Utilize este procedimento para verificar que os computadores cliente com suporte NAP estão configurados para o método de imposição IPSec de NAT. Um computador com suporte NAP é um computador que tem os componentes NAP instalados e que pode verificar o respectivo estado de funcionamento através do envio de instruções do estado de funcionamento (SoHs) para o Servidor de Políticas de Rede (NPS) para avaliação. Para mais informações sobre o NAP, consulte https://go.microsoft.com/fwlink/?LinkId=94393 (Esta página pode estar em inglês).

A associação ao grupo Domain Admins, ou equivalente, é o mínimo exigido para concluir este procedimento. Consulte detalhes sobre como utilizar as contas e associações a grupos apropriadas em https://go.microsoft.com/fwlink/?LinkId=83477.

Verificar componentes do cliente NAP

Os componentes NAP incluem o serviço do Agente NAP, um ou mais clientes de imposição NAP e, pelo menos, um agente do estado de funcionamento de sistema (SHA). Podem ser necessários outros serviços caso suportem um SHA instalado. Todos estes componentes trabalham em conjunto para monitorizar de forma contínua o estado de funcionamento de um computador cliente NAP e fornecem este estado a servidores NAP para avaliação.

Agente NAP

O serviço do Agente NAP recolhe e gere as informações sobre o estado de funcionamento do computador cliente. O Agente NAP também processa os SoHs de todos os SHAs instalados e fornece relatórios do estado de funcionamento do cliente a clientes de imposição. O Agente NAP tem de estar operacional para permitir aos computadores cliente pedirem ou receberem certificados do estado de funcionamento.

Para verificar se o serviço Agente NAP foi iniciado
  1. Clique em Iniciar, Painel de Controlo, Sistema e Manutenção, Ferramentas Administrativas e, em seguida, faça duplo clique em Serviços.

  2. Na lista de serviços, em Nome, faça duplo clique em Agente de Protecção de Acesso à Rede.

  3. Verifique se o estado do Serviço é Iniciado e o Tipo de Arranque está configurado para Automático.

  4. Se o serviço não tiver sido iniciado, escolha Automático junto a Tipo de Arranque e clique em Iniciar.

  5. Clique em OK para fechar a caixa de diálogo Propriedades de Protecção do Acesso à Rede.

  6. Feche a consola Serviços.

Nota

O reinício do serviço do Agente NAP irá reinicializar automaticamente os SHAs e o computador irá tentar adquirir um novo certificado de estado de funcionamento. Pode ser útil quando estiver a resolver problemas do NAP.

Cliente de imposição do IPSec de NAP

O cliente de imposição do IPSec de NAP tem de estar instalado e activado nos computadores cliente. O cliente de imposição NAP efectua o pedido de acesso a uma rede e comunica o estado de funcionamento do computador cliente a outros componentes da arquitectura do cliente NAP. O cliente de imposição do IPSec de NAP restringe o acesso a redes protegidas por IPSec interagindo com o arquivo de certificados no computador cliente.

Para verificar se o cliente de imposição do IPSec de NAP foi inicializado
  1. Clique em Iniciar, aponte para Todos os Programas, clique em Acessórios e clique em Linha de Comandos.

  2. Na linha de comandos, escreva netsh nap client show state e prima ENTER. Este comando apresenta o estado NAP do computador cliente.

  3. Na linha de comandos, em Estado do cliente de imposição, verifique se o estado Interlocutor Dependente de IPsec é Initialized = Yes.

Verificar a configuração do cliente IPsec

Os clientes NAP têm de ser configurados com definições que lhes permitam comunicar com os componentes do servidor NAP. Pode configurar estas definições utilizando a Política de Grupo, a consola de Configuração do Cliente NAP ou a linha de comandos. Para o método de imposição IPsec, as definições do cliente NAP incluem Política de Pedido e Grupos de Servidores Fidedignos.

Política de pedido

Não necessita de alterar as definições predefinidas de política de pedido nos computadores de clientes NAP. Se estas definições forem alteradas, é importante verificar se estão activadas definições idênticas nos servidores NAP. Por predefinição, um computador cliente com capacidade NAP iniciará o processo de negociação com um servidor NAP utilizando um mecanismo de segurança mutuamente aceitável para encriptar comunicações. Recomenda-se que utilize as predefinições de política de pedido.

Para ver as definições de política de pedido
  1. Clique em Iniciar, aponte para Todos os Programas, clique em Acessórios e clique em Linha de Comandos.

  2. Se a Política de Grupo for utilizada para implementar definições de cliente NAP, na linha de comandos, escreva netsh nap client show group e prima ENTER. Se a política local for utilizada para implementar definições de cliente NAP, na linha de comandos, escreva netsh nap client show config e prima ENTER. Estes comandos apresentam as definições de Política de Grupo e de configuração NAP de política local em computadores cliente.

  3. Na linha de comandos, verifique se as definições CSP (Fornecedor de Serviços de Criptografia) e Algoritmo Hash correspondem às definições configuradas na HRA. O fornecedor de serviços de criptografia predefinido é Fornecedor de Criptografia Microsoft RSA SChannel, keylength = 2048. O algoritmo hash predefinido é sha1RSA (1.3.14.3.2.29).

Grupos de Servidores Fidedignos

Os grupos de servidores fidedignos são configurados nas definições de registo do estado de funcionamento do cliente para que os computadores cliente NAP possam contactar os Web sites que são utilizados pela HRA processar os pedidos de certificados do estado de funcionamento. Se os grupos de servidores fidedignos não estiverem configurados ou estiverem indevidamente configurados, os computadores cliente NAP não irão conseguir obter os certificados do estado de funcionamento.

Para verificar a configuração dos grupos de servidores fidedignos
  1. Clique em Iniciar, aponte para Todos os Programas, clique em Acessórios e clique em Linha de Comandos.

  2. Se a Política de Grupo for utilizada para implementar definições de cliente NAP, na linha de comandos, escreva netsh nap client show group e prima ENTER. Se a política local for utilizada para implementar definições de cliente NAP, na linha de comandos, escreva netsh nap client show config e prima ENTER. Estes comandos apresentam as definições de Política de Grupo e de configuração NAP de política local em computadores cliente.

  3. Na linha de comandos, em Configuração de grupo de servidores fidedignos, verifique se a configuração está correcta para as entradas junto a Ordem de processamento, Grupo, Exigir Https e URL.

Nota

Um computador cliente NAP irá tentar obter um certificado do estado de funcionamento do primeiro URL em todos os grupos de servidores fidedignos, a menos que o servidor esteja marcado como estando indisponível. Para mais informações, consulte Verificar a Configuração do IIS e Noções sobre os Requisitos de Autenticação da HRA.

Rever os eventos do cliente NAP

Rever as informações contidas nos eventos do cliente NAP pode ajudá-lo a resolver problemas. Também o pode ajudar a compreender a função do cliente NAP.

Para rever os eventos do cliente NAP no Visualizador de Eventos
  1. Clique em Iniciar, aponte para Todos os Programas, clique em Acessórios e, em seguida, clique em Executar.

  2. Escreva eventvwr.msc e prima ENTER.

  3. Na árvore da esquerda, vá para Visualizador de Eventos(Local)\Registos de Serviços e Aplicações \Microsoft\Windows\Protecção de Acesso à Rede\Operacional.

  4. Clique num evento no painel central.

  5. Por predefinição, é apresentado o separador Geral. Clique no separador Detalhes para visualizar informações adicionais.

  6. Pode fazer clique com o botão direito do rato sobre um evento e, em seguida, fazer clique em Propriedades de Evento para abrir uma nova janela para rever os eventos.

Referências adicionais