The Cable GuyRisoluzione dei problemi relativi all'imposizione di Protezione accesso alla rete

Joseph Davies

La nuova piattaforma Protezione accesso alla rete incorporata in Windows Vista, Windows Server 2008 e Windows XP SP3 consente di proteggere la rete Intranet privata implementando la conformità ai requisiti di integrità del computer. I componenti principali di Protezione accesso alla rete sono i client di Protezione accesso alla rete, i punti di imposizione Protezione accesso alla rete e i server criteri di integrità Protezione accesso alla rete.

Un client di Protezione accesso alla rete è un computer in grado di fornire informazioni sullo stato di integrità per la valutazione dell'integrità del sistema. Un punto di imposizione Protezione accesso alla rete è un computer o un dispositivo di accesso alla rete che utilizza Protezione accesso alla rete o può essere utilizzato con Protezione accesso alla rete per richiedere la valutazione dello stato di integrità di un client di Protezione accesso alla rete e imporre restrizioni agli accessi o alle comunicazioni in rete. Un server criteri di integrità Protezione accesso alla rete è un computer che esegue Windows Server® 2008 e il servizio Server dei criteri di rete, che consente di archiviare i criteri dei requisiti di integrità ed eseguire le valutazioni dell'integrità dei client di Protezione accesso alla rete. Il server criteri di integrità Protezione accesso alla rete e i punti di imposizione Protezione accesso alla rete si scambiano le informazioni sull'integrità del sistema e le istruzioni sull'accesso limitato con messaggi server e proxy RADIUS (Remote Authentication Dial-In User Service).

In questo articolo vengono descritti i componenti di un criterio relativo ai requisiti di integrità, viene illustrato come il servizio Server dei criteri di rete elabora le richieste in ingresso per la valutazione di Protezione accesso alla rete e viene spiegato come risolvere i problemi più comuni correlati all'imposizione di Protezione accesso alla rete.

Criteri dei requisiti di integrità

Esecuzione della valutazione dell'integrità di Protezione accesso alla rete

Il servizio Server dei criteri di rete sul server criteri di integrità Protezione accesso alla rete prevede l'utilizzo del seguente processo per eseguire una valutazione dell'integrità:

1. Il servizio Server dei criteri di rete confronta il messaggio di richiesta in ingresso con l'insieme configurato dei criteri di richiesta di connessione. Per Protezione accesso alla rete, il messaggio di richiesta deve essere conforme a un criterio di richiesta di connessione che specifica che il servizio Server dei criteri di rete deve eseguire l'autenticazione e l'autorizzazione a livello locale.
2. Il servizio Server dei criteri di rete valuta le informazioni di integrità nel messaggio di richiesta, che è costituito da un rapporto di integrità del sistema (SSoH) contenente informazioni sullo stato di integrità. Il servizio Server dei criteri di rete passa le informazioni sullo stato di integrità alle relative istanze di Convalida integrità sistema installate, che restituiscono le informazioni sulla valutazione dell'integrità al servizio Server dei criteri di rete.
3. Il servizio Server dei criteri di rete confronta il messaggio di richiesta e le informazioni sulla valutazione dell'integrità restituite dalle istanze di Convalida integrità sistema all'insieme corretto di criteri di rete. Le informazioni sulla valutazione dell'integrità vengono confrontate con la condizione relativa al criterio di integrità dei criteri di rete basati su Protezione accesso alla rete. La condizione relativa al criterio di integrità specifica le condizioni per la conformità o la non conformità ai criteri di integrità. Il servizio Server dei criteri di rete applica il primo criterio di rete corrispondente al messaggio di richiesta.
4. In base al criterio di rete corrispondente basato su Protezione accesso alla rete e alle impostazioni di Protezione accesso alla rete associate, il servizio Server dei criteri di rete crea una risposta al rapporto di integrità del sistema (SSoHR). Questa risposta contiene le informazioni sulla valutazione dell'integrità restituite dalle istanze di Convalida integrità sistema e indica se il client di Protezione accesso alla rete ha accesso illimitato o limitato e se deve tentare automaticamente di monitorare e aggiornare il relativo stato di integrità.
5. Il servizio Server dei criteri di rete invia un messaggio di risposta RADIUS con la risposta al rapporto di integrità del sistema al punto di imposizione Protezione accesso alla rete. Se al client è stato concesso accesso limitato, il messaggio di risposta può contenere anche le istruzioni che specificano il livello di restrizione dell'accesso del client di Protezione accesso alla rete.
6. Il punto di imposizione Protezione accesso alla rete invia la risposta al rapporto di integrità del sistema al client di Protezione accesso alla rete.

