NPS (Network Policy Server) is de centrale server die wordt gebruikt in alle NAP Enforcement-methoden (Network Access Protection) voor het evalueren van toegangsaanvragen van NAP-clients. Netwerkstatusvereisten worden gedefinieerd in NPS via beleidsinstellingen die toegang van NAP-clientcomputers toestaan of beperken op basis van hun status. Een server waarop NPS wordt uitgevoerd en die host is voor deze NAP-beleidsinstellingen, wordt een NAP-statusbeleidsserver genoemd. Afhankelijk van uw implementatie kunnen een of meer NAP-statusbeleidsservers in uw netwerk aanwezig zijn. RADIUS-clients, beleid voor aanvragen van verbindingen, netwerkbeleid, statusbeleid en systeemstatuscontroles worden gebruikt door een NAP-statusbeleidsserver voor het definiëren en afdwingen van de netwerkstatusvereisten.

Wanneer u HRA (Health Registration Authority) installeert, wordt NPS automatisch op de computer geïnstalleerd. Als u meer dan één HRA hebt geïmplementeerd en de evaluatie van beleid wilt centraliseren door uw NAP-statusbeleidsregels op een andere computer te plaatsen, moet u de lokale server zo configureren dat NPS als een RADIUS-proxy wordt uitgevoerd. Wanneer u NPS als RADIUS-proxy gebruikt, wordt een beleid voor verbindingsaanvragen geconfigureerd om de lokale server NPS te laten uitvoeren om aanvragen voor netwerktoegang ter evaluatie aan externe RADIUS-servergroepen door te sturen.

Zie https://go.microsoft.com/fwlink/?LinkId=94389 voor meer informatie over NPS.

Als u deze procedure wilt uitvoeren, moet u minimaal lid zijn van de groep Domain Admins of een vergelijkbare groep. Zie https://go.microsoft.com/fwlink/?LinkId=83477 voor details over het gebruik van de juiste accounts en groepslidmaatschappen.

Configuratie NAP-statusbeleidsserver verifiëren

De volgende procedures vormen een algemene richtlijn voor het verifiëren van de configuratie van de lokale server waarop NPS als NAP-statusbeleidsserver wordt uitgevoerd. Zie Configuratie NPS-proxy verifiëren als de lokale HRA-server is geconfigureerd als RADIUS-proxy.

RADIUS-clients

Als u externe HRA-servers hebt geconfigureerd als RADIUS-proxy om verbindingsaanvragen ter evaluatie aan de lokale server met NPS door te sturen, moet de lokale server met NPS voor elke externe HRA-server een overeenkomstige RADIUS-clientvermelding bevatten. Voor NAP met IPsec Enforcement zijn RADIUS-clients niet vereist als alle HRA-servers tevens NAP-statusbeleidsservers zijn. Als u in uw netwerk HRA-servers gebruikt waarvoor NPS is geconfigureerd als RADIUS-proxy, voert u de volgende procedure uit om te controleren of RADIUS-clients zodanig op de lokale server met NPS zijn geconfigureerd, dat deze verbindingsaanvragen van clients kan verwerken die door externe HRA-servers werden ontvangen.

RADIUS-clients verifiëren

  1. Klik op Start, klik op Uitvoeren, typ nps.msc en druk op Enter.

  2. Dubbelklik in de NPS-consolestructuur op RADIUS-clients en -servers en klik op RADIUS-clients.

  3. Dubbelklik in het detailvenster op de beschrijvende naam van een RADIUS-client die overeenkomt met een HRA-server waarop NPS is geïnstalleerd en geconfigureerd als RADIUS-proxy. Als geen RADIUS-clientvermelding aanwezig is, voert u de volgende procedure uit om een nieuwe RADIUS-client te maken. Deze procedure is uitsluitend van toepassing als u externe HRA-servers hebt geconfigureerd om verbindingsaanvragen door te sturen naar de lokale server met NPS.

    1. Klik met de rechtermuisknop op RADIUS-clients en klik vervolgens op Nieuw.

    2. Geef onder Beschrijvende naam een naam op voor de RADIUS-client, bijvoorbeeld HRA-1.

    3. Typ bij Adres (IP of DNS) het IP-adres of de DNS-naam van de externe HRA-server, klik op Controleren en klik op Omzetten.

