Центр регистрации работоспособности (HRA) обеспечивает службы для платформы защиты доступа к сети (NAP), которая обычно называется центом регистрации в инфраструктуре открытого ключа X.509. Центр регистрации работоспособности должен проверять учетные данные клиента, затем переадресовывать запрос на сертификат в центр сертификации от лица этого клиента. Центр регистрации работоспособности проверяет запросы клиентов на сервере политики сети, чтобы определить, совместим ли клиент NAP с требованиями работоспособности сети. Если клиент считается совместимым, центр регистрации запрашивает специальный тип сертификата из центра сертификации, который называется сертификатом работоспособности. Сертификат работоспособности используется клиентскими компьютерами NAP для связи по сети, защищенной с помощью IPsec. В этом случае центр регистрации работоспособности функционирует как сервер принудительной защиты доступа к сети для метода внедрения защиты доступа к сети с помощью IPsec.
Основные понятия
Чтобы понять роль центра регистрации работоспособности в развертывании защиты доступа к сети, ознакомьтесь со следующими основными понятиями.
-
Сертификаты работоспособности
Сертификаты X.509, выданные клиентским компьютерам NAP, которые используются для подтверждения совместимости с требованиями работоспособности в сети. Клиентский компьютер NAP получает сертификат работоспособности путем объявления своего состояния работоспособности центру регистрации работоспособности. Клиент NAP постоянно следит за своим состоянием работоспособности и удаляет сертификат работоспособности, если он становится несовместимым. Сертификаты работоспособности могут использоваться для проверки подлинности клиентов NAP при запуске подключения, защищенного с помощью IPsec, с другими клиентами NAP в интрасети. Принудительная защита доступа к сети с помощью IPsec ограничивает связь с клиентами NAP, работающими по IPsec, путем отклонения входящих попыток подключения, которые исходят от компьютеров, не имеющих сертификаты работоспособности.
-
Центры сертификации NAP
Серверы, на которых работают службы сертификатов Active Directory®, содержащие сертификаты X.509 и выдающие их клиентам NAP, которые определены как совместимые с требованиями работоспособности в сети. Необходимо указать один или несколько центров сертификации, которые будут выдавать сертификаты работоспособности NAP. Дополнительные сведения см. в разделах Настройка центра сертификации NAP и Проверка конфигурации ЦС.
-
Политика запросов центра регистрации работоспособности
Параметры, которые определяют, как клиенты могут связываться с центром регистрации работоспособности при запросе сертификатов работоспособности. Можно настроить политику запросов центра регистрации работоспособности путем настройки политики шифрования и параметров политики транспорта. Нет необходимости изменять параметры политики запросов центра регистрации работоспособности. Рекомендуется использовать параметры по умолчанию. Если необходимо изменить эти параметры, необходимо настроить идентичные параметры на серверах HRA и клиентских компьютерах NAP. Дополнительные сведения см. в разделах Общее представление о политике запросов для центра регистрации работоспособности, Настройка политики шифрования центра регистрации работоспособности и Настройка политики транспорта центра регистрации работоспособности.
-
Службы IIS
Набор служб для работы с сетью Интернет, который устанавливается автоматически при установке центра регистрации работоспособности. Службы IIS обеспечивают интерфейс HTTP/HTTPS для клиентов NAP, который используется для связи с сервером HRA и запроса сертификатов работоспособности. Эти запросы обрабатываются с помощью расширения ISAPI, которое может быть предоставлено анонимным пользователям или только тем пользователям, которые прошли проверку подлинности в домене. Дополнительные сведения см. в разделах Общее представление о требованиях к проверке подлинности для центра регистрации работоспособности и Проверка конфигурации IIS.
-
Сервер политики сети (NPS)
Протокол внедрения службы удаленной проверки сервера и прокси-сервера RADIUS, разработанный корпорацией Майкрософт. Если на сервере еще не работает сервер политики сети, он будет установлен при установке центра регистрации работоспособности. Сервер политики сети может быть настроен на сервере центра регистрации работоспособности как прокси-сервер политики сети или сервер политики работоспособности защиты доступа к сети. При настройке сервера политики сети в качестве сервера политики работоспособности NAP необходимо также настроить указанные ниже политики и параметры NAP:
-
Политики запросов на подключение – условия и параметры, с помощью которых проверяются запросы на доступ к сети и происходит управление этой проверкой.
-
Политики сети – наборы условий, ограничений и параметров, с помощью которых можно указать, кто может подключаться к сети.
-
Политики работоспособности – требования работоспособности системы, с помощью которых определяется, какие средства проверки работоспособности системы используются для проверки конфигурации компьютеров, пытающихся подключиться к сети.
-
Средства проверки работоспособности системы – программный аналог агента работоспособности сети на сервере политики работоспособности NAP. В средствах проверки работоспособности системы определены требования к компьютерам, которые пытаются подключиться к сети.
-
Политики запросов на подключение – условия и параметры, с помощью которых проверяются запросы на доступ к сети и происходит управление этой проверкой.
При настройке сервера политики сети в качестве прокси-сервера RADIUS, необходимо проверить сетевое подключение к удаленным группам серверов RADIUS и подтвердить их конфигурацию как конфигурацию серверов политики работоспособности NAP. Дополнительные сведения см. в разделе Проверка конфигурации сервера сетевых политик.
Дополнительные источники информации
- Контрольный список: Развертывание принудительной защиты доступа к сети посредством IPsec с центром регистрации работоспособности
- Настройка центра регистрации работоспособности
- Устранение неполадок центра регистрации работоспособности
- Общее представление о принудительной защите доступа к сети с использованием IPsec