Använd den här proceduren för att kontrollera att NAP-kompatibla klientdatorer är konfigurerade för den tvingande NAP IPsec-metoden (Network Access Protection, Internet Protocol security). En NAP-kompatibel dator är en dator som har installerade NAP-komponenter och kan verifiera sitt hälsotillstånd genom att skicka SoH-meddelanden (Statements of Health) till NPS (Network Policy Server) för utvärdering. Mer information om NAP finns i https://go.microsoft.com/fwlink/?LinkId=94393 (sidan kan vara på engelska).

Om proceduren ska kunna slutföras krävs minst medlemskap i Domain Admins eller motsvarande. Du kan läsa mer om kontomedlemskap och gruppmedlemskap på https://go.microsoft.com/fwlink/?LinkId=83477. (Sidan kan vara på engelska.)

Verifiera NAP-klientkomponenter

NAP-komponenter innehåller tjänsten NAP Agent, en eller flera tvingande NAP-klienter och minst en systemhälsoagent (SHA, System Health Agent). Andra tjänster kan också krävas om de har stöd för en installerad systemhälsoagent. Alla komponenter samverkar för att kontinuerligt övervaka hälsotillståndet för en NAP-klientdator och skicka statusen till NAP-servrar för utvärdering.

NAP-agent

NAP-agenttjänsten samlar in och hanterar hälsoinformation om klientdatorn. NAP-agenten bearbetar också SoH-meddelanden från alla installerade systemhälsoagenter och rapporterar klienthälsotillståndet till tvingande klienter. NAP-agenten måste köras för att klientdatorer ska kunna begära eller ta emot hälsocertifikat.

Så här kontrollerar du att NAP-agenttjänsten har startats
  1. Klicka på Start, klicka på Kontrollpanelen, klicka på System och underhåll, klicka på Administrationsverktyg och dubbelklicka sedan på Tjänster.

  2. Under Namn i tjänstelistan dubbelklickar du på Network Access Protection Agent.

  3. Se till att status för Tjänst är Startad och att Startmetod är Automatiskt.

  4. Om tjänsten inte har startats väljer du Automatiskt bredvid Startmetod och klickar sedan på Starta.

  5. Stäng dialogrutan Egenskaper för Network Access Protection genom att klicka på OK.

  6. Stäng konsolen Tjänster.

OBS

Om du startar om NAP-agenttjänsten initieras systemhälsoagenterna om automatiskt, och datorn försöker hämta ett nytt hälsocertifikat. Detta kan vara användbart när du felsöker NAP.

Tvingande NAP IPsec-klient

Den tvingande NAP IPsec-klienten måste vara installerad och aktiverad på klientdatorerna. Den tvingande NAP IPsec-klienten begär åtkomst till ett nätverk och skickar en klientdators hälsotillstånd till andra komponenter i NAP-klientarkitekturen, Den tvingande NAP IPsec-klienten begränsar åtkomst till IPsec-skyddade nätverk genom att interagera med certifikatarkivet på en klientdator.

Så här kontrollerar du att den tvingande NAP IPsec-klienten har initierats
  1. Klicka på Start, klicka på Alla program, klicka på Tillbehör och sedan på Kommandotolken.

  2. Skriv netsh nap client show state på kommandoraden och tryck på RETUR. Detta kommando visar klientdatorns NAP-status.

  3. Granska kommandots utdata och kontrollera att status för IPsec-relä är Initierad = Yes under Enforcement-klientstatus.

Kontrollera IPsec-klientkonfiguration

NAP-klienter måste konfigureras med inställningar som tillåter dem att kommunicera med NAP-serverkomponenter. Du kan konfigurera inställningarna via grupprinciper, konsolen NAP-klientkonfiguration eller kommandoraden. För den tvingande IPsec-metoden omfattar NAP-klientinställningarna princip för begäran och betrodda servergrupper.

Princip för begäran

Du behöver inte ändra standardinställningarna för princip för begäran på NAP-klientdatorer. Om inställningarna ändras är det mycket viktigt att kontrollera att liknande inställningar är aktiverade på NAP-servrarna. NAP-kompatibla klientdatorer initierar som standard en förhandlingsprocess, med en ömsesidigt godkänd standardmekanism för kryptering, vid kommunikation med en NAP-server. Du rekommenderas använda standardinställningarna för begärandeprincip.

Så här visar du begärandeprincipinställningarna
  1. Klicka på Start, klicka på Alla program, klicka på Tillbehör och sedan på Kommandotolken.

  2. Om NAP-klientinställningarna distribueras med hjälp av en grupprincip, skriver du netsh nap client show group på kommandoraden och trycker på RETUR. Om NAP-klientinställningarna distribueras med en lokal princip, skriver du netsh nap client show config på kommandoraden och trycker på RETUR. Med dessa kommandon visas klientdatorernas NAP-konfigurationsinställningar för grupprincip respektive lokal princip.

  3. Granska kommandots utdata och kontrollera att inställningarna för Kryptografiprovider (CSP) och Hash-algoritm motsvarar de inställningar som konfigurerats i HRA (Health Registration Authority). Standardkryptografiprovidern är Microsoft RSA SChannel Cryptographic Provider, nyckellängd = 2048. Standard-hash-algoritm är sha1RSA (1.3.14.3.2.29).

Betrodda servergrupper

Betrodda servergrupper konfigureras i klienthälsoregistreringsinställningarna så att NAP-klientdatorer kan kontakta webbplatser som använder HRA för att bearbeta begäran om hälsocertifikat. Om betrodda servergrupper inte konfigureras eller konfigureras felaktigt kan NAP-klientdatorer inte hämta hälsocertifikat.

Så här kontrollerar du konfigurationen av betrodda servergrupper
  1. Klicka på Start, klicka på Alla program, klicka på Tillbehör och sedan på Kommandotolken.

  2. Om NAP-klientinställningarna distribueras med hjälp av en grupprincip, skriver du netsh nap client show group på kommandoraden och trycker på RETUR. Om NAP-klientinställningarna distribueras med en lokal princip, skriver du netsh nap client show config på kommandoraden och trycker på RETUR. Med dessa kommandon visas klientdatorernas NAP-konfigurationsinställningar för grupprincip respektive lokal princip.

  3. Granska kommandots utdata under Konfiguration av betrodd servergrupp och kontrollera att konfigurationen är korrekt för posterna Bearbetningsordning, Grupp, Https krävs och URL.

OBS

En NAP-klientdator försöker hämta ett hälsocertifikat från den första webbadressen i alla konfigurerade betrodda servergrupper, såvida inte servern har markerats som otillgänglig. Mer information finns i Verifiera IIS-konfigurationen och Förstå autentiseringskrav i HRA.

Granska NAP-klienthändelser

Att granska informationen i NAP-klienthändelser kan vara till stor hjälp vid felsökning. Det kan också hjälpa dig att förstå hur NAP-klienter fungerar.

Så här granskar du NAP-klienthändelser i Loggboken
  1. Klicka på Start, peka på Alla program, klicka på Tillbehör och slutligen på Kör.

  2. Skriv eventvwr.msc och tryck på RETUR.

  3. I vänster träd går du till Loggboken (lokal)\Program- och tjänstloggar\Microsoft\Windows\Network Access Protection\Användning.

  4. Klicka på en händelse i mittenfönstret.

  5. Som standard visas fliken Allmänt. Klicka på fliken Information om du vill se mer information.

  6. Du kan också högerklicka på en händelse och sedan klicka på Händelseegenskaper och granska händelser i ett nytt fönster.

Ytterligare referenser