Выполните эту процедуру для проверки настройки клиентских компьютеров, поддерживающих защиту доступа к сети, на использование методов принудительной защиты доступа к сети с помощью IPsec. Компьютер, поддерживающий защиту доступа к сети, является компьютером с установленными компонентами NAP, который может проверить состояние работоспособности путем отправки состояния работоспособности для оценки на сервер политики сети. Дополнительные сведения о защите доступа к сети см. на веб-сайте https://go.microsoft.com/fwlink/?LinkId=94393.

Минимальным требованием для выполнения этой процедуры является членство в группе Domain Admins или наличие эквивалентных прав. Дополнительные сведения об использовании подходящих учетных записей и членств в группах можно получить по адресу https://go.microsoft.com/fwlink/?LinkId=83477.

Проверка клиентских компонентов NAP

Компоненты NAP состоят из службы агента NAP, одного или нескольких клиентов принудительной защиты NAP и хотя бы одного агента работоспособности системы (SHA). Могут требоваться и другие службы, если они поддерживают установленный агент работоспособности системы. В совокупности эти компоненты служат для постоянного отслеживания состояния работоспособности клиентского компьютера NAP и предоставления этого состояния на серверы NAP для оценки.

Агент защиты доступа к сети

Служба агента NAP служит для сбора сведений о работоспособности на клиентском компьютере и управления ими. Также агент NAP обрабатывает состояния работоспособности, полученные от установленных агентов работоспособности системы, и создает отчеты о работоспособности клиента для клиентов принудительной защиты. Агент NAP должен функционировать, чтобы клиентские компьютеры могли запрашивать или получать сертификаты работоспособности.

Проверка запуска службы агента NAP
  1. Нажмите кнопку Пуск, выберите пункты Панель управления, затем Система и ее обслуживание, щелкните Администрирование, затем дважды щелкните Службы

  2. Под заголовком Имя в списке служб дважды щелкните Агент защиты сетевого доступа.

  3. Убедитесь, что состояние Служба указано как Запущено, а Тип запуска выбран Автоматически.

  4. Если служба не запущена, выберите Автоматически рядом с полем Тип запуска, затем нажмите кнопку Пуск.

  5. Нажмите кнопку ОК, чтобы закрыть диалоговое окно Свойства: Защита сетевого доступа (NAP).

  6. Закройте консоль служб.

Примечание

Перезапуск службы агента NAP приведет к автоматической повторной инициализации агентов работоспособности системы и попытке получить новый сертификат работоспособности. Это может оказаться полезным при решении вопросов, связанных с NAP.

Клиент принудительной защиты доступа к сети с помощью IPsec

Клиент принудительной защиты доступа к сети с помощью NAP должен быть установлен и включен на клиентских компьютерах. Клиент принудительной защиты NAP запрашивает доступ к сети и отправляет состояние работоспособности клиентского компьютера другим компонентам клиентской архитектуры NAP. Клиент принудительной защиты доступа к сети с помощью IPsec ограничивает доступ к сетям, защищенным с помощью IPsec, путем связи с хранилищем сертификатов на клиентском компьютере.

Проверка инициализации клиента принудительной защиты NAP с помощью IPsec
  1. Нажмите кнопку Пуск, выберите Все программы, Стандартные и Командная строка.

  2. В командной строке введите команду netsh nap client show state и нажмите клавишу ВВОД. Будет отображено состояние NAP клиентского компьютера.

  3. В выходных данных команды в разделе Состояние клиента системы ограничений проверьте, что состояние параметра Сторона, использующая IPsec равно Инициализировано = Да.

Проверка конфигурации клиента IPsec

Параметры клиентов NAP должны быть настроены таким образом, чтобы эти клиенты могли связываться с компонентами сервера NAP. Можно настроить эти параметры с помощью групповой политики, консоли конфигурации клиентов NAP или командной строки. Для метода принудительной защиты с помощью IPsec параметры клиента NAP содержат политику запросов и группы доверенных серверов.

