Serwer zasad sieciowych (NPS) jest serwerem centralnym używanym wraz z metodami wymuszania ochrony dostępu do sieci do oceniania żądań dostępu klientów ochrony dostępu do sieci. Wymagania dotyczące kondycji sieci są zdefiniowane w zasadach używanych przez serwer NPS, które w oparciu o kondycję komputerów klienckich ochrony dostępu do sieci umożliwiają lub ograniczają ich dostęp do sieci. Serwer z uruchomionym serwerem NPS obsługującym te zasady ochrony dostępu do sieci nazywa się serwerem zasad dotyczących kondycji ochrony dostępu do sieci. W zależności od sposobu wdrożenia w sieci można używać jednego lub kilku serwerów zasad dotyczących kondycji ochrony dostępu do sieci. Klienci usługi RADIUS, zasady żądań połączeń, zasady sieciowe, zasady dotyczące kondycji i moduły sprawdzania kondycji systemu są używane przez serwer zasad dotyczących kondycji ochrony dostępu do sieci do definiowania i wymuszania wymagań dotyczących kondycji sieci.

Przy instalowaniu urzędu rejestrowania kondycji na tym samym komputerze jest automatycznie instalowany serwer zasad sieciowych. Jeśli wdrożonych zostało kilka urzędów rejestrowania kondycji i jest preferowane scentralizowane ocenianie zasad przez umieszczenie zasad dotyczących kondycji ochrony dostępu do sieci na innym komputerze, lokalny serwer, na którym działa serwer NPS, należy skonfigurować jako serwer proxy RADIUS. Jeśli serwer zasad sieciowych jest używany jako serwer proxy RADIUS, zasady żądań połączeń są skonfigurowane tak, że lokalny serwer, na którym działa serwer NPS, będzie przesyłał do oceny żądania dostępu do sieci do zdalnej grupy serwerów RADIUS.

Aby uzyskać więcej informacji na temat serwera zasad sieciowych, zobacz artykuł https://go.microsoft.com/fwlink/?LinkId=94389 (strona może zostać wyświetlona w języku angielskim).

Minimalnym wymaganiem do wykonania tej procedury jest członkostwo w grupie Domain Admins lub równoważnej. Szczegółowe informacje na temat używania odpowiednich kont i członkostw w grupach można znaleźć na stronie https://go.microsoft.com/fwlink/?LinkId=83477 (strona może zostać wyświetlona w języku angielskim).

Weryfikowanie konfiguracji serwera zasad dotyczących kondycji ochrony dostępu do sieci

Poniższe procedury umożliwiają zweryfikowanie konfiguracji lokalnego serwera, na którym działa serwer NPS, jako serwera zasad dotyczących kondycji ochrony dostępu do sieci. Jeśli lokalny serwer urzędu rejestrowania kondycji jest skonfigurowany jako serwer proxy RADIUS, zobacz temat Weryfikowanie konfiguracji serwera proxy zasad sieciowych

Klienci usługi RADIUS

Jeśli zdalne serwery urzędu rejestrowania kondycji zostały skonfigurowane jako serwery proxy RADIUS w taki sposób, że żądania połączeń są przesyłane do oceny do lokalnego serwera, na którym działa serwer NPS, to serwer ten musi mieć odpowiedni wpis klienta usługi RADIUS dla każdego zdalnego serwera urzędu rejestrowania kondycji. Ochrona dostępu do sieci z wymuszaniem IPsec nie wymaga klientów usługi RADIUS, jeśli wszystkie serwery urzędu rejestrowania kondycji są również serwerami zasad dotyczących kondycji ochrony dostępu do sieci. W przypadku używania serwerów urzędu rejestrowania kondycji z serwerem zasad sieciowych skonfigurowanym jako serwer proxy RADIUS należy skorzystać z poniższej procedury w celu sprawdzenia, czy klienci usługi RADIUS są prawidłowo skonfigurowani na lokalnym serwerze, na którym działa serwer NPS, tak aby serwer ten mógł przetwarzać żądania połączeń klientów odbierane przez zdalne serwery urzędu rejestrowania kondycji.

Aby zweryfikować klientów usługi RADIUS
  1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie nps.msc, a następnie naciśnij klawisz ENTER.

  2. W drzewie konsoli serwera zasad sieciowych kliknij dwukrotnie węzeł Klienci i serwery usługi RADIUS, a następnie kliknij pozycję Klienci usługi RADIUS.

  3. W okienku szczegółów kliknij dwukrotnie przyjazną nazwę klienta usługi RADIUS odpowiadającego serwerowi urzędu rejestrowania kondycji z zainstalowanym serwerem zasad sieciowych skonfigurowanym jako serwer proxy RADIUS. Jeśli nie ma żadnego wpisu klienta usługi RADIUS, skorzystaj z poniższej procedury, aby utworzyć nowego klienta usługi RADIUS. Ta procedura ma zastosowanie tylko wtedy, gdy na zdalnych serwerach urzędu rejestrowania kondycji skonfigurowano przesyłanie żądań połączeń do lokalnego serwera, na którym działa serwer NPS.

