O NPS (Servidor de Diretivas de Rede) é o servidor central usado por todos os métodos de imposição de NAP (Proteção de Acesso à Rede) para a avaliação de solicitações de acesso de clientes. Os requisitos de integridade de rede são definidos no NPS por meio de diretivas que concedem ou restringem o acesso de computadores cliente NAP com base em sua integridade. Um servidor executando NPS que hospeda essas diretivas NAP é chamado de servidor de diretiva de integridade NAP. Dependendo da sua implantação, você poderá ter um ou mais servidores de diretiva de integridade NAP em sua rede. As condições e configurações usadas por um servidor de diretiva de integridade NAP para definir e impor requisitos de integridade de rede incluem: clientes RADIUS, diretivas de solicitação de conexão, diretivas de rede, diretivas de integridade e SHVs (validadores da integridade do sistema).

Quando você instala a HRA (Autoridade de Registro de Integridade), o NPS é automaticamente instalado no mesmo computador. Se você implantou mais de uma HRA e preferir centralizar a avaliação de diretivas colocando as suas diretivas de integridade NAP em outro computador, configure o servidor NPS local como um proxy RADIUS. Quando o NPS é usado como um proxy RADIUS, a diretiva de solicitação de conexão é configurada para mandar o servidor NPS local encaminhar solicitações de acesso à rede a grupos de servidores RADIUS remotos para avaliação.

Para obter mais informações sobre o NPS, consulte https://go.microsoft.com/fwlink/?LinkId=94389.

Ser membro do grupo Admins. do Domínio, ou equivalente, é o mínimo necessário para concluir esse procedimento. Veja detalhes sobre como usar as contas e as associações de grupos apropriadas em https://go.microsoft.com/fwlink/?LinkId=83477.

Verificar a configuração do servidor de diretiva de integridade NAP

Utilize os procedimentos a seguir como um guia geral para a verificação da configuração do NPS local como um servidor de diretiva de integridade NAP. Se o servidor HRA local estiver configurado como um proxy RADIUS, consulte Verificar a configuração do proxy NPS.

Clientes RADIUS

Se você configurou servidores HRA remotos como proxies RADIUS para o encaminhamento de solicitações de conexão ao NPS local para avaliação, então o NPS local deverá ter uma entrada de cliente RADIUS correspondente para cada servidor HRA remoto. A NAP com imposição de IPsec não exigirá clientes RADIUS se todos os servidores HRA também forem servidores de diretiva de integridade NAP. Se você estiver usando servidores HRA em sua rede com NPS configurado como um proxy RADIUS, use o procedimento a seguir para verificar se os clientes RADIUS estão corretamente configurados no servidor NPS local para que ele possa processar solicitações de conexão de clientes recebidas por servidores HRA remotos.

Para verificar clientes RADIUS

  1. Clique em Iniciar e em Executar, digite nps.msc e pressione ENTER.

  2. Na árvore de console, clique duas vezes em Clientes e Servidores RADIUS e clique em Clientes RADIUS.

  3. No painel de detalhes, clique duas vezes no nome amigável de um cliente RADIUS correspondente a um servidor HRA de sua rede com NPS instalado e configurado como um proxy RADIUS. Se não houver nenhuma entrada de cliente RADIUS, utilize o procedimento a seguir para criar um novo. Este procedimento só se aplicará se você tiver servidores HRA remotos configurados para encaminhar solicitação de conexão ao NPS local.

    1. Clique com o botão direito do mouse em Clientes RADIUS e em Novo Cliente RADIUS.

    2. Em Nome amigável, digite um nome para o cliente RADIUS como, por exemplo, HRA-1.

    3. Em Endereço (IP ou DNS) digite o endereço IP ou nome DNS do servidor HRA remoto, clique em Verificar e em Resolver.

    4. Confirme se o endereço IP exibido corresponde ao servidor HRA remoto correto e clique em OK.

    5. Em Segredo compartilhado e em Confirmar segredo compartilhado, digite o segredo definido nas configurações do grupo de sevidores RADIUS do servidor HRA remoto.