Политика запросов

Нет необходимости изменять параметры политики запросов по умолчанию на клиентских компьютерах NAP. Если эти параметры изменены, важно убедиться в том, что такие же параметры включены на серверах NAP. По умолчанию клиентский компьютер, поддерживающий NAP, инициирует процесс согласования с сервером NAP, используя обоюдно приемлемые механизмы защиты по умолчанию для шифрования передаваемых данных. Для политики запросов рекомендуется использовать параметры по умолчанию.

Проверка параметров политики запросов
  1. Нажмите кнопку Пуск, выберите Все программы, Стандартные и Командная строка.

  2. Если параметры клиента NAP развертываются с помощью групповой политики, в командной строке введите netsh nap client show group, а затем нажмите клавишу ВВОД. Если параметры клиента NAP развертываются с помощью локальной политики, в командной строке введите netsh nap client show config, а затем нажмите клавишу ВВОД. На клиентских компьютерах будут отображены параметры конфигурации NAP групповой и локальной политики.

  3. В выходных данных команды проверьте, что параметры Поставщик службы криптографии (CSP) и Алгоритм хеширования соответствуют параметрам, настроенным в HRA. По умолчанию используется Поставщик службы криптографии Microsoft RSA SChannel, длина_ключа = 2048. Используемый по умолчанию алгоритм хэширования - sha1RSA (1.3.14.3.2.29).

Группы доверенных серверов

Группы доверенных серверов настроены в параметрах регистрации работоспособности клиента, чтобы клиентские компьютеры NAP могли связываться с веб-сайтами, используемыми центром регистрации работоспособности для обработки запросов на сертификаты работоспособности. Если группы доверенных серверов не настроены или настроены неправильно, клиентские компьютеры NAP не смогут получить сертификаты работоспособности.

Проверка конфигурации групп доверенных серверов
  1. Нажмите кнопку Пуск, выберите Все программы, Стандартные и Командная строка.

  2. Если параметры клиента NAP развертываются с помощью групповой политики, в командной строке введите netsh nap client show group, а затем нажмите клавишу ВВОД. Если параметры клиента NAP развертываются с помощью локальной политики, в командной строке введите netsh nap client show config, а затем нажмите клавишу ВВОД. На клиентских компьютерах будут отображены параметры конфигурации NAP групповой и локальной политики.

  3. В выходных данных команды в разделе Конфигурация группы доверенных серверов проверьте правильность конфигурации для записей рядом с Порядок обработки, Группа, Требуется префикс Https и URL-адрес.

Примечание

Клиентский компьютер NAP попытается получить сертификат работоспособности с первого URL-адреса во всех настроенных группах доверенных серверов, если только сервер не был отмечен как недоступный. Дополнительные сведения см. в разделах Проверка конфигурации IIS и Общее представление о требованиях к проверке подлинности для центра регистрации работоспособности.

Просмотр событий клиента NAP

Просмотр сведений, содержащихся в событиях клиента NAP, может способствовать решению вопросов и устранению неполадок. Также эти сведения могут способствовать пониманию функционирования клиента NAP.

Чтобы просмотреть события клиента NAP в средстве просмотра событий
  1. В меню Пуск перейдите к пункту Все программы, выберите Стандартные и щелкните Выполнить.

  2. Введите eventvwr.msc и нажмите клавишу ВВОД.

  3. В дереве слева перейдите к пункту Просмотр событий (локальных)\Журналы приложений и служб\Microsoft\Windows\Защита сетевого доступа\Работает.

  4. В центральной области выберите событие.

  5. По умолчанию отображается вкладка Общие. Откройте вкладку Сведения, чтобы просмотреть дополнительные сведения.

  6. Также можно щелкнуть правой кнопкой мыши событие и выбрать Свойства события, чтобы открыть новое окно просмотра событий.

Дополнительные источники информации


Содержание