    1. Kliknij prawym przyciskiem myszy pozycję Klienci usługi RADIUS, a następnie kliknij polecenie Nowy.

    2. W obszarze Przyjazna nazwa wpisz nazwę klienta usługi RADIUS, na przykład Urząd rejestrowania kondycji-1.

    3. W obszarze Adres (IP lub DNS) wprowadź adres IP lub nazwę DNS zdalnego serwera urzędu rejestrowania kondycji, kliknij przycisk Weryfikuj, a następnie kliknij polecenie Rozpoznaj.

    4. Potwierdź, że wyświetlony adres IP odpowiada prawidłowemu zdalnemu serwerowi urzędu rejestrowania kondycji, a następnie kliknij przycisk OK.

    5. W obszarze Wspólne hasło i Potwierdź wspólne hasło wpisz hasło skonfigurowane w ustawieniach zdalnej grupy serwerów RADIUS na zdalnym serwerze urzędu rejestrowania kondycji.

    6. Zaznacz pole wyboru Komunikaty typu Access-Request muszą zawierać atrybut Message-Authenticator, jeśli zdalny serwer urzędu rejestrowania kondycji spowodował włączenie atrybutu wystawcy uwierzytelniania wiadomości w ustawieniach konfiguracji zdalnej grupy serwerów RADIUS. Jeśli ta opcja nie jest włączona w zdalnym urzędzie rejestrowania kondycji, sprawdź, czy to pole wyboru nie jest wyczyszczone.

    7. Zaznacz pole wyboru Klient usługi RADIUS obsługuje ochronę dostępu do sieci i kliknij przycisk OK.

    8. Wznów bieżącą procedurę, aby sprawdzić poprawność konfiguracji nowego klienta usługi RADIUS.

  4. W oknie Właściwości sprawdź, czy pole wyboru Włącz tego klienta usługi RADIUS jest zaznaczone.

  5. Sprawdź, czy jest zaznaczone pole wyboru Klient usługi RADIUS obsługuje ochronę dostępu do sieci.

  6. Jeśli konfiguracja zdalnego serwera urzędu rejestrowania kondycji wymaga, żeby żądania dostępu zawierały atrybut wystawcy uwierzytelniania wiadomości, sprawdź, czy jest zaznaczone pole wyboru Komunikaty typu Access-Request muszą zawierać atrybut Message-Authenticator. W przeciwnym razie sprawdź, czy to pole wyboru jest wyczyszczone.

  7. Obok pozycji Nazwa dostawcy sprawdź, czy opcja Standardowy atrybut usługi RADIUS jest zaznaczona.


  8. W obszarze Adres (IP lub DNS) potwierdź, że nazwa DNS lub adres IP odpowiada prawidłowemu zdalnemu serwerowi urzędu rejestrowania kondycji, a następnie kliknij przycisk Weryfikuj.

  9. W oknie dialogowym Weryfikowanie klienta kliknij przycisk Rozpoznaj.

  10. W obszarze Adres IP potwierdź, że wyświetlony adres IP odpowiada serwerowi urzędu rejestrowania kondycji, na którym skonfigurowano przesyłanie żądań do lokalnego serwera, na którym działa serwer NPS i który ma połączenie sieciowe z tym adresem IP.

  11. Kliknij przycisk OK. Jeśli zachodzi podejrzenie niezgodności wspólnego hasła, wpisz hasło obok pozycji Wspólne hasło i Potwierdź wspólne hasło, a następnie kliknij przycisk OK.

  12. Powtórz tę procedurę dla każdego serwera urzędu rejestrowania kondycji w sieci, na którym skonfigurowano przesyłanie żądań połączeń do lokalnego serwera, na którym działa serwer NPS, w celu ich przetwarzania.

Zasady żądań połączeń

Zasady żądań połączeń są to warunki i ustawienia sprawdzające poprawność żądań dostępu do sieci i określające, w którym miejscu ta poprawność jest sprawdzana. Skorzystaj z poniższej procedury, aby sprawdzić, czy w zasadach żądań połączeń na lokalnym serwerze, na którym działa serwer NPS, skonfigurowano wymuszanie IPsec ochrony dostępu do sieci.

Aby zweryfikować zasady żądań połączeń
  1. W drzewie konsoli serwera zasad sieciowych kliknij dwukrotnie węzeł Zasady, a następnie kliknij pozycję Zasady żądań połączeń.

  2. W okienku szczegółów kliknij dwukrotnie zasadę żądania połączenia, która jest używana do uwierzytelniania żądań dostępu do sieci przychodzących od klientów ochrony dostępu do sieci chronionych przez protokół IPsec. Jeśli nie ma tej zasady, wykonaj poniższe kroki, aby utworzyć zasadę żądania połączenia.

