Sistem Durumu Kayıt Yetkilisi (HRA), bir X.509 ortak anahtar altyapısında (PKI) genelde kayıt yetkilisi olarak başvurulan bir Ağ Erişimi Koruması (NAP) platformu hizmeti sağlar. Kayıt yetkilisi olarak HRA, istemci kimlik bilgilerini doğrulamak ve daha sonra sertifika isteğini istemcinin adına sertifika yetkilisine (CA) iletmekle sorumludur. HRA, NAP istemcisinin ağ durumu gereksinimleriyle uyumlu olup olmadığını belirlemek için sertifika isteklerini Ağ İlkesi Sunucusu'yla (NPS) birlikte doğrular. İstemcinin uyumlu olduğu belirlenirse, HRA CA'dan sistem durumu sertifikası denen özel türde bir sertifika ister. Sistem durumu sertifikası NAP istemci bilgisayarları tarafından IPsec korumalı ağlarda iletişim kurmak için kullanılır. Bu kapasitede, HRA NAP Internet Protokolü güvenliği (IPsec) zorlama yöntemi için bir NAP zorlama sunucusu gibi çalışır.
Önemli kavramlar
Bir NAP dağıtımında HRA'nın rolünü anlamak için aşağıdaki kavramları gözden geçirin.
-
Sistem durumu sertifikaları
NAP istemci bilgisayarlarına verilen, ağ durumu gereksinimlerine uyumluluğunun kanıtı olarak kullanılan X.509 sertifikaları. NAP istemci bilgisayarı, HRA'ya sistem durumu bildirimi (SoH) denen sistem durumunu dökümünü vererek bir sistem durumu sertifikası alır. NAP istemcisi sistem durumunu sürekli olarak izler ve uyumsuz duruma geldiğinde sistem sertifikasını siler. Sistem durumu sertifikaları, intranet üzerindeki diğer NAP istemcileriyle IPsec korumalı iletişimi başlattıklarında NAP istemcilerinin kimliğini doğrulamak için kullanılabilir. NAP IPsec zorlaması, sistem durumu sertifikası olmayan bilgisayarlardan gelen iletişim denemelerini atarak IPsec tabanlı NAP istemcilerinin iletişimini sınırlar.
-
NAP sertifika yetkilileri
X.509 sertifikalarını barındıran ve ağ durumu gereksinimleriyle uyumlu oldukları belirlendikten sonra bunları NAP istemcilerine veren Active Directory® Sertifika Hizmetleri'ni (AD CS) çalıştıran sunucular. NAP sistem durumu sertifikalarını verecek bir veya daha fazla CA belirtmelisiniz. Daha fazla bilgi için bkz. NAP Sertifika Yetkilisini Yapılandırma ve CA Yapılandırmasını Doğrulama.
-
HRA istek ilkesi
İstemcilerin sistem durumu sertifikalarını isterken HRA ile nasıl iletişim kuracağını belirleyen ayarlar. HRA istek ilkesini, şifreleme ilkesi ve aktarım ilkesi ayarlarını özelleştirerek yapılandırabilirsiniz. HRA istek ilkesi ayarlarını değiştirmeniz gerekmez. Varsayılan ayarlar önerilir. Bu ayarları değiştirmeyi tercih ederken, HRA sunucularında ve NAP istemci bilgisayarlarının ikisinde de aynı ayarları yapılandırmak önemlidir. Daha fazla bilgi için bkz. HRA İstek İlkesini Anlama, HRA Şifreleme İlkesini Yapılandırma ve HRA Aktarım İlkesini Yapılandırma.
-
Internet Information Services (IIS)
HRA yüklerken otomatik olarak yüklenen Internet tabanlı hizmetler kümesi. IIS hizmeti, HRA istemcilerinin HRA sunucusuyla bağlantı kurması ve sistem durumu sertifikası isteyebilmesi için bir HTTP/HTTPS arabirimi sağlar. Bu istekleri, anonim kullanıcılara sağlanan veya etki alanında kimliği doğrulanmış kullanıcılarla sınırlanan bir Internet Sunucusu Uygulama Programlama Arabirimi (ISAPI) uzantısı kullanarak işler. Daha fazla bilgi için bkz. HRA Kimlik Doğrulama Gereksinimlerini Anlama ve IIS Yapılandırmasını Doğrulama.
-
Ağ İlkesi Sunucusu (NPS)
Uzak Kimlik Doğrulama Çevirme Kullanıcı Hizmeti (RADIUS) sunucusu ve proxy'sinin bir Microsoft uygulamasıdır. Sunucunuz NPS çalıştırmıyorsa, HRA yüklenirken otomatik olarak yüklenir. HRA sunucunuzda NPS'yi NAP sistem durum ilkesi sunucusu veya bir NPS proxy olarak yapılandırılabilirsiniz. NPS'yi bir NAP sistem durumu ilke sunucusu olarak yapılandırırken, şunlarla birlikte NAP ilkelerini ve ayarlarını da yapılandırmanız gerekir:
-
Bağlantı isteği ilkeleri: Ağ erişimi isteğini doğrulayan ve bu doğrulamanın yapılacağı yeri belirten koşullar ve ayarlardır.
-
Ağ ilkeleri: Ağa kimlerin bağlanabileceğini belirleyebilmenizi sağlayan koşullar, kısıtlamalar ve ayarlar kümesidir.
-
Sistem durumu ilkeleri: Hangi SHV'lerin ağınıza bağlanmaya çalışan bilgisayarların yapılandırmalarını doğrularken kullanılacağını tanımlayan sistem durumu ilkeleri.
-
Sistem durumu doğrulayıcıları (SHV): Sistem durumu aracısına (SHA) karşılık gelen NAP sistem durumu ilkesi sunucu yazılımı. SHV'ler ağınıza bağlanmaya çalışan bilgisayarların yapılandırma gereksinimlerini tanımlar.
-
Bağlantı isteği ilkeleri: Ağ erişimi isteğini doğrulayan ve bu doğrulamanın yapılacağı yeri belirten koşullar ve ayarlardır.
NPS'yi bir RADIUS proxy olarak yapılandırdığınızda, uzak RADIUS sunucu gruplarına olan ağ bağlantısını ve yapılandırmalarını NAP sistem durumu ilkesi sunucuları olarak doğrulamanız gereklidir. Daha fazla bilgi için bkz. NPS Yapılandırmasını Doğrulama.