    4. Controleer of het weergegeven IP-adres overeenkomt met de juiste externe HRA-server en klik op OK.

    5. Typ onder Gedeeld geheim en Bevestig het gedeelde geheim het geheim dat is geconfigureerd in de instellingen voor de externe RADIUS-servergroep op de externe HRA-server.

    6. Als op de externe HRA-server het berichtverificatiekenmerk is ingeschakeld in de configuratie-instellingen van de externe RADIUS-servergroep, schakelt u het selectievakje In Access-Request aanvragen moet het kenmerk Message-Authenticator zijn opgenomen in. Als deze optie niet is ingeschakeld op de externe HRA-server, controleert u of dit selectievakje is uitgeschakeld.

    7. Schakel het selectievakje RADIUS-client heeft NAP-functies in en klik op OK.

    8. Hervat de huidige procedure om de configuratie van de nieuwe RADIUS-client te valideren.

  4. Schakel in het venster Eigenschappen het selectievakje Deze RADIUS-client inschakelen in.

  5. Controleer of het selectievakje RADIUS-client heeft NAP-functies is ingeschakeld.

  6. Als de externe HRA-server is geconfigureerd om te vereisen dat toegangsaanvragen het berichtverificatiekenmerk bevatten, controleert u of het selectievakje In Access-Request aanvragen moet het kenmerk Message-Authenticator zijn opgenomen is ingeschakeld. Zorg er anders voor dat dit selectievakje is uitgeschakeld.

  7. Controleer of RADIUS-standaard naast Leveranciersnaam is geselecteerd.

  8. Controleer of het IP-adres of de DNS-naam onder Adres (IP of DNS) overeenkomt met de juiste externe HRA-server en klik op Controleren.

  9. Klik op Omzetten in het dialoogvenster Client controleren.

  10. Controleer of het IP-adres onder IP-adres overeenkomt met een HRA-server die is geconfigureerd om aanvragen door te sturen naar de lokale server met NPS, en of de lokale server met NPS netwerkverbinding heeft met dit IP-adres.

  11. Klik op OK. Als u wilt controleren of het gedeelde geheim overeenkomt, typt u het geheim naast Gedeeld geheim en Bevestig het gedeelde geheim en klikt u op OK.

  12. Herhaal deze procedure voor elke HRA-server in uw netwerk die is geconfigureerd om verbindingsaanvragen voor verwerking door te sturen naar de lokale server met NPS.

Beleidsinstellingen voor verbindingsaanvragen

Beleidsinstellingen voor verbindingsaanvragen zijn voorwaarden en instellingen die aanvragen voor netwerktoegang valideren en aangeven waar de validering plaatsvindt. Voer de volgende procedure uit om te controleren of verbindingsaanvraagbeleid op de lokale server met NPS is geconfigureerd voor NAP IPsec Enforcement.

Beleidsinstellingen voor verbindingsaanvragen verifiëren

  1. Dubbelklik in de NPS-consolestructuur op Beleid en klik op Beleid voor verbindingsaanvragen.

  2. Dubbelklik in het detailvenster op het beleid voor verbindingsaanvragen dat wordt gebruikt voor de verificatie van binnenkomende aanvragen voor netwerktoegang van met IPsec beveiligde NAP-clients. Als dit beleid niet aanwezig is, voert u de volgende stappen uit om een beleid voor verbindingsaanvragen te maken.

    1. Klik met de rechtermuisknop op Beleid voor verbindingsaanvragen en klik vervolgens op Nieuw.

    2. Typ onder Beleidsnaam een naam voor het beleid voor verbindingsaanvragen, bijvoorbeeld NAP IPsec met HRA.

    3. Selecteer Statusregistratieautoriteit onder Type netwerktoegangsserver en klik op Volgende.

    4. Voor een verbindingsaanvraagbeleid moet ten minste één voorwaarde worden opgegeven. U voegt een voorwaarde toe die geen inkomende toegangsaanvragen weigert, door te klikken op Toevoegen op de pagina Voorwaarden opgeven.

    5. Klik in het venster Voorwaarde selecteren op Dag- en tijdsbeperkingen en klik op Toevoegen.

    6. Selecteer Toegestaan in het venster Tijd van de dag-beperkingen. Controleer of alle dagen en tijden worden toegestaan, klik op OK en klik op Volgende.

    7. Als de lokale server met NPS een NAP-statusbeleidsserver is, controleert u of Aanvragen op deze server verifiëren is geselecteerd, klikt u driemaal op Volgende en klikt u vervolgens op Voltooien. Zie Configuratie NPS-proxy verifiëren als de lokale server met NPS aanvragen ter evaluatie naar een andere server doorstuurt.

