С помощью консоли «Настройка клиента NAP» можно указать механизмы обеспечения безопасности, используемые клиентским компьютером для обмена данными с серверами центра регистрации работоспособности (HRA). Кроме того, консоль «Конфигурация клиента NAP» можно использовать для определения списка HRA-серверов, с которыми клиент может взаимодействовать. Клиентский компьютер должен взаимодействовать с сервером HRA для получения сертификата работоспособности. Сертификат работоспособности необходим для NAP с принудительной IPsec.
Для настройки механизма безопасности, используемого клиентом для взаимодействия с сервером HRA, необходимо настроить политику запросов. Политика запросов задает алгоритм шифрования с асимметричным ключом, хеш-алгоритм и поставщика службы шифрования, используемых клиентским компьютером при подключении к HRA-серверу. На компьютере клиента можно задать только один алгоритм шифрования с асимметричным ключом, один хеш-алгоритм и одного поставщика службы шифрования.
При настройке параметров алгоритма шифрования с асимметричным ключом, хеш-алгоритма и поставщика службы шифрования на клиенте нужно настроить точно такие же параметры политики запроса на сервере HRA. Например, при настройке клиента на взаимодействие по алгоритму RSA (Rivest-Shamir-Adelman) с асимметричным ключом с минимальной длиной ключа 128 нужно настроить на серверах HRA в точности тот же алгоритм с асимметричным ключом и той же минимальной длиной ключа. Если на серверах HRA и клиентских компьютерах настроены разные политики запросов, серверы не смогут взаимодействовать с клиентскими компьютерами; эти компьютеры могут быть определены как несовместимые и могут подключаться к сети с ограничениями. При незаданной политике запроса клиентский компьютер начнет процесс согласования с HRA-сервером с помощью механизма шифрованного взаимодействия по умолчанию.
Важно! | |
Не следует изменять настройки политики запроса до проведения тщательного тестирования политики с новыми параметрами на отдельных тестовых ресурсах. Изменение политики запроса может повлечь потерю соединения с сетью для клиентских компьютеров. |
Чтобы задать серверы HRA для взаимодействия с клиентским компьютером, необходимо настроить группу надежных серверов. Группа надежных серверов состоит из одного или нескольких серверов HRA. Если в группу надежных серверов входит несколько серверов, можно задать порядок, в котором клиентские компьютеры пытаются вступить в контакт с серверами. Это полезно, если серверы HRA находятся в разных сегментах сети или разных доменах и нужно присвоить серверам приоритеты доступа клиентов. Необходимо настроить по меньшей мере одну группу надежных серверов, иначе клиентский компьютер не будет знать, как соединиться с сервером HRA для получения сертификата работоспособности.
Настройка политики запроса клиента NAP
Настройка группы надежных серверов для клиента NAP (Preliminary)