Le petit câbleurDépannage de la contrainte de mise en conformité NAP

Joseph Davies

La nouvelle plate-forme de protection d'accès réseau (NAP) intégrée à Windows Vista, Windows Server 2008 et Windows XP SP3 contribue à protéger les réseaux intranet privés en garantissant la conformité avec les exigences d’intégrité du système. Les composants clés de la protection d'accès réseau sont les clients NAP, les points de contrainte de mise en conformité NAP et les serveurs de stratégie de contrôle d'intégrité NAP.

Un client NAP est un ordinateur qui peut fournir des informations d'état d'intégrité pour l'évaluation de l'intégrité d'un système. Un point de contrainte de mise en conformité NAP est un ordinateur ou un périphérique d'accès réseau qui utilise NAP ou peut être utilisé avec NAP pour exiger l'évaluation de l'état d'intégrité d'un client NAP et fournir un accès réseau ou une communication restreints. Un serveur de stratégie de contrôle d'intégrité NAP est un ordinateur qui exécute Windows Server® 2008 et le service NPS (Network Policy System) qui enregistre les stratégies d'exigence d'intégrité et exécute les évaluations d'intégrité des clients NAP. Le serveur de stratégie de contrôle d'intégrité NAP et les points de contrainte de mise en conformité NAP échangent des informations d'intégrité de système et des instructions d'accès limité avec le service RADIUS (Remote Authentication Dial-in User Service) et les messages proxy.

Dans cet article, je décris les composants d'une stratégie d'exigence d'intégrité, comment le service NPS traite les demandes d'évaluation NAP entrantes et comment résoudre les problèmes de contrainte de mise en conformité NAP les plus courants.

Stratégies d'exigence d'intégrité

Fonctionnement de l'évaluation d'intégrité NAP

Le service NPS sur le serveur de stratégie de contrôle d'intégrité NAP utilise la procédure suivante pour exécuter une évaluation d'intégrité :

1. Le service NPS compare le message de demande entrant à son jeu de stratégies de demande de connexion configuré. Pour NAP, le message de demande doit correspondre à une stratégie de demande de connexion qui spécifie que le service NPS exécute l'authentification et l'autorisation localement.
2. Le service NPS évalue les informations d'intégrité du message de demande, qui consistent en une déclaration d'intégrité de système (SSoH) contenant les informations d'état d'intégrité. Le service NPS transmet les informations d'état d'intégrité à ses validateurs d’intégrité du système installés, qui renvoient les informations d'évaluation d'intégrité au service NPS.
3. Le service NPS compare le message de demande et les informations d'évaluation d'intégrité des validateurs d’intégrité du système au jeu de stratégies réseau approprié. Les informations d'évaluation d'intégrité sont comparées à la condition de stratégie de contrôle d'intégrité des stratégies réseau NAP. La condition de stratégie de contrôle d'intégrité spécifie les conditions de conformité ou de non-conformité d'intégrité. Le service NPS applique la première stratégie de réseau correspondante au message de demande.
4. En fonction de la stratégie réseau NAP correspondante et de ses paramètres NAP associés, le service NPS crée une déclaration de réponse d'intégrité de système (SSoHR). Cette réponse inclut les informations d'évaluation d'intégrité des validateurs d’intégrité du système et indique si le client NAP possède un accès illimité ou restreint et s'il doit tenter automatiquement de mettre son état d'intégrité à jour.
5. Le service NPS envoie un message de réponse RADIUS contenant la SSoHR au point de contrainte de mise en conformité NAP. Si un accès restreint a été accordé au client, le message de réponse peut également contenir des instructions qui spécifient dans quelle mesure l'accès du client NAP est restreint.
6. Le point de contrainte de mise en conformité NAP envoie la SSoHR au client NAP.

