使用此程序可確認已為網路存取保護 (NAP) 網際網路通訊協定安全性 (IPsec) 強制方法設定支援 NAP 的用戶端電腦。支援 NAP 的電腦已安裝 NAP 元件,可透過傳送健康狀態聲明 (SoH) 給網路原則伺服器 (NPS) 進行評估,確認其健康狀態。如需 NAP 的相關資訊,請參閱 https://go.microsoft.com/fwlink/?LinkId=94393 (可能為英文網頁)

若要完成此程序,至少需要 Domain Admins 的成員資格或同等權限。請至下列網頁檢視關於使用適當帳戶和群組成員資格的詳細資料:https://go.microsoft.com/fwlink/?LinkId=83477 (可能為英文網頁)

確認 NAP 用戶端元件

NAP 元件包括 NAP 代理程式服務、一或多個 NAP 強制用戶端,以及至少一個系統健康情況代理程式 (SHA)。如果其他服務支援安裝的 SHA,也必須具備這些服務。所有元件一起運作,持續監視 NAP 用戶端電腦的健康狀態,並提供此狀態給 NAP 伺服器進行評估。

NAP 代理程式

NAP 代理程式服務會收集並管理用戶端電腦上的健康情況資訊。NAP 代理程式也會處理所有已安裝之 SHA 中的 SoH,並向強制用戶端報告用戶端健康情況。NAP 代理程式必須可運作,才能讓用戶端電腦要求或接收健康情況憑證。

確認 NAP 代理程式服務已啟動

  1. 依序按一下 [開始][控制台][系統及維護][系統管理工具],然後按兩下 [服務]

  2. 在服務清單的 [名稱] 之下,按兩下 [網路存取保護代理程式]

  3. 確認 [服務] 狀態為 [已啟動],且 [啟動類型] 設為 [自動]

  4. 如果服務未啟動,請選擇 [啟動類型] 旁邊的 [自動],然後按一下 [啟動]

  5. 按一下 [確定] 以關閉 [網路存取保護內容] 對話方塊。

  6. 關閉服務主控台。
附註

重新啟動 NAP 代理程式服務將會自動重新初始化 SHA,而電腦將嘗試取得新的健康情況憑證。這在疑難排解 NAP 時非常有用。

NAP IPsec 強制用戶端

必須在用戶端電腦上安裝並啟用 NAP IPsec 強制用戶端。NAP 強制用戶端會要求存取網路,並且將用戶端電腦的健康狀態與 NAP 用戶端架構的其他元件通訊。NAP IPsec 強制用戶端透過與用戶端電腦上的憑證存放區互動,以限制存取受 IPsec 保護的網路。

確認已初始化 NAP IPsec 強制用戶端

  1. 按一下 [開始],並指向 [所有程式],按一下 [附屬應用程式],然後按一下 [命令提示字元]

  2. 在命令提示字元中輸入 netsh nap client show state,再按 ENTER 鍵。這個命令會顯示用戶端電腦的 NAP 狀態。

  3. 在命令輸出的 [強制用戶端狀態] 之下,確認 [IPsec 信賴憑證者] 狀態為 [Initialized = Yes]

確認 IPsec 用戶端設定

必須將 NAP 用戶端設定為允許與 NAP 伺服器元件通訊。您可以使用群組原則、NAP 用戶端設定主控台或命令列設定這些設定值。IPsec 強制方法的 NAP 用戶端設定包括要求原則和信任的伺服器群組。

要求原則

您不需要修改 NAP 用戶端電腦上的預設要求原則設定。如果變更這些設定,務必確認在 NAP 伺服器上啟用相似的設定。根據預設值,具有 NAP 功能的用戶端電腦會使用互相可接受的預設安全性機制來加密通訊,以初始化與 NAP 伺服器的協商處理。建議您使用預設的要求原則設定。

檢視要求原則設定

  1. 按一下 [開始],並指向 [所有程式],按一下 [附屬應用程式],然後按一下 [命令提示字元]

  2. 如果使用群組原則來部署 NAP 用戶端設定,請在命令提示字元中輸入 netsh nap client show group,再按 ENTER 鍵。如果使用本機原則來部署 NAP 用戶端設定,請在命令提示字元中輸入 netsh nap client show config,再按 ENTER 鍵。這些命令會顯示用戶端電腦上的群組原則和本機原則 NAP 組態設定。

  3. 在命令輸出中,確認 [加密編譯服務提供者 (CSP)][雜湊演算法] 設定對應到 HRA 上設定的設定。預設的加密編譯服務提供者是 [Microsoft RSA SChannel Cryptographic Provider, keylength = 2048]。而預設的雜湊演算法是 [sha1RSA (1.3.14.3.2.29)]

信任的伺服器群組

信任的伺服器群組是在用戶端健康情況登錄設定中所設定,所以 NAP 用戶端電腦可連絡 HRA 用來處理健康情況憑證要求的網站。如果沒有設定信任的伺服器群組或者沒有正確地設定,NAP 用戶端電腦將無法取得健康情況憑證。

確認信任的伺服器群組之設定

  1. 按一下 [開始],並指向 [所有程式],按一下 [附屬應用程式],然後按一下 [命令提示字元]

  2. 如果使用群組原則來部署 NAP 用戶端設定,請在命令提示字元中輸入 netsh nap client show group,再按 ENTER 鍵。如果使用本機原則來部署 NAP 用戶端設定,請在命令提示字元中輸入 netsh nap client show config,再按 ENTER 鍵。這些命令會顯示用戶端電腦上的群組原則和本機原則 NAP 組態設定。

  3. 在命令輸出的 [信任的伺服器群組設定] 之下,確認 [處理順序][群組][要求 Https][URL] 旁邊之項目的設定是否正確。

附註

NAP 用戶端電腦會嘗試從所有設定的信任伺服器群組中的第一個 URL 取得健康情況憑證,除非該伺服器被標示為無法使用。如需相關資訊,請參閱確認 IIS 設定了解 HRA 驗證需求

檢視 NAP 用戶端事件

檢視包含在 NAP 用戶端事件中的資料可協助疑難排解。也可協助您了解 NAP 用戶端功能。

在事件檢視器中檢視 NAP 用戶端事件

  1. 按一下 [開始],指向 [所有程式],按一下 [附屬應用程式],然後按一下 [執行]

  2. 輸入 eventvwr.msc,再按 Enter 鍵。

  3. 在左邊的樹狀目錄中,瀏覽至 [事件檢視器 (本機)\應用程式及服務記錄檔\Microsoft\Windows\Network Access Protection\Operational]

  4. 按一下中間窗格中的事件。

  5. 根據預設值,會顯示 [一般] 索引標籤。按一下 [詳細資料] 索引標籤,檢視其他資訊。

  6. 您也可以在事件上按滑鼠右鍵,然後按一下 [事件內容],開啟新的視窗檢視事件。

其他參考資料

目錄