  3. Controleer of het selectievakje Beleid is ingeschakeld is geselecteerd op het tabblad Overzicht.

  4. Controleer of Type netwerktoegangsserver op het tabblad Overzicht is ingesteld op Statusregistratieautoriteit of op Niet opgegeven. Zie Aanvullende overwegingen voor meer informatie over het opgeven van een type netwerktoegangsserver verderop in dit onderwerp.

  5. Open het tabblad Voorwaarden en controleer of er door zowel compatibele als niet-compatibele NAP-clients aan alle geconfigureerde voorwaarden wordt voldaan. Dag- en tijdsbeperkingen kan bijvoorbeeld zijn geconfigureerd om alleen op bepaalde dagen en tijdstippen netwerktoegang toe te staan.

  6. Open het tabblad Instellingen. Klik onder Vereiste verificatiemethoden op Verificatiemethoden en controleer of het selectievakje Verificatie-instellingen voor netwerkbeleid negeren is uitgeschakeld.

  7. Klik onder Verbindingsaanvraag wordt doorgestuurd op Verificatie.

  8. Controleer of Aanvragen op deze server verifiëren is geselecteerd als u NPS op de lokale server wilt laten uitvoeren als een NAP-statusbeleidsserver.

  9. Klik op OK om het eigenschappenvenster te sluiten.

Netwerkbeleid

Netwerkbeleid omvat een set voorwaarden, beperkingen en instellingen waarmee u kunt bepalen wie verbinding mag maken met het netwerk. Als u de status van NAP-clients wilt evalueren, moet ten minste één netwerkbeleidsregel aanwezig zijn die wordt toegepast op computers die voldoen aan de statusvereisten, en ten minste één netwerkbeleidsregel die wordt toegepast op computers die niet aan de statusvereisten voldoen. Voer de volgende procedure uit om te controleren of deze beleidsregels zijn gemaakt en geconfigureerd voor NAP IPsec Enforcement.

Netwerkbeleid verifiëren

  1. Dubbelklik in de NPS-consolestructuur op Beleid en klik op Netwerkbeleid.

  2. Controleer in het detailvenster of ten minste één netwerkbeleidsregel aanwezig is voor compatibele computers en ten minste één netwerkbeleidsregel voor niet-compatibele computers. Controleer tevens of de Status van deze beleidsregels is ingesteld op Ingeschakeld. U kunt een beleidsregel inschakelen door met de rechtermuisknop op het beleid te klikken en vervolgens op Inschakelen te klikken. Als deze beleidsregels niet aanwezig zijn, voert u de volgende stappen uit om een netwerkbeleid te maken.

    1. Klik met de rechtermuisknop op Netwerkbeleid en klik vervolgens op Nieuw.

    2. Typ onder Beleidsnaam een naam voor het netwerkbeleid, bijvoorbeeld NAP IPsec met compatibele HRA of NAP IPsec met niet-compatibele HRA.

    3. Selecteer Statusregistratieautoriteit onder Type netwerktoegangsserver en klik op Volgende.

    4. Klik op de pagina Voorwaarden opgeven op Toevoegen.

    5. Klik in het venster Voorwaarde selecteren op Statusbeleid en klik vervolgens op Toevoegen.

    6. Als dit netwerkbeleid moet worden toegepast op compatibele clientcomputers, selecteert u onder Statusbeleid een statusbeleid dat is geconfigureerd voor een compatibele clientstatus, en klikt u op OK.

    7. Als dit netwerkbeleid moet worden toegepast op niet-compatibele clientcomputers, selecteert u onder Statusbeleid een statusbeleid dat is geconfigureerd voor een niet-compatibele clientstatus, en klikt u op OK.

    8. Klik op Volgende, selecteer Toegang verleend en klik op Volgende.

    9. Schakel op de pagina Verificatiemethoden configureren het selectievakje Alleen computerstatuscontrole uitvoeren in en klik tweemaal op Volgende.

    10. Klik op de pagina Instellingen configureren op NAP afdwingen.

    11. Selecteer een methode voor afdwingen voor dit beleid. Zie Modi voor het afdwingen van NAP verderop in dit onderwerp voor meer informatie.