Une stratégie d'exigence d'intégrité est une combinaison d'une stratégie de demande de connexion, d'une ou plusieurs stratégies réseau, d'une ou plusieurs stratégies de contrôle d'intégrité supplémentaires et des paramètres NAP pour une méthode de contrainte de mise en conformité NAP. Pour créer une stratégie d'exigence d'intégrité, utilisez l'Assistant Configurer la protection d’accès réseau (NAP) dans le composant logiciel enfichable Serveur de stratégie réseau (NPS). (Pour plus d'informations sur le processus d'évaluation, voir l'encadré « Fonctionnement de l'évaluation d'intégrité NAP »)

Stratégies de demande de connexion Il s'agit de jeux de règles hiérarchisés qui permettent au service NPS de déterminer si une demande de connexion entrante doit être traitée localement ou transférée à un autre serveur RADIUS. Un serveur de stratégie de contrôle d'intégrité NAP traite les demandes de connexion localement.

Les demandes RADIUS entrantes émanant des points de contrainte de mise en conformité NAP Windows® peuvent contenir une balise source qui spécifie le type de point de contrainte de mise en conformité NAP, tel qu'un serveur DHCP (Dynamic Host Configuration Protocol) ou un serveur de réseau privé virtuel (VPN).

Si le message de demande entrant contient une balise source, le service NPS sur le serveur de stratégie de contrôle d'intégrité NAP tente de faire correspondre la demande uniquement aux stratégies de demande de connexion avec une source correspondante (toutes les autres stratégies de demande de connexion sont ignorées). Si le message de demande entrant ne contient pas de balise source, le service NPS tente de faire correspondre la demande aux stratégies de demande de connexion avec une source non spécifiée (toutes les autres stratégies de demande de connexion spécifiant des sources sont ignorées).

Par exemple, les demandes entrantes émanant d'un serveur DHCP compatible NAP spécifient une balise source DHCP. Le service NPS tente de faire correspondre les demandes du serveur DHCP aux stratégies de demande de connexion avec la source DHCP. Les demandes entrantes émanant de commutateurs compatibles 802.1X et de points d'accès sans fil ne spécifient pas de balise source. Le service NPS tente de faire correspondre ces demandes aux stratégies de demande de connexion sans source spécifiée.

La stratégie de demande de connexion utilisée pour l'évaluation du traitement local ou distant est la première stratégie de demande de connexion correspondante de la liste hiérarchisée pour le sous-ensemble des stratégies qui s'appliquent à la demande entrante. Si la demande ne correspond à aucune stratégie de demande de connexion, elle est rejetée.

Stratégies réseau Il s'agit de jeux de règles hiérarchisés qui spécifient les circonstances dans lesquelles les tentatives de connexion correspondant aux messages de demande entrants sont soit autorisées, soit rejetées. Pour chaque règle, il existe une autorisation d'accès qui accorde ou refuse l'accès, un ensemble de conditions, un jeu de contraintes et des paramètres de stratégie réseau. Si une connexion est autorisée, les paramètres et les contraintes de stratégie réseau peuvent spécifier un jeu de restrictions de connexion. Pour NAP, les stratégies réseau peuvent spécifier une condition de stratégie de contrôle d'intégrité pour vérifier les exigences d'intégrité et les paramètres de comportement de contrainte de mise en conformité.

Tout comme les stratégies de demande de connexion, les stratégies réseau utilisent une balise source pour déterminer quelles stratégies réseau tenter de faire correspondre à la demande entrante. Si le message de demande entrant contient une balise source, le service NPS tente de faire correspondre la demande uniquement aux stratégies réseau avec une source correspondante (toutes les autres stratégies réseau sont ignorées). Si le message de demande entrant ne contient pas de balise source, le service NPS tente de faire correspondre la demande aux stratégies réseau sans source spécifiée (toutes les autres stratégies réseau spécifiant des sources sont ignorées).

