使用此过程可验证是否将支持 NAP 的客户端计算机配置为使用网络访问保护 (NAP) Internet 协议安全 (IPSec) 强制方法。支持 NAP 的计算机是一台安装了 NAP 组件的计算机,它可以通过将健康声明 (SoH) 发送到网络策略服务器 (NPS) 进行评估来验证其健康状态。有关 NAP 的详细信息,请访问 https://go.microsoft.com/fwlink/?LinkId=94393(可能为英文网页)。

若要完成此过程,至少要具有 Domain Admins 成员身份或同等身份。有关使用适合的帐户和组成员身份的详细信息,请参阅 https://go.microsoft.com/fwlink/?LinkId=83477(可能为英文网页)。

验证 NAP 客户端组件

NAP 组件包括 NAP 代理服务、一个或多个 NAP 强制客户端,以及至少一个系统健康代理 (SHA)。如果其他服务支持已安装的 SHA,可能也需要这些服务。所有这些组件一起工作可连续监视 NAP 客户端计算机的健康状态,并向 NAP 服务器提供该状态用于评估。

NAP 代理

NAP 代理服务收集并管理客户端计算机上的健康信息。NAP 代理还处理来自所有已安装 SHA 的 SoH,并向强制客户端报告客户端运行状况。NAP 代理必须可操作,客户端计算机才能申请或接收健康证书。

验证 NAP 代理服务是否已启动的步骤
  1. 依次单击「开始」“控制面板”“系统和维护”“管理工具”,然后双击“服务”

  2. 在服务列表中的“名称”下,双击“网络访问保护代理”

  3. 验证“服务”的状态是否为“已启动”,且“启动类型”是否设置为“自动”

  4. 如果该服务未启动,请选择“启动类型”旁边的“自动”,然后单击“启动”

  5. 单击“确定”关闭“网络访问保护属性”对话框。

  6. 关闭“服务”控制台。

注意

重新启动 NAP 代理服务将会自动重新初始化 SHA,并且计算机将尝试获取新的健康证书。对 NAP 进行疑难解答时此操作非常有用。

NAP IPSec 强制客户端

必须在客户端计算机上安装并启用 NAP IPSec 强制客户端。NAP 强制客户端请求访问网络,并将客户端计算机的健康状态传输到 NAP 客户端体系结构的其他组件。NAP IPSec 强制客户端通过与存储在客户端计算机上的证书进行交互来限制访问受 IPSec 保护的网络。

验证 NAP IPSec 强制客户端是否已初始化的步骤
  1. 单击「开始」,指向“所有程序”,单击“附件”,然后单击“命令提示符”

  2. 在命令提示符下,键入 netsh nap client show state,然后按 Enter。该命令显示客户端计算机的 NAP 状态。

  3. 在命令输出的“强制客户端状态”下,验证“IPsec 信赖方”状态是否为“已初始化 = 是”

验证 IPSec 客户端配置

必须使用允许 NAP 客户端与 NAP 服务器组件进行通信的设置对 NAP 客户端进行配置。可以使用组策略、NAP 客户端配置控制台或命令行配置这些设置。对于 IPSec 强制方法,NAP 客户端设置包括请求策略和受信任服务器组。

请求策略

您无需修改 NAP 客户端计算机上的默认请求策略设置。如果这些设置已更改,则验证是否在 NAP 服务器上启用了类似设置非常重要。默认情况下,支持 NAP 的客户端计算机使用彼此接受的默认安全机制启动与 NAP 服务器的协商进程,用于加密通信。建议使用默认的请求策略设置。

查看请求策略设置的步骤
  1. 单击「开始」,指向“所有程序”,单击“附件”,然后单击“命令提示符”

  2. 如果使用组策略部署 NAP 客户端设置,则在命令提示符下,键入 netsh nap client show group,然后按 Enter。如果使用本地策略部署 NAP 客户端设置,则在命令提示符下,键入 netsh nap client show config,然后按 Enter。这些命令显示客户端计算机上组策略和本地策略 NAP 配置设置。

  3. 在命令输出中,验证“加密服务提供程序(CSP)”“哈希算法”设置是否与 HRA 上配置的设置相对应。默认的加密服务提供程序为“Microsoft RSA SChannel 加密提供程序,keylength = 2048”。默认的哈希算法为 sha1RSA (1.3.14.3.2.29)

受信任服务器组

在客户端健康注册设置中配置受信任服务器组,以便 NAP 客户端计算机可与 HRA 用于处理健康证书申请的网站连接。如果未配置或错误配置受信任服务器组,则 NAP 客户端计算机获取健康证书将失败。

验证受信任服务器组配置的步骤
  1. 单击「开始」,指向“所有程序”,单击“附件”,然后单击“命令提示符”

  2. 如果使用组策略部署 NAP 客户端设置,则在命令提示符下,键入 netsh nap client show group,然后按 Enter。如果使用本地策略部署 NAP 客户端设置,则在命令提示符下,键入 netsh nap client show config,然后按 Enter。这些命令显示客户端计算机上组策略和本地策略 NAP 配置设置。

  3. 在命令输出的“受信任服务器组配置”下,验证“处理顺序”“组”“需要 Https”URL 旁边的项目配置是否正确。

注意

NAP 客户端计算机将尝试从所有已配置受信任服务器组中的第一个 URL 获取健康证书,除非服务器已标记为不可用。有关详细信息,请参阅验证 IIS 配置了解 HRA 身份验证要求

查看 NAP 客户端事件

查看包含在 NAP 客户端事件中的信息可帮助您进行疑难解答。它还可帮助您了解 NAP 客户端功能。

查看事件查看器中 NAP 客户端事件的步骤
  1. 单击「开始」,指向“所有程序”,单击“附件”,然后单击“运行”

  2. 键入 eventvwr.msc,然后按下 Enter。

  3. 在左侧树中,导航到“事件查看器(本地)\应用程序和服务日志\Microsoft\Windows\网络访问保护\操作”

  4. 单击中间窗格中的事件。

  5. 默认情况下,会显示“常规”选项卡。单击“详细信息”选项卡查看其他信息。

  6. 还可以右键单击某个事件,然后单击“事件属性”打开新窗口以查看事件。

其他参考