    6. Se o servidor HRA remoto tiver habilitado o atributo autenticador de mensagem nas suas configurações do grupo de servidores RADIUS remoto, marque a caixa de seleção Mensagens de Solicitação de Acesso devem conter o atributo Autenticador de Mensagem. Se essa opção não estiver habilitada no HRA remoto, verifique se a caixa de seleção está desmarcada.

    7. Marque a caixa de seleção O cliente RADIUS é compatível com NAP e clique em OK.

    8. Prossiga no procedimento atual para validar a configuração do novo cliente RADIUS.

  4. Na janela Propriedades, verifique se a caixa de seleção Habilitar este cliente RADIUS está marcada.

  5. Verifique se a caixa de seleção O cliente RADIUS é compatível com NAP está marcada.

  6. Se o servidor HRA remoto estiver configurado para exigir que as solicitações de acesso contenham o atributo autenticador de mensagem, verifique se a caixa de seleção Mensagens de Solicitação de Acesso devem conter o atributo Autenticador de Mensagem está marcada. Caso contrário, verifique se ela está desmarcada.

  7. Ao lado de Nome do fornecedor, verifique se Padrão RADIUS está marcado.

  8. Em Endereço (IP ou DNS), confirme se o nome DNS ou endereço IP listado corresponde ao servidor HRA remoto correto e clique em Verificar.

  9. Na caixa de diálogo Verificar Cliente, clique em Resolver.

  10. Em Endereço IP, confirme se o endereço IP listado corresponde a um servidor HRA configurado para encaminhar solicitações para o NPS local e se o NPS local possui conectividade de rede com esse endereço IP.

  11. Clique em OK. Se você suspeitar de erro de incompatibilidade de segredo compartilhado, digite-o ao lado de Segredo compartilhado e de Confirmar segredo compartilhado e clique em OK.

  12. Repita esse procedimento para cada HRA de sua rede que estiver configurada para encaminhar solicitações de conexão ao NPS local para processamento.

Diretivas de solicitação de conexão

As diretivas de solicitação de conexão são condições e configurações que validam solicitações para acesso à rede e especificam onde essa validação será executada. Utilize o procedimento a seguir para confirmar se a diretiva de solicitação de conexão do NPS local foi configurada para a imposição de IPsec da NAP.

Para verificar diretivas de solicitação de conexão

  1. Na árvore de console, clique duas vezes em Diretivas e clique em Diretivas de Solicitação de Conexão.

  2. No painel de detalhes, clique duas vezes na diretiva de solicitação de conexão usada na autenticação de solicitações de acesso à rede de entrada vindas de clientes NAP protegidos por IPsec. Se essa diretiva não estiver presente, execute as etapas a seguir para criar uma.

    1. Clique com o botão direito do mouse em Diretivas de Solicitação de Conexão e clique em Nova.

    2. Em Nome da Diretiva, digite um nome para a diretiva de solicitação de conexão como, por exemplo: IPsec NAP com HRA.

    3. Em Tipo de servidor de acesso à rede, selecione Autoridade de Registro de Integridade e clique em Avançar.

    4. A diretiva de solicitação de conexão requer que pelo menos uma condição seja especificada. Será adicionada uma condição que não negará quaisquer solicitações de acesso de entrada. Para adicionar essa condição, clique em Adicionar na página Especificar Condições.

    5. Na janela Selecionar condição, clique em Restrições de Dia e Horário e clique em Adicionar.

    6. Na janela Restrições de horário, selecione Permitido. Verifique se todos os dias e horários foram permitidos, clique em OK e em Avançar.

    7. Se o NPS local for um servidor de diretiva de integridade NAP, verifique se Autenticar solicitações neste servidor foi escolhido, clique em Avançar três vezes e clique em Concluir. Se o NPS local encaminhar solicitações para outro servidor para avaliação, consulte Verificar a configuração do proxy NPS.

