Сервер политики сети (NPS) является центральным сервером, используемым во всех методах принудительной защиты доступа к сети (NAP) для оценки запросов доступа клиентов NAP. Требования работоспособности сети определены на сервере политики сети посредством политик, с помощью которых предоставляется или ограничивается доступ клиентских компьютеров NAP в зависимости от их работоспособности. Сервер, на котором работает сервер политики сети, содержащий эти политики защиты доступа к сети, называется сервером политики работоспособности NAP. В зависимости от развертывания в сети может понадобиться один или несколько серверов политики работоспособности NAP. Сервером политики работоспособности NAP для определения и внедрения требований работоспособности сети используются RADIUS-клиенты, политики запросов на подключение, политики сети, политики работоспособности и средства проверки работоспособности системы (SHV).
При установке центра регистрации работоспособности, сервер политики сети автоматически устанавливается на этом же компьютере. При развертывании нескольких центров регистрации работоспособности и внедрении централизованной оценки политики путем размещения политик работоспособности защиты доступа к сети на другом компьютере необходимо настроить локальный сервер политики сети в качестве прокси-сервера RADIUS. При использовании сервера политики сети в качестве прокси-сервера RADIUS политика запросов на подключение настраивается таким образом, чтобы локальный сервер политики сети переадресовывал запросы доступа к сети для оценки на удаленные группы RADIUS-серверов.
Дополнительные сведения о сервере политики сети см. на веб-странице
Минимальным требованием для выполнения этой процедуры является членство в группе Domain Admins или наличие эквивалентных прав. Дополнительные сведения об использовании подходящих учетных записей и членств в группах можно получить по адресу
Проверка конфигурации сервера политики работоспособности NAP
Чтобы проверить конфигурации локального сервера политики сети как сервера политики работоспособности NAP, используйте следующие процедуры. Если локальный сервер центра регистрации работоспособности настроен как прокси-сервер RADIUS, ознакомьтесь с разделом Проверка конфигурации прокси-сервера NPS.
Клиенты RADIUS
Если удаленные серверы центра регистрации работоспособности настроены как прокси-серверы RADIUS для переадресации запросов на подключение для оценки на локальный сервер политики сети, этот локальный сервер NPS должен иметь соответствующую запись RADIUS-клиента для каждого удаленного сервера HRA. При принудительной защите доступа к сети с помощью IPsec клиенты RADIUS не являются обязательными, если все серверы HRA также являются серверами политики работоспособности NAP. Если в сети, где сервер политики сети настроен как прокси-сервер RADIUS, используются серверы HRA, выполните следующую процедуру для проверки правильности настройки RADIUS-клиентов на локальном сервере политики сети, чтобы он мог обрабатывать клиентские запросы на подключение, полученные удаленными серверами HRA.
Чтобы проверить клиентов RADIUS |
Нажмите кнопку Пуск, щелкните пункт Выполнить, введите nps.msc, затем нажмите клавишу ВВОД.
В дереве консоли NPS дважды щелкните Клиенты и серверы RADIUS, затем выберите RADIUS-клиенты.
В области сведений дважды щелкните понятное имя RADIUS-клиента, соответствующее серверу HRA в сети с сервером политики сети, установленным и настроенным как прокси-сервер RADIUS. Если отсутствует запись о клиенте RADIUS, используйте указанную ниже процедуру для создания клиента RADIUS. Эту процедуру следует использовать только в том случае, если удаленные серверы HRA настроены на переадресацию запросов на подключение на локальный сервер политики сети.
-
Щелкните правой кнопкой мыши RADIUS-клиенты и в контекстном меню выберите команду Создать.
-
В поле Понятное имя введите имя RADIUS-клиента (например, HRA-1).
-
В поле Адрес (IP или DNS) введите IP-адрес или DNS-имя удаленного сервера центра регистрации работоспособности, нажмите кнопку Проверить, затем нажмите Сопоставить.
-
Убедитесь, что отображаемый IP-адрес соответствует необходимому удаленному серверу HRA, затем нажмите кнопку ОК.
