Nätverksprincipservern är den centrala servern som används med alla tvingande NAP-metoder (Network Access Protection) vid utvärdering av NAP-klientåtkomstbegäranden. Nätverkshälsokrav definieras på nätverksprincipservern med hjälp av principer som beviljar eller begränsar NAP-klientdatorers åtkomst utifrån deras hälsa. En server som kör NPS och som är värd för de här NAP-principerna kallas för en NAP-hälsoprincipserver. Beroende på din distribution kan du ha en eller flera NAP-hälsoprincipservrar på nätverket. RADIUS-klienter, principer för anslutningsbegäran, nätverksprinciper, hälsoprinciper och systemhälsoverifierare (SHV) används av en NAP-hälsoprincipserver för att definiera och verkställa nätverkshälsokrav.
När du installerar HRA (Health Registration Authority) installeras NPS automatiskt på samma dator. Om du har distribuerat mer än en HRA och föredrar att centralisera utvärderingen av principer genom att placera dina NAP-hälsoprinciper på en annan dator måste du konfigurera den lokala servern som kör NPS som en RADIUS-proxy. Om du använder NPS som en RADIUS-proxy konfigureras principen för anslutningsbegäran så att den lokala servern som kör NPS vidarebefordrar nätverksanslutningsbegäranden till fjärr-RADIUS-servergrupper för utvärdering.
Mer information om NPS finns på
Om proceduren ska kunna slutföras krävs minst medlemskap i Domain Admins eller motsvarande. Du kan läsa mer om kontomedlemskap och gruppmedlemskap på
Verifiera konfigurationen av hälsoprincipservern
Använd följande procedurer för att verifiera att den lokala servern som kör NPS är konfigurerad som en NAP-hälsoprincipserver. Om den lokala HRA-servern är konfigurerad som en RADIUS-proxy finns mer information i Verifiera konfigurationen av NPS som proxy.
RADIUS-klienter
Om du har konfigurerat fjärr-HRA-servrar som RADIUS-proxyservrar som vidarebefordrar anslutningsbegäranden till den lokala servern som kör NPS för utvärdering, måste den lokala servern ha en motsvarande RADIUS-klientpost för varje fjärr-HRA-server. NAP med tvingande IPsec kräver inte RADIUS-klienter om alla HRA-servrar också är NAP-hälsoprincipservrar. Om du använder HRA-servrar med NPS konfigurerat som en RADIUS-proxy kan du använda följande procedur om du vill verifiera att RADIUS-klienterna är korrekt konfigurerade på den lokala servern som kör NPS, och att den därmed kan bearbeta de anslutningsbegäranden som mottagits av fjärr-HRA-servrar.
Så här verifierar du RADIUS-klienter |
Klicka på Start, klicka på Kör, skriv nps.msc och tryck sedan på RETUR.
I NPS-konsolträdet dubbelklickar du på RADIUS-klienter och -servrar och klickar sedan på RADIUS-klienter.
I informationsfönstret dubbelklickar du på det egna namnet för en RADIUS-klient som motsvarar en HRA-server med NPS installerat och konfigurerad som en RADIUS-proxy. Om det inte finns någon RADIUS-klientpost skapar du en ny RADIUS-klient med hjälp av följande procedur. Den här proceduren fungerar bara om du har fjärr-HRA-servrar konfigurerade så att de vidarebefordrar anslutningsbegäranden till den lokala servern som kör NPS.
-
Högerklicka på RADIUS-klienter och välj Ny.
-
Ange ett namn på RADIUS-klienten under Eget namn (t.ex. HRA-1).
-
Ange IP-adressen eller DNS-namnet på fjärr-HRA-servern under Adress (IP eller DNS), klicka på Verifiera och sedan på Matcha.
-
Kontrollera att IP-adressen som visas motsvarar rätt fjärr-HRA-server och klicka sedan på OK.
-
Under Delad hemlighet och Bekräfta delad hemlighet anger du hemligheten som konfigureras i inställningarna för fjärr-RADIUS-servergruppen på fjärr-HRA-servern .