    8. Continue no procedimento atual para validar a nova diretiva de solicitação de conexão.

  3. Na guia Visão Geral, verifique se a caixa de seleção Diretiva habilitada está marcada.

  4. Na guia Visão Geral, verifique se Tipo de servidor de acesso à rede é Autoridade de Registro de Integridade ou Não especificado. Para obter mais informações sobre a especificação de um tipo de servidor de acesso, consulte Considerações adicionais.

  5. Clique na guia Condições e verifique se todas as condições configuradas para os clientes compatíveis com NAP e para os incompatíveis são iguais. Por exemplo, Restrições de Dia e Horário podem ser configuradas para permitirem o acesso à rede somente em dias e horários específicos.

  6. Clique na guia Configurações. Em Métodos de Autenticação Necessários, clique em Métodos de Autenticação e verifique se a caixa de seleção Substituir configurações de autenticação da diretiva de rede está desmarcada.

  7. Em Encaminhando Solicitação de Conexão, clique em Autenticação.

  8. Para habilitar o NPS local como servidor de diretiva de integridade NAP, verifique se Autenticar solicitações neste servidor foi escolhido.

  9. Clique em OK para fechar a janela de propriedades.

Diretivas de rede

As diretivas de rede usam condições, configurações e restrições para determinar quem pode se conectar à rede. Para avaliar o status de integridade de clientes NAP, deve existir pelo menos uma diretiva de rede que será aplicada a computadores compatíveis com os requisitos de integridade e pelo menos uma diretiva de rede que será aplicada a computadores incompatíveis. Utilize o procedimento a seguir para veriricar se essas diretivas foram criadas e configuradas para a imposição de IPsec da NAP.

Para verificar diretivas de rede

  1. Na árvore de console do NPS, clique duas vezes em Diretivas e clique em Diretivas de Rede.

  2. No painel de detalhes, verifique se você possui pelo menos uma diretiva para computadores compatíveis e uma para os incompatíveis e se essas diretivas têm o StatusHabilitada. Para habilitar uma diretiva, clique com o botão direito no nome da diretiva e clique em Habilitar. Se essas diretivas não estiverem presentes, execute as etapas a seguir para criar uma diretiva de rede.

    1. Clique com o botão direito do mouse em Diretivas de Rede e clique em Nova.

    2. Em Nome da Diretiva, digite um nome para a diretiva de rede como, por exemplo: Compatível com IPsec NAP com HRA ou Incompatível com IPsec NAP com HRA.

    3. Em Tipo de servidor de acesso à rede, selecione Autoridade de Registro de Integridade e clique em Avançar.

    4. Na página Especificar Condições, clique em Adicionar.

    5. Em Selecionar condição, clique em Diretivas de Integridade e em Adicionar.

    6. Se essa diretiva de rede se aplicar a computadores cliente compatíveis, em Diretivas de Integridade, escolha uma diretiva de integridade configurada como um estado de integridade de cliente compatível e clique em OK.

    7. Se essa diretiva de rede se aplicar a computadores cliente incompatíveis, em Diretivas de Integridade, escolha uma diretiva de integridade configurada como um estado de integridade de cliente incompatível e clique em OK.

    8. Se não houver diretivas de integridade disponíveis, ou se elas não estiverem configuradas como estados de integridade de cliente compatível e incompatível, consulte diretivas de integridade e continue este procedimento.

    9. Clique em Avançar, selecione Acesso concedido e clique em Avançar.

    10. Na página Configurar Métodos de Autenticação, marque a caixa de seleção Executar somente verificação de integridade da máquina e clique em Avançar duas vezes.

    11. Na página Definir Configurações, clique em Imposição de NAP.

    12. Escolha um modo de imposição para essa diretiva. Consulte Modos de imposição de NAP para obter mais informações.

    13. Para habilitar a correção automática de clientes incompatíveis, marque a caixa de seleção Habilitar correção automática de computadores cliente. Se não desejar habilitar a correção automática, desmarque essa caixa de seleção.