-
В полях Общий секрет и Подтверждение введите секрет, настроенный в параметрах группы сервера RADIUS на удаленном сервере HRA.
-
Если в параметрах конфигурации группы удаленных серверов RADIUS на удаленном сервере HRA включен атрибут проверки подлинности сообщений, установите флажок Сообщения с запросом доступа должны содержать атрибут проверки подлинности сообщения. Если этот параметр отключен на удаленном центре регистрации работоспособности, убедитесь, что указанный флажок снят.
-
Установите флажок RADIUS-клиент поддерживает NAP, затем нажмите кнопку ОК.
-
Повторите текущую процедуру для проверки конфигурации нового клиента RADIUS.
-
Щелкните правой кнопкой мыши RADIUS-клиенты и в контекстном меню выберите команду Создать.
Убедитесь, что в окне Свойства установлен флажок Включить RADIUS-клиент.
Убедитесь, что установлен флажок RADIUS-клиент поддерживает NAP.
Если удаленный сервер HRA настроен таким образом, что запросы доступа должны содержать атрибут проверки подлинности сообщения, убедитесь, что установлен флажок Сообщения с запросом доступа должны содержать атрибут проверки подлинности сообщения. В противном случае, убедитесь, что этот флажок снят.
Убедитесь, что рядом с полем Имя поставщика выбран параметр RADIUS Standard.
Убедитесь, что отображаемый в поле Адрес (IP или DNS) IP-адрес или DNS-имя соответствует необходимому удаленному серверу HRA, затем нажмите кнопку Проверить.
В диалоговом окне Проверка клиента нажмите кнопку Сопоставить.
Убедитесь, что IP-адрес, отображаемый в поле IP-адрес, соответствует серверу HRA, который был настроен для переадресации запросов на локальный сервер политики сети и что локальный сервер политики сети имеет сетевое подключение к этому IP-адресу.
Нажмите кнопку ОК. Если есть подозрение на несовпадение общего секрета, введите секрет в полях Общий секрет и Подтверждение, затем нажмите кнопку ОК.
Повторите эту процедуру для каждого центра регистрации работоспособности в сети, который настроен на переадресацию запросов на подключение для обработки на локальный сервер политики сети.
Политики запросов на подключение
Политики запросов на подключение являются условиями и параметрами, с помощью которых проверяются запросы на доступ к сети и происходит управление этой проверкой. Используйте следующую процедуру для подтверждения того, что политика запроса на подключение на локальном сервере политики сети настроена для принудительной защиты доступа к сети с помощью IPsec.
Чтобы проверить политики запросов на подключение |
В дереве консоли сервера политики сети дважды щелкните пункт Политики, затем выберите Политики запросов на подключение.
В области сведений дважды щелкните политику запроса на подключение, которая используется для проверки подлинности входящих запросов на доступ к сети от клиентов NAP, защищенных с помощью IPsec. Если эта политика отсутствует, выполните следующие действия для создания политики запросов на подключение.
-
Щелкните правой кнопкой мыши Политики запросов на подключение, затем выберите команду Создать.
-
В поле Имя политики введите имя политики запроса на подключение (например, NAP по IPsec с HRA).
-
В списке Тип сервера доступа к сети выберите Центр регистрации работоспособности и нажмите кнопку Далее.
-
Для политики запросов на подключение требуется указание хотя бы одного условия. Чтобы добавить условие, которое не противоречит любым входящим запросам на доступ, на странице Укажите условия нажмите кнопку Добавить.
-
В окне Выбор условия щелкните Ограничения по дням недели и времени суток, затем нажмите кнопку Добавить.
-
В окне Ограничения на время дня выберите пункт Разрешенные. Убедитесь, что разрешение установлено для всех дней и часов, нажмите кнопку ОК, затем кнопку Далее.
-
Если локальный сервер политики сети является сервером политики работоспособности защиты доступа к сети, убедитесь, что выбран параметр Проверять подлинность запросов на этом сервере, три раза нажмите кнопку Далее, затем нажмите кнопку Готово. Если локальный сервер политики сети должен переадресовывать запросы на другой сервер для оценки, ознакомьтесь с разделом Проверка конфигурации прокси-сервера NPS.
