Konsola Konfiguracja klienta ochrony dostępu do sieci umożliwia określenie mechanizmów zabezpieczeń używanych przez komputer kliencki do komunikowania się z serwerami urzędu rejestrowania kondycji. Za pomocą konsoli Konfiguracja klienta ochrony dostępu do sieci można również określić serwery urzędu rejestrowania kondycji, z którymi komputer kliencki będzie mógł się komunikować. Komputer kliencki musi nawiązać połączenie z serwerem urzędu rejestrowania kondycji w celu uzyskania certyfikatu dotyczącego kondycji. Certyfikat ten jest wymagany dla funkcji ochrony dostępu do sieci z opcją wymuszania opartego na protokole IPsec.
Aby określić, który mechanizm zabezpieczeń ma być używany przez komputer kliencki do komunikacji z serwerem urzędu rejestrowania kondycji, należy skonfigurować zasady żądań. Zasady te określają algorytm klucza asymetrycznego, algorytm wyznaczania wartości skrótu oraz dostawcę usług kryptograficznych, których komputer kliencki będzie używał przy inicjowaniu komunikacji z serwerem urzędu rejestrowania kondycji. Na komputerze klienckim można określić tylko po jednym algorytmie klucza asymetrycznego, algorytmie wyznaczania wartości skrótu i dostawcy usług kryptograficznych.
Po skonfigurowaniu na komputerze klienckim algorytmu klucza asymetrycznego, algorytmu wyznaczania wartości skrótu lub dostawcy usług kryptograficznych należy skonfigurować dokładnie takie same zasady żądań na serwerze urzędu rejestrowania kondycji. Na przykład, jeśli dla komputerów klienckich skonfigurowano szyfrowanie komunikacji tylko przy użyciu algorytmu klucza asymetrycznego RSA (Rivesta-Shamira-Adelmana) o minimalnej długości 128 znaków, należy skonfigurować serwery urzędu rejestrowania kondycji tak, aby akceptowały połączenia szyfrowane za pomocą dokładnie takiego samego algorytmu klucza asymetrycznego o identycznej minimalnej długości klucza. Jeśli na serwerach urzędu rejestrowania kondycji i komputerach klienckich nie skonfigurowano używania takich samych zasad żądań, serwery urzędu rejestrowania kondycji nie będą mogły komunikować się z tymi komputerami klienckimi, a komputery klienckie mogą zostać uznane za niezgodne, co może ograniczyć ich łączność sieciową. Jeśli na komputerze klienckim nie zostaną skonfigurowane ustawienia zasad żądań, komputer ten zainicjuje proces negocjacji z serwerem urzędu rejestrowania kondycji przy użyciu domyślnego mechanizmu zabezpieczeń w celu szyfrowania komunikacji.
 | Ważne |
|
Nie należy modyfikować ustawień zasad żądań, jeśli ustawienia te nie zostały sprawdzone w bezpiecznym środowisku testowym. Zmiana ustawień zasad żądań może spowodować utratę połączenia sieciowego przez komputery klienckie. |
Aby określić, z którymi serwerami urzędu rejestrowania kondycji ma się komunikować komputer kliencki, należy skonfigurować zaufaną grupę serwerów. Grupa ta składa się z co najmniej jednego serwera urzędu rejestrowania kondycji. Jeśli zaufana grupa serwerów obejmuje więcej niż jeden serwer urzędu rejestrowania kondycji, można określić kolejność, w jakiej komputery klienckie będą nawiązywały połączenie z serwerami. Jest to przydatne, jeśli w różnych segmentach sieci lub różnych domenach znajduje się kilka serwerów urzędu rejestrowania kondycji, a użytkownik chce określić priorytet, z którymi serwerami komputery klienckie będą łączyć się w pierwszej kolejności. Należy określić co najmniej jedną zaufaną grupę serwerów; w przeciwnym wypadku komputery klienckie nie będą wiedzieć, w jaki sposób nawiązać połączenie z serwerem urzędu rejestrowania kondycji w celu uzyskania certyfikatu dotyczącego kondycji.
Konfigurowanie zasad żądań klienta ochrony dostępu do sieci
Konfigurowanie zaufanych grup serwerów dla klientów ochrony dostępu do sieci