La stratégie réseau utilisée pour l'autorisation ou l'évaluation d'intégrité est la première stratégie réseau correspondante de la liste hiérarchisée du sous-ensemble des stratégies qui s'appliquent à la tentative de connexion. Si la demande ne correspond à aucune stratégie réseau, elle est rejetée.

Stratégies de contrôle d'intégrité Elles vous permettront de spécifier les exigences d'intégrité en termes de validateurs d’intégrité du système installés et utilisés dans l'évaluation d'intégrité, et si les clients NAP doivent réussir ou non certains ou tous les validateurs d’intégrité sélectionnés. Par exemple, une stratégie de contrôle d'intégrité de clients NAP conformes peut spécifier que le client doit réussir toutes les vérifications d'intégrité. Une stratégie de contrôle d'intégrité de clients NAP non conformes peut spécifier que le client doit réussir au moins une ou toutes les vérifications d'intégrité.

Paramètres de protection d'accès réseau Il s'agit de la configuration des validateurs d’intégrité du système installés sur le serveur de stratégie de contrôle d'intégrité NAP pour les exigences d'intégrité et les conditions d'erreur, et des groupes de serveurs de mise à jour, qui spécifient les ensembles de serveurs qui sont accessibles aux clients NAP non conformes avec accès réseau limité pour les méthodes de contrainte de mise en conformité DHCP et VPN.

Déterminer l'étendue des problèmes de contrainte de mise en conformité NAP

Une approche logique est utile au dépannage de tout problème. Parmi les questions courantes à se poser pendant le dépannage, citons : Qu'est-ce qui fonctionne ? Qu'est-ce qui ne fonctionne pas ? Quelle est la relation entre les éléments qui fonctionnent et ceux qui ne fonctionnent pas ? Les éléments qui ne fonctionnent pas ont-ils fonctionné auparavant ? Si oui, qu'est-ce qui a changé depuis la dernière fois qu'ils ont fonctionné ?

Évidemment, ces questions sont plus ciblées lorsque les problèmes concerne la de contrainte de mise en conformité NAP. La connexion ou la connectivité fonctionnait-elle avant que la méthode de contrainte de mise en conformité NAP ne soit déployée ? Par exemple, l'isolation de domaine ou de serveur IPSec (Internet Protocol Security) fonctionnait-elle avant le déploiement de la contrainte de mise en conformité IPSec ? L'authentification 802.1X fonctionnait-elle avant le déploiement de la contrainte de mise en conformité 802.1X ? L'accès distant VPN fonctionnait-il avant le déploiement de la contrainte de mise en conformité VPN ? Le serveur DHCP fonctionnait-il avant le déploiement de la contrainte de mise en conformité DHCP ?

Par ailleurs, une méthode spécifique de contrainte de mise en conformité NAP fonctionnait-elle auparavant ? Si oui, qu'est-ce qui a changé sur le client NAP, le point de contrainte de mise en conformité NAP ou le serveur de stratégie de contrôle d'intégrité NAP ? Les réponses à ces questions peuvent indiquer où commencer le dépannage, vous permettant probablement d'isoler le problème de composant, de couche ou de configuration à l'origine du problème.

Pour le dépannage général des problèmes de contrainte de mise en conformité NAP, vous devez déterminer l'étendue du problème. La première étape consiste à déterminer si le problème est effectivement un problème de contrainte de mise en conformité NAP. Pour la contrainte de mise en conformité IPSec, déterminez si le client NAP possède le jeu de stratégies IPSec correct pour la négociation d'homologue et la protection des données IPSec. Pour la contrainte de mise en conformité DHCP, déterminez si le client NAP peut échanger des messages DHCP avec un serveur DHCP. Pour la contrainte de mise en conformité 802.1X et VPN, déterminez si le client NAP peut s'authentifier. Par exemple, si vos clients VPN ne peuvent pas exécuter l'authentification pour la connexion VPN, vérifiez les paramètres d'authentification et les informations d'identification des clients VPN.