Un criterio relativo ai requisiti di integrità è una combinazione di un criterio di richiesta di connessione, uno o più criteri di rete, uno o più criteri di integrità e delle impostazioni di Protezione accesso alla rete per un metodo di imposizione Protezione accesso alla rete. Per creare un criterio relativo ai requisiti di integrità, utilizzare la procedura guidata per la configurazione di Protezione accesso alla rete nello snap-in Server dei criteri di rete (per ulteriori informazioni sul processo di valutazione, vedere l'intestazione laterale "Esecuzione della valutazione dell'integrità di Protezione accesso alla rete).

Criteri di richiesta di connessione Questi criteri sono set ordinati di regole che consentono al servizio Server dei criteri di rete di determinare se una richiesta di connessione in ingresso deve essere elaborata localmente o deve essere inoltrata a un altro server RADIUS. Un server criteri di integrità Protezione accesso alla rete elabora le richieste di connessione localmente.

Le richieste RADIUS in ingresso dai punti di imposizione Protezione accesso alla rete basati su Windows® possono contenere un tag di origine che specifica il tipo di punto di imposizione Protezione accesso alla rete, come un server DHCP (Dynamic Host Configuration Protocol) o un server VPN (Virtual Private Network).

Se il messaggio di richiesta in ingresso contiene un tag di origine, il servizio Server dei criteri di rete sul server criteri di integrità Protezione accesso alla rete tenta di rendere conforme la richiesta solo ai criteri di richiesta di connessione con un'origine corrispondente (tutti gli altri criteri di richiesta di connessione vengono ignorati). Se il messaggio di richiesta in ingresso non contiene un tag di origine, il servizio Server dei criteri di rete tenta di confrontare la richiesta con i criteri di richiesta di connessione con un'origine non specificata (tutti gli altri criteri di richiesta di connessione che specificano le origini vengono ignorati).

Ad esempio, le richieste in ingresso da un server DHCP abilitato all'utilizzo di Protezione accesso alla rete specificano un tag di origine di DHCP. Il servizio Server dei criteri di rete tenta di rendere le richieste del server DHCP conformi ai criteri di richiesta di connessione con l'origine di DHCP. Le richieste in ingresso da punti di accesso wireless e commutatori 802.1X non specificano un tag di origine. Il servizio Server dei criteri di rete tenta di rendere queste richieste conformi ai criteri di richiesta di connessione senza un'origine specificata.

Il criterio di richiesta di connessione utilizzato per la valutazione dell'elaborazione locale o remota rappresenta il primo criterio di richiesta di connessione corrispondente nell'elenco ordinato del sottoinsieme di criteri relativi alla richiesta in ingresso. Se non corrisponde ad alcun criterio di richiesta di connessione, la richiesta verrà rifiutata.

Criteri di rete Questi criteri sono set ordinati di regole che specificano le circostanze in cui i tentativi di connessione corrispondenti ai messaggi di richiesta in ingresso vengono autorizzati o rifiutati. Per ciascuna regola, esistono un'autorizzazione di accesso che concede o nega l'accesso, un insieme di condizioni, una serie di vincoli e impostazioni di criteri di rete. Se una connessione viene autorizzata, le impostazioni e i vincoli dei criteri di rete possono specificare una serie di restrizioni di connessione. Per Protezione accesso alla rete, i criteri di rete possono specificare una condizione relativa ai criteri di integrità per controllare i requisiti di integrità e le impostazioni dei metodi di imposizione.

Analogamente ai criteri di richiesta di connessione, i criteri di rete utilizzano un tag di origine per determinare i criteri di rete a cui rendere conforme la richiesta in ingresso. Se il messaggio di richiesta in ingresso contiene un tag di origine, il servizio Server dei criteri di rete tenta di rendere conforme la richiesta solo ai criteri di rete con un'origine corrispondente (tutti gli altri criteri di rete vengono ignorati). Se il messaggio di richiesta in ingresso non contiene un tag di origine, il servizio Server dei criteri di rete tenta di rendere conforme la richiesta ai criteri di rete con un'origine non specificata (tutti gli altri criteri di rete che specificano le origini vengono ignorati).