-
Om attributet Message-Authenticator är aktiverat i fjärr-HRA-serverns konfigurationsinställningar för fjärr-RADIUS-servergruppen markerar du kryssrutan Meddelanden om Access-Request måste innehålla attributet Message-Authenticator. Kontrollera att kryssrutan är avmarkerad om det här alternativet inte är aktiverat på fjärr-HRA-servern.
-
Markera kryssrutan RADIUS-klienten är NAP-kompatibel och klicka sedan på OK.
-
Återuppta den aktuella proceduren för att verifiera den nya RADIUS-klientens konfiguration.
-
Högerklicka på RADIUS-klienter och välj Ny.
Kontrollera att kryssrutan Aktivera den här RADIUS-klienten i fönstret Egenskaper är markerad.
Kontrollera att kryssrutan RADIUS-klienten är NAP-kompatibel är markerad.
Om fjärr-HRA-servern är konfigurerad så att den kräver att åtkomstbegäranden innehåller attributet message authenticator kontrollorerar du att kryssrutan Meddelanden om Access-Request måste innehålla attributet Message-Authenticator är markerad. Annars ska den här kryssrutan vara avmarkerad.
Kontrollera att RADIUS-standard är markerat bredvid Leverantörsnamn.
Kontrollera att IP-adressen eller DNS-namnet i listan motsvarar den korrekta fjärr-HRA-servern under Adress (IP eller DNS) och klicka sedan på Verifiera.
Klicka på Matcha i dialogrutan Verifiera klient.
Under IP-adress kontrollerar du att IP-adressen i listan motsvarar en HRA-server som har konfigurerats så att den vidarebefordrar begäranden till den lokala servern som kör NPS och att den lokala servern kan ansluta till IP-adressen.
Klicka på OK. Om du misstänker att den delade hemligheten inte stämmer anger du hemligheten vid Delad hemlighet och Bekräfta delad hemlighet och klickar sedan på OK.
Upprepa den här proceduren för varje HRA-server på nätverket som har konfigurerats så att den vidarebefordrar begäranden till den lokala servern som kör NPS för bearbetning.
Principer för anslutningsbegäran
Principer för anslutningsbegäran är uppsättningar villkor och inställningar som verifierar begäranden om nätverksåtkomst och som styr var verifieringen utförs. Med följande procedur kan du bekräfta att principen för ansluningsbegäran på den lokala servern som kör NPS är konfigurerad för tvingande NAP för IPsec.
Så här verifierar du principer för anslutningsbegärande |
I NPS-konsolträdet dubbelklickar du på Principer och sedan på Principer för anslutningsbegäran.
I informationsfönstret dubbelklickar du på den princip för anslutningsbegäran som används för att autentisera inkommande anslutningsbegäranden från IPsec-skyddade NAP-klienter som med . Om principen inte finns där skapar du en princip för anslutningsbegäran genom att utföra följande steg:
-
Högerklicka på Principer för anslutningsbegäran och välj Ny.
-
Ange ett namn på principen för anslutningsbegäran under Principnamn (till exempel NAP IPsec med HRA).
-
Välj HRA (Health Registration Authority) under Typ av nätverksåtkomstserver och klicka sedan på Nästa.
-
Principen för anslutningsbegäran kräver att minst ett villkor anges. Lägg till ett villkor som inte medför att några inkommande åtkomstbegäranden nekas genom att klicka på Lägg till på sidan Ange villkor.
-
Klicka på Dag- och tidsbegränsningar i fönstret Välj villkor och klicka sedan på Lägg till.
-
Välj Tillåts i fönstret Restriktioner för tidpunkt. Kontrollera att alla dagar och tider tillåts, klicka på OK och klicka sedan på Nästa.
-
Om den lokala servern som kör NPS är en NAP-hälsoprincipserver kontrollerar du att Autentisera begäranden på den här servern har markerats. Klicka sedan på Nästa tre gånger och klicka på Slutför. Om den lokala servern som kör NPS ska vidarebefordra begäranden till en annan server för utvärdering finns mer information i Verifiera konfigurationen av NPS som proxy.
-
Högerklicka på Principer för anslutningsbegäran och välj Ny.
Kontrollera att kryssrutan Principen är aktiverad på fliken Översikt är markerad.