    1. Kliknij prawym przyciskiem myszy pozycję Zasady żądań połączeń, a następnie kliknij polecenie Nowa.

    2. W obszarze Nazwa zasady wpisz nazwę zasady żądania połączenia (na przykład Ochrona dostępu do sieci - IPsec z urzędem rejestrowania kondycji).

    3. W obszarze Typ serwera dostępu do sieci zaznacz opcję Urząd rejestrowania kondycji, a następnie kliknij przycisk Dalej.

    4. Zasada żądania połączenia wymaga określenia przynajmniej jednego warunku. Aby dodać warunek, który nie spowoduje odrzucenia żadnego przychodzącego żądania dostępu, na stronie Określanie warunków kliknij przycisk Dodaj.

    5. W oknie Wybieranie warunku kliknij pozycję Ograniczenia dotyczące dni i godzin, a następnie kliknij przycisk Dodaj.

    6. W oknie Ograniczenia dotyczące pory dnia zaznacz opcję Dozwolone. Sprawdź, czy dozwolone są wszystkie dni i godziny, kliknij przycisk OK, a następnie kliknij przycisk Dalej.

    7. Jeśli lokalny serwer, na którym działa serwer NPS, jest serwerem zasad dotyczących kondycji ochrony dostępu do sieci, sprawdź, czy opcja Uwierzytelnij żądania na tym serwerze jest zaznaczona, kliknij trzy razy przycisk Dalej, a następnie kliknij przycisk Zakończ. Jeśli lokalny serwer, na którym działa serwer NPS, będzie przesyłać żądania do oceny na innym serwerze, zobacz temat Weryfikowanie konfiguracji serwera proxy zasad sieciowych.

  3. Na karcie Przegląd sprawdź, czy jest zaznaczone pole wyboru Zasada włączona.

  4. Na karcie Przegląd sprawdź, czy dla pozycji Typ serwera dostępu do sieci jest ustawiona opcja Urząd rejestrowania kondycji czy opcja Nieokreślone. Aby uzyskać więcej informacji na temat określania typu serwera dostępu, zobacz Uwagi dodatkowe w dalszej części tego tematu.

  5. Kliknij kartę Warunki i sprawdź, czy wszystkie skonfigurowane warunki są dopasowane zarówno do zgodnych, jak i niezgodnych klientów ochrony dostępu do sieci. Na przykład pozycję Ograniczenia dotyczące dni i godzin można tak skonfigurować, aby zezwolić na dostęp do sieci tylko w określone dni i w określonych godzinach.

  6. Kliknij kartę Ustawienia. W obszarze Wymagane metody uwierzytelniania kliknij pozycję Metody uwierzytelniania i sprawdź, czy jest wyczyszczone pole wyboru Zastąp ustawienia uwierzytelniania zasady sieciowej.

  7. W obszarze Przesyłanie dalej żądania połączenia kliknij pozycję Uwierzytelnianie.

  8. Aby lokalny serwer, na którym działa serwer NPS, funkcjonował jako serwer zasad dotyczących kondycji ochrony dostępu do sieci, opcja Uwierzytelnij żądania na tym serwerze musi być zaznaczona.

  9. Kliknij przycisk OK, aby zamknąć okno właściwości.

Zasady sieciowe

Zasady sieciowe korzystają z warunków, ustawień i ograniczeń, aby określić, kto może się połączyć z siecią. Aby ocenić stan kondycji klientów ochrony dostępu do sieci, musi istnieć przynajmniej jedna zasada sieciowa, którą będzie można stosować do komputerów zgodnych z wymaganiami dotyczącymi kondycji i przynajmniej jedna zasada sieciowa, której będzie można używać do komputerów niezgodnych. Aby zweryfikować, czy te zasady zostały utworzone i skonfigurowane dla wymuszania IPsec ochrony dostępu do sieci, można skorzystać z poniższej procedury.

Aby zweryfikować zasady sieciowe
  1. W drzewie konsoli serwera zasad sieciowych kliknij dwukrotnie węzeł Zasady, a następnie kliknij pozycję Zasady sieciowe.

  2. W okienku szczegółów sprawdź, czy istnieje przynajmniej jedna zasada dla komputerów zgodnych i jedna dla komputerów niezgodnych i czy w polu Stan dla każdej z tych zasad jest wyświetlona wartość Włączona. Aby włączyć zasadę, kliknij prawym przyciskiem myszy nazwę zasady, a następnie kliknij polecenie Włącz. Jeśli te zasady nie istnieją, wykonaj poniższe kroki w celu utworzenia zasady sieciowej.

