O Servidor de Políticas de Rede (NPS) é o servidor central utilizado em todos os métodos de imposição da Protecção de Acesso à Rede (NAP) para avaliar os pedidos de acesso ao cliente NAP. Os requisitos de estado de funcionamento de rede são definidos no NPS através de políticas que concedem ou restringem o acesso dos computadores cliente NAP tendo por base o respectivo estado de funcionamento. Um servidor a executar o NPS que hospeda estas políticas NAP é denominado servidor de políticas de estado de funcionamento NAP. Conforme a sua implementação, poderá ter um ou vários servidores de políticas de estado de funcionamento NAP na rede. Os clientes RADIUS, as políticas de pedidos de ligação, as políticas de rede, as políticas de estado de funcionamento e as validações de estado de funcionamento do sistema (SHVs) são utilizados por um servidor de políticas de estado de funcionamento NAP para definir e impor os requisitos de estado de funcionamento da rede.
Quando instala a Autoridade de Registo de Estado de Funcionamento (HRA), o NPS é instalado automaticamente no mesmo computador. Se tiver implementado mais do que uma HRA e preferir centralizar a avaliação de políticas colocando as políticas de estado de funcionamento NAP noutro computador, terá de configurar o servidor local com NPS como um proxy RADIUS. Quando utiliza o NPS como proxy RADIUS, a política de pedido de ligação é configurada para comunicar ao servidor local com NPS para reencaminhar os pedidos de acesso à rede para os grupos de servidores RADIUS remotos para avaliação.
Para mais informações sobre o NPS, consulte
A associação ao grupo Domain Admins, ou equivalente, é o requisito mínimo para levar a cabo este procedimento. Consulte detalhes sobre como utilizar as contas e associações a grupos apropriadas em
Verificar a configuração do servidor de políticas de estado de funcionamento NAP
Utilize os procedimentos seguintes para verificar a configuração do servidor local com NPS como servidor de políticas de estado de funcionamento NAP. Se o servidor HRA local estiver configurado como um proxy RADIUS, consulte Verificar configuração do proxy NPS.
Clientes RADIUS
Se tiver configurado servidores HRA remotos como proxies RADIUS para reencaminhar os pedidos de ligação ao servidor local com NPS para avaliação, então o servidor local com NPS terá de ter uma entrada de cliente RADIUS correspondente para cada servidor HRA remoto. A imposição IPSec de NAP não necessita de clientes RADIUS se todos os servidores HRA também forem servidores de políticas de estado de funcionamento NAP. Se estiver a utilizar servidores HRA com o NPS configurado como proxy RADIUS, utilize o procedimento seguinte para verificar se os clientes RADIUS estão correctamente configurados no servidor local com NPS de forma a que este consiga processar os pedidos de ligação de clientes recebidos pelos servidores HRA remotos.
Para verificar os clientes RADIUS |
Clique em Iniciar, Executar, escreva nps.msc e, em seguida, prima ENTER.
Na árvore da consola NPS, faça duplo clique sobre Clientes e Servidores RADIUS e, em seguida, clique em Clientes RADIUS.
No painel de detalhes, faça duplo clique sobre o nome amigável de um cliente RADIUS que corresponda a um servidor HRA com o NPS instalado e configurado como proxy RADIUS. Se não estiver configurada uma entrada de cliente RADIUS, utilize o procedimento seguinte para criar um novo cliente RADIUS. Este procedimento aplica-se apenas se possuir servidores HRA remotos configurados para reencaminhar pedidos de ligação para o servidor local com NPS.
-
Clique com o botão direito do rato em Clientes RADIUS e clique em Novo.
-
Em Nome amigável, escreva um nome para o cliente RADIUS (por exemplo, HRA-1).
-
Em Endereço (IP ou DNS) escreva o endereço IP ou o nome de DNS do servidor HRA remoto, clique em Verificar e clique em Resolver.
-
Confirme que o endereço de IP apresentado corresponde ao servidor HRA remoto correcto e, em seguida, clique em OK.
-
Em Segredo partilhado e Confirmar segredo partilhado, escreva o segredo que está configurado nas definições do grupo de servidores RADIUS remotos no servidor HRA remoto.