Kontrollera att Typ av nätverksåtkomstserver är antingen HRA (Health Registration Authority) eller Ospecificerad på fliken Översikt. Mer information om att ange en åtkomstservertyp finns under Ytterligare överväganden längre fram i det här avsnittet.
Klicka på fliken Villkor och kontrollera att alla NAP-klienter överensstämmer med de konfigurerade villkoren. Dag- och tidsbegränsningar kan t.ex. konfigureras så att nätverksåtkomst bara tillåts på vissa dagar vid vissa tider.
Klicka på fliken Inställningar. Klicka på Autentiseringsmetoder under Nödvändiga autentiseringsmetoder och kontrollera att kryssrutan Åsidosätt autentiseringsinställningarna för nätverksprincipen är avmarkerad.
Klicka på Autentisering under Vidarebefordra anslutningsbegäran.
Om du vill aktivera den lokala servern som kör NPS som en NAP-hälsoprincipserver kontrollerar du att Autentisera begäranden på den här servern har markerats.
Klicka på OK när du vill stänga fönstret för egenskaper.
Nätverksprinciper
Nätverksprinciper avgör vem som kan ansluta till nätverket med hjälp av villkor, inställningar och begränsningar. Vid utvärdering av NAP-klienters hälsostatus måste det finnas minst en nätverksprincip som tillämpas på datorer som uppfyller hälsokraven och minst en nätverksprincip som tillämpas på datorer som inte gör det. Med följande procedur kan du bekräfta att de här principerna har skapats och konfigurerats för tvingande NAP för IPsec.
Så här bekräftar du nätverksprinciper |
I NPS-konsolträdet dubbelklickar du på Principer och sedan på Nätverksprinciper.
I informationsfönstret kontrollerar du att du har minst en princip för datorer som uppfyller kraven och en princip för datorer som inte gör det, och att principernas Status är Aktiverad. Om du vill aktivera en princip högerklickar du på dess namn och klickar sedan på Aktivera. Om principerna inte finns där skapar en nätverksprincip genom att utföra följande steg.
-
Högerklicka på Nätverksprinciper och klicka på Ny.
-
Ange ett namn för nätverksprincipen under Principnamn (till exempel Kompatibel med NAP IPsec med HRA eller Inte kompatibel med NAP IPsec med HRA).
-
Välj HRA (Health Registration Authority) under Typ av nätverksåtkomstserver och klicka sedan på Nästa.
-
Klicka på Lägg till på sidan Ange villkor.
-
Klicka på Hälsoprinciper i Välj villkor och klicka sedan på Lägg till.
-
Om nätverksprincipen ska gälla för klientdatorer som uppfyller kraven väljer du en hälsoprincip under Hälsoprinciper som har konfigurerats så att den stämmer överens med hälsostatusen för en klient som uppfyller kraven och klickar sedan på OK.
-
Om nätverksprincipen ska gälla för klientdatorer som inte uppfyller kraven väljer du en hälsoprincip under Hälsoprinciper som har konfigurerats så att den stämmer överens med hälsostatusen för en klient som inte uppfyller kraven och klickar sedan på OK.
-
Klicka på Nästa, markera Beviljad åtkomst och klicka sedan på Nästa.
-
Markera kryssrutan Utför bara hälsokontroll av datorn på sidan Konfigurera autentiseringsmetoder och klicka sedan på Nästa två gånger.
-
Klicka på Tvingande NAP på sidan Konfigurera inställningar.
-
Välj ett tvingande läge för den här principen. Mer information finns i Tvingande NAP-lägen senare i det här avsnittet.
-
Aktivera automatisk reparation av klientdatorer som inte uppfyller genom att markera kryssrutan Aktivera automatisk reparation av klientdatorer. Avmarkera kryssrutan om du inte vill aktivera den här funktionen.
-
Klicka på Nästa och sedan på Slutför.
-
Återuppta den aktuella proceduren om du vill verifiera den nya nätverksprincipens konfiguration.
-
Högerklicka på Nätverksprinciper och klicka på Ny.
