Aby zweryfikować, czy komputery klienckie z obsługą ochrony dostępu do sieci są skonfigurowane dla wymuszania zasad IPsec ochrony dostępu do sieci, można użyć tej procedury. Komputer z obsługą ochrony dostępu do sieci to komputer, na którym są zainstalowane składniki ochrony dostępu do sieci i który może weryfikować swoją kondycję dzięki wysyłaniu do serwera zasad sieciowych raportów o kondycji (SoH) w celu ocenienia. Aby uzyskać więcej informacji na temat ochrony dostępu do sieci, zobacz artykuł
Minimalnym wymaganiem do wykonania tej procedury jest członkostwo w grupie Domain Admins lub równoważnej. Szczegółowe informacje na temat używania odpowiednich kont i członkostw w grupach można znaleźć na stronie
Weryfikowanie składników klienta ochrony dostępu do sieci
Składniki ochrony dostępu do sieci obejmują usługę agenta ochrony dostępu do sieci lub przynajmniej jednego klienta wymuszania ochrony dostępu do sieci i co najmniej jednego agenta kondycji systemu. Wymagane mogą być również inne usługi, jeśli obsługują zainstalowanego agenta kondycji systemu. Wszystkie te składniki współpracują ze sobą, aby stale monitorować stan kondycji komputera klienckiego ochrony dostępu do sieci i wysyłać stan do serwerów ochrony dostępu do sieci w celu ocenienia.
Agent ochrony dostępu do sieci
Usługa agenta ochrony dostępu do sieci gromadzi informacje o kondycji na komputerze klienckim i zarządza nimi. Agent ochrony dostępu do sieci przetwarza również raporty o kondycji z wszystkich zainstalowanych agentów kondycji systemu i informuje klientów wymuszania o kondycji klienta. Agent ochrony dostępu do sieci musi działać, aby komputery klienckie mogły żądać certyfikatów kondycji lub je otrzymywać.
Aby sprawdzić, czy usługa agenta ochrony dostępu do sieci została uruchomiona |
W menu Start kliknij polecenie Panel sterowania, kliknij ikonę System i konserwacja, kliknij pozycję Narzędzia administracyjne, a następnie kliknij element Usługi.
Na liście usług w obszarze Nazwa kliknij dwukrotnie pozycję Agent ochrony dostępu do sieci.
Sprawdź, czy w polu Stan usługi jest wyświetlona wartość Uruchomiono, a dla opcji Typ uruchomienia wybrano wartość Automatycznie.
Jeśli usługa nie jest uruchomiona, wybierz opcję Automatycznie obok pozycji Typ uruchomienia, a następnie kliknij przycisk Uruchom.
Kliknij przycisk OK, aby zamknąć okno dialogowe Właściwości ochrony dostępu do sieci.
Zamknij konsolę Usługi.
Uwaga | |
Ponowne uruchomienie usługi agenta ochrony dostępu do sieci automatycznie spowoduje ponowne zainicjowanie agentów kondycji systemu i próbę uzyskania przez komputer nowego certyfikatu kondycji. Może to być przydatne podczas rozwiązywania problemów z ochroną dostępu do sieci. |
Klient wymuszania IPsec ochrony dostępu do sieci
Klient wymuszania IPsec ochrony dostępu do sieci musi być zainstalowany i włączony na komputerach klienckich. Klient wymuszania ochrony dostępu do sieci żąda dostępu do sieci i informuje inne składniki ochrony dostępu do sieci architektury klienta o stanie kondycji komputera klienckiego. Klient wymuszania IPsec ochrony dostępu do sieci ogranicza dostęp do sieci chronionych przez protokół IPsec dzięki interakcji z magazynem certyfikatów na komputerze klienckim.
Aby sprawdzić, czy klient wymuszania IPsec ochrony dostępu do sieci jest zainicjowany |
Kliknij przycisk Start, wskaż polecenie Wszystkie programy, a następnie kliknij polecenia Akcesoria i Wiersz polecenia.
W wierszu polecenia wpisz netsh nap client show state, a następnie naciśnij klawisz ENTER. To polecenie umożliwia wyświetlenie stanu ochrony dostępu do sieci na komputerze klienckim.
W wynikach polecenia w obszarze Stan klienta wymuszania sprawdź, czy opcja Jednostka uzależniona IPsec ma stan Zainicjowane = Tak.
Weryfikowanie konfiguracji klienta IPsec
Klienci ochrony dostępu do sieci muszą mieć tak skonfigurowane ustawienia, aby mogli się komunikować ze składnikami serwera ochrony dostępu do sieci. Te ustawienia można skonfigurować przy użyciu Zasad grupy, konsoli Konfiguracja klienta ochrony dostępu do sieci lub wiersza polecenia. Dla tej metody wymuszania IPsec ustawienia klientów ochrony dostępu do sieci obejmują Zasady żądań i Zaufane grupy serwerów.