Il criterio di rete utilizzato per l'autorizzazione o la valutazione dell'integrità rappresenta il primo criterio di rete corrispondente nell'elenco ordinato del sottoinsieme dei criteri relativi al tentativo di connessione. Se non è conforme ad alcun criterio di rete, la richiesta verrà rifiutata.

Criteri di integrità Questi criteri consentono di specificare i requisiti di integrità in termini di istanze di Convalida integrità sistema installate, che vengono utilizzate nella valutazione dell'integrità, e di determinare se una o tutte le istanze di Convalida integrità sistema selezionate devono avere esito positivo o negativo sui client di Protezione accesso alla rete. Ad esempio, un criterio di integrità per i client di Protezione accesso alla rete conformi può specificare che il client deve superare tutti i controlli di integrità. Un criterio di integrità per i client di Protezione accesso alla rete non conformi può specificare che il client non deve superare almeno un controllo di integrità o tutti i controlli di integrità.

Impostazioni di Protezione accesso alla rete Queste impostazioni sono costituite dalla configurazione delle istanze di Convalida integrità sistema installate nel server criteri di integrità Protezione accesso alla rete per i requisiti di integrità e le condizioni di errore, nonché dai gruppi di server di monitoraggio e aggiornamento, che specificano i gruppi di server accessibili ai client di Protezione accesso alla rete non conformi con accesso di rete limitato per i metodi di imposizione DHCP e VPN.

Ambito dei problemi relativi all'imposizione di Protezione accesso alla rete

Durante la risoluzione di un problema, può essere utile adottare un approccio logico. Ecco alcune domande comuni che occorre porsi durante la risoluzione di un problema: Cosa funziona? Cosa non funziona? Qual è la correlazione tra i componenti che funzionano in modo corretto e quelli che non funzionano? I componenti che non funzionano hanno mai funzionato correttamente in precedenza? In tal caso, cosa è cambiato sin da quando funzionavano in modo corretto?

È ovvio che queste domande diventano più specifiche quando si gestiscono i problemi correlati all'imposizione di Protezione accesso alla rete. La connessione o la connettività funzionava in modo corretto prima della distribuzione del metodo di imposizione di Protezione accesso alla rete? Ad esempio, l'isolamento di server o domini IPsec (Internet Protocol security) funzionava in modo corretto prima della distribuzione dell'imposizione IPsec? L'autenticazione 802.1X funzionava in modo corretto prima della distribuzione dell'imposizione 802.1X? L'accesso remoto VPN funzionava in modo corretto prima della distribuzione dell'imposizione VPN? DHCP funzionava in modo corretto prima della distribuzione dell'imposizione DHCP?

Inoltre, uno specifico metodo di imposizione di Protezione accesso alla rete funzionava in modo corretto in precedenza? In tal caso, cosa è cambiato sul client di Protezione accesso alla rete, sul punto di imposizione Protezione accesso alla rete o sul server criteri di integrità Protezione accesso alla rete? Le risposte a queste domande possono indicare il punto da cui partire per la risoluzione dei problemi, consentendo eventualmente di isolare il componente, il livello o la configurazione all'origine del problema.

Per la risoluzione dei problemi generali correlati all'imposizione di Protezione accesso alla rete, è necessario determinare l'ambito del problema. Il primo passaggio consiste nel determinare se il problema è effettivamente correlato all'imposizione di Protezione accesso alla rete. Per l'imposizione IPsec, determinare se il client di Protezione accesso alla rete include l'insieme corretto di criteri IPsec per la protezione dei dati e la negoziazione del peer IPsec. Per l'imposizione DHCP, stabilire se il client di Protezione accesso alla rete può scambiare messaggi DHCP con un server DHCP. Per l'imposizione 802.1X e VPN, determinare se il client di Protezione accesso alla rete può eseguire l'autenticazione. Ad esempio, se i client VPN non possono eseguire l'autenticazione per la connessione VPN, verificare le impostazioni di autenticazione e le credenziali dei client VPN.