-
Se o servidor HRA remoto tiver activado o atributo Message-Authenticator nas definições de configuração do grupo de servidores RADIUS remotos, seleccione a caixa de verificação As mensagens de Access-Request têm de conter o atributo Message-Authenticator. Se esta opção não estiver activada na HRA remoto, garanta que esta caixa de verificação está desmarcada.
-
Seleccione a caixa de verificação O cliente RADIUS é compatível com NAP e, em seguida, clique em OK.
-
Regresse ao procedimento actual para validar a configuração do novo cliente RADIUS.
-
Clique com o botão direito do rato em Clientes RADIUS e clique em Novo.
Na janela Propriedades, verifique se a caixa de verificação Activar este cliente RADIUS está seleccionada.
Verifique se a caixa de verificação O cliente RADIUS é compatível com NAP está seleccionada.
Se o servidor HRA remoto está configurado para requerer que os pedidos de acesso contenham o atributo Message-authenticator, verifique se a caixa de verificação As mensagens de Access-Request têm de conter o atributo Message-Authenticator está seleccionada. Caso contrário, verifique se esta caixa de verificação está desmarcada.
Junto de Nome do fornecedor, verifique se está seleccionada a caixa de verificação RADIUS Padrão.
Em Endereço (IP ou DNS), confirme se o nome de DNS ou endereço de IP listados correspondem ao servidor HRA remoto correcto e, em seguida, clique em Verificar.
Na caixa de diálogo Verificar Cliente, clique em Resolver.
Em Endereço IP, confirme se o endereço IP listado corresponde a um servidor HRA que tenha sido configurado para reencaminhar pedidos para o servidor local com NPS, e que este consegue obter ligação de rede a este endereço IP.
Clique em OK. Se suspeitar da não correspondência do segredo partilhado, escreva o segredo junto de Segredo Partilhado e Confirmar segredo partilhado e, em seguida, clique em OK.
Repita este procedimento para cada servidor HRA da rede que esteja configurado para reencaminhar pedidos de ligação para serem processados pelo servidor local com NPS.
Políticas de pedido de ligação
As políticas de pedido de ligação são condições e definições que validam os pedidos de acesso à rede e especificam onde é efectuada esta validação. Utilize o procedimento seguinte para confirmar que a política de pedido de ligação do servidor local com NPS está configurada para imposição IPSec de NAP.
Para verificar as políticas de pedido de ligação |
Na árvore da consola NPS, faça duplo clique em Políticas e, em seguida, clique em Políticas de Pedido de Ligação.
No painel de detalhes, faça duplo clique sobre a política de pedido de ligação que é utilizada para autenticar os pedidos de acesso à rede recebidos dos clientes NAP protegidos por IPSec. Se esta política não estiver disponível, efectue os passos seguintes para criar uma política de pedido de ligação.
-
Faça clique com o botão direito do rato em Políticas de Pedido de Ligação e clique em Nova.
-
Em Nome da Política, escreva um nome para a política de pedido de ligação (por exemplo, IPsec NAP com HRA).
-
Em Tipo de servidor NAS, seleccione Autoridade de Registo de Estado de Funcionamento e, em seguida, clique em Seguinte.
-
A política de pedido de ligação necessita que seja especificada, pelo menos, uma condição. Para adicionar uma condição que não recuse quaisquer pedidos de acesso recebidos, na página Especificar Condições clique em Adicionar.
-
Na janela Seleccionar condição, clique em Restrições de Dia e Hora e, em seguida, clique em Adicionar.
-
Na janela Restrições na hora do dia, seleccione Permitidas. Verifique que são permitidos todos os dias e todas as horas, clique em OK e, em seguida, clique em Seguinte.
-
Se o servidor local com NPS for um servidor de política de estado de funcionamento NAP, verifique se a opção Autenticar pedidos neste servidor está seleccionada, clique três vezes em Seguinte e clique em Concluir. Se o servidor local com NPS reencaminhar pedidos para outro servidor para avaliação, consulte Verificar configuração do proxy NPS.
-
Faça clique com o botão direito do rato em Políticas de Pedido de Ligação e clique em Nova.
No separador Descrição geral, verifique se a caixa de verificação Política activada está seleccionada.