Zasady żądań
Nie trzeba modyfikować domyślnych ustawień zasad żądań na komputerach klienckich ochrony dostępu do sieci. Jeśli te ustawienia zostaną zmienione, wtedy ważne jest, aby sprawdzić, czy na serwerach ochrony dostępu do sieci są włączone podobne ustawienia. Domyślnie komputer kliencki z obsługą ochrony dostępu do sieci inicjuje proces negocjacji z serwerem ochrony dostępu do sieci przy użyciu wzajemnie akceptowanego domyślnego mechanizmu zabezpieczeń w celu szyfrowania komunikacji. Zaleca się używanie domyślnych ustawień zasad żądań.
Aby wyświetlić ustawienia zasad żądań |
Kliknij przycisk Start, wskaż polecenie Wszystkie programy, a następnie kliknij polecenia Akcesoria i Wiersz polecenia.
Jeśli ustawienia klienta ochrony dostępu do sieci są wdrażane za pomocą zasad grupy, w wierszu polecenia wpisz netsh nap client show group, a następnie naciśnij klawisz ENTER. Jeśli ustawienia klienta ochrony dostępu do sieci są wdrażane za pomocą zasad lokalnych, w wierszu polecenia wpisz netsh nap client show config, a następnie naciśnij klawisz ENTER. Te polecenia powodują wyświetlanie na komputerach klienckich ustawień konfiguracyjnych ochrony dostępu do sieci wynikających z zasad grupy i zasad lokalnych.
W wynikach polecenia sprawdź, czy ustawienia Dostawca usług kryptograficznych (CSP) i Algorytm wyznaczania wartości skrótu odpowiadają ustawieniom skonfigurowanym w urzędzie rejestrowania kondycji. Domyślny dostawca usług kryptograficznych to Microsoft RSA SChannel Cryptographic Provider, keylength = 2048. Domyślny algorytm wyznaczania wartości skrótu to sha1RSA (1.3.14.3.2.29).
Zaufane grupy serwerów
Zaufane grupy serwerów są skonfigurowane w ustawieniach rejestrowania kondycji klienta w taki sposób, aby komputery klienckie ochrony dostępu do sieci mogły się łączyć z witrynami sieci Web używanymi przez urząd rejestrowania kondycji w celu przetwarzania żądań certyfikatów kondycji. Jeśli zaufane grupy serwerów nie są skonfigurowane lub są skonfigurowane nieprawidłowo, komputery klienckie ochrony dostępu do sieci nie będą mogły otrzymać certyfikatów kondycji.
Aby sprawdzić poprawność konfiguracji zaufanych grup serwerów |
Kliknij przycisk Start, wskaż polecenie Wszystkie programy, a następnie kliknij polecenia Akcesoria i Wiersz polecenia.
Jeśli ustawienia klienta ochrony dostępu do sieci są wdrażane za pomocą zasad grupy, w wierszu polecenia wpisz netsh nap client show group, a następnie naciśnij klawisz ENTER. Jeśli ustawienia klienta ochrony dostępu do sieci są wdrażane za pomocą zasad lokalnych, w wierszu polecenia wpisz netsh nap client show config, a następnie naciśnij klawisz ENTER. Te polecenia powodują wyświetlanie na komputerach klienckich ustawień konfiguracyjnych ochrony dostępu do sieci wynikających z zasad grupy i zasad lokalnych.
W wynikach polecenia w obszarze Konfiguracja grupy zaufanych serwerów sprawdź, czy konfiguracja jest prawidłowa dla wpisów obok ustawień Kolejność przetwarzania, Grupa, Wymagaj Https i Adres URL.
Uwaga | |
Komputer kliencki ochrony dostępu do sieci będzie próbował uzyskać certyfikat kondycji z pierwszego adresu URL we wszystkich skonfigurowanych zaufanych grupach serwerów, chyba że serwer został oznaczony jako niedostępny. Aby uzyskać więcej informacji, zobacz tematy Weryfikowanie konfiguracji usług IIS i Opis wymagań dotyczących uwierzytelnienia urzędu rejestrowania kondycji. |
Przeglądanie zdarzeń klientów ochrony dostępu do sieci
Przeglądanie informacji zawartych w zdarzeniach klientów ochrony dostępu do sieci może być przydatne przy rozwiązywaniu problemów. Może także pomóc w zrozumieniu funkcjonalności klienta ochrony dostępu do sieci.
Aby przejrzeć zdarzenia klientów ochrony dostępu do sieci w Podglądzie zdarzeń |
Kliknij przycisk Start, wskaż polecenie Wszystkie programy, a następnie kliknij polecenie Akcesoria i kliknij pozycję Uruchom.
Wpisz polecenie eventvwr.msc i naciśnij klawisz ENTER.
W lewym drzewie przejdź do Podgląd zdarzeń (lokalny)\Dzienniki aplikacji i usług\Microsoft\Windows\Ochrona dostępu do sieci\Zdarzenia operacyjne.
Kliknij zdarzenie w środkowym okienku.
Domyślnie jest wyświetlana karta Ogólne. Aby uzyskać więcej informacji, kliknij kartę Szczegóły.
Możesz też kliknąć prawym przyciskiem myszy zdarzenie, a następnie kliknąć polecenie Właściwości zdarzenia, aby otworzyć nowe okno przeglądania zdarzeń.