-
Щелкните правой кнопкой мыши Политики запросов на подключение, затем выберите команду Создать.
Убедитесь, что на вкладке Обзор установлен флажок Политика включена.
Убедитесь, что значение параметра Тип сервера доступа к сети на вкладке Обзор равно Центр регистрации работоспособности или Не определено. Дополнительные сведения об указании типа сервера доступа см. в подразделе «Дополнительные сведения» данного раздела.
Откройте вкладку Условия и убедитесь, что все настроенные условия соответствуют условиям для совместимых и несовместимых клиентов NAP. Например, параметр Ограничения по дням недели и времени суток может быть настроен для разрешения доступа к сети только по определенным дням в определенное время.
Перейдите на вкладку Параметры. В разделе Требуемые методы проверки подлинности щелкните пункт Способы проверки подлинности и убедитесь, что снят флажок Переопределить параметры сетевой проверки подлинности.
В группе Пересылка запроса на подключение выберите Проверка подлинности.
Чтобы задействовать локальный сервер политики сети в качестве сервера политики работоспособности NAP, убедитесь, что выбран параметр Проверять подлинность запросов на этом сервере.
Нажмите кнопку ОК, чтобы закрыть окно свойств.
Политики сети
В политиках сети используются условия, параметры и ограничения, с помощью которых определяется, кто может подключиться к сети. Чтобы оценить состояние работоспособности клиентов NAP, необходимо иметь хотя бы одну политику сети, которая была бы применена к компьютерам, совместимым с требованиями к работоспособности, а также хотя бы одну политику сети, которая будет применена к несовместимым компьютерам. Используйте следующую процедуру для проверки создания этих политик и настройки их для принудительной защиты доступа к сети с помощью IPsec.
Чтобы проверить политики сети |
В дереве консоли сервера политики сети дважды щелкните пункт Политики, затем выберите Сетевые политики.
Убедитесь, что в области сведений присутствует хотя бы одна политика для совместимых компьютеров и одна политика для несовместимых компьютеров, и что Статус этих политик отмечен как Включено. Чтобы задействовать политику, щелкните правой кнопкой мыши имя политики и выберите команду Включить. Если эти политики отсутствуют, выполните указанные ниже действия для создания политики сети.
-
Щелкните правой кнопкой мыши значение Сетевые политики и выберите команду Создать.
-
В поле Имя политики введите имя сетевой политики (например, NAP по IPsec, совместимая с HRA или NAP по IPsec, несовместимая с HRA).
-
В списке Тип сервера доступа к сети выберите Центр регистрации работоспособности и нажмите кнопку Далее.
-
На странице Укажите условия нажмите кнопку Добавить.
-
В Выбор условия щелкните Политики работоспособности, а затем щелкните Добавить.
-
Если эта политика сети будет применяться к совместимым клиентским компьютерам, в разделе Политики работоспособности выберите политику работоспособности, которая была настроена на соответствие состоянию работоспособности совместимого клиента, и нажмите кнопку ОК.
-
Если эта политика сети будет применяться к несовместимым клиентским компьютерам, в разделе Политики работоспособности выберите политику работоспособности, которая была настроена на соответствие состоянию работоспособности несовместимого клиента, и нажмите кнопку ОК.
-
Нажмите кнопку Далее, выберите Доступ разрешен, а затем нажмите кнопку Далее.
-
На странице Настройка методов проверки подлинности, установите флажок Выполнять только проверку работоспособности компьютера, затем нажмите кнопку Далее дважды.
-
На странице Настройка параметров нажмите кнопку Принудительное использование NAP.
-
Выберите режим принудительной защиты для этой политики. Дополнительные сведения см. в подразделе Режимы применения политик NAP данного раздела.
-
Чтобы разрешить автоматическое исправление для несовместимых клиентов, установите флажок Включить автообновление клиентских компьютеров. Если не следует включать возможность автоматического исправления, снимите этот флажок.
-
Нажмите кнопку Далее, затем нажмите кнопку Готово.
-
Повторите текущую процедуру для проверки конфигурации новой политики сети.
