Exportovat (0) Tisk
Rozbalit vše

Konfigurace scénáře služby Brána TS s architekturou NAP

Aktualizováno: říjen 2008

Rozsah platnosti: Windows Server 2008

Chcete-li zvýšit zabezpečení, můžete konfigurovat u serverů a klientů služby Brána TS použití architektury NAP. NAP je technologie vytváření, vynucení a nápravy problémů zásad stavu, která je součástí systémů Windows Vista a Windows Server 2008. Pomocí architektury NAP můžete vynutit požadavky pro stav v klientech, kteří se připojují k serveru služby Brána Terminálové služby, což může zahrnovat povolení bran firewall, požadavky na aktualizace zabezpečení a další požadované konfigurace počítačů.

Pomocí architektury NAP můžete zajistit, aby klienti před tím, než jim bude povoleno připojení k interním síťovým prostředkům pomocí serverů služby Brána Terminálové služby, splňovali požadavky zásad stavu určené vaší organizací.

K úspěšné konfiguraci a ověření funkčnosti scénáře služby Brána TS s architekturou NAP, který je v této příručce uveden jako příklad, je třeba provést následující kroky.

  1. Pro tento scénář doporučujeme nakonfigurovat tři počítače. Jsou to tyto počítače:

    • server služby Brána Terminálové služby/server NPS (Network Policy Server) – v tomto příkladu označovaný jako SERVER_BTS,

    • klient Terminálové služby (v tomto příkladu označovaný jako KLIENT_TS),

    • interní síťový prostředek (v tomto příkladu označovaný jako PODNIKOVÝ_PROSTŘEDEK).

    Počítače musí splňovat požadavky na systém popsané v části Požadavky na systém pro scénář služby Brána TS s architekturou NAP.

  2. Proveďte základní konfiguraci serveru služby Brána Terminálové služby podle pokynů uvedených v tématu Konfigurace základního scénáře služby Brána TS v části Postup konfigurace serveru služby Brána Terminálové služby pro základní scénář služby Brána TS.

  3. Nakonfigurujte server služby Brána Terminálové služby ke kontrole zásad stavu NAP podle pokynů uvedených v části Postup konfigurace služby Brána TS pro scénář s architekturou NAP.

  4. Proveďte základní konfiguraci klienta Terminálové služby pro službu Brána TS podle pokynů uvedených v tématu Konfigurace základního scénáře služby Brána TS v části Postup konfigurace klienta Terminálové služby pro základní scénář služby Brána TS.

  5. Nakonfigurujte klienta jako klienta vynucení NAP podle pokynů uvedených v části Postup konfigurace klienta Terminálové služby jako klienta vynucení NAP (NAP Enforcement Client).

  6. Nakonfigurujte interní síťový prostředek. Jak bylo uvedeno, může být tímto prostředkem libovolný terminálový server nebo počítač s povolenou funkcí Vzdálená plocha.

  7. Provedením následujících dvou úkolů ověřte, zda zásady stavu NAP vytvořené na serveru služby Brána Terminálové služby se úspěšně používají u klienta Terminálové služby:

    • Otestování úspěšně blokovaného připojení: Pokud se zásady stavu u klienta Terminálové služby používají správně a v klientském počítači Terminálové služby jsou zakázány automatické aktualizace, bude pokus klienta o připojení zablokován serverem NPS.

    • Otestování úspěšně povoleného připojení: Pokud se zásady stavu u klienta Terminálové služby používají správně a v klientském počítači Terminálové služby jsou povoleny automatické aktualizace, bude pokus klienta o připojení povolen serverem NPS.

    Při provádění těchto dvou testovacích úkolů postupujte podle pokynů v části 2. Test správného použití zásad stavu NAP služby Brána TS u klienta Terminálové služby.

Tři počítače použité ve scénáři služby Brána TS s architekturou NAP musí splňovat následující požadavky na systém.

 

Počítač Požadovaná konfigurace

Server služby Brána Terminálové služby (SERVER_BTS)

  • V tomto scénáři slouží počítač SERVER_BTS jako server služby Brána Terminálové služby a jako server NPS a musí v něm být spuštěn systém Windows Server 2008. Instalace může být upgradem ze systému Windows Server 2003 Service Pack 1 (SP1) nebo novou instalací systému Windows Server 2008. Další informace naleznete v části Podporované cesty upgradu (Supported upgrade paths) v článku Instalace systému Windows Server 2008 (http