No separador Descrição geral, verifique se o Tipo de servidor NAS é Autoridade de Registo de Estado de Funcionamento ou Não especificado. Para mais informações sobre a especificação de um tipo de servidor de acesso, consulte "Considerações Adicionais", mais adiante neste tópico.
Clique no separador Condições e verifique se todas as condições configuradas correspondem nos clientes NAP compatíveis e não compatíveis. Por exemplo, as Restrições de Dia e Hora podem ser configuradas para permitirem o acesso à rede apenas nos dias especificados às horas especificadas.
Clique no separador Definições. Em Métodos de Autenticação Requeridos, clique em Métodos de Autenticação e verifique se a caixa de verificação Substituir definições de autenticação da política de rede está desmarcada.
Em A Reencaminhar Pedido de Ligação, clique em Autenticação.
Para activar o servidor local com NPS como servidor de políticas de estado de funcionamento NAP, verifique se a opção Autenticar pedidos neste servidor está seleccionada.
Clique em OK para fechar a janela de propriedades.
Políticas de rede
As políticas de rede utilizam condições, definições e restrições para determinar quem se pode ligar à rede. Para avaliar o estado de funcionamento dos clientes NAP, tem de existir, pelo menos, uma política de rede que será aplicada aos computadores compatíveis com os requisitos de estado de funcionamento e, pelo menos, uma política de rede que será aplicada a computadores que não são compatíveis. Utilize o procedimento seguinte se estas políticas foram criadas e configuradas para a imposição IPSec de NAP.
Para verificar as políticas de rede |
Na árvore da consola NPS, faça duplo clique em Políticas e, em seguida, clique em Políticas de Rede.
No painel de detalhes, verifique que tem, pelo menos, uma política para computadores compatíveis e uma política para computadores não compatíveis, e que estas políticas têm o Estado Activada. Para activar uma política, clique com o botão direito do rato no nome da política e clique em Activar. Se estas políticas não estiverem disponíveis, efectue os passos seguintes para criar uma política de rede.
-
Clique com o botão direito do rato em Políticas de Rede e, em seguida, clique em Novo.
-
Em Nome da Política escreva um nome para a política de rede (por exemplo, IPsec NAP com HRA Compatível ou IPsec NAP com HRA Não Compatível).
-
Em Tipo de servidor NAS, seleccione Autoridade de Registo de Estado de Funcionamento e, em seguida, clique em Seguinte.
-
Na página Especificar Condições, clique em Adicionar.
-
Em Seleccionar condição, clique em Políticas de Estado de Funcionamento e, em seguida, clique em Adicionar.
-
Se esta política de rede for aplicada aos computadores cliente compatíveis, em Políticas de Estado de Funcionamento escolha uma política de estado de funcionamento que tenha sido configurada de forma correspondente a um estado de funcionamento de cliente compatível, e clique em OK.
-
Se esta política de rede for aplicada aos computadores cliente não compatíveis, em Políticas de Estado de Funcionamento escolha uma política de estado de funcionamento que tenha sido configurada de forma correspondente a um estado de funcionamento de cliente não compatível, e clique em OK.
-
Clique em Seguinte, seleccione Acesso concedido e, em seguida, clique em Seguinte.
-
Na página Configurar Métodos de Autenticação, seleccione a caixa de verificação Efectuar apenas verificação do estado de funcionamento do computador e, em seguida, clique em Seguinte duas vezes.
-
Na página Configurar Definições, clique em Imposição NAP.
-
Escolha um modo de imposição para esta política. Para mais informações, consulte Modos de imposição NAP, mais adiante neste tópico.
-
Para activar a remediação automática de clientes não compatíveis, seleccione a caixa de verificação Activar remediação automática de computadores cliente. Se não pretende activar a remediação automática, desmarque esta caixa de verificação.
-
Clique em Seguinte e clique em Concluir.
-
Regresse ao procedimento actual para validar a configuração da nova política de rede.
-
Clique com o botão direito do rato em Políticas de Rede e, em seguida, clique em Novo.
No painel de detalhes, verifique se a Ordem de Processamento das políticas está devidamente configurado para a implementação. As políticas mais específicas são processadas antes das políticas mais gerais. Para alterar a ordem das políticas, clique com o botão direito do rato no nome da política e clique em Mover para Cima ou Mover para Baixo.