-
Щелкните правой кнопкой мыши значение Сетевые политики и выберите команду Создать.
В области сведений убедитесь, что пункт Порядок обработки, относящийся к политикам настроен правильно для этого развертывания. Более определенные политики, как правило, обрабатываются перед более общими политиками. Чтобы изменить порядок политик, щелкните правой кнопкой мыши имя политики, затем нажимайте кнопки Вверх или Вниз.
В области сведений убедитесь, что значение Разрешение доступа к узлу для параметра Тип доступа задано как для совместимых, так и для несовместимых политик NAP. Чтобы настроить разрешения доступа, щелкните правой кнопкой мыши имя политики, выберите команду Свойства, откройте вкладку Обзор и выберите Разрешение доступа к узлу.
Убедитесь, что в области сведений Источник политик, используемых для обработки клиентов NAP, защищенных с помощью IPsec, является Центр регистрации работоспособности или Не определено. Дополнительные сведения об указании типа сервера доступа см. в подразделе «Дополнительные сведения» данного раздела.
В области сведений дважды щелкните имя политики сети, используемое для сопоставления совместимых клиентов, затем откройте вкладку Условия.
Убедитесь, что в пункте Политика работоспособности указано хотя бы одно условие и что Параметр соответствует политике работоспособности, которая была настроена для сопоставления с состоянием работоспособности совместимого клиента. Если это условие отсутствует, выполните указанные ниже действия.
-
Нажмите кнопку Добавить, выберите Политики работоспособности, затем нажмите кнопку Добавить.
-
В разделе Политики работоспособности выберите политику, которая соответствует состоянию работоспособности совместимого клиента, и нажмите кнопку ОК. Если политики работоспособности недоступны, проверьте политики работоспособности и повторите эту процедуру.
-
Нажмите кнопку Добавить, выберите Политики работоспособности, затем нажмите кнопку Добавить.
На вкладке Ограничения нажмите кнопку Способы проверки подлинности.
Убедитесь, что установлен флажок Выполнять только проверку работоспособности компьютера.
На вкладке Параметры нажмите кнопку Принудительное использование NAP.
Убедитесь, что для этой совместимой политики сети выбран параметр Разрешить полный доступ к сети, затем нажмите кнопку ОК. Это приведет к завершению проверки совместимой политики сети.
В области сведений дважды щелкните имя политики сети, используемое для сопоставления несовместимых клиентов, затем откройте вкладку Условия.
Убедитесь, что в пункте Политика работоспособности указано хотя бы одно условие и что Параметр соответствует политике работоспособности, которая была настроена для сопоставления с состоянием работоспособности несовместимого клиента. Если это условие отсутствует, выполните указанные ниже действия.
-
Нажмите кнопку Добавить, выберите Политики работоспособности, затем нажмите кнопку Добавить.
-
В разделе Политики работоспособности выберите политику, которая соответствует состоянию работоспособности несовместимого клиента, и нажмите кнопку ОК. Если политики работоспособности недоступны, проверьте политики работоспособности и повторите эту процедуру.
-
Нажмите кнопку Добавить, выберите Политики работоспособности, затем нажмите кнопку Добавить.
На вкладке Ограничения нажмите кнопку Способы проверки подлинности.
Убедитесь, что установлен флажок Выполнять только проверку работоспособности компьютера.
На вкладке Параметры нажмите кнопку Принудительное использование NAP.
- Убедитесь, что параметр Разрешить ограниченный доступ выбран для этой несовместимой политики сети, если защита доступа к сети была развернута в режиме полной принудительной защиты.
- Убедитесь, что параметр Разрешить полный доступ к сети в ограниченное время выбран для этой несовместимой политики сети, если защита доступа к сети была развернута в режиме отложенной принудительной защиты.
- Убедитесь, что параметр Разрешить полный доступ к сети выбран для этой несовместимой политики сети, если защита доступа к сети была развернута в режиме отчетов.
- Если необходимо включить автоматическое исправление несовместимых клиентов NAP, убедитесь, что установлен флажок Включить автообновление клиентских компьютеров.