I informationsfönstret kontrollerar du att principernas Behandlingsordning är korrekt konfigurerad för din distribution. Mer specifika principer bearbetas före mer allmänna principer. Om du vill ändra i ordningen på principerna högerklickar du på ett principnamn och sedan på Flytta upp eller Flytta ned.
I informationsfönstret kontrollerar du att principerna för både datorer som uppfyller kraven och de som inte gör det är konfigurerade med Behörighet Bevilja åtkomst. Om du vill konfigurera åtkomstbehörigheter högerklickar du på principnamnet. Klicka på Egenskaper och på fliken Översikt och välj sedan Bevilja åtkomst.
I informationsfönstret kontrollerar du att principernas Källa som används för att bearbeta NAP-klienter med IPsec-skydd är antingen HRA (Health Registration Authority) eller Ospecificerad. Mer information om att ange en åtkomstservertyp finns under Ytterligare överväganden längre fram i det här avsnittet.
I informationsfönstret dubbelklickar du på den nätverksprincip som används för att matcha klienter som uppfyller kraven och sedan på fliken Villkor.
Kontrollera att minst ett av villkoren som anges är Hälsoprincip och att Värde motsvarar en hälsoprincip som du har konfigurerat så att den matchar hälsostatusen för en klient som uppfyller kraven. Om villkoret inte finns utför du följande steg:
-
Klicka på Lägg till, Hälsoprinciper och klicka sedan på Lägg till.
-
Välj en princip under Hälsoprinciper som motsvarar hälsostatusen för en klient som uppfyller kraven och klicka sedan på OK. Om inga hälsoprinciper finns verifierar du hälsoprinciper och upprepar den här proceduren.
-
Klicka på Lägg till, Hälsoprinciper och klicka sedan på Lägg till.
Klicka på fliken Begränsningar och klicka sedan på Autentiseringsmetoder
Kontrollera att kryssrutan Utför bara hälsokontroll av datorn är markerad.
Klicka på fliken Inställningar och sedan på Tvingande NAP.
Kontrollera att Bevilja fullständig nätverksåtkomst är markerat för den här nätverksprincipen och klicka sedan på OK. Därmed slutförs verifieringen av en nätverksprincip för datorer som uppfyller kraven.
I informationsfönstret dubbelklickar du på den nätverksprincip som används för att matcha klienter som inte uppfyller kraven och sedan på fliken Villkor.
Kontrollera att minst ett av villkoren som anges är Hälsoprincip och att Värde motsvarar en hälsoprincip som du har konfigurerat så att den matchar hälsostatusen för en klient som inte uppfyller kraven. Om villkoret inte finns utför du följande steg:
-
Klicka på Lägg till, Hälsoprinciper och klicka sedan på Lägg till.
-
Välj en princip under Hälsoprinciper som motsvarar hälsostatusen för en klient som inte uppfyller kraven och klicka sedan på OK. Om inga hälsoprinciper finns verifierar du hälsoprinciper och upprepar den här proceduren.
-
Klicka på Lägg till, Hälsoprinciper och klicka sedan på Lägg till.
Klicka på fliken Begränsningar och klicka sedan på Autentiseringsmetoder
Kontrollera att kryssrutan Utför bara hälsokontroll av datorn är markerad.
Klicka på fliken Inställningar och sedan på Tvingande NAP.
- Verifiera att Bevilja begränsad åtkomst är markerat för nätverksprincipen om du har distribuerat NAP i fullständigt tvingande läge.
- Verifiera att Bevilja fullständig nätverksåtkomst under en begränsad tid är markerat för nätverksprincipen om du har distribuerat NAP i uppskjutet tvingande läge.
- Verifiera att Bevilja fullständig nätverksåtkomst är markerat för nätverksprincipen om du har distribuerat NAP i rapporteringsläge.
- Verifiera att kryssrutan Aktivera automatisk reparation av klientdatorer är markerad om du vill aktivera automatisk reparation av NAP-klienter som inte uppfyller kraven.
- Verifiera att Bevilja begränsad åtkomst är markerat för nätverksprincipen om du har distribuerat NAP i fullständigt tvingande läge.
Klicka på OK.