No painel de detalhes, verifique se as políticas NAP compatíveis e não compatíveis estão configuradas com um Tipo de Acesso Conceder Acesso. Para configurar as permissões de acesso, clique com o botão direito do rato no nome da política, clique em Propriedades, clique no separador Descrição geral e, em seguida, seleccione Conceder Acesso.
No painel de detalhes, verifique se a Origem das políticas utilizadas para processar os clientes NAP protegidos por IPSec é Autoridade de Registo de Estado de Funcionamento ou Não especificada. Para mais informações sobre a especificação de um tipo de servidor de acesso, consulte "Considerações Adicionais", mais adiante neste tópico.
No painel de detalhes, faça duplo clique sobre o nome da política de rede utilizada para efectuar a correspondência dos clientes compatíveis e, em seguida, clique no separador Condições.
Verifique se, pelo menos, uma das condições especificadas é Política de Estado de Funcionamento e o Valor corresponde a uma política de estado de funcionamento que configurou para efectuar a correspondência de um estado de cliente compatível. Se esta condição não estiver disponível, efectue os passos seguintes.
-
Clique em Adicionar, clique em Políticas de Estado de Funcionamento e, em seguida, clique em Adicionar.
-
Em Políticas de Estado de Funcionamento, escolha uma política que corresponda a um estado de funcionamento de cliente compatível e, em seguida, clique em OK. Se não estiverem disponíveis políticas de estado de funcionamento, verifique as políticas de estado de funcionamento e repita este procedimento.
-
Clique em Adicionar, clique em Políticas de Estado de Funcionamento e, em seguida, clique em Adicionar.
Clique no separador Restrições e, em seguida, clique em Métodos de Autenticação.
Verifique se a caixa de verificação Efectuar apenas verificação do estado de funcionamento do computador está seleccionada.
Clique no separador Definições e, em seguida, clique em Imposição NAP.
Verifique se está seleccionada Permitir acesso total à rede para esta política de rede compatível e, em seguida, clique em OK. Isto concluí a verificação de uma política de rede compatível.
No painel de detalhes, faça duplo clique sobre o nome da política de rede utilizada para efectuar a correspondência dos clientes não compatíveis e, em seguida, clique no separador Condições.
Verifique se, pelo menos, uma das condições especificadas é Política de Estado de Funcionamento e o Valor corresponde a uma política de estado de funcionamento que configurou para efectuar a correspondência de um estado de cliente não compatível. Se esta condição não estiver disponível, efectue os passos seguintes.
-
Clique em Adicionar, clique em Políticas de Estado de Funcionamento e, em seguida, clique em Adicionar.
-
Em Políticas de Estado de Funcionamento, escolha uma política que corresponda a um estado de funcionamento de cliente não compatível e, em seguida, clique em OK. Se não estiverem disponíveis políticas de estado de funcionamento, verifique as políticas de estado de funcionamento e repita este procedimento.
-
Clique em Adicionar, clique em Políticas de Estado de Funcionamento e, em seguida, clique em Adicionar.
Clique no separador Restrições e, em seguida, clique em Métodos de Autenticação.
Verifique se a caixa de verificação Efectuar apenas verificação do estado de funcionamento do computador está seleccionada.
Clique no separador Definições e, em seguida, clique em Imposição NAP.
- Verifique se está seleccionado Permitir acesso limitado para esta política de rede não compatível se implementou o NAP em modo de imposição total.
- Verifique se está seleccionado Permitir acesso total à rede durante um período de tempo limitado para esta política de rede não compatível se implementou o NAP em modo de imposição diferida.
- Verifique se está seleccionado Permitir acesso total à rede para esta política de rede não compatível se implementou o NAP em modo de relatório.
- Verifique se a caixa de verificação Activar remediação automática de computadores cliente está seleccionada se pretende activar a remediação automática dos clientes NAP não compatíveis.
- Verifique se está seleccionado Permitir acesso limitado para esta política de rede não compatível se implementou o NAP em modo de imposição total.
Clique em OK.
