Met de console NAP-clientconfiguratie geeft u de beveiligingsmechanismen op waarmee een clientcomputer communiceert met HRA-servers (Health Registration Authority, statusregistratieautoriteit). Ook kunt u met de console NAP-clientconfiguratie de HRA-servers opgeven waarmee een clientcomputer kan communiceren. Een clientcomputer moet met een HRA-server communiceren om een statuscertificaat te verkrijgen. Voor NAP met op IPsec (Internet Protocol security) gebaseerde handhaving is een statuscertificaat vereist.
U geeft het beveiligingsmechanisme waarmee de client met een HRA-server communiceert, op door het aanvraagbeleid te configureren. In het aanvraagbeleid geeft u de algoritme voor asymmetrische sleutels, de hash-algoritme en de CSP (Cryptographic Service Provider) op waarmee de clientcomputer de communicatie met een HRA-server initieert. U kunt op een clientcomputer slechts één algoritme voor asymmetrische sleutels, hash-algoritme en CSP opgeven.
Als u op een clientcomputer een algoritme voor asymmetrische sleutels, hash-algoritme of CSP configureert, moet u exact hetzelfde aanvraagbeleid configureren op de HRA-server. Als u bijvoorbeeld in de configuratie van de clientcomputers opgeeft dat communicatie alleen wordt versleuteld met de RSA-algoritme (Rivest-Shamir-Adleman) voor asymmetrische sleutels met een minimale sleutellengte van 128, moet u in de configuratie van de HRA-servers opgeven dat communicatie wordt geaccepteerd die is versleuteld met exact dezelfde algoritme voor asymmetrische sleutels en met exact dezelfde minimale sleutellengte. Als u op de HRA-servers en de clientcomputers niet hetzelfde aanvraagbeleid configureert, is er geen communicatie mogelijk tussen de HRA-servers en de clientcomputers mogelijk en kunnen de clientcomputers als niet-compatibel worden beschouwd wat de netwerkverbindingsmogelijkheden ervan kan beperken. Als u op een clientcomputer geen instellingen voor het aanvraagbeleid configureert, wordt vanaf de clientcomputer een onderhandelingsproces met de HRA-server gestart met het standaardbeveiligingsmechanisme voor het versleutelen van communicatie.
Belangrijk | |
Wijzig de instellingen voor het aanvraagbeleid alleen als u deze instellingen grondig hebt getest in een veilige testomgeving. Als u de instellingen voor het aanvraagbeleid wijzigt, kan dat ertoe leiden dat netwerkverbindingen op de clientcomputers worden verbroken. |
Als u de HRA-servers wilt opgeven waarmee de clientcomputer kan communiceren, moet u een vertrouwde servergroep configureren. Een vertrouwde servergroep bestaat uit een of meer HRA-servers. Als meerdere HRA-servers zijn opgenomen in de vertrouwde servergroep, kunt u de volgorde opgeven waarin vanaf de clientcomputers wordt geprobeerd contact te maken met de servers. Dit is nuttig als u met meerdere HRA-servers in verschillende netwerksegmenten of domeinen werkt en u de prioriteit wilt aangeven voor de eerste server waarmee een client probeert contact te maken. U moet minimaal één vertrouwde servergroep configureren. Als u dat niet doet, kan vanaf de clientcomputer geen contact met een HRA-server worden gemaakt om een statuscertificaat te verkrijgen.
Aanvraagbeleid voor NAP-clients configureren
Vertrouwde servergroepen configureren voor NAP-clients