Upprepa de här stegen efter behov om du vill verifiera konfigurationen för de nätverksprinciper som används till att utvärdera åtkomstbegäranden från IPsec-skyddade NAP-klienter.
Tvingande NAP-lägen
Det finns tre olika tvingande lägen när du aktiverar NAP på nätverket. Med de olika tvingande lägena kan du anpassa NAP-distributionen.
-
Aktivera rapporteringsläge genom att välja Bevilja fullständig nätverksåtkomst för både datorer som uppfyller kraven och datorer som inte gör det. I rapporteringsläge övervakas klientdatorers hälsostatus men nätverksåtkomsten begränsas inte. Både datorer som uppfyller kraven och datorer som inte gör det får hälsocertifikat.
-
Aktivera uppskjutet tvingande läge genom att välja Bevilja fullständig nätverksåtkomst i nätverksprincipen för datorer som uppfyller kraven och Bevilja fullständig nätverksåtkomst under en begränsad tid i nätverksprincipen för datorer som inte uppfyller kraven. Du måste också ange ett datum och en tid när åtkomsten för klienter som inte uppfyller kraven kommer att begränsas. I uppskjutet tvingande läge mottar klientdatorer NAP-meddelanden så fort som de inte uppfyller nätverkshälsokraven men deras åtkomst begränsas först vid angivet datum och tid.
-
Aktivera fullständigt tvingande läge genom att välja Bevilja fullständig nätverksåtkomst i nätverksprincipen för datorer som uppfyller kraven och Bevilja begränsad åtkomst i nätverksprincipen för datorer som inte uppfyller kraven. I fullständigt tvingande läge begränsas klientdatorers nätverksåtkomst omedelbart om de inte uppfyller nätverkshälsokraven.
Hälsoprinciper
Med hälsoprinciper definieras vilka systemhälsoverifierare som utvärderas och hur de används för att verifiera konfigurationen för datorer som försöker ansluta till nätverket. Med hälsoprinciper klassificeras klienters hälsostatus utifrån resultatet av kontroller av systemhälsoverifierare. Du behöver minst en hälsoprincip som motsvarar hälsostatusen för en klient som uppfyller kraven, och minst en som motsvarar hälsostatusen för en klient som inte uppfyller kraven. Med följande procedur verifierar du att hälsoprinciper för datorer som uppfyller respektive inte uppfyller kraven har konfigurerats på NAP-hälsoprincipservern.
Så här verifierar du hälsoprinciper |
Dubbelklicka på Principer i NPS-konsolen och klicka sedan på Hälsoprinciper.
Dubbelklicka på namnet för en hälsoprincip för klienter som uppfyller kraven under Principnamn i informationsfönstret. Om principen inte finns där skapar du en hälsoprincip för klienter som uppfyller kraven genom att utföra följande steg:
-
Högerklicka på Hälsoprinciper och klicka sedan på Ny.
-
Ange ett namn för den kompatibla hälsoprincipen under Principnamn (till exempel Kompatibel med NAP IPsec med HRA).
-
Under Systemhälsokontroller av klient väljer du Klienten godkänns i alla systemhälsokontroller om du vill skapa en sträng hälsoprincip. Om du vill skapa en mildare hälsoprincip väljer du Klienten godkänns i en eller flera systemhälsokontroller.
-
Under Systemhälsoverifierare som används i den här hälsoprincipen markerar du kryssrutan bredvid varje systemhälsoverifierare som ska användas vid utvärdering av klienthälsa. Säkerhetshälsoverifieringsprincip i Windows finns som standard. Andra systemhälsoverifierare finns om de har installerats.
-
Klicka på OK.
-
Högerklicka på Hälsoprinciper och klicka sedan på Ny.
Under Systemhälsokontroller av klient verifierar du att antingen Klienten godkänns i alla systemhälsokontroller eller Klienten godkänns i en eller flera systemhälsokontroller är vald. De här villkoren används till att skapa mer respektive mindre restriktiva principer för klienter som uppfyller kraven.
Under Systemhälsoverifierare som används i den här hälsoprincipen verifierar du att kryssrutorna är markerade bredvid de installerade systemhälsoverifierare som används till att utvärdera hälsan på de IPsec-skyddade NAP-klientdatorerna och klickar sedan på OK.