- Убедитесь, что параметр Разрешить ограниченный доступ выбран для этой несовместимой политики сети, если защита доступа к сети была развернута в режиме полной принудительной защиты.
Нажмите кнопку ОК.
При необходимости повторите эти шаги для проверки конфигурации каждой политики сети, используемой для оценки запросов на доступ с клиентов NAP, защищенных с помощью IPsec.
Режимы принудительной защиты NAP
При включении защиты доступа к сети становятся доступными три режима принудительной защиты. Используйте эти режимы для пошагового внедрения защиты доступа к сети.
-
Чтобы включить режим отчетов, выберите параметр Разрешить полный доступ к сети как для совместимых, так и для несовместимых с защитой доступа к сети клиентских компьютеров. В режиме отчетов регистрируется состояние работоспособности клиентских компьютеров, но сетевой доступ не ограничен. Сертификаты работоспособности получают как совместимые, так и несовместимые компьютеры.
-
Чтобы включить режим отложенной принудительной защиты, выберите параметр Разрешить полный доступ к сети в совместимой политике сети и параметр Разрешить полный доступ к сети в ограниченное время в несовместимой политике сети. Также можно указать дату и время ограничения доступа несовместимых клиентов. В режиме отложенного применения политик клиентские компьютеры тут же получают уведомления NAP, если они не являются совместимыми с требованиями работоспособности сети, но имеют неограниченный доступ до определенной даты и времени.
-
Чтобы включить режим полной принудительной защиты, выберите параметр Разрешить полный доступ к сети в совместимой политике сети и параметр Разрешить ограниченный доступ в несовместимой политике сети. В режиме полного применения политик на доступ к сети клиентских компьютеров тут же накладываются ограничения, если эти компьютеры несовместимы с требованиями работоспособности сети.
Политики работоспособности
С помощью политик работоспособности можно указать, какие средства проверки работоспособности системы должны оцениваться и как они должны быть использованы при проверке конфигурации компьютеров, которые пытаются подключиться к сети. В зависимости от результатов работы средства проверки работоспособности системы политики работоспособности классифицируют состояние работоспособности клиента. Необходима хотя бы одна политика работоспособности, которая будет соответствовать состоянию работоспособности совместимого клиента, и хотя бы одна политика работоспособности, которая будет соответствовать состоянию работоспособности несовместимого клиента. Используйте следующую процедуру для проверки настройки совместимых и несовместимых сетевых политик на сервере политики работоспособности NAP.
Чтобы проверить политики работоспособности |
В дереве консоли сервера политики сети дважды щелкните пункт Политики, затем выберите Политики работоспособности.
В разделе Имя политики области сведений дважды щелкните имя совместимой политики работоспособности. Если эта политика отсутствует, выполните следующие действия для создания совместимой политики работоспособности.
-
Щелкните правой кнопкой мыши Политики работоспособности и выберите команду Создать.
-
В поле Имя политики введите имя совместимой политики работоспособности (например, NAP по IPsec, совместимая с HRA).
-
В разделе Клиенты, проверяемые SHV выберите Клиент проходит все проверки SHV, чтобы создать строгую политику работоспособности, или Клиент проходит одну или несколько проверок SHV, чтобы создать менее строгую политику.
-
В разделе SHV используемые в политике работоспособности установите флажок рядом с каждым средством проверки работоспособности системы, которое будет использоваться для проверки работоспособности клиента. Средство проверки работоспособности системы безопасности Windows доступно по умолчанию. Другие средства проверки доступны только после установки.
-
Нажмите кнопку ОК.
-
Щелкните правой кнопкой мыши Политики работоспособности и выберите команду Создать.
Убедитесь, что в разделе Клиенты, проверяемые SHV установлен флажок Клиент проходит все проверки SHV или флажок Клиент проходит одну или несколько проверок SHV. Эти условия используются для создания совместимых политик, которые, соответственно, будут более строгими или менее строгими.
В разделе SHV, используемые в политике работоспособности убедитесь, что включены флажки рядом с установленными средствами проверки работоспособности системы, которые будут использоваться для проверки работоспособности клиентских компьютеров NAP, защищенных с помощью IPsec, а затем нажмите кнопку ОК.