Si vous avez identifié le problème comme étant un problème de contrainte de mise en conformité NAP, déterminez ensuite son étendue. Tous les clients NAP de toutes les méthodes de contrainte de mise en conformité NAP sont-ils concernés ? Tous les clients NAP d'une méthode de contrainte de mise en conformité spécifique sont-ils concernés ? Tous les clients NAP d'une méthode de contrainte de mise en conformité spécifique et d'un point de contrainte de mise en conformité NAP sont-ils concernés ? Tous les clients NAP sont-ils membres d'un groupe spécifique affecté ? Le problème concerne-t-il seulement un client NAP spécifique ?

Par exemple, si tous vos clients NAP rencontrent des problèmes pour tous les types de méthodes de contrainte de mise en conformité NAP, il peut exister des problèmes de configuration sur vos serveurs de stratégie de contrôle d'intégrité NAP. Si tous vos clients NAP rencontrent des problèmes avec une méthode de contrainte de mise en conformité NAP spécifique, les problèmes de configuration sont peut-être liés aux paramètres de Stratégie de groupe pour les clients NAP ou aux stratégies d'exigence d'intégrité pour la méthode de contrainte de mise en conformité NAP spécifique à vos serveurs de stratégie de contrôle d'intégrité NAP. Si seuls certains clients NAP spécifiques rencontrent des problèmes de contrainte de mise en conformité NAP, ces clients NAP peuvent présenter des problèmes de configuration pour la contrainte de mise en conformité NAP.

Problèmes de contrainte de mise en conformité NAP courants

Ressources de la protection NAP

• Présentation de la protection d'accès réseau
• Architecture de la plate-forme de protection d'accès réseau
• Stratégies de protection d'accès réseau dans Windows Server 2008
• Protection d'accès réseau NPS

Accès illimité Lorsqu'un client NAP possède un accès illimité (il n'est pas restreint), ceci peut être dû au fait que le client NAP a été évalué comme étant conforme par le serveur de stratégie de contrôle d'intégrité NAP. C'est précisément ce que vous voulez. Cependant, l'accès illimité aurait également pu être accordé si le client NAP n'avait pas reçu de SSoHR, ce qui survient généralement lorsqu'une évaluation d'intégrité n'est pas exécutée pour le client NAP. S'il n'y a pas d'évaluation d'intégrité NAP, aucune SSoHR n'est renvoyée au client NAP et le client NAP obtient un accès illimité.

Par exemple, un client NAP configuré pour la contrainte de mise en conformité DHCP enverra sa SSoHR à son serveur DHCP. Si le serveur DHCP exécutant Windows Server 2008 n'est pas configuré pour NAP, il n'enverra pas les messages de demande d'évaluation d'intégrité à un serveur de stratégie de contrôle d'intégrité NAP. De plus, un serveur DHCP exécutant Windows Server 2008 configuré pour NAP et ne pouvant pas joindre un serveur de stratégie de contrôle d'intégrité NAP attribue, par défaut, une configuration d'adresse pour l'accès illimité.

L'accès illimité peut également être obtenu lorsque le serveur de stratégie de contrôle d'intégrité NAP n'exécute pas d'évaluation d'intégrité car la demande entrante a fait correspondre une stratégie réseau qui ne nécessite pas d'évaluation d'intégrité NAP. Pour plus d'informations sur la façon de déterminer la stratégie réseau qui a fait correspondre une demande de client NAP, consultez la section « Dépannage de la contrainte de mise en conformité NAP étape par étape » de cet article.

Accès restreint Un client NAP qui possède un accès restreint a été évalué comme étant non conforme par le serveur de stratégie de contrôle d'intégrité NAP. Si le client NAP possède un accès restreint mais devrait posséder un accès illimité, vérifiez l'état d'intégrité du client NAP par rapport aux paramètres de stratégie de contrôle d'intégrité qui correspondent à la stratégie réseau qui a correspondu à la demande du client NAP.

