigureerd in instellingen voor statusregistratie voor de client, zodat NAP-clientcomputers kunnen communiceren met websites die door HRA worden gebruikt om aanvragen voor statuscertificaten te verwerken. Als geen vertrouwde servergroepen zijn geconfigureerd of als deze niet juist zijn geconfigureerd, kunnen NAP-clientcomputers geen statuscertificaten ophalen.
De configuratie van vertrouwde servergroepen controleren |
Klik op Start, wijs Alle programma's aan, klik op Bureau-accessoires en klik op Opdrachtprompt.
Als de instellingen van de NAP-client met behulp van Groepsbeleid zijn geïmplementeerd, typt u netsh nap client show group achter de opdrachtprompt en drukt u vervolgens op ENTER. Als de instellingen van de NAP-client met behulp van lokaal beleid zijn geïmplementeerd, typt u netsh nap client show config achter de opdrachtprompt en drukt u vervolgens op ENTER. Deze beide opdrachten geven de NAP-configuratie-instellingen van het groepsbeleid en het lokale beleid op clientcomputers weer.
Controleer in de uitvoer van de opdracht onderConfiguratie van een vertrouwde servergroep of de configuratie juist is voor de items naast Verwerkingsvolgorde, Groep, Https vereisen en URL.
Opmerking | |
Een NAP-clientcomputer probeert een statuscertificaat op te halen van de eerste URL in alle geconfigureerde vertrouwde servergroepen, tenzij de betreffende server is gemarkeerd als niet beschikbaar. Zie IIS-configuratie verifiëren en Verificatievereisten voor HRA voor meer informatie. |
NAP-clientgebeurtenissen controleren
Het lezen van de informatie in NAP-clientgebeurtenissen kan helpen bij het oplossen van problemen en kan meer inzicht geven in de functie van NAP-clients.
NAP-clientgebeurtenissen controleren in Logboeken |
Klik op Start, wijs Alle programma's aan, klik op Bureau-accessoires en klik op Uitvoeren.
Typ eventvwr.msc en druk op Enter.
Ga in het linkerdeelvenster naar Logboeken (Lokaal)\Logboeken Toepassingen en Services\Microsoft\Windows\Network Access Protection\Operationeel.
Klik op een gebeurtenis in het middelste deelvenster.
Standaard wordt het tabblad Algemeen weergegeven. Klik op het tabblad Details als u gedetailleerde informatie wilt weergeven.
U kunt ook met de rechtermuisknop op een gebeurtenis klikken en op Eigenschappen van gebeurtenis om een nieuw venster te openen voor het weergeven van gebeurtenissen.