    1. Kliknij prawym przyciskiem myszy pozycję Zasady sieciowe, a następnie kliknij polecenie Nowa.

    2. W obszarze Nazwa zasady wpisz nazwę zasady sieciowej (na przykład Zgodne: ochrona dostępu do sieci - IPsec z urzędem rejestrowania kondycji lub Niezgodne: ochrona dostępu do sieci - IPsec z urzędem rejestrowania kondycji).

    3. W obszarze Typ serwera dostępu do sieci zaznacz opcję Urząd rejestrowania kondycji, a następnie kliknij przycisk Dalej.

    4. Na stronie Określanie warunków kliknij przycisk Dodaj.

    5. W oknie Wybieranie warunku kliknij pozycję Zasady dotyczące kondycji, a następnie kliknij przycisk Dodaj.

    6. Jeśli ta zasada sieciowa będzie stosowana do zgodnych komputerów klienckich, w obszarze Zasady dotyczące kondycji wybierz zasadę dopasowaną do stanu kondycji zgodnego klienta, a następnie kliknij przycisk OK.

    7. Jeśli ta zasada sieciowa będzie stosowana do niezgodnych komputerów klienckich, w obszarze Zasady dotyczące kondycji wybierz zasadę dopasowaną do stanu kondycji niezgodnego klienta, a następnie kliknij przycisk OK.

    8. Kliknij przycisk Dalej, wybierz pozycję Udzielenie dostępu, a następnie kliknij przycisk Dalej.

    9. Na stronie Konfigurowanie metod uwierzytelniania zaznacz pole wyboru Wykonaj tylko test kondycji komputera, a następnie dwa razy kliknij przycisk Dalej.

    10. Na stronie Konfigurowanie ustawień kliknij pozycję Wymuszanie ochrony dostępu do sieci.

    11. Wybierz tryb wymuszania dla tej zasady. Aby uzyskać więcej informacji, zobacz temat Tryby wymuszania ochrony dostępu do sieci w dalszej części tego tematu.

    12. Aby włączyć automatyczne korygowanie klientów niezgodnych, zaznacz pole wyboru Włącz automatyczne korygowanie komputerów klienckich. Jeśli nie chcesz włączać automatycznego korygowania, wyczyść to pole wyboru.

    13. Kliknij przycisk Dalej, a następnie kliknij przycisk Zakończ.

    14. Wznów bieżącą procedurę, aby sprawdzić poprawność konfiguracji nowej zasady sieciowej.

  3. W okienku szczegółów sprawdź, czy Kolejność przetwarzania zasad jest skonfigurowana prawidłowo dla danego wdrożenia. Dokładniej określone zasady są przetwarzane przed bardziej ogólnymi zasadami. Aby zmienić kolejność zasad, kliknij prawym przyciskiem myszy nazwę zasady, a następnie kliknij polecenie Przenieś w górę lub Przenieś w dół.

  4. W okienku szczegółów sprawdź, czy pozycje Typ dostępu i Udziel dostępu są skonfigurowane zarówno dla zasad ochrony dostępu do sieci komputerów zgodnych jak i niezgodnych. Aby skonfigurować uprawnienia dostępu, kliknij prawym przyciskiem myszy nazwę zasady, kliknij pozycję Właściwości, kliknij kartę Przegląd, a następnie zaznacz opcję Udziel dostępu.

  5. W okienku szczegółów sprawdź, czy Źródło zasad używane do przetwarzania klientów ochrony dostępu do sieci chronionych przez protokół IPsec jest ustawione albo na Urząd rejestrowania kondycji, albo na Nieokreślone. Aby uzyskać więcej informacji na temat określania typu serwera dostępu, zobacz Uwagi dodatkowe w dalszej części tego tematu.

  6. W okienku szczegółów kliknij dwukrotnie nazwę zasady sieciowej używanej do dopasowania klientów zgodnych, a następnie kliknij kartę Warunki.

  7. Sprawdź, czy przynajmniej jednym z określonych warunków jest Zasada dotycząca kondycji i czy Wartość odpowiada zasadzie dotyczącej kondycji dopasowanej do stanu kondycji klienta zgodnego. Jeśli nie ma tego warunku, wykonaj poniższe kroki.

    1. Kliknij przycisk Dodaj, kliknij pozycję Zasady dotyczące kondycji, a następnie kliknij przycisk Dodaj.

    2. W obszarze Zasady dotyczące kondycji wybierz zasadę odpowiadającą stanowi kondycji klienta zgodnego, a następnie kliknij przycisk OK. Jeśli żadne zasady dotyczące kondycji nie są dostępne, sprawdź zasady dotyczące kondycji i powtórz tę procedurę.

  8. Kliknij kartę Ograniczenia, a następnie kliknij pozycję Metody uwierzytelniania.

  9. Sprawdź, czy pole wyboru Wykonaj tylko test kondycji komputera jest zaznaczone.

  10. Kliknij kartę Ustawienia, a następnie kliknij pozycję Wymuszanie ochrony dostępu do sieci.

  11. Sprawdź, czy opcja Zezwalaj na pełny dostęp do sieci jest zaznaczona dla tej zasady sieciowej komputera zgodnego, a następnie kliknij przycisk OK. Na tym kończy się weryfikacja zasady sieciowej komputera zgodnego.