Aucune mise à jour automatique Lorsqu'ils sont correctement configurés, les clients NAP peuvent automatiquement mettre à jour leur état d'intégrité. Si les clients NAP ne peuvent pas effectuer de mise à jour automatique, vérifiez que la case à cocher Activer la mise à jour automatique des ordinateurs clients est sélectionnée pour les paramètres de contrainte de mise en conformité NAP de la stratégie réseau qui a correspondu à la demande du client NAP.

Un autre problème pouvant affecter la mise à jour automatique survient lorsque le client NAP restreint ne peut pas joindre les serveurs de mise à jour pour télécharger les mises à jour. Pour la contrainte de mise en conformité IPSec, vérifiez que la stratégie IPSec correcte est appliquée aux serveurs de mise à jour. Pour la contrainte de mise en conformité 802.1X, vérifiez les paramètres de la stratégie réseau correspondante qui affecte la liste de contrôle d'accès (ACL) ou l'identificateur du réseau local virtuel et vérifiez la configuration de l'ACL ou du réseau local virtuel pour vos commutateurs ou points d'accès sans fil. Pour la contrainte de mise en conformité VPN ou DHCP, vérifiez les paramètres dans la stratégie réseau correspondante pour le groupe de serveurs de mise à jour et assurez-vous que tous les serveurs de mise à jour sont configurés en tant que membres du groupe. Pour la contrainte de mise en conformité DHCP, vérifiez que les options d'étendue DHCP pour les clients NAP sont correctement configurées, notamment la valeur de l'option Passerelle par défaut pour la classe d'utilisateurs NAP.

Évaluation non compatible avec NAP Pour toute méthode de contrainte de mise en conformité NAP, vérifiez que le client de contrainte de mise en conformité correspondant est activé sur le client NAP. Pour la contrainte de mise en conformité 802.1X et VPN, vérifiez que la vérification d'intégrité système du client NAP pour la méthode d'authentification PEAP est activée sur la stratégie de demande de connexion et sur le client NAP (les cases à cocher Activer les tests de quarantaine de la boîte de dialogue Propriétés EAP protégées sont sélectionnées).

Client NAP non restreint mais dans l'impossibilité de contacter l'intranet Pour la contrainte de mise en conformité IPSec, vérifiez que la stratégie IPSec pour les clients NAP conformes et la stratégie IPSec des ordinateurs de l'intranet possèdent un jeu de paramètres de négociation et de protection communs. Pour la contrainte de mise en conformité 802.1X, assurez-vous que la stratégie réseau pour les clients NAP conformes spécifie la liste de contrôle d'accès ou l'identificateur de réseau local virtuel pour l'intranet, et non le réseau restreint. Vérifiez la configuration de la liste de contrôle d'accès ou l'identificateur de réseau local virtuel pour l'intranet sur vos commutateurs ou points d'accès sans fil. Pour la contrainte de mise en conformité VPN, vérifiez qu'aucun filtre de paquets IP configuré sur la stratégie réseau pour les clients NAP conformes ne limite le trafic des clients VPN.

Dépannage de la contrainte de mise en conformité NAP étape par étape

Pour résoudre progressivement un problème de contrainte NAP pour un client NAP spécifique, vous pouvez commencer par la configuration du client NAP, vérifier le journal des événements du client NAP et accéder ensuite au serveur de stratégie de contrôle d'intégrité NAP pour déterminer comment le service NPS a traité la demande du client NAP.

Étape 1 : Vérifier la configuration du client NAP La configuration du client NAP se compose de paramètres spécifiques à la contrainte de mise en conformité NAP, de paramètres liés aux clients de contrainte de mise en conformité et de paramètres liés aux services Windows. Pour afficher l'état du client NAP et les informations de configuration, utilisez les commandes netsh nap client show state et netsh nap client show configuration.