Una volta stabilito che il problema identificato è correlato all'imposizione di Protezione accesso alla rete, determinarne la portata. Il problema in questione ha effetto su tutti i client di Protezione accesso alla rete per tutti i metodi di imposizione di Protezione accesso alla rete? Il problema influisce su tutti i client di Protezione accesso alla rete per uno specifico metodo di imposizione? Il problema influisce su tutti i client di Protezione accesso alla rete per uno specifico metodo di imposizione e un punto di imposizione Protezione accesso alla rete? Il problema influisce su tutti i client di Protezione accesso alla rete che sono membri di uno specifico gruppo? Il problema influisce solo su uno specifico client di Protezione accesso alla rete?

Ad esempio, se su tutti i client di Protezione accesso alla rete si verificano problemi relativi a tutti i tipi di metodi di imposizione di Protezione accesso alla rete, è possibile che siano presenti problemi di configurazione sui server criteri di integrità Protezione accesso alla rete. Se su tutti i client di Protezione accesso alla rete si verificano problemi relativi a uno specifico metodo di imposizione di Protezione accesso alla rete, è possibile che siano presenti problemi di configurazione per le impostazioni di Criteri di gruppo per i client di Protezione accesso alla rete o problemi relativi ai criteri dei requisiti di integrità per lo specifico metodo di imposizione di Protezione accesso alla rete sui server criteri di integrità Protezione accesso alla rete. Se solo su specifici client di Protezione accesso alla rete si verificano problemi relativi all'imposizione di Protezione accesso alla rete, è possibile che su tali client siano presenti problemi di configurazione dell'imposizione di Protezione accesso alla rete.

Problemi comuni relativi all'imposizione di Protezione accesso alla rete

Risorse per Protezione accesso alla rete

• Introduzione a Protezione accesso alla rete
• Architettura della piattaforma Protezione accesso alla rete
• Criteri di Protezione accesso alla rete in Windows Server 2008
• Protezione accesso alla rete di Server dei criteri di rete

Accesso illimitato Quando un client di Protezione accesso alla rete ha accesso illimitato (senza restrizioni), questo potrebbe essere dovuto al fatto che il client di Protezione accesso alla rete è stato valutato come conforme dal server criteri di integrità Protezione accesso alla rete. Questo è esattamente il risultato desiderato. Tuttavia, è possibile che l'accesso illimitato sia stato concesso perché il client di Protezione accesso alla rete non ha ricevuto una risposta al rapporto di integrità del sistema, cosa che in genere accade quando una valutazione di integrità non viene eseguita per il client di Protezione accesso alla rete. Se non viene eseguita alcuna valutazione di integrità di Protezione accesso alla rete, non viene inviata alcuna risposta al rapporto di integrità del sistema al client di Protezione accesso alla rete e quest'ultimo ottiene accesso illimitato.

Ad esempio, un client di Protezione accesso alla rete configurato per l'imposizione DHCP invierà la relativa risposta al rapporto di integrità del sistema al server DHCP. Se il server DHCP che esegue Windows Server 2008 non è configurato per Protezione accesso alla rete, non invierà i messaggi di richiesta della valutazione di integrità a un server criteri di integrità Protezione accesso alla rete. Inoltre, un server DHCP su cui viene eseguito Windows Server 2008 configurato per Protezione accesso alla rete e non in grado di raggiungere un server criteri di integrità Protezione accesso alla rete assegna, per impostazione predefinita, una configurazione dell'indirizzo per l'accesso illimitato.

L'accesso illimitato potrebbe anche essere ottenuto quando il server criteri di integrità Protezione accesso alla rete non esegue una valutazione di integrità, in quanto la richiesta in ingresso è conforme a un criterio di rete che non richiede la valutazione di integrità di Protezione accesso alla rete. Per informazioni sulla determinazione dei criteri di rete che corrispondono alla richiesta di un client di Protezione accesso alla rete, vedere la sezione "Istruzioni dettagliate per la risoluzione dei problemi relativi all'imposizione di Protezione accesso alla rete" in questo articolo.

Accesso limitato Un client di Protezione accesso alla rete con accesso limitato è stato valutato come non conforme dal server criteri di integrità Protezione accesso alla rete. Se il client di Protezione accesso alla rete ha accesso limitato ma dovrebbe avere accesso illimitato, verificare lo stato di integrità del client di Protezione accesso alla rete in base alle impostazioni dei criteri di integrità corrispondenti al criterio di rete a cui la richiesta del client di Protezione accesso alla rete è conforme.