    12. Schakel het selectievakje Automatisch herstellen van clientcomputers inschakelen in om automatisch herstellen van niet-compatibele clients in te schakelen. Als u automatisch herstellen niet wilt inschakelen, schakelt u dit selectievakje uit.

    13. Klik op Volgende en vervolgens op Voltooien.

    14. Hervat de huidige procedure om de configuratie van het nieuwe netwerkbeleid te valideren.

  3. Controleer in het detailvenster of de Verwerkingsvolgorde van beleid juist is geconfigureerd voor uw implementatie. De meer specifieke beleidsregels worden verwerkt vóór de meer algemene beleidsregels. Als u de volgorde van beleidsuitvoering wilt wijzigen, klikt u met de rechtermuisknop op de naam van het beleid en klikt u vervolgens op Omhoog of Omlaag.

  4. Controleer in het detailvenster of het Toegangstype voor zowel het beleid voor compatibele computers als het beleid voor niet-compatibele computers is ingesteld op Toegang verlenen. Als u toegangsmachtigingen wilt configureren, klikt u met de rechtermuisknop op de naam van het beleid, klikt u op Eigenschappen, klikt u op het tabblad Overzicht en selecteert u Toegang verlenen.

  5. Controleer in het detailvenster of de Bron van uw beleidsregels voor verwerking van met IPsec beveiligde NAP-clients is ingesteld op Statusregistratieautoriteit of op Niet opgegeven. Zie Aanvullende overwegingen voor meer informatie over het opgeven van een type netwerktoegangsserver verderop in dit onderwerp.

  6. Dubbelklik in het detailvenster met de rechtermuisknop op de naam van het netwerkbeleid voor compatibele clients en klik vervolgens op het tabblad Voorwaarden.

  7. Controleer of ten minste één van de opgegeven voorwaarden Statusbeleid is en of de Waarde overeenkomt met een statusbeleidsregel die u hebt geconfigureerd voor een compatibele clientstatus. Als deze voorwaarde niet aanwezig is, voert u de volgende stappen uit:

    1. Klik op Toevoegen, klik op Statusbeleid en klik vervolgens op Toevoegen.

    2. Selecteer onder Statusbeleid een beleidsregel die overeenkomt met een compatibele clientstatus en klik op OK. Als er geen statusbeleid aanwezig is, controleert u Statusbeleid en herhaalt u deze procedure.

  8. Klik op het tabblad Beperkingen en klik vervolgens op Verificatiemethoden.

  9. Controleer of het selectievakje Alleen computerstatuscontrole uitvoeren is ingeschakeld.

  10. Open het tabblad Instellingen en klik vervolgens op NAP afdwingen.

  11. Controleer of Volledige netwerktoegang toestaan is geselecteerd voor dit compatibele netwerkbeleid en klik op OK. De verificatie van compatibel netwerkbeleid is hiermee voltooid.

  12. Dubbelklik in het detailvenster met de rechtermuisknop op de naam van het netwerkbeleid voor niet-compatibele clients en klik vervolgens op het tabblad Voorwaarden.

  13. Controleer of ten minste één van de opgegeven voorwaarden Statusbeleid is en of de Waarde overeenkomt met een statusbeleidsregel die u hebt geconfigureerd voor een niet-compatibele clientstatus. Als deze voorwaarde niet aanwezig is, voert u de volgende stappen uit:

    1. Klik op Toevoegen, klik op Statusbeleid en klik vervolgens op Toevoegen.

    2. Selecteer onder Statusbeleid een beleidsregel die overeenkomt met een niet-compatibele clientstatus en klik op OK. Als er geen statusbeleid aanwezig is, controleert u Statusbeleid en herhaalt u deze procedure.

  14. Klik op het tabblad Beperkingen en klik vervolgens op Verificatiemethoden.

  15. Controleer of het selectievakje Alleen computerstatuscontrole uitvoeren is ingeschakeld.

  16. Open het tabblad Instellingen en klik vervolgens op NAP afdwingen.

    • Controleer of Beperkte toegang toestaan is geselecteerd voor dit netwerkbeleid voor niet-compatibele clients als u NAP hebt geïmplementeerd in een modus voor volledige uitvoering.

    • Controleer of Volledige netwerktoegang toestaan voor een beperkte tijd is geselecteerd voor dit netwerkbeleid voor niet-compatibele clients als u NAP hebt geïmplementeerd in een modus voor uitgestelde uitvoering.