Notez que si les paramètres du client NAP sont fournis par la stratégie de groupe, tous vos paramètres de client NAP sont spécifiés par la stratégie de groupe et tous vos paramètres de client NAP locaux sont ignorés. Dans ce cas, utilisez la commande netsh nap client show grouppolicy pour afficher la configuration du client NAP basée sur la stratégie de groupe et apporter des modifications via la stratégie de groupe.

Pour la contrainte de mise en conformité IPSec sur un ordinateur exécutant Windows Vista®, utilisez la commande net start pour vérifier que les services Agent de protection d’accès réseau, Modules de génération de clés IKE et AuthIP et Agent de stratégie IPsec sont démarrés. Utilisez la commande netsh nap client show configuration pour vérifier que le client de contrainte Partie de confiance IPSec est activé. Si nécessaire, utilisez le composant logiciel enfichable Configuration du client NAP pour activer la contrainte de mise en conformité de client Partie de confiance IPSec ou utilisez la commande netsh nap client set enforcement 79619 enabled. Les commandes Netsh nap client set enforcement doivent être exécutées à partir d'une invite de commande avec privilèges élevés.

Pour la contrainte 802.1X sur un ordinateur exécutant Windows Vista, utilisez la commande net start pour vérifier que les services Protocole EAP, Agent de protection d’accès réseau, Configuration automatique de réseau câblé (pour la contrainte 802.1X sur les connexions câblées) et Service de configuration automatique WLAN (pour la contrainte 802.1X sur les connexions sans fil) sont démarrés.

Utilisez à nouveau la commande netsh nap client show configuration pour vérifier que le client de contrainte de quarantaine EAP est activé. Si nécessaire, utilisez le composant logiciel enfichable Configuration du client NAP pour activer le Client de contrainte de quarantaine EAP ou utilisez la commande netsh nap client set enforcement 79623 enabled. Vérifiez que la case à cocher Activer les tests de quarantaine est sélectionnée pour les propriétés de la méthode d'authentification PEAP (Protected EAP) pour la connexion avec ou sans fil.

Pour la contrainte VPN sur un ordinateur exécutant Windows Vista, utilisez la commande net start pour vérifier que les services Protocole EAP, Agent de protection d’accès réseau et Gestionnaire de connexions d'accès distant sont démarrés.

Utilisez la commande netsh nap client show configuration pour vérifier que le Client de contrainte de quarantaine d'accès à distance est activé. Si nécessaire, utilisez le composant logiciel enfichable Configuration du client NAP pour activer le Client de contrainte de quarantaine d'accès à distance ou utilisez la commande netsh nap client set enforcement 79618 enabled. Vérifiez que la case à cocher Activer les tests de quarantaine est sélectionnée pour les propriétés de la méthode d'authentification PEAP (Protected EAP) pour la connexion VPN.

Pour la contrainte DHCP sur un ordinateur exécutant Windows Vista, utilisez la commande net start pour vérifier que les services Agent de protection d’accès réseau et Client DHCP sont démarrés. Si nécessaire, utilisez le composant logiciel enfichable Services ou l'outil Sc.exe pour démarrer ces services et les configurer pour un démarrage automatique.

Utilisez la commande netsh nap client show configuration pour vérifier que le Client de contrainte de quarantaine DHCP est activé. Si nécessaire, utilisez le composant logiciel enfichable Configuration du client NAP pour activer le Client de contrainte de quarantaine DHCP ou utilisez la commande netsh nap client set enforcement 79617 enabled.

Étape 2 : Vérifier le journal des événements du client NAP Utilisez le composant logiciel enfichable Observateur d'événements pour vérifier les événements du journal des événements créés par le service Agent de protection d’accès réseau. Sur les ordinateurs exécutant Windows Vista, utilisez le composant logiciel enfichable Observateur d'événements pour afficher les événements dans Journaux des applications et des services\Microsoft\Windows\Protection d’accès réseau\Opérationnel. Sur les ordinateurs exécutant Windows XP avec SP3, utilisez le composant logiciel enfichable Observateur d'événements pour afficher les événements du journal des événements système.

