Med HRA får plattformen NAP (Network Access Protection) en tjänst som kallas registreringsutfärdare i en PKI (public key infrastructure) av typen X.509. Som registreringsutfärdare ansvarar HRA för att verifiera klienters autentiseringsuppgifter och sedan vidarebefordra en certifikatbegäran till en certifikatutfärdare för klientens räkning. Certifikatbegäranden verifieras genom att kontrollera med NPS (Network Policy Server) om NAP-klienten uppfyller nätverkets hälsokrav. Om klienten visar sig uppfylla kraven begär HRA en särskild typ av certifikat från certifikatutfärdaren, så kallade hälsocertifikat. Hälsocertifikatet används av NAP-klientdatorer för att kommunicera på ett IPsec-skyddat nätverk. HRA fungerar därmed som en tvingande NAP-server för tvingande NAP för IPsec (Internet Protocol Security).
Viktiga begrepp
Följande begrepp är viktiga för att förstå vilken roll HRA spelar i en NAP-distribution.
-
Hälsocertifikat
X.509-certifikat som utfärdats till NAP-klientdatorer och som används för att bevisa att klienterna uppfyller nätverkets hälsokrav. NAP-klientdatorn får ett hälsocertifikat genom att förse HRA med en hälsodeklaration, ett så kallat hälsobesked. NAP-klienten övervakar kontinuerligt sitt eget hälsotillstånd och tar bort hälsocertifikatet om kraven inte längre uppfylls . Hälsocertifikat kan användas för att autentisera NAP-klienter när de påbörjar IPsec-skyddad kommunikation med andra klienter på ett intranät. Med tvingande NAP för IPsec begränsas kommunikationen för IPsec-baserade NAP-klienter genom att inkommande försök till kommunikation som skickas från datorer som inte har hälsocertifikat blockeras.
-
NAP-certifikatutfärdare
Servrar som kör Active Directory®-certifikattjänster, som är värdar för X.509-certifikat och som utfärdar dem till NAP-klienter när de anses uppfylla hälsokraven för nätverket. Du måste ange en eller flera certifikatutfärdare som ska utfärda NAP-hälsocertifikat. Mer information finns i Konfigurera NAP-certifikatutfärdare och Kontrollera certifikatutfärdares konfiguration.
-
Princip för HRA-begäran
Inställningar som avgör hur klienter får kommunicera med HRA när de begär hälsocertifikat. Du kan anpassa principen för HRA-begäran genom att anpassa inställningarna för kryptografiprincipen och transportprincipen. Du behöver inte modifiera inställningarna för principen för HRA-begäran. Standardinställningarna rekommenderas. Om du väljer att ändra inställningarna är det viktigt att konfigurera identiska inställningar på både HRA-servrar och NAP-klientdatorer. Mer information finns i Förstå princip för begäran i HRA, Konfigurera kryptografiprincipen i HRA och Konfigurera transportprincip för HRA.
-
IIS (Internet Information Services)
En uppsättning Internetbaserade tjänster som installeras automatiskt när du installerar HRA. Med tjänsten IIS får NAP-klienter ett HTTP/HTTPS-gränssnitt som kan användas till att kontakta HRA-servern och begära hälsocertifikat. Begärandena bearbetas med tillägget ISAPI (Internet Server Application Programming Interface) som kan ges till anonyma användare eller begränsas till användare som autentiserats till domänen. Mer information finns i Förstå autentiseringskrav i HRA och Verifiera IIS-konfigurationen.
-
Network Policy Server (NPS)
Microsofts implementering av en RADIUS-server och -proxy (Remote Authentication Dial-In User Service). Om NPS inte redan körs på servern installeras den automatiskt när du installerar HRA. Du kan konfigurera NPS som antingen en NAP-hälsoprincipserver eller en NPS-proxy på HRA-servern. Om du konfigurerar NPS som en NAP-hälsoprincipserver måste du också konfigurera NAP-principer och inställningar, bl.a:
-
Principer för anslutningsbegäran: Uppsättningar villkor och inställningar som verifierar begäranden om nätverksåtkomst och som anger var verifieringen utförs.
-
Nätverksprinciper: Uppsättningar villkor, begränsningar och inställningar som du kan använda för att ange vem som kan ansluta till nätverket.
-
Hälsoprinciper: Systemhälsokrav där det definieras vilka systemhälsoverifierare som används för att verifiera konfigurationen för datorer som försöker ansluta till nätverket.
-
Systemhälsoverifierare: En programvarumotsvarighet på NAP-hälsoprincipservern till en systemhälsoagent. Systemhälsoverifierare definierar konfigurationskrav för datorer som försöker ansluta till nätverket.
-
Principer för anslutningsbegäran: Uppsättningar villkor och inställningar som verifierar begäranden om nätverksåtkomst och som anger var verifieringen utförs.
Om du konfigurerar NPS som en RADIUS-proxy måste du kontrollera nätverkets möjligheter att ansluta till fjärr-RADIUS-servergrupper och verifiera deras konfiguration som NAP-hälsoprincipservrar. Mer information finns i Verifiera konfigurationen av NPS.