    • Controleer of Volledige netwerktoegang toestaan is geselecteerd voor dit netwerkbeleid voor niet-compatibele clients als u NAP hebt geïmplementeerd in de rapportagemodus.

    • Controleer of het selectievakje Automatisch herstellen van clientcomputers inschakelen is ingeschakeld als u automatisch herstellen van niet-compatibele NAP-clients wilt inschakelen.

  17. Klik op OK.

  18. Herhaal deze stappen indien nodig om de configuratie te controleren van de beleidsregels die worden gebruikt voor het evalueren van toegangsaanvragen van met IPsec beveiligde NAP-clients.

Modi voor het afdwingen van NAP

Wanneer u NAP inschakelt in uw netwerk, zjin drie modi voor het afdwingen van NAP beschikbaar. U kunt deze uitvoeringsmodi gebruiken voor de gefaseerde implementatie van NAP.

  • Als u de rapportagemodus wilt inschakelen, selecteert u Volledige netwerktoegang toestaan voor zowel compatibele als niet-compatibele NAP-clientcomputers. In de rapportagemodus wordt de status van clientcomputers geregistreerd, maar wordt netwerktoegang niet beperkt. Zowel compatibele als niet-compatibele computers ontvangen statuscertificaten.

  • Als u de modus voor uitgestelde uitvoering wilt inschakelen, selecteert u Volledige netwerktoegang toestaan in het netwerkbeleid voor compatibele computers en Volledige netwerktoegang toestaan voor een beperkte tijd in het netwerkbeleid voor niet-compatibele computers. U moet tevens een datum en tijd opgeven waarop de toegang van niet-compatibele clients beperkt is. In de modus voor uitgestelde uitvoering ontvangen clientcomputers direct NAP-meldingen als ze niet compatibel zijn met netwerkstatusvereisten, maar wordt hun toegang pas beperkt op de opgegeven datum en tijd.

  • Als u de modus voor volledige uitvoering wilt inschakelen, selecteert u Volledige netwerktoegang toestaan in het netwerkbeleid voor compatibele computers en Beperkte netwerktoegang toestaan in het netwerkbeleid voor niet-compatibele computers. In de modus voor volledige uitvoering wordt de netwerktoegang van clientcomputers direct beperkt als ze niet compatibel zijn met netwerkstatusvereisten.

Statusbeleid

Statusbeleidsregels definiëren welke systeemstatuscontroles (SHV's) worden gebruikt bij het valideren van de configuratie van computers die verbinding proberen te krijgen met uw netwerk. Ook de wijze waarop dit gebeurt wordt hiermee gedefinieerd. De statusbeleidsregels classificeren de clientstatus op basis van de resultaten van de toetsing door SHV's. U moet ten minste één beleidsregel opgeven voor een compatibele clientstatus en ten minste één beleidsregel voor een niet-compatibele clientstatus. Voer de volgende procedure uit om te controleren of beleid voor een compatibele clientstatus en beleid voor een niet-compatibele clientstatus is geconfigureerd op de NAP-statusbeleidsserver.

Statusbeleid verifiëren

  1. Dubbelklik in de NPS-console op Beleid en klik op Statusbeleid.

  2. Dubbelklik in het detailvenster onder Beleidsnaam op de naam van een compatibel statusbeleid. Als dit beleid niet aanwezig is, voert u de volgende stappen uit om een compatibel statusbeleid te maken.

    1. Klik met de rechtermuisknop op Statusbeleid en klik vervolgens op Nieuw.

    2. Typ onder Beleidsnaam een naam voor het compatibele statusbeleid, bijvoorbeeld NAP IPsec met HRA.

    3. Selecteer onder SHV-controles voor client de optie Alle systeemstatuscontroles voor de client zijn geslaagd om een strict statusbeleid te maken of de optie Een of meer systeemstatuscontroles voor de client zijn geslaagd om een soepeler statusbeleid te maken.

    4. Schakel onder SHV's die worden gebruikt in dit gezondheidsbeleid het selectievakje in voor elke SHV die wordt gebruikt voor het evalueren van de clientstatus. De SHV Windows Controle van beveiligingsstatus is standaard beschikbaar. Andere SHV's zijn beschikbaar indien geïnstalleerd.

    5. Klik op OK.

  3. Controleer onder SHV-controles voor client of de optie Alle systeemstatuscontroles voor de client zijn geslaagd of de optie Een of meer systeemstatuscontroles voor de client zijn geslaagd is geselecteerd. Deze voorwaarden worden gebruikt om compatibel beleid te maken dat respectievelijk meer of minder beperkend is.