В разделе Имя политики области сведений дважды щелкните имя несовместимой политики работоспособности. Если эта политика отсутствует, выполните следующие действия для создания несовместимой политики работоспособности.
-
Щелкните правой кнопкой мыши Политики работоспособности и выберите команду Создать.
-
В поле Имя политики введите имя несовместимой политики работоспособности (например, NAP по IPsec, несовместимая с HRA).
-
В разделе Клиенты, проверяемые SHV выберите Клиент не проходит одну или несколько проверок SHV, чтобы создать строгую политику работоспособности, или Клиент не проходит все проверки SHV, чтобы создать менее строгую политику.
-
В разделе SHV, используемые в политике работоспособности установите флажок рядом с каждым средством проверки работоспособности системы, которое будет использоваться для проверки работоспособности клиента. Средство проверки работоспособности системы безопасности Windows доступно по умолчанию. Другие средства проверки доступны только после установки.
-
Нажмите кнопку ОК.
-
Щелкните правой кнопкой мыши Политики работоспособности и выберите команду Создать.
Убедитесь, что в разделе Клиенты, проверяемые SHV установлен флажок Клиент не проходит одну или несколько проверок SHV или флажок Клиент не проходит все проверки SHV. Эти условия используются для создания несовместимых политик, которые, соответственно, будут более строгими или менее строгими.
В разделе SHV, используемые в политике работоспособности убедитесь, что включены флажки рядом с установленными средствами проверки работоспособности системы, которые будут использоваться для проверки работоспособности клиентских компьютеров NAP, защищенных с помощью IPsec, а затем нажмите кнопку ОК.
Повторите эти действия для всех политик работоспособности, которые используются для оценки клиентских компьютеров NAP, защищенных с помощью IPsec.
Средства проверки работоспособности системы (SHV)
В средствах проверки работоспособности системы определены требования к программному обеспечению и конфигурации компьютеров, которые пытаются подключиться к сети. Используйте следующую процедуру, чтобы удостовериться в правильности настройки средств проверки работоспособности системы применительно к определенному развертыванию.
Проверка средств проверки работоспособности системы |
В дереве консоли сервера политики сети дважды щелкните пункт Защита сетевого доступа, затем выберите Средства проверки работоспособности системы.
В разделе Имя области сведений дважды щелкните имя установленного средства проверки работоспособности системы.
Конфигурация этих средств может различаться в зависимости от внедрения. При использовании средства проверки работоспособности системы безопасности Windows щелкните Настроить.
- Чтобы настроить требования работоспособности для компьютеров, работающих под управлением операционной системы Windows Vista, откройте вкладку Windows Vista.
- Чтобы настроить требования к работоспособности для компьютеров, работающих под управлением Windows XP с пакетом обновления 3, откройте вкладку Windows XP.
- Чтобы настроить требования работоспособности для компьютеров, работающих под управлением операционной системы Windows Vista, откройте вкладку Windows Vista.
Включите требования к работоспособности, установив флажки рядом с определенными компонентами работоспособности. Снимите эти флажки, чтобы отключить требования. Ниже приведены требования к работоспособности, доступные при использовании средства проверки работоспособности системы безопасности Windows: Брандмауэр, Защита от вирусов, Защита от шпионских программ, Автоматическое обновление и Защита для обновлений безопасности.
Нажмите кнопку ОК и настройте разрешение кодов ошибок для этого развертывания. С помощью разрешений кодов ошибок определяется, как оцениваются клиенты по указанным условиям ошибок. Состояние возврата для каждого условия можно выбрать как Совместимый или Несовместимый.
Нажмите кнопку ОК и закройте консоль сервера политики сети.
Проверка конфигурации прокси-сервера NPS
Используйте следующую процедуру для проверки конфигурации локального сервера политики сети в качестве прокси-сервера RADIUS. Эта процедура неприменима в том случае, если локальный сервер NPS настроен как сервер политики работоспособности NAP.
Чтобы проверить конфигурацию прокси-сервера NPS |
Нажмите кнопку Пуск, щелкните пункт Выполнить, введите nps.msc, затем нажмите клавишу ВВОД.