  12. W okienku szczegółów kliknij dwukrotnie nazwę zasady sieciowej używanej do dopasowania klientów niezgodnych, a następnie kliknij kartę Warunki.

  13. Sprawdź, czy przynajmniej jednym z określonych warunków jest Zasada dotycząca kondycji i czy Wartość odpowiada zasadzie dotyczącej kondycji dopasowanej do stanu kondycji klienta niezgodnego. Jeśli nie ma tego warunku, wykonaj poniższe kroki.

    1. Kliknij przycisk Dodaj, kliknij pozycję Zasady dotyczące kondycji, a następnie kliknij przycisk Dodaj.

    2. W obszarze Zasady dotyczące kondycji wybierz zasadę odpowiadającą stanowi kondycji klienta niezgodnego, a następnie kliknij przycisk OK. Jeśli żadne zasady dotyczące kondycji nie są dostępne, sprawdź zasady dotyczące kondycji i powtórz tę procedurę.

  14. Kliknij kartę Ograniczenia, a następnie kliknij pozycję Metody uwierzytelniania.

  15. Sprawdź, czy pole wyboru Wykonaj tylko test kondycji komputera jest zaznaczone.

  16. Kliknij kartę Ustawienia, a następnie kliknij pozycję Wymuszanie ochrony dostępu do sieci.

    • Sprawdź, czy opcja Zezwalaj na ograniczony dostęp jest zaznaczona dla tej zasady sieciowej komputera niezgodnego, jeśli została wdrożona ochrona dostępu do sieci trybie pełnego wymuszania.

    • Sprawdź, czy opcja Zezwalaj na pełny dostęp sieciowy przez ograniczony czas jest zaznaczona dla tej zasady sieciowej komputera niezgodnego, jeśli została wdrożona ochrona dostępu do sieci w trybie odroczonego wymuszania.

    • Sprawdź, czy opcja Zezwalaj na pełny dostęp do sieci jest zaznaczona dla tej zasady sieciowej komputera niezgodnego, jeśli została wdrożona ochrona dostępu do sieci w trybie raportowania.

    • Sprawdź, czy jest zaznaczone pole wyboru Włącz automatyczne korygowanie komputerów klienckich, jeśli włączone ma być automatyczne korygowanie niezgodnych klientów ochrony dostępu do sieci.

  17. Kliknij przycisk OK.

  18. W razie potrzeby powtórz te kroki, aby zweryfikować konfigurację wszystkich zasad sieciowych używany do oceny żądań dostępu ze strony klientów ochrony dostępu do sieci chronionych przez protokół IPsec.

Tryby wymuszania ochrony dostępu do sieci

Jeśli w sieci włączona zostanie ochrona dostępu do sieci, dostępne są trzy tryby wymuszania. Tych trybów wymuszania używa się do organizowania wdrażania ochrony dostępu do sieci.

  • Aby włączyć tryb raportowania, zaznacz opcję Zezwalaj na pełny dostęp do sieci zarówno dla zgodnych jak i niezgodnych komputerów klienckich ochrony dostępu do sieci. W trybie raportowania jest rejestrowany stan kondycji komputerów klienckich, ale dostęp do sieci nie jest ograniczany. Zarówno komputery zgodne, jak i niezgodne otrzymują certyfikaty kondycji.

  • Aby włączyć tryb odroczonego wymuszania, zaznacz opcję Zezwalaj na pełny dostęp do sieci w zasadzie sieciowej komputera zgodnego i opcję Zezwalaj na pełny dostęp sieciowy przez ograniczony czas w zasadzie sieciowej komputera niezgodnego. Należy także określić datę i godzinę ograniczenia dostępu dla niezgodnych klientów. W trybie odroczonego wymuszania komputery klienckie natychmiast otrzymują powiadomienia ochrony dostępu do sieci, jeśli nie są zgodne z wymaganiami dotyczącymi kondycji sieci. Jednak ich dostęp nie jest ograniczany aż do określonej daty i godziny.

  • Aby włączyć tryb pełnego wymuszania, zaznacz opcję Zezwalaj na pełny dostęp do sieci w zasadzie sieciowej komputera zgodnego i opcję Zezwalaj na ograniczony dostęp w zasadzie sieciowej komputera niezgodnego. W trybie pełnego wymuszania dostęp do sieci komputerów klienckich jest natychmiast ograniczany, jeśli są one niezgodne z wymaganiami dotyczącymi kondycji sieci.