Impossibilità di eseguire il monitoraggio e l'aggiornamento automatici Quando configurati correttamente, i client di Protezione accesso alla rete sono in grado di eseguire automaticamente il monitoraggio e l'aggiornamento del relativo stato di integrità. Se i client di Protezione accesso alla rete non sono in grado di eseguire il monitoraggio e l'aggiornamento automatici, verificare che la casella di controllo Consenti monitoraggio e aggiornamento automatici dei computer client sia selezionata per le impostazioni di Imposizione Protezione accesso alla rete del criterio di rete che soddisfa la richiesta del client di Protezione accesso alla rete.

Un altro problema che può influire sul monitoraggio e sull'aggiornamento automatici è correlato a una situazione in cui il client di Protezione accesso alla rete con accesso limitato non può raggiungere i server di monitoraggio e aggiornamento per scaricare gli aggiornamenti. Per l'imposizione IPsec, verificare che ai server di monitoraggio e aggiornamento siano applicati i criteri IPsec corretti. Per l'imposizione 802.1X, verificare le impostazioni nel criterio di rete corrispondente che prevedono l'assegnazione dell'elenco di controllo di accesso (ACL) o dell'identificatore di rete della rete locale virtuale (VLAN ID) e verificare la configurazione dell'ACL o della VLAN per i commutatori o i punti di accesso wireless. Per l'imposizione VPN o DHCP, controllare le impostazioni nel criterio di rete corrispondente per il gruppo di server di monitoraggio e aggiornamento e assicurarsi che tutti i server di monitoraggio e aggiornamento siano configurati come membri del gruppo. Per l'imposizione DHCP, assicurarsi che le opzioni di ambito di DHCP per i client di Protezione accesso alla rete siano configurate correttamente, come il valore dell'opzione Gateway predefinito per la classe utente di Protezione accesso alla rete.

Valutazione non compatibile con Protezione accesso alla rete Per qualsiasi metodo di imposizione di Protezione accesso alla rete, verificare che il client di imposizione corrispondente sia attivato sul client di Protezione accesso alla rete. Per l'imposizione 802.1X e VPN, verificare che il client di Protezione accesso alla rete esegua il controllo dell'integrità del sistema per verificare che il metodo di autenticazione PEAP sia attivato sia nel criterio di richiesta di connessione che sul client di Protezione accesso alla rete (la casella di controllo Attiva controlli quarantena nella finestra di dialogo Proprietà PEAP è selezionata).

Client di Protezione accesso alla rete senza restrizioni ma non in grado di raggiungere la rete Intranet Per l'imposizione IPsec, verificare che i criteri IPsec per i client di Protezione accesso alla rete conformi e i criteri IPsec dei computer della rete Intranet dispongano di una serie comune di impostazioni di negoziazione e protezione. Per l'imposizione 802.1X, verificare che i criteri di rete per i client di Protezione accesso alla rete conformi specifichino l'ACL o il VLAN ID per la rete Intranet, anziché la rete con restrizioni. Verificare la configurazione dell'ACL o del VLAN ID per la rete Intranet nei commutatori o nei punti di accesso wireless. Per l'imposizione VPN, assicurarsi che non vi siano filtri pacchetti IP configurati nel criterio di rete per i client di Protezione accesso alla rete conformi che limitino il traffico dei client VPN.

Istruzioni dettagliate per la risoluzione dei problemi relativi all'imposizione di Protezione accesso alla rete

Un metodo per risolvere un problema con l'imposizione di Protezione accesso alla rete per uno specifico client di Protezione accesso alla rete consiste nel verificare innanzitutto la configurazione del client di Protezione accesso alla rete, nel controllare il registro eventi del client di Protezione accesso alla rete e nell'accedere al server criteri di integrità Protezione accesso alla rete per determinare in che modo il servizio Server dei criteri di rete ha elaborato la richiesta del client di Protezione accesso alla rete.