  4. Controleer of onder SHV's die worden gebruikt in dit gezondheidsbeleid de selectievakjes zijn ingeschakeld voor alle SHV's die worden gebruikt voor het evalueren van de status op uw met IPsec beveiligde NAP-clientcomputers, en klik op OK.

  5. Dubbelklik in het detailvenster onder Beleidsnaam op de naam van een niet-compatibel statusbeleid. Als dit beleid niet aanwezig is, voert u de volgende stappen uit om een niet-compatibel statusbeleid te maken.

    1. Klik met de rechtermuisknop op Statusbeleid en klik vervolgens op Nieuw.

    2. Typ onder Beleidsnaam een naam voor het niet-compatibele statusbeleid, bijvoorbeeld NAP IPsec met HRA.

    3. Selecteer onder SHV-controles voor client de optie Een of meer systeemstatuscontroles voor de client zijn mislukt om een strict statusbeleid te maken of de optie Alle SHV-controles voor de client zijn mislukt om een soepeler statusbeleid te maken.

    4. Schakel onder SHV's die worden gebruikt in dit gezondheidsbeleid het selectievakje in voor elke SHV die wordt gebruikt voor het evalueren van de clientstatus. De SHV Windows Controle van beveiligingsstatus is standaard beschikbaar. Andere SHV's zijn beschikbaar indien geïnstalleerd.

    5. Klik op OK.

  6. Controleer of onder SHV-controles voor client de optie Een of meer systeemstatuscontroles voor de client zijn mislukt of de optie Alle SHV-controles voor de client zijn mislukt is geselecteerd. Deze voorwaarden worden gebruikt om niet-compatibel beleid te maken dat respectievelijk meer of minder beperkend is.

  7. Controleer of onder SHV's die worden gebruikt in dit gezondheidsbeleid de selectievakjes zijn ingeschakeld voor alle SHV's die worden gebruikt voor het evalueren van de status op uw met IPsec beveiligde NAP-clientcomputers, en klik op OK.

  8. Herhaal deze stappen voor alle statusbeleidsregels die worden gebruikt voor het evalueren van uw met IPsec beveiligde NAP-clientcomputers.

SHV's

SHV's definiëren de software- en configuratievereisten voor computers die verbinding proberen te krijgen met uw netwerk. Voer de volgende procedure uit om te controleren of SHV's juist zijn geconfigureerd voor uw implementatie.

SHV's verifiëren

  1. Dubbelklik in de NPS-console op Beveiliging van netwerktoegang en klik op Systeemstatuscontroles.

  2. Dubbelklik in het detailvenster onder Naam op de naam van een geïnstalleerde SHV.

  3. De configuratie van SHV's verschilt al naar gelang de implementatie. Als u de Windows Controle van beveiligingsstatus gebruikt, klikt u op Configureren.

    • Klik op het tabblad Windows Vista om statusvereisten te configureren voor computers met Windows Vista.

    • Klik op het tabblad Windows XP om statusvereisten te configureren voor computers met Windows XP Service Pack 3.

  4. Schakel de statusvereisten in door de selectievakjes naast de statusonderdelen in te schakelen. Schakel deze selectievakjes uit om vereisten uit te schakelen. De beschikbare statusvereisten wanneer u Windows Controle van beveiligingsstatus gebruikt, zijn: Firewall, Virusbeveiliging, Spywarebeveiliging, Automatische updates en Bescherming beveiligingsupdate.

  5. Klik op OK en configureer de foutcode-omzettingen voor uw implementatie. Foutcode-omzettingen bepalen hoe clients worden geëvalueerd onder de vermelde foutcondities. U kunt voor elke voorwaarde de status Compatibel of Niet-compatibel selecteren.

  6. Klik op OK en sluit NPS-console.

Configuratie NPS-proxy verifiëren

Voer de volgende procedure uit om de configuratie van de lokale server met NPS als een RADIUS-proxy te verifiëren. Deze procedure is niet van toepassing als de lokale server met NPS is geconfigureerd als een NAP-statusbeleidsserver.

