健康情況登錄授權 (HRA) 提供服務給網路存取保護 (NAP) 平台,此平台通常稱為 X.509 公開金鑰基礎結構 (PKI) 中的登錄授權。HRA 做為登錄授權,負責驗證用戶端認證,然後代替用戶端將憑證要求轉寄給憑證授權單位 (CA)。HRA 驗證憑證要求的方式是與網路原則伺服器 (NPS) 比對,判斷 NAP 用戶端是否符合網路健康需求。如果發現用戶端符合,HRA 會從 CA 要求名為健康情況憑證的特殊類型憑證。健康情況憑證是供 NAP 用戶端電腦使用,用來在受 IPsec 保護的網路上通訊。在此功能中,HRA 就如同 NAP 網際網路通訊協定安全性 (IPsec) 強制方法的 NAP 強制伺服器。
重要概念
若要了解 HRA 在 NAP 部署中的角色,請檢視下列概念。
-
健康情況憑證
發給 NAP 用戶端電腦的 X.509 憑證,用來提供符合網路健康需求的證明。NAP 用戶端電腦取得健康情況憑證的方式,是提供其健康狀態的宣告 (稱為健康情況聲明 (SoH)) 給 HRA。NAP 用戶端會持續監視其健康狀態,如果變成不符合,就會刪除健康情況憑證。當 NAP 用戶端初始化與內部網路上其他 NAP 用戶端的 IPsec 保護通訊時,可以使用健康情況憑證來驗證 NAP 用戶端。NAP IPsec 強制用來限制 IPsec NAP 用戶端通訊的方式,是丟棄沒有健康情況憑證的電腦傳送的連入通訊嘗試。
-
NAP 憑證授權單位
執行 Active Directory® 憑證服務 (AD CS) 的伺服器,管理 X.509 憑證,並在判斷 NAP 用戶端符合網路健康需求時,將憑證發給 NAP 用戶端。您必須指定一或多個發行 NAP 健康情況憑證的 CA。如需相關資訊,請參閱設定 NAP 憑證授權單位及確認 CA 設定。
-
HRA 要求原則
決定如何允許用戶端在要求健康情況憑證時,與 HRA 通訊的設定。您可以自訂加密編譯原則和傳輸原則設定,自訂 HRA 要求原則。不需要修改 HRA 要求原則設定。建議使用預設值。如果您選擇變更這些設定,在 HRA 伺服器和 NAP 用戶端電腦上的設定一定要相同。如需相關資訊,請參閱了解 HRA 要求原則、設定 HRA 加密編譯原則及設定 HRA 傳輸原則。
-
網際網路資訊服務 (IIS)
當您安裝 HRA 時,自動安裝的一組網際網路服務。IIS 服務提供 HTTP/HTTPS 介面,讓 NAP 用戶端用來與 HRA 伺服器連絡,以及要求健康情況憑證。它使用網際網路伺服器應用程式發展介面 (ISAPI) 延伸處理這些要求,此延伸可提供給匿名使用者或限制給已經通過網域驗證的使用者。如需相關資訊,請參閱了解 HRA 驗證需求及確認 IIS 設定。
-
網路原則伺服器 (NPS)
遠端驗證撥入使用者服務 (RADIUS) 伺服器和 Proxy 的 Microsoft 實作。如果伺服器尚未執行 NPS,當您安裝 HRA 時會自動安裝。您可以在 HRA 伺服器上,將 NPS 設定為 NAP 健康原則伺服器或 NPS Proxy。當您將 NPS 設定為 NAP 健康原則伺服器時,也必須設定 NAP 原則和設定,包括:
-
連線要求原則:驗證網路存取的要求和指定在何處執行此驗證的條件和設定組合。
-
網路原則:可讓您指定誰可以連線至網路的條件、限制和設定的組合。
-
健康原則:系統健康需求,定義使用哪些 SHV 驗證嘗試連線到網路的電腦設定。
-
系統健康狀態驗證 (SHV):對應至系統健康狀態代理程式 (SHA) 的 NAP 健康原則伺服器。SHV 定義嘗試連線到網路的電腦設定需求。
-
連線要求原則:驗證網路存取的要求和指定在何處執行此驗證的條件和設定組合。
當您將 NPS 設定為 RADIUS Proxy 時,必須確認遠端 RADIUS 伺服器群組的網路連線,並驗證其設定為 NAP 健康原則伺服器。如需相關資訊,請參閱確認 NPS 設定。