Repita estes passos conforme necessário para verificar a configuração de cada uma das políticas de rede utilizadas para avaliar os pedidos dos clientes NAP protegidos por IPSec.
Modos de imposição NAP
Quando activa o NAP na rede, estão disponíveis três modos de imposição. Utilize estes modos de imposição para testar a imposição NAP.
-
Para activar o modo de relatório, seleccione Permitir acesso total à rede para os computadores cliente NAP compatíveis e não compatíveis. No modo de relatório é registado o estado de funcionamento dos computadores cliente, mas o acesso à rede não é restringido. Tanto os computadores compatíveis como os não compatíveis recebem certificados de estado de funcionamento.
-
Para activar o modo de imposição diferida, seleccione Permitir acesso total à rede na política de rede compatível e Permitir acesso total à rede durante um período de tempo limitado na política de rede não compatível. Terá também de especificar uma data e hora em que o acesso dos clientes não compatíveis será restringido. No modo de imposição diferida os computadores cliente recebem imediatamente notificações NAP se não estiverem em conformidade com os requisitos de estado de funcionamento da rede, mas o respectivo acesso não é restringido até à data e hora especificadas.
-
Para activar o modo de imposição total, seleccione Permitir acesso total à rede na política de rede compatível e Permitir acesso limitado na política de rede não compatível. No modo de imposição completa, o acesso dos computadores cliente à rede será imediatamente restringido se não estiverem em conformidade com os requisitos de estado de funcionamento da rede.
Políticas de estado de funcionamento
As políticas de estado de funcionamento definem que SHVs são avaliados e como são utilizados na validação da configuração dos computadores que tentam ligar-se à rede. Tendo por base os resultados das verificações SHV, as políticas de estado de funcionamento classificam o estado de funcionamento do cliente. Precisa de ter, pelo menos, uma política de estado de funcionamento que corresponda a um estado de funcionamento de cliente compatível e, pelo menos, uma política de estado de funcionamento que corresponda a um estado de funcionamento de cliente não compatível. Utilize o procedimento seguinte para verificar se as políticas de estado de funcionamento compatível e não compatível foram configuradas no servidor de políticas de estado de funcionamento NAP.
Para verificar as políticas de estado de funcionamento |
Na consola NPS, faça duplo clique em Políticas e clique em Políticas de Estado de Funcionamento.
No painel de detalhes, em Nome da Política, faça duplo clique sobre o nome de uma política de estado de funcionamento compatível. Se esta política não estiver disponível, efectue os passos seguintes para criar uma política de estado de funcionamento compatível.
-
Clique com o botão direito do rato em Políticas de Estado de Funcionamento e, em seguida, clique em Nova.
-
Em Nome da política, escreva um nome para a política de estado de funcionamento compatível (por exemplo, IPsec NAP com HRA Compatível).
-
Em Verificações de SHV do Cliente, seleccione Êxito do cliente em todas as verificações de SHV para criar um política de estado de funcionamento rígida ou seleccione Êxito do cliente numa ou mais verificações de SHV para criar uma política de estado de funcionamento mais flexível.
-
Em SHVs utilizados nesta política de estado de funcionamento, seleccione a caixa de verificação junto de cada um dos SHVs que serão utilizados para avaliar o estado de funcionamento do cliente. Por predefinição, a Validação do Estado de Funcionamento da Segurança do Windows encontra-se disponível. Os restantes SHVs apenas estarão disponíveis caso tenham sido instalados.
-
Clique em OK.
-
Clique com o botão direito do rato em Políticas de Estado de Funcionamento e, em seguida, clique em Nova.
Em Verificações de SHV do Cliente, verifique se está seleccionado Êxito do cliente em todas as verificações de SHV ou Êxito do cliente numa ou mais verificações de SHV. Estas condições são utilizadas para criar políticas compatíveis que são mais ou menos restritivas, respectivamente.
Em SHVs utilizados nesta política de estado de funcionamento, verifique se as caixas de verificação junto dos SHVs instalados que serão utilizados para avaliar o estado de funcionamento nos computadores cliente NAP protegidos por IPSec estão seleccionadas e clique em OK.