Passaggio 1: verificare la configurazione del client di Protezione accesso alla rete La configurazione del client di Protezione accesso alla rete è costituita da servizi Windows, client di imposizione e impostazioni specifiche per l'imposizione di Protezione accesso alla rete. Per visualizzare le informazioni sullo stato e sulla configurazione dei client di Protezione accesso alla rete, utilizzare i comandi netsh nap client show state e netsh nap client show configuration.

Notare che, se le impostazioni dei client di Protezione accesso alla rete vengono fornite da Criteri di gruppo, tutte le impostazioni dei client di Protezione accesso alla rete verranno specificate da Criteri di gruppo, mentre tutte le impostazioni dei client di Protezione accesso alla rete locali verranno ignorate. In tal caso, utilizzare il comando netsh nap client show grouppolicy per visualizzare la configurazione dei client di Protezione accesso alla rete basata su Criteri di gruppo e apportare modifiche tramite Criteri di gruppo.

Per l'imposizione IPsec su un computer che esegue Windows Vista®, utilizzare il comando net start per verificare che i servizi Agente protezione accesso alla rete, Moduli di definizione chiavi IPSec IKE e AuthIP e Agente criteri IPsec vengano avviati. Utilizzare il comando netsh nap client show configuration per verificare che il client di imposizione del componente che applica Protezione accesso alla rete tramite IPSec sia attivato. Se necessario, utilizzare lo snap-in Configurazione client di Protezione accesso alla rete per attivare il client di imposizione del componente che applica Protezione accesso alla rete tramite IPSec o utilizzare il comando netsh nap client set enforcement 79619 enabled. I comandi netsh nap client set enforcement devono essere eseguiti da un prompt dei comandi con privilegi elevati.

Per l'imposizione 802.1X su un computer che esegue Windows Vista, utilizzare il comando net start per verificare che i servizi Extensible Authentication Protocol, Agente protezione accesso alla rete, Configurazione automatica reti cablate (per l'imposizione 802.1X su connessioni cablate) e Configurazione automatica WLAN (per l'imposizione 802.1X su connessioni senza fili) vengano avviati.

Utilizzare il comando netsh nap client show configuration per verificare che il client di imposizione quarantena EAP sia attivato. Se necessario, utilizzare lo snap-in Configurazione client di Protezione accesso alla rete per attivare il client di imposizione quarantena EAP o utilizzare il comando netsh nap client set enforcement 79623 enabled. Verificare che la casella di controllo Attiva controlli quarantena sia selezionata per le proprietà del metodo di autenticazione PEAP per la connessione cablata o senza fili.

Per l'imposizione VPN su un computer che esegue Windows Vista, utilizzare il comando net start per verificare che i servizi Extensible Authentication Protocol, Agente protezione accesso alla rete e Connection Manager di Accesso remoto vengano avviati.

Utilizzare il comando netsh nap client show configuration per verificare che il client di imposizione quarantena accesso remoto sia attivato. Se necessario, utilizzare lo snap-in Configurazione client di Protezione accesso alla rete per attivare il client di imposizione quarantena accesso remoto o utilizzare il comando netsh nap client set enforcement 79618 enabled. Verificare che la casella di controllo Attiva controlli quarantena sia selezionata per le proprietà del metodo di autenticazione PEAP per la connessione VPN.

Per l'imposizione DHCP su un computer che esegue Windows Vista, utilizzare il comando net start per verificare che i servizi Agente protezione accesso alla rete e Client DHCP vengano avviati. Se necessario, utilizzare lo snap-in Servizi o lo strumento Sc.exe per avviare questi servizi e configurarli per l'avvio automatico.

Utilizzare il comando netsh nap client show configuration per verificare che il client di imposizione quarantena DHCP sia attivato. Se necessario, utilizzare lo snap-in Configurazione client di Protezione accesso alla rete per attivare il client di imposizione quarantena DHCP o utilizzare il comando netsh nap client set enforcement 79617 enabled.

Passaggio 2: controllare il registro eventi del client di Protezione accesso alla rete Utilizzare lo snap-in Visualizzatore eventi per controllare gli eventi nel registro eventi creato dal servizio Agente protezione accesso alla rete. Sui computer che eseguono Windows Vista, utilizzare lo snap-in Visualizzatore eventi per visualizzare gli eventi in Registri applicazioni e servizi\Microsoft\Windows\Protezione accesso alla rete\Operativo. Sui computer che eseguono Windows XP con SP3, utilizzare lo snap-in Visualizzatore eventi per visualizzare gli eventi di Protezione accesso alla rete nel registro eventi di sistema.