Dubbelklicka på namnet för en hälsoprincip för klienter som inte uppfyller kraven under Principnamn i informationsfönstret. Om principen inte finns där skapar du en hälsoprincip för klienter som inte uppfyller kraven genom att utföra följande steg:
-
Högerklicka på Hälsoprinciper och klicka sedan på Ny.
-
Ange ett namn för den icke-kompatibla hälsoprincipen under Principnamn (till exempel Inte kompatibel med NAP IPsec med HRA).
-
Under Systemhälsokontroller av klient väljer du Klienten underkänns i en eller flera systemhälsokontroller om du vill skapa en sträng hälsoprincip. Om du vill skapa en mildare hälsoprincip väljer du Klienten underkänns i alla systemhälsokontroller.
-
Under Systemhälsoverifierare som används i den här hälsoprincipen markerar du kryssrutan bredvid varje systemhälsoverifierare som ska användas vid utvärdering av klienthälsa. Säkerhetshälsoverifieringsprincip i Windows finns som standard. Andra systemhälsoverifierare finns om de har installerats.
-
Klicka på OK.
-
Högerklicka på Hälsoprinciper och klicka sedan på Ny.
Under Systemhälsokontroller av klient verifierar du att antingen Klienten underkänns i en eller flera systemhälsokontroller eller Klienten underkänns i alla systemhälsokontroller är vald. De här villkoren används till att skapa mer respektive mindre restriktiva principer för klienter som inte uppfyller kraven.
Under Systemhälsoverifierare som används i den här hälsoprincipen verifierar du att kryssrutorna är markerade bredvid de installerade systemhälsoverifierare som används till att utvärdera hälsan på de IPsec-skyddade NAP-klientdatorerna och klickar sedan på OK.
Upprepa de här stegen för alla hälsoprinciper som används vid utvärdering av IPsec-skyddade NAP-klientdatorer.
Systemhälsoverifierare
Systemhälsoverifierare definierar krav på programvara och konfigurationer för datorer som försöker ansluta till nätverket. Med följande procedur kan du kontrollera att systemhälsoverifierare konfigurerats korrekt för din distribution.
Verifiera systemhälsoverifierare |
Dubbelklicka på NAP (Network Access Protection) i NPS-konsolen och klicka sedan på Systemhälsoverifierare.
Dubbelklicka på namnet på en installerad systemhälsoverifierare under Namn i informationsfönstret.
Systemhälsoverifierares konfiguration varierar beroende på implementering. Om du använder Säkerhetshälsoverifieringsprincipen i Windows (WSHV) klickar du på Konfigurera.
- Om du vill konfigurera hälsokrav för datorer som kör Windows Vista klickar du på fliken Windows Vista.
- Om du vill konfigurera hälsokrav för datorer som kör Windows XP med Service Pack 3 klickar du på fliken Windows XP.
- Om du vill konfigurera hälsokrav för datorer som kör Windows Vista klickar du på fliken Windows Vista.
Aktivera hälsokraven genom att markera kryssrutorna bredvid de olika hälsokomponenterna. Avmarkera kryssrutan för att inaktivera kraven. De tillgängliga hälsokraven när Säkerhetshälsoverifieringsprincipen i Windows används är bland andra: Brandvägg, Virusskydd, Antispionprogram, Automatiska uppdateringar och Säkerhetsuppdateringsskydd.
Klicka på OK och konfigurera felkodslösningar för din distribution. Felkodslösningar avgör hur klienter utvärderas vid de olika felvillkoren i listan. Du kan välja att returnera statusen Kompatibel eller Inte kompatibel för varje villkor.
Klicka på OK och stäng sedan NPS-konsolen.
Verifiera konfigurationen av NPS som proxy
Med följande procedur kan du verifiera konfigurationen hos den lokala server som kör NPS som en RADIUS-proxy. Proceduren gäller inte om den lokala servern som kör NPS är konfigurerad som en NAP-hälsoprincipserver.
Så här verifierar du konfigurationen av NPS som proxy |
Klicka på Start, klicka på Kör, skriv nps.msc och tryck sedan på RETUR.