    14. Clique em Avançar e, em seguida, clique em Concluir.

    15. Continue no procedimento atual para validar a configuração da nova diretiva de rede.

  3. No painel de detalhes, verifique se a Ordem de Processamento de diretivas está corretamente configurada para a sua implantação. As diretivas mais específicas normalmente são processadas antes das mais gerais. Para alterar a ordem das diretivas, clique com o botão direito do mouse no nome da diretiva e clique em Mover para Cima ou Mover para Baixo.

  4. No painel de detalhes, verifique se as suas diretivas NAP compatíveis e incompatíveis estão configuradas com um Tipo de AcessoConceder Acesso. Para configurar as permissões de acesso, clique com o botão direito do mouse no nome da diretiva, clique em Propriedades, clique na guia Visão Geral e selecione Conceder Acesso.

  5. Na guia de detalhes, verifique se a Origem das suas diretivas usadas para o processamento de clientes NAP protegidos por IPsec é Autoridade de Registro de Integridade ou Não especificado. Para obter mais informações sobre a especificação de um tipo de servidor de acesso, consulte Considerações adicionais.

  6. No painel de detalhes, clique duas vezes no nome de uma diretiva de rede correspondente a clientes compatíveis e clique na guia Condições.

  7. Verifique se pelo menos uma das condições especificadas é Diretiva de Integridade e se o Valor corresponde a uma diretiva de integridade configurada para corresponder a um estado de integridade de cliente compatível. Se essa condição não estiver presente, execute as etapas a seguir.

    1. Clique em Adicionar, em Diretivas de Integridade e em Adicionar.

    2. Em Diretivas de Integridade, escolha uma diretiva que corresponda a um estado de integridade de cliente compatível e clique em OK. Se não houver diretivas de integridade disponíveis, verifique diretivas de integridade e repita este procedimento.

  8. Clique na guia Restrições e clique em Métodos de Autenticação.

  9. Verifique se a caixa de seleção Executar somente verificação de integridade da máquina está marcada.

  10. Clique na guia Configurações e em Imposição de NAP.

  11. Verifique se Permitir acesso total à rede está marcado para essa diretiva de rede compatível e clique em OK. Isso conclui a verificação de uma diretiva de rede compatível.

  12. No painel de detalhes, clique duas vezes no nome de uma diretiva de rede correspondente a clientes incompatíveis e clique na guia Condições.

  13. Verifique se pelo menos uma das condições especificadas é Diretiva de Integridade e se o Valor corresponde a uma diretiva de integridade configurada para corresponder a um estado de integridade de cliente incompatível. Se essa condição não estiver presente, execute as etapas a seguir.

    1. Clique em Adicionar, em Diretivas de Integridade e em Adicionar.

    2. Em Diretivas de Integridade, escolha uma diretiva que corresponda a um estado de integridade de cliente incompatível e clique em OK. Se não houver diretivas de integridade disponíveis, verifique diretivas de integridade e repita este procedimento.

  14. Clique na guia Restrições e clique em Métodos de Autenticação.

  15. Verifique se a caixa de seleção Executar somente verificação de integridade da máquina está marcada.

  16. Clique na guia Configurações e em Imposição de NAP.

  17. Verifique se Permitir acesso limitado está selecionado para essa diretiva de rede incompatível caso você tenha implantando NAP em modo de imposição total.

  18. Verifique se Permitir acesso total à rede por tempo limitado está selecionado para essa diretiva de rede incompatível caso você tenha implantando NAP em modo de imposição adiada.

  19. Verifique se Permitir acesso total à rede está selecionado para essa diretiva de rede incompatível caso você tenha implantando NAP em modo de relatório.

  20. Verifique se a caixa de seleção Habilitar correção automática de computadores cliente está marcada se quiser habilitar a correção automática de clientes NAP incompatíveis.