Utilizzare gli eventi dei client di Protezione accesso alla rete per ottenere l'ID di correlazione per la valutazione dell'integrità dei client di Protezione accesso alla rete. Per trovare l'evento per la valutazione dell'integrità corrispondente sul server criteri di integrità Protezione accesso alla rete, è possibile utilizzare l'ID di correlazione o il nome del computer del client di Protezione accesso alla rete. Nella Figura 1 viene illustrato un esempio di un evento per un client di Protezione accesso alla rete non conforme con l'ID di correlazione.

Figura 1** Esempio di un evento del client di Protezione accesso alla rete di Windows Vista **(Fare clic sull'immagine per ingrandirla)

Passaggio 3: controllare il registro eventi di Server dei criteri di rete Sul server criteri di integrità Protezione accesso alla rete utilizzare lo snap-in Visualizzatore eventi per visualizzare gli eventi nei registri di Windows o nel registro di sicurezza creato dal servizio Server dei criteri di rete. Per visualizzare gli eventi di Server dei criteri di rete, nel Visualizzatore eventi, aprire Visualizzazioni personalizzate e Ruoli server, quindi fare clic su Servizi di accesso e criteri di rete. Per visualizzare un argomento della Guida in linea associato all'evento, fare clic sul collegamento "Guida in linea registro eventi" nella scheda Generale dell'evento.

Agli eventi per la valutazione dell'integrità di Protezione accesso alla rete tipici è associato l'ID di evento 6278 (per l'accesso illimitato) o 6276 (per l'accesso limitato). Trovare l'evento del server criteri di integrità Protezione accesso alla rete corrispondente in base al nome del computer del client di Protezione accesso alla rete (il campo Nome Account nella sezione relativa ai computer client della descrizione dell'evento) o all'ID di correlazione (il campo Identificatore di sessione nella sezione delle informazioni di quarantena della descrizione dell'evento).

Gli eventi del registro eventi di Server dei criteri di rete 6278 e 6276 contengono informazioni sulla valutazione dell'integrità di Protezione accesso alla rete, come il nome del criterio di richiesta di connessione corrispondente (il campo Nome criterio proxy nella sezione dei dettagli di autenticazione della descrizione dell'evento) e il criterio di rete corrispondente (il campo relativo al nome del criterio di rete nella sezione dei dettagli di autenticazione della descrizione dell'evento). Nella Figura 2 viene illustrato un esempio della scheda Dettagli di un ID di evento 6276, con il nome del criterio del prefisso, il nome del criterio di rete e l'ID di correlazione, denominato QuarantineSessionID. Questo è l'evento dei criteri di integrità di Protezione accesso alla rete corrispondente all'evento del client di Protezione accesso alla rete di Windows Vista nella Figura 1.

Figura 2** Esempio di un evento del server criteri di integrità Protezione accesso alla rete **(Fare clic sull'immagine per ingrandirla)

Se non è presente alcun evento corrispondente all'evento del client di Protezione accesso alla rete, verificare che il servizio Server dei criteri di rete sia avviato e che il punto di imposizione Protezione accesso alla rete sia configurato correttamente per Protezione accesso alla rete e per l'utilizzo del server criteri di integrità Protezione accesso alla rete come server RADIUS. Verificare che i messaggi RADIUS possano essere inviati tra il punto di imposizione Protezione accesso alla rete e il server criteri di integrità Protezione accesso alla rete.

Se si seguono questi tre passaggi, si sarà sulla strada giusta per determinare il motivo per cui l'imposizione di Protezione accesso alla rete non funziona nel modo previsto. Per ulteriori informazioni su Protezione accesso alla rete, vedere l'intestazione laterale "Risorse per Protezione accesso alla rete".

Joseph Davies è un autore tecnico di Microsoft. Dal 1992 tiene corsi e scrive su argomenti legati alle reti Microsoft. Ha scritto otto libri per Microsoft Press ed è autore della rubrica mensile Cable Guy di TechNet.

© 2008 Microsoft Corporation e CMP Media, LLC. Tutti i diritti riservati. È vietata la riproduzione completa o parziale senza autorizzazione.