Configuratie van de NPS-proxy verifiëren

  1. Klik op Start, klik op Uitvoeren, typ nps.msc en druk op Enter.

  2. Dubbelklik in de NPS-consolestructuur op RADIUS-clients en -servers en klik op Externe RADIUS-servergroepen.

  3. Dubbelklik in het detailvenster onder Groepsnaam op de naam van een externe RADIUS-servergroep. Als geen externe RADIUS-servergroep wordt weergegeven, voert u de volgende stappen uit om een externe RADIUS-servergroep toe te voegen.

    1. Klik in de NPS-consolestructuur op RADIUS-clients en -servers met de rechtermuisknop op Externe RADIUS-servergroepen en klik op Nieuw.

    2. Geef onder Groepsnaam een naam op voor de externe RADIUS-servergroep, bijvoorbeeld NAP-statusbeleidsserver1.

    3. Klik op Toevoegen en geef onder Server de DNS-naam of het IP-adres op van een server met NPS die is geconfigureerd voor evaluatie van verbindingsaanvragen van NAP IPsec-clients die zijn doorgestuurd door de lokale HRA-server.

    4. Klik op Controleren en klik vervolgens op Omzetten. Controleer of het weergegeven IP-adres juist is voor uw implementatie en klik op OK.

    5. Open het tabblad Verificatie en accounting.

    6. Typ onder Gedeeld geheim en Bevestig het gedeelde geheim het geheim dat is geconfigureerd in de NPS-instellingen op de NAP-statusbeleidsserver.

    7. Klik tweemaal op OK.

  4. Klik in het venster met eigenschappen van de servergroep onder RADIUS-server op de naam van een externe RADIUS-server en klik op Bewerken.

  5. Klik op Controleren op het tabblad Adres.

  6. Klik op Omzetten in het dialoogvenster Client controleren. Controleer of het IP-adres van de RADIUS-client overeenkomt met een NAP-statusbeleidsserver in uw netwerk die is geconfigureerd met een RADIUS-proxy die overeenkomt met de lokale server met NPS.

  7. Klik op OK en klik vervolgens op het tabblad Verificatie en accounting.

  8. Controleer of de poorten voor verificatie en accounting juist zijn voor uw implementatie. De standaardpoort voor verificatie is 1812 en de standaardpoort voor accounting is 1813.

  9. Zorg ervoor dat het selectievakje De berichtverificatie dient in de aanvraag te zijn opgenomen alleen is ingeschakeld als een overeenkomstige vereiste voor berichtverificatie bij toegang voor het berichtverificatiekenmerk is ingeschakeld op de NAP-statusbeleidsserver. Schakel dit selectievakje uit als de NAP-statusbeleidsserver dit kenmerk niet nodig heeft.

  10. Als u wilt controleren of het gedeelde geheim overeenkomt, typt u het geheim naast Gedeeld geheim en Bevestig het gedeelde geheim en klikt u tweemaal op OK.

  11. Dubbelklik in de NPS-console op Beleid en klik op Beleid voor verbindingsaanvragen.

  12. Dubbelklik in het detailvenster op het beleid voor verbindingsaanvragen dat wordt gebruikt voor de verificatie van binnenkomende aanvragen voor netwerktoegang van met IPsec beveiligde NAP-clients.

  13. Klik op het tabblad Instellingen en klik onder Verbindingsaanvraag wordt doorgestuurd op Verificatie.

  14. Controleer of Aanvragen ter verificatie naar deze externe RADIUS-servergroep doorsturen is geselecteerd en controleer of de naam van de geselecteerde externe RADIUS-servergroep overeenkomt met de juiste NAP-statusbeleidsservers in uw netwerk.

  15. Herhaal deze stappen voor alle groepen en externe servers met NPS.

  16. Sluit de NPS-console.

Aanvullende overwegingen

Als het type netwerktoegangsserver in verbindingsaanvraagbeleid en netwerkbeleid is ingesteld op Niet opgegeven, gebruikt NPS dit beleid om alle verbindingsaanvragen te evalueren die afkomstig zijn van een willekeurig type netwerktoegangsserver. Als het type netwerktoegangsserver is ingesteld op Statusregistratieautoriteit, worden alleen verbindingsaanvragen die zijn doorgestuurd door een HRA-server door dit beleid geëvalueerd. Als een of meer ingeschakelde beleidsregels als bron Statusregistratieautoriteit hebben, worden alle beleidsregels met de bron Niet opgegeven door NPS genegeerd bij het verwerken van toegangsaanvragen van met IPsec beveiligde NAP-clients.

Aanvullende naslaginformatie

Inhoudsopgave