В дереве консоли дважды щелкните Клиенты и серверы RADIUS, а затем Группы внешних RADIUS-серверов.
В разделе Имя группы области сведений дважды щелкните имя удаленной группы серверов RADIUS. Если отображается запись группы серверов RADIUS, выполните следующие шаги для добавления удаленной группы серверов RADIUS.
-
В дереве консоли откройте Клиенты и серверы RADIUS, щелкните правой кнопкой Группы внешних RADIUS-серверов и нажмите кнопку Создать.
-
В поле Имя группы введите имя удаленной группы RADIUS-серверов (например, Сервер1 политики работоспособности NAP).
-
Нажмите кнопку Добавить, затем в поле Сервер введите DNS-имя или IP-адрес сервера NPS, который настроен для проверки запросов на подключения клиентов NAP по IPsec, которые были переадресованы с локального центра регистрации работоспособности.
-
Нажмите кнопку Проверить, затем нажмите кнопку Сопоставить. Убедитесь, что отображается правильный IP-адрес для развертывания, затем нажмите кнопку ОК.
-
Перейдите на вкладку Проверка подлинности и учетные данные.
-
В полях Общий секрет и Подтверждение введите секрет, который настроен в параметрах сервера политики сети на сервере политики работоспособности NAP.
-
Нажмите кнопку ОК два раза.
-
В дереве консоли откройте Клиенты и серверы RADIUS, щелкните правой кнопкой Группы внешних RADIUS-серверов и нажмите кнопку Создать.
В разделе RADIUS-сервер окна свойств группы серверов щелкните имя удаленного сервера RADIUS, затем щелкните Изменить.
На вкладке Адрес выберите Проверить.
В диалоговом окне Проверка клиента нажмите кнопку Сопоставить. Убедитесь, что IP-адрес RADIUS-клиента соответствует серверу политики работоспособности NAP в сети, на котором настроен прокси-сервер RADIUS, соответствующий локальному серверу политики сети.
Выберите команду ОК и откройте вкладку Проверка подлинности и учетные данные.
Убедитесь, что порты проверки подлинности и учета являются допустимыми для этого развертывания. Порт проверки подлинности по умолчанию - 1812, порт учета по умолчанию - 1813.
Убедитесь, что флажок Запрос должен содержать атрибут проверки подлинности сообщения установлен только в том случае, если включено соответствующее требование к сообщению о запросе на доступ в атрибуте проверки подлинности сообщения на сервере политики работоспособности NAP. Снимите этот флажок, если для сервера политики работоспособности NAP не требуется этого атрибута.
Если есть подозрение на несовпадение общего секрета, введите секрет в полях Общий секрет и Подтверждение, затем дважды нажмите кнопку ОК.
В дереве консоли сервера политики сети дважды щелкните пункт Политики, затем выберите Политики запросов на подключение.
В области сведений дважды щелкните политику запроса на подключение, которая используется для проверки подлинности входящих запросов на доступ к сети от клиентов NAP, защищенных с помощью IPsec.
Откройте вкладку Параметры и в разделе Пересылка запроса на подключение нажмите кнопку Проверка подлинности.
Убедитесь, что выбран параметр Перенаправлять запросы на следующую группу внешних RADIUS-серверов для проверки подлинности, и проверьте, что имя выбранной удаленной группы серверов RADIUS соответствует правильным серверам политики работоспособности NAP в сети.
Повторите эти шаги для всех групп и удаленных серверов NPS.
Закройте консоль NPS.
Дополнительные сведения
Если тип сервера доступа к сети в политике запросов на подключение и политике сети задан как Не определено, сервер политики сети использует эту политику для оценки всех запросов на подключение, которые исходят от любого типа сервера доступа к сети. Если тип сервера доступа к сети задан как Центр регистрации работоспособности, этой политикой будут оцениваться только запросы на подключение, переадресованные с сервера HRA. Если в нескольких включенных политиках указан источник Центр регистрации работоспособности, все политики с источником Не определено не будут учитываться на сервере политики сети при обработке запросов на доступ к сети с клиентов NAP, защищенных с помощью IPsec.