Zasady dotyczące kondycji

Zasady dotyczące kondycji określają, które moduły sprawdzania kondycji systemu (SHV) są oceniane i w jaki sposób są one używane przy sprawdzaniu poprawności konfiguracji komputerów próbujących połączyć się z siecią. Zasady dotyczące kondycji klasyfikują stan kondycji klienta na podstawie wyników testów modułu sprawdzania kondycji systemu. Niezbędna jest przynajmniej jedna zasada dotycząca kondycji odpowiadająca stanowi kondycji klienta zgodnego i przynajmniej jedna odpowiadająca stanowi kondycji klienta niezgodnego. Aby zweryfikować, czy zasady dotyczące kondycji komputerów zgodnych i niezgodnych zostały skonfigurowane na serwerze zasad dotyczących kondycji ochrony dostępu do sieci, można użyć poniższej procedury.

Aby zweryfikować zasady dotyczące kondycji
  1. W konsoli serwera zasad sieciowych kliknij dwukrotnie węzeł Zasady, a następnie kliknij pozycję Zasady dotyczące kondycji.

  2. W okienku szczegółów w obszarze Nazwa zasady kliknij dwukrotnie nazwę zasady dotyczącej kondycji zgodnego komputera. Jeśli nie ma tej zasady, wykonaj poniższe kroki, aby utworzyć zasadę dotyczącą kondycji zgodnego komputera.

    1. Kliknij prawym przyciskiem myszy pozycję Zasady dotyczące kondycji, a następnie kliknij polecenie Nowa.

    2. W obszarze Nazwa zasady wpisz nazwę zasady dotyczącej kondycji zgodnego komputera, na przykład Zgodne: ochrona dostępu do sieci - IPsec z urzędem rejestrowania kondycji.

    3. W obszarze Testy klienta przez moduł sprawdzania kondycji systemu zaznacz opcję Klient przechodzi pomyślnie wszystkie testy modułu sprawdzania kondycji systemu, aby utworzyć ścisłą zasadę dotyczącą kondycji, albo zaznacz opcję Klient przechodzi pomyślnie jeden lub więcej testów modułu sprawdzania kondycji systemu, aby utworzyć łagodniejszą zasadę dotyczącą kondycji.

    4. W obszarze Moduły sprawdzania kondycji systemu używane w tej zasadzie dotyczącej kondycji zaznacz pole wyboru obok każdego modułu sprawdzania kondycji systemu, który będzie używany do oceniania kondycji klienta. Domyślnie jest dostępny moduł sprawdzania kondycji zabezpieczeń systemu Windows. Inne moduły sprawdzania kondycji systemu są dostępne po ich zainstalowaniu.

    5. Kliknij przycisk OK.

  3. W obszarze Testy klienta przez moduł sprawdzania kondycji systemu sprawdź, czy opcja Klient przechodzi pomyślnie wszystkie testy modułu sprawdzania kondycji systemu lub opcja Klient przechodzi pomyślnie jeden lub więcej testów modułu sprawdzania kondycji systemu jest zaznaczona. Te warunki są używane do tworzenia odpowiednio bardziej restrykcyjnych lub mniej restrykcyjnych zasad komputerów zgodnych.

  4. W obszarze Moduły sprawdzania kondycji systemu używane w tej zasadzie dotyczącej kondycji sprawdź, czy są zaznaczone pola wyboru obok zainstalowanych modułów sprawdzania kondycji systemu, które będą używane do oceniania kondycji komputerów klienckich ochrony dostępu do sieci chronionej przez protokół IPsec, a następnie kliknij przycisk OK.

  5. W okienku szczegółów w obszarze Nazwa zasady kliknij dwukrotnie nazwę zasady dotyczącej kondycji niezgodnego komputera. Jeśli nie ma tej zasady, wykonaj poniższe kroki, aby utworzyć zasadę dotyczącą kondycji niezgodnego komputera.

    1. Kliknij prawym przyciskiem myszy pozycję Zasady dotyczące kondycji, a następnie kliknij polecenie Nowa.

    2. W obszarze Nazwa zasady wpisz nazwę zasady dotyczącej kondycji niezgodnego komputera (na przykład: Niezgodne: ochrona dostępu do sieci - IPsec z urzędem rejestrowania kondycji).

    3. W obszarze Testy klienta przez moduł sprawdzania kondycji systemu zaznacz opcję Klient nie przechodzi pomyślnie jednego lub więcej testów modułu sprawdzania kondycji systemu, aby utworzyć ścisłą zasadę dotyczącą kondycji, albo zaznacz opcję Klient nie przechodzi pomyślnie żadnych testów modułu sprawdzania kondycji systemu, aby utworzyć łagodniejszą zasadę dotyczącą kondycji.

    4. W obszarze Moduły sprawdzania kondycji systemu używane w tej zasadzie dotyczącej kondycji zaznacz pole wyboru obok każdego modułu sprawdzania kondycji systemu, który będzie używany do oceniania kondycji klienta. Domyślnie jest dostępny moduł sprawdzania kondycji zabezpieczeń systemu Windows. Inne moduły sprawdzania kondycji systemu są dostępne po ich zainstalowaniu.