  21. Clique em OK.

  22. Repita essas etapas, se necessário, para verificar a configuração de cada uma das diretivas de rede usadas na avaliação de solicitações de acesso feitas por clientes NAP protegidos por IPsec.

Modos de imposição de NAP

Quando você habilita a NAP em sua rede, três modos de imposição são disponibilizados. Use-os para testar a sua implantação da NAP.

  • Para habilitar o modo de relatório, selecione Permitir acesso total à rede para os computadores cliente NAP compatíveis e incompatíveis. Em modo de relatório, o status de integridade dos computadores cliente é registrado mas o acesso à rede não é restrito. Os computadores compatíveis e os incompatíveis recebem certificados de integridade.

  • Para habilitar o modo de imposição adiada, selecione Permitir acesso total à rede em sua diretiva de rede compatível e Permitir acesso total à rede por tempo limitado em sua diretiva de rede incompatível. Você também deve especificar uma data e um horário em que os clientes incompatíveis terão seu acesso restrito. No modo de imposição adiada, os computadores cliente recebem imediatamente notificações NAP se não atenderem aos requisitos de integridade da rede, mas não terão seu acesso restrito até o horário e a data especificados.

  • Para habilitar o modo de imposição total, selecione Permitir acesso total à rede em sua diretiva de rede compatível e Permitir acesso limitado em sua diretiva de rede incompatível. No modo de imposição total, os computadores cliente têm seu acesso à rede imediatamente restrito caso não atendam aos requisitos de integridade da rede.

Considerações adicionais

Se o tipo de servidor de acesso à rede da diretiva de solicitação de conexão e da diretiva de rede tiver sido definido como Não especificado, o NPS usará essa diretiva para avaliar todas as solicitações de conexão originadas em qualquer tipo de servidor de acesso à rede. Se o tipo de servidor de acesso à rede tiver sido definido como Autoridade de Registro de Integridade, somente as solicitações de conexão encaminhadas por um servidor HRA serão avaliadas por essa diretiva. Caso uma ou mais das diretivas habilitadas tiver uma origem especificada como Autoridade de Registro de Integridadade, todas as diretivas com uma origem Não especificada serão ignoradas pelo NPS durante o processamento de solicitações de acesso feitas por clientes NAP protegidos por IPsec.

Diretivas de integridade

As diretivas de integridade definem os SHVs que serão avaliados e como eles serão usados na validação da configuração de computadores que tentam se conectar à sua rede. Com base nos resultados das verificações do SHV, as diretivas de integridade classificarão o status de integridade do cliente. Você precisa de pelo menos uma diretiva de integridade que corresponda a um estado de integridade de cliente compatível e de pelo menos uma diretiva de integridade que corresponda a um estado de integridade de cliente incompatível. Utilize o procedimento a seguir para verificar se as diretivas de integridade compatíveis e incompatíveis foram configuradas no servidor de diretiva de integridade NAP.

Para verificar diretivas de integridade

  1. Na árvore de console do NPS, clique duas vezes em Diretivas e clique em Diretivas de Integridade.

  2. No painel de detalhes, em Nome da Diretiva, clique duas vezes no nome de uma diretiva de integridade compatível. Se essa diretiva não estiver presente, execute as etapas a seguir para criar uma.

    1. Clique com o botão direito do mouse em Diretivas de Integridade e clique em Nova.

    2. Em Nome da diretiva, digite um nome para a sua diretiva de integridade compatível como, por exemplo: Compatível com IPsec NAP com HRA.

    3. Em Verificações de SHV de cliente, selecione Cliente aprovado em todas as verificações de SHV para criar uma diretiva de integridade rígida ou selecione Cliente aprovado em uma ou mais verificações de SHV para criar uma diretiva de integridade mais branda.

    4. Em SHVs usados nesta diretiva de integridade, marque a caixa de seleção ao lado de cada SHV que será usado na avaliação da integridade dos clientes. Validador de Integridade de Segurança do Windows está disponível por padrão. Outros SHVs estarão disponíveis se tiverem sido instalados.

