您可以使用 [NAP 用戶端設定] 主控台,來指定用戶端電腦用來與健康情況登錄授權 (HRA) 伺服器通訊的安全性機制。此外,您可以使用 [NAP 用戶端設定] 主控台來指定可以與用戶端電腦通訊的 HRA 伺服器。用戶端電腦必須與 HRA 伺服器通訊以取得健康情況憑證。具有網際網路通訊協定安全性 (IPsec) 增強的 NAP 必須要有健康情況憑證。
若要指定用戶端用來與 HRA 伺服器通訊的安全性機制,您必須設定要求原則。要求原則指定用戶端電腦在初始與 HRA 伺服器的通訊時所使用的非對稱式金鑰演算法、雜湊演算法和加密編譯服務提供者。在一部用戶端電腦上只能指定一個非對稱式金鑰演算法、雜湊演算法和加密編譯服務提供者。
當您在用戶端上設定非對稱式金鑰演算法、雜湊演算法和加密編譯服務提供者,您必須在 HRA 伺服器上設定完全相同的要求原則。例如,如果您設定您的用戶端僅使用最小金鑰長度為 128 的 Rivest-Shamir-Adelman (RSA) 非對稱式金鑰演算法來加密通訊,則您必須設定您的 HRA 伺服器接受以完全相同的非對稱式金鑰演算法且具有完全相同的最小金鑰長度來加密的通訊。如果您的 HRA 伺服器和用戶端電腦未設定為使用相同的要求原則,則您的 HRA 伺服器將無法與您的用戶端電腦通訊,而且用戶端電腦可能被視為不符合標準,且其網路連線能力會受限。如果您沒有在用戶端電腦上設定要求原則設定,用戶端電腦會使用預設安全性機制來加密通訊,以初始化與 HRA 伺服器的協商處理。
重要 | |
除非您已經在安全的測試環境中完整測試您的要求原則設定,否則就不應該修改要求原則設定。修改要求原則設定可能導致您的用戶端電腦遺失網路連線。 |
若要指定要與用戶端電腦通訊的 HRA 伺服器,您必須設定信任的伺服器群組。信任的伺服器群組是由一或多個 HRA 伺服器所組成。如果信任的伺服器群組中有一個以上的 HRA 伺服器,您可以指定用戶端電腦在嘗試連接伺服器時的順序。當您在不同的網路區段或網域中有數個 HRA 伺服器,而您要設定用戶端嘗試存取的伺服器優先順序時,這會很有用。您至少必須設定一個信任的伺服器群組;否則,用戶端電腦將不知道如何連絡 HRA 伺服器以取得健康情況憑證。