No painel de detalhes, em Nome da Política, faça duplo clique sobre o nome de uma política de estado de funcionamento não compatível. Se esta política não estiver disponível, efectue os passos seguintes para criar uma política de estado de funcionamento não compatível.
-
Clique com o botão direito do rato em Políticas de Estado de Funcionamento e, em seguida, clique em Nova.
-
Em Nome da política, escreva um nome para a política de estado de funcionamento não compatível (por exemplo, IPsec NAP com HRA Não Compatível).
-
Em Verificações de SHV do Cliente, seleccione Falha do cliente numa ou mais verificações de SHV para criar uma política de estado de funcionamento rígida ou seleccione Falha do cliente em todas as verificações de SHV para criar uma política de estado de funcionamento mais flexível.
-
Em SHVs utilizados nesta política de estado de funcionamento, seleccione a caixa de verificação junto de cada um dos SHVs que serão utilizados para avaliar o estado de funcionamento do cliente. Por predefinição, a Validação do Estado de Funcionamento da Segurança do Windows encontra-se disponível. Os restantes SHVs apenas estarão disponíveis caso tenham sido instalados.
-
Clique em OK.
-
Clique com o botão direito do rato em Políticas de Estado de Funcionamento e, em seguida, clique em Nova.
Em Verificações de SHV do Cliente, verifique se está seleccionado Falha do cliente numa ou mais verificações de SHV ou Falha do cliente em todas as verificações de SHV. Estas condições são utilizadas para criar políticas não compatíveis que são mais ou menos restritivas, respectivamente.
Em SHVs utilizados nesta política de estado de funcionamento, verifique se as caixas de verificação junto dos SHVs instalados que serão utilizados para avaliar o estado de funcionamento nos computadores cliente NAP protegidos por IPSec estão seleccionadas e clique em OK.
Repita estes passos para todas as políticas de estado de funcionamento utilizadas para avaliar os computadores cliente NAP protegidos por IPsec.
SHVs
Os SHVs definem o software e os requisitos de configuração para computadores que tentam ligar à rede. Utilize o procedimento seguinte para verificar se os SHVs estão correctamente configurados para implementação.
Para verificar os SHVs |
Na consola NPS faça duplo clique em Protecção de Acesso à Rede e clique em Validações de Estado de Funcionamento de Sistema.
No painel de detalhes, em Nome, faça duplo clique sobre o nome de um SHV instalado.
A configuração dos SHVs irão variar consoante a implementação. Se estiver a utilizar a Validação do Estado de Funcionamento da Segurança do Windows, clique em Configurar.
- Para configurar os requisitos de estado de funcionamento em computadores com o Windows Vista, clique no separador Windows Vista.
- Para configurar os requisitos de estado de funcionamento em computadores com o Windows XP com o Service Pack 3, clique no separador Windows XP.
- Para configurar os requisitos de estado de funcionamento em computadores com o Windows Vista, clique no separador Windows Vista.
Active os requisitos de estado de funcionamento seleccionando as caixas de verificação junto dos componentes de estado de funcionamento. Desmarque estas caixas de verificação para desactivar os requisitos. Os requisitos disponíveis de estado de funcionamento quando utiliza a WSHV incluem: Firewall, Protecção contra Vírus, Protecção contra Spyware, Actualização Automática e Protecção de Actualizações de Segurança.
Clique em OK e configure as resoluções dos códigos de erro da implementação. As resoluções dos códigos de erro determina a forma como os clientes são avaliados nas condições de erro listadas. Pode seleccionar como retorno um estado Compatível ou Não compatível para cada condição.
Clique em OK e feche a consola NPS.
Verificar a configuração do proxy NPS
Utilize o procedimento seguinte para verificar a configuração do servidor local com NPS como proxy RADIUS. Este procedimento não se aplicará se o servidor local com NPS estiver configurado como servidor de políticas de estado de funcionamento NAP.
Para verificar a configuração do proxy NPS |
Clique em Iniciar, Executar, escreva nps.msc e, em seguida, prima ENTER.
Na árvore da consola, faça duplo clique sobre Clientes e Servidores RADIUS e, em seguida, clique em Grupos de Servidor RADIUS Remotos.