    5. Clique em OK e continue este procedimento para validar a sua nova diretiva de integridade.

  3. Em Verificações de SHV de cliente, verifique se Cliente aprovado em todas as verificações de SHV ou se Cliente aprovado em uma ou mais verificações de SHV foi selecionado. Essas condições são usadas na criação de diretivas compatíveis mais restritivas ou menos restritivas, respectivamente.

  4. Em SHVs usados nesta diretiva de integridade, verifique se estão marcadas as caixas de seleção ao lado dos SHVs que serão usados na avaliação da integridade dos seus computadores cliente NAP protegidos por IPsec e clique em OK.

  5. No painel de detalhes, em Nome da Diretiva, clique duas vezes no nome de uma diretiva de integridade incompatível. Se essa diretiva não estiver presente, execute as etapas a seguir para criar uma.

    1. Clique com o botão direito do mouse em Diretivas de Integridade e clique em Nova.

    2. Em Nome da diretiva, digite um nome para a sua diretiva de integridade incompatível como, por exemplo: Incompatível com IPsec NAP com HRA.

    3. Em Verificações de SHV de cliente, selecione Cliente reprovado em uma ou mais verificações de SHV para criar uma diretiva de integridade rígida ou selecione Cliente não aprovado em todas as verificações de SHV para criar uma diretiva de integridade mais branda.

    4. Em SHVs usados nesta diretiva de integridade, marque a caixa de seleção ao lado de cada SHV que será usado na avaliação da integridade dos clientes. Validador de Integridade de Segurança do Windows está disponível por padrão. Outros SHVs estarão disponíveis se tiverem sido instalados.

    5. Clique em OK e continue este procedimento para validar a sua nova diretiva de integridade.

  6. Em Verificações de SHV de cliente, verifique se Cliente reprovado em uma ou mais verificações de SHV ou se Cliente não aprovado em todas as verificações de SHV foi selecionada. Essas condições são usadas na criação de diretivas não compatíveis mais restritivas ou menos restritivas, respectivamente.

  7. Em SHVs usados nesta diretiva de integridade, verifique se estão marcadas as caixas de seleção ao lado dos SHVs que serão usados na avaliação da integridade dos seus computadores cliente NAP protegidos por IPsec e clique em OK.

  8. Repita essas etapas para todas as diretivas de integridade usadas na avaliação de seus computadores cliente NAP protegidos por IPsec.

Validadores da integridade do sistema

Os SHVs definem requisitos de configuração e de software para computadores que tentam se conectar à sua rede. Utilize o procedimento a seguir para verificar se os SHVs estão corretamente configurados para a sua implantação.

Para verificar validadores da integridade do sistema

  1. Na árvore de console do NPS, clique duas vezes em Proteção de Acesso à Rede e clique em Validadores da Integridade do Sistema.

  2. No painel de detalhes, em Nome, clique duas vezes no nome de um SHV instalado.

  3. A configuração de SHVs dependerá da implementação. Se você estiver usando o WSHV (Validador de Integridade de Segurança do Windows), clique em Configurar.

  4. Para configurar os requisitos de integridade para computadores com o Windows Vista, clique na guia Windows Vista.

  5. Para configurar requisitos de integridade para computadores com o Windows XP com Service Pack 3, clique na guia Windows XP.

  6. Habilite os requisitos de integridade marcando as caixas de seleção ao lado dos componentes de integridade específicos. Desmarque essas caixas de seleção para desabilitar os requisitos. Os requisitos de integridade disponíveis durante a utilização do WSHV incluem: Firewall, Proteção Contra Vírus, Proteção Anti-Spyware, Atualização Automática e Proteção de Atualização de Segurança.

  7. Clique em OK e configure as resoluções de código de erro para a sua implantação. As resoluções de código de erro determinam como os clientes serão avaliados sob as condições de erro listadas. Você pode optar por retornar a um status Compatível ou Incompatível para cada condição.