D'après les événements du client NAP, obtenez l'identificateur de corrélation de l'évaluation d'intégrité du client NAP. Vous pouvez utiliser l'identificateur de corrélation ou le nom d'ordinateur du client NAP pour rechercher l'événement d'évaluation d'intégrité correspondant sur le serveur de stratégie de contrôle d'intégrité NAP. La figure 1 présente un exemple d'événement pour un client NAP non conforme avec l'identificateur de corrélation.

Figure 1** Exemple d'événement d'un client NAP Windows Vista **(Cliquer sur l'image pour l'agrandir)

Étape 3 : Vérifier le journal des événements NPS Sur le serveur de stratégie de contrôle d'intégrité NAP, utilisez le composant logiciel enfichable Observateur d'événements pour afficher les événements de Journaux Windows\Journal sécurité qui sont créés par le service NPS. Pour afficher les événements NPS, dans l'Observateur d'événements, ouvrez Affichages personnalisés, puis Rôles du serveur et cliquez ensuite sur Services de stratégie et d’accès réseau. Pour afficher une rubrique d'aide en ligne associée à l'événement, cliquez sur le lien « Aide en ligne du Journal d'événements » sur l'onglet Général de l'événement.

Les événements typiques d'évaluation d'intégrité NAP ont l'identificateur d'événement 6278 (pour l'accès illimité) ou 6276 (pour l'accès restreint). Recherchez l'événement de serveur de stratégie de contrôle d'intégrité NAP correspondant en fonction du nom d'ordinateur du client NAP (le champ Nom du compte dans la section Ordinateur client de la description d'événement) ou l'identificateur de corrélation (le champ Identificateur de session dans la section d'informations de quarantaine de la description d'événement).

Les événements du journal des événements NPS 6278 et 6276 contiennent des informations sur l'évaluation d'intégrité NAP, notamment le nom de la stratégie de demande de connexion correspondante (le champ de nom de stratégie de proxy dans la section des détails d'authentification de la description de l'événement) et la stratégie réseau correspondante (le champ de nom de stratégie réseau dans la section des détails d'authentification de la description de l'événement). La figure 2 est un exemple de l'onglet Détails d'un identificateur d'événement 6276, avec le nom de stratégie de préfixe, le nom de stratégie réseau et l'identificateur de corrélation (nommé QuarantineSessionID). Il s'agit de l'événement de stratégie de contrôle d'intégrité NAP correspondant à l'événement de client NAP Windows Vista de la figure 1.

Figure 2** Exemple d'événement d'un serveur de stratégie de contrôle d'intégrité NAP **(Cliquer sur l'image pour l'agrandir)

S'il n'y a pas d'événement correspondant à l'événement de client NAP, vérifiez que le service NPS est démarré et que le point de contrainte de mise en conformité NAP est convenablement configuré pour NAP et pour utiliser le serveur de stratégie de contrôle d'intégrité NAP en tant que serveur RADIUS. Vérifiez que les messages RADIUS peuvent être envoyés entre le point de contrainte NAP et le serveur de stratégie de contrôle d'intégrité NAP.

En suivant ces trois étapes, vous devriez être sur la bonne voie pour déterminer pourquoi votre contrainte de mise en conformité NAP ne fonctionne pas comme prévu. Pour plus d'informations sur NAP, consultez l'encadré « Ressources de la protection NAP ».

Joseph Davies est rédacteur technique chez Microsoft. Il enseigne et rédige des articles sur les réseaux Windows depuis 1992. Il a écrit cinq livres pour Microsoft Press et est l'auteur de la chronique en ligne mensuelle Le petit câbleur de TechNet.

© 2008 Microsoft Corporation et CMP Media, LLC. Tous droits réservés. Toute reproduction, totale ou partielle, est interdite sans autorisation préalable.