I konsolträdet dubbelklickar du på RADIUS-klienter och -servrar och klickar sedan på Fjärr-RADIUS-servergrupper.
Dubbelklicka på namnet på en fjärr-RADIUS-servergrupp under Gruppnamn i informationsfönstret. Om det inte visas någon RADIUS-servergrupp kan du lägga till en fjärr-RADIUS-servergrupp genom att utföra följande steg:
-
I konsolträdet högerklickar du på Fjärr-RADIUS-servergrupper under RADIUS-klienter och -servrar och klickar sedan på Ny.
-
Ange ett namn på fjärr-RADIUS-servergruppen under Gruppnamn (till exempel NAP-hälsoprincipserver1).
-
Klicka på Lägg till. Under Server anger du sedan DNS-namnet eller IP-adressen till en server som kör NPS och som är konfigurerad till att utvärdera anslutningsbegäranden som vidarebefordrats från den lokala HRA-servern.
-
Klicka på Verifiera och klicka sedan på Matcha. Kontrollera att IP-adressen som visas är korrekt för din distribution och klicka sedan på OK.
-
Klicka på fliken Autentisering och redovisning.
-
Ange hemligheten som konfigureras i NPS-inställningarna på NAP-hälsoprincipservern under Delad hemlighet och Bekräfta delad hemlighet.
-
Klicka på OK två gånger.
-
I konsolträdet högerklickar du på Fjärr-RADIUS-servergrupper under RADIUS-klienter och -servrar och klickar sedan på Ny.
Klicka på namnet på en fjärr-RADIUS-server under RADIUS-server i fönstret för servergruppegenskaper och klicka sedan på Redigera.
Klicka på Verifiera på fliken Adress.
Klicka på Matcha i dialogrutan Verifiera klient. Kontrollera att RADIUS-klientens IP-adress motsvarar en NAP-hälsoprincipserver på nätverket som är konfigurerad med en RADIUS-proxy som motsvarar den lokala server som kör NPS.
Klicka på OK och klicka sedan på fliken Autentisering och redovisning.
Kontrollera att portarna för autentisering och redovisning är korrekta för distributionen. Standardporten för autentisering är 1812 och standardporten för redovisning är 1813.
Kontrollera att kryssrutan Begäran måste innehålla attributet för meddelandeautentisering är markerad bara om ett motsvarande krav är aktiverat på NAP-hälsoprincipservern. Avmarkera den här kryssrutan om NAP-hälsoprincipservern inte kräver attributet.
Om du misstänker att den delade hemligheten inte stämmer anger du hemligheten bredvid Delad hemlighet och Bekräfta delad hemlighet och klickar sedan på OK två gånger.
Dubbelklicka på Principer i NPS-konsolen och klicka sedan på Principer för anslutningsbegäran.
I informationsfönstret dubbelklickar du på den princip för anslutningsbegäran som används för att autentisera inkommande anslutningsbegäranden från IPsec-skyddade NAP-klienter som med .
Klicka på fliken Inställningar och klicka sedan på Autentisering under Vidarebefordra anslutningsbegäran.
Kontrollera att Vidarebefordra autentiseringsbegäranden till följande fjärr-RADIUS-servergrupp är markerat och verifiera att namnet på den markerade fjärr-RADIUS-servergruppen motsvarar de korrekta NAP-hälsoprincipservrarna på nätverket.
Upprepa de här stegen för alla grupper och fjärrservrar som kör NPS.
Stäng NPS-konsolen.
Ytterligare överväganden
Om typen av nätverksåtkomstserver i principen för anslutningsbegäran och i nätverksprincipen är angiven till Ospecificerad utvärderas alla anslutningsbegäranden från alla typer av nätverksåtkomstservrar med den här principen. Om typen av nätverksåtkomstserver är angiven till HRA (Health Registration Authority) utvärderas bara anslutningsbegäranden som vidarebefordrats från en HRA-server med den här principen. Om en eller flera aktiverade principer har HRA (Health Registration Authority) som angiven källa ignoreras alla principer med Ospecificerad som källa av NPS vid bearbetning av IPsec-skyddade nätverksåtkomstbegäranden från NAP-klienter.