  8. Clique em OK e feche o console do NPS.

Verificar a configuração do proxy NPS

Utilize o procedimento a seguir para verificar a configuração do servidor NPS local como um proxy RADIUS. Esse procedimento não se aplicará caso o servidor NPS local esteja configurado como um servidor de diretiva de integridade NAP.

Para verificar a configuração do proxy NPS

  1. Clique em Iniciar e em Executar, digite nps.msc e pressione ENTER.

  2. Na árvore de console, clique duas vezes em Clientes e Servidores RADIUS e clique em Grupos de Servidores Remotos RADIUS.

  3. No painel de detalhes, em Nome do Grupo, clique duas vezes no nome de um grupo de servidores remotos RADIUS. Se nenhuma entrada de grupo de servidores remotos RADIUS for exibida, execute as etapas a seguir para adicionar um grupo.

    1. Na árvore de console, clique duas vezes em Clientes e Servidores RADIUS, clique com o botão direito do mouse em em Grupos de Servidores Remotos RADIUS e clique em Novo.

    2. Em Nome do Grupo, digite um nome para o grupo de servidores remotos RADIUS como, por exemplo: Servidor1 de Diretiva de Integridade NAP.

    3. Clique em Adicionar e, em Servidor, digite o nome DNS ou o endereço IP de um servidor NPS configurado para avaliar solicitações de conexão de clientes IPsec da NAP encaminhadas pela HRA local.

    4. Clique em Verificar e em Resolver. Confirme se o endereço IP exibido está correto para a sua implantação e clique em OK.

    5. Clique na guia Autenticação/Contabilização.

    6. Em Segredo compartilhado e em Confirmar segredo compartilhado, digite o segredo definido nas configurações do NPS do servidor de diretiva de integridade NAP.

    7. Clique em OK duas vezes e continue este procedimento para validar a configuração do proxy NPS.

  4. Na janela de propriedades do grupo de servidores, em Servidor RADIUS, clique no nome de um servidor RADIUS e em Editar.

  5. Na guia Endereço, clique em Verificar.

  6. Na caixa de diálogo Verificar Cliente, clique em Resolver. Verifique se o endereço IP do cliente RADIUS corresponde a um servidor de diretiva de integridade NAP de sua rede que está configurado com um proxy RADIUS correspondente ao NPS local.

  7. Clique em OK e na guia Autenticação/Contabilização.

  8. Verifique se as portas de autenticação e de contabilização são as corretas para a sua implantação. A porta de autenticação padrão é a 1812 e a porta de contabilização padrão é a 1813.

  9. Verifique se a caixa de seleção A solicitação deve conter o atributo Autenticador de Mensagem é selecionada somente se um requisito de mensagem de solicitação de acesso correspondente para o atributo autenticador de mensagem estiver habilitado no servidor de diretiva de integridade NAP. Desmarque essa caixa de seleção se o servidor de diretiva de integridade NAP não exigir esse atributo.

  10. Se você suspeitar de erro de incompatibilidade de segredo compartilhado, digite-o ao lado de Segredo compartilhado e de Confirmar segredo compartilhado e clique em OK duas vezes.

  11. Na árvore de console, clique duas vezes em Diretivas e clique em Diretivas de Solicitação de Conexão.

  12. No painel de detalhes, clique duas vezes na diretiva de solicitação de conexão usada na autenticação de solicitações de acesso à rede de entrada vindas de clientes NAP protegidos por IPsec.

  13. Clique na guia Configurações, em Encaminhando Solicitação de Conexão, clique em Autenticação.

  14. Verifique se Encaminhar solicitações ao seguinte grupo de servidores remotos RADIUS para autenticação está selecionado e se o nome do grupo de servidores remotos RADIUS selecionado corresponde aos servidores de diretiva de integridade NAP de sua rede.

  15. Repita essas etapas para todos servidores e grupos NPS remotos.

  16. Feche o console do NPS.

Consulte também

Sumário