No painel de detalhes, em Nome do Grupo, faça duplo clique sobre o nome de um grupo de servidores RADIUS remotos. Se não for apresentada uma entrada de grupo de servidores RADIUS remotos, efectue os passos seguintes para adicionar um grupo de servidores RADIUS remotos.
-
Na árvore da consola, em Clientes e Servidores RADIUS, faça clique com o botão direito do rato em Grupos de Servidores RADIUS Remotos e, em seguida, clique em Novo.
-
Em Nome do grupo, escreva um nome para o grupo de servidores RADIUS remotos (por exemplo, Servidor1 de Política de Estado de Funcionamento NAP).
-
Clique em Adicionar e, em Servidor, escreva o nome de DNS ou o endereço IP de um servidor com NPS que esteja configurado para avaliar os pedidos de ligação do cliente IPSec de NAP reencaminhados do servidor HRA local.
-
Clique em Verificar e, em seguida, clique em Resolver. Confirme se o endereço de IP apresentado é o correcto para a implementação e, em seguida, clique em OK.
-
Clique no separador Autenticação/gestão de contas.
-
Em Segredo partilhado e Confirmar segredo partilhado, escreva o segredo que está configurado nas definições NPS do servidor de políticas de estado de funcionamento NAP.
-
Clique duas vezes em OK.
-
Na árvore da consola, em Clientes e Servidores RADIUS, faça clique com o botão direito do rato em Grupos de Servidores RADIUS Remotos e, em seguida, clique em Novo.
Na janela de propriedades do grupo de servidores, em Servidor RADIUS, clique no nome do servidor RADIUS remoto e, em seguida, clique em Editar.
No separador Endereço, clique em Verificar.
Na caixa de diálogo Verificar Cliente, clique em Resolver. Verifique se o endereço IP do cliente RADIUS corresponde a um servidor de políticas de estado de funcionamento NAP da rede que esteja configurado com um proxy RADIUS que corresponda ao servidor local com NPS.
Clique em OK e, em seguida, clique no separador Autenticação/gestão de contas.
Verifique se as portas de autenticação e de gestão de contas são as correctas para a implementação. A porta de autenticação predefinida é a 1812 e a porta de gestão de contas predefinida é a 1813.
Verifique se a caixa de verificação O pedido deve conter sempre o atributo de 'Autenticador de mensagens' está seleccionada apenas se estiver activado um requisito de mensagem de pedido de acesso correspondente para o atributo de autenticador de mensagens no servidor de políticas de estado de funcionamento NAP. Desmarque esta caixa de verificação se o servidor de políticas de estado de funcionamento NAP não necessitar deste atributo.
Se suspeitar da não correspondência do segredo partilhado, escreva o segredo junto de Segredo partilhado e Confirmar segredo partilhado e, em seguida, clique duas vezes em OK.
Na consola NPS faça duplo clique em Políticas e clique em Políticas de Pedido de Ligação.
No painel de detalhes, faça duplo clique sobre a política de pedido de ligação que é utilizada para autenticar os pedidos de acesso à rede recebidos dos clientes NAP protegidos por IPSec.
Clique no separador Definições e em A Reencaminhar Pedido de Ligação, clique em Autenticação.
Verifique se está seleccionado Encaminhar pedidos para autenticação para o seguinte grupo de servidor RADIUS remoto e verifique o nome do grupo de servidores RADIUS remotos seleccionados que correspondem aos servidores correctos de políticas de estado de funcionamento NAP na rede.
Repita estes passos para todos os grupos e servidores remotos com NPS.
Feche a consola NPS.
Considerações adicionais
Se o tipo de servidor NAS na política de pedido de ligação e na política de rede está definido para Não especificado, o NPS utiliza esta política para avaliar todos os pedidos de ligação que tenham por origem qualquer tipo de servidor NAS. Se o tipo de servidor NAS estiver definido como Autoridade de Registo de Estado de Funcionamento, então apenas os pedidos de ligação que são reencaminhados de um servidor HRA são avaliados por esta política. Se uma ou mais políticas que estão activadas tiverem como origem a Autoridade de Registo de Estado de Funcionamento, então todas as políticas com uma origem Não especificada serão ignoradas pelo NPS ao processar os pedidos de acesso à rede dos clientes NAP protegidos por IPSec.