    5. Kliknij przycisk OK.

  6. W obszarze Testy klienta przez moduł sprawdzania kondycji systemu sprawdź, czy opcja Klient nie przechodzi pomyślnie jednego lub więcej testów modułu sprawdzania kondycji systemu lub opcja Klient nie przechodzi pomyślnie żadnych testów modułu sprawdzania kondycji systemu jest zaznaczona. Te warunki są używane do tworzenia odpowiednio bardziej restrykcyjnych lub mniej restrykcyjnych zasad komputerów niezgodnych.

  7. W obszarze Moduły sprawdzania kondycji systemu używane w tej zasadzie dotyczącej kondycji sprawdź, czy są zaznaczone pola wyboru obok zainstalowanych modułów sprawdzania kondycji systemu, które będą używane do oceniania kondycji komputerów klienckich ochrony dostępu do sieci chronionej przez protokół IPsec, a następnie kliknij przycisk OK.

  8. Powtórz te kroki dla wszystkich zasad dotyczących kondycji używanych do oceniania komputerów klienckich ochrony dostępu do sieci chronionej przez protokół IPsec.

Moduły sprawdzania kondycji systemu

Moduły sprawdzania kondycji systemu określają wymagania dotyczące oprogramowania i konfiguracji dla komputerów próbujących połączyć się z siecią. Aby sprawdzić, czy moduły sprawdzania kondycji systemu zostały prawidłowo skonfigurowane dla danego wdrożenia, skorzystaj z poniższej procedury.

Aby zweryfikować moduły sprawdzania kondycji systemu
  1. W konsoli serwera zasad sieciowych kliknij dwukrotnie węzeł Ochrona dostępu do sieci, a następnie kliknij pozycję Moduły sprawdzania kondycji systemu.

  2. W okienku szczegółów w obszarze Nazwa kliknij dwukrotnie nazwę zainstalowanego modułu sprawdzania kondycji systemu.

  3. Konfiguracja modułów sprawdzania kondycji systemów może się różnić w zależności od implementacji. Jeśli jest używany moduł sprawdzania kondycji zabezpieczeń systemu Windows, kliknij przycisk Konfiguruj.

    • Aby skonfigurować wymagania dotyczące kondycji dla komputerów z systemem Windows Vista, kliknij kartę Windows Vista.

    • Aby skonfigurować wymagania dotyczące kondycji dla komputerów z systemem Windows XP z dodatkiem Service Pack 3, kliknij kartę Windows XP.

  4. Włącz wymagania dotyczące kondycji, zaznaczając pola wyboru obok składników kondycji. Wyczyść te pola wyboru, aby wyłączyć wymagania. Poniżej wymienione są wymagania dotyczące kondycji dostępne w przypadku stosowania modułu sprawdzania kondycji zabezpieczeń systemu Windows: Zapora, Ochrona przed wirusami, Ochrona przed programami szpiegującymi, Automatyczne aktualizowanie oraz Ochrona aktualizacji zabezpieczeń.

  5. Kliknij przycisk OK i skonfiguruj rozwiązanie dla kodu błędu odpowiednie dla danego wdrożenia. Rozwiązanie dla kodu błędu określa, w jaki sposób klienci są oceniani, uwzględniając wymienione warunki błędów. Dla każdego warunku można zaznaczyć, aby zwracany był stan Zgodne lub Niezgodne.

  6. Kliknij przycisk OK i zamknij konsolę serwera zasad sieciowych.

Weryfikowanie konfiguracji serwera proxy zasad sieciowych

Aby zweryfikować konfigurację lokalnego serwera, na którym działa serwer NPS, jako serwera proxy RADIUS, można skorzystać z poniższej procedury. Nie ma ona jednak zastosowania, jeśli lokalny serwer, na którym działa serwer NPS, jest skonfigurowany jako serwer zasad dotyczących kondycji ochrony dostępu do sieci.

Aby zweryfikować konfigurację serwera proxy zasad sieciowych
  1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie nps.msc, a następnie naciśnij klawisz ENTER.

  2. W drzewie konsoli kliknij dwukrotnie węzeł Klienci i serwery usługi RADIUS, a następnie kliknij pozycję Grupy zdalnych serwerów usługi RADIUS.

  3. W okienku szczegółów w obszarze Nazwa grupy kliknij dwukrotnie nazwę grupy zdalnych serwerów usługi RADIUS. Jeśli nie jest wyświetlana żadna grupa serwerów zdalnych RADIUS, wykonaj poniższe kroki, aby ją dodać.

    1. W drzewie konsoli w obszarze Klienci i serwery usługi RADIUS, kliknij prawym przyciskiem myszy pozycję Grupy zdalnych serwerów usługi RADIUS, a następnie kliknij polecenie Nowa.

    2. W obszarze Nazwa grupy wpisz nazwę grupy zdalnych serwerów usługi RADIUS, na przykład Serwer 1 zasad dotyczących kondycji ochrony dostępu do sieci.

    3. Kliknij przycisk Dodaj, a następnie w obszarze Serwer wpisz nazwę DNS lub adres IP serwera, na którym działa serwer NPS, skonfigurowanego do oceniania żądań połączeń klientów IPsec ochrony dostępu do sieci przesyłanych z lokalnego serwera urzędu rejestrowania kondycji.

    4. Kliknij przycisk Weryfikuj, a następnie kliknij polecenie Rozpoznaj. Sprawdź, czy wyświetlony adres IP jest prawidłowy dla danego wdrożenia, a następnie kliknij przycisk OK.

    5. Kliknij kartę Uwierzytelnianie/ewidencjonowanie aktywności.

    6. W obszarze Wspólne hasło i Potwierdź wspólne hasło wpisz hasło skonfigurowane w ustawieniach serwera NPS na serwerze zasad dotyczących kondycji ochrony dostępu do sieci.

    7. Kliknij dwukrotnie przycisk OK.

  4. W oknie właściwości grupy serwerów w obszarze Serwer usługi RADIUS kliknij nazwę zdalnego serwera RADIUS, a następnie kliknij przycisk Edytuj.

  5. Na karcie Adres kliknij przycisk Weryfikuj.

  6. W oknie dialogowym Weryfikowanie klienta kliknij przycisk Rozpoznaj. Sprawdź, czy adres IP klienta usługi RADIUS odpowiada serwerowi zasad dotyczących kondycji ochrony dostępu do sieci w sieci, która ma skonfigurowany serwer proxy RADIUS odpowiadający lokalnemu serwerowi, na którym działa serwer NPS.

  7. Kliknij przycisk OK, a następnie kliknij kartę Uwierzytelnianie/ewidencjonowanie aktywności.

  8. Sprawdź, czy porty uwierzytelniania i obsługi kont są prawidłowe dla danego wdrożenia. Domyślnym portem uwierzytelniania jest port 1812, a domyślnym portem obsługi kont jest port 1813.

  9. Sprawdź, czy pole wyboru Żądanie musi zawierać atrybut wystawcy uwierzytelnienia wiadomości jest zaznaczone tylko wtedy, gdy na serwerze zasad dotyczących kondycji ochrony dostępu do sieci włączone jest wymaganie komunikatów żądań dostępu dla atrybutu wystawcy uwierzytelniania wiadomości Jeśli serwer zasad dotyczących kondycji ochrony dostępu do sieci nie wymaga tego atrybutu, wyczyść to pole wyboru.

  10. Jeśli zachodzi podejrzenie niezgodności wspólnego hasła, wpisz hasło obok pozycji Wspólne hasło i Potwierdź wspólne hasło, a następnie dwa razy kliknij przycisk OK.

  11. W konsoli serwera zasad sieciowych kliknij dwukrotnie węzeł Zasady, a następnie kliknij pozycję Zasady żądań połączeń.

  12. W okienku szczegółów kliknij dwukrotnie zasadę żądania połączenia, która jest używana do uwierzytelniania żądań dostępu do sieci przychodzących od klientów ochrony dostępu do sieci chronionych przez protokół IPsec.

  13. Kliknij kartę Ustawienia, a w obszarze Przesyłanie dalej żądania połączenia kliknij pozycję Uwierzytelnianie.

  14. Sprawdź, czy opcja Prześlij żądania do następującej grupy zdalnych serwerów usługi RADIUS w celu uwierzytelnienia jest zaznaczona, a także czy nazwa wybranej grupy zdalnych serwerów usługi RADIUS odpowiada serwerom zasad dotyczących kondycji ochrony dostępu do sieci znajdującym się w sieci.

  15. Powtórz te kroki dla wszystkich grup i zdalnych serwerów NPS, na których działają serwery NPS.

  16. Zamknij konsolę serwera zasad sieciowych.

Uwagi dodatkowe

Jeśli typ serwera dostępu do sieci w zasadzie żądania połączenia i zasadzie sieciowej jest ustawiony na Nieokreślony, serwer NPS używa tej zasady do oceniania wszystkich żądań połączeń pochodzących z dowolnego typu serwera dostępu do sieci. Jeśli dla typu typ serwera dostępu do sieci wybrano ustawienie Urząd rejestrowania kondycji, przez tę zasadę są oceniane tylko żądania połączeń przesyłane przez serwer urzędu rejestrowania kondycji. Jeśli określonym źródłem jednej lub kilku zasad jest Urząd rejestrowania kondycji, serwer NPS ignoruje wszystkie zasady ze źródłem Nieokreślone przy przetwarzaniu żądań dostępu do sieci klientów ochrony dostępu do sieci chronionych przez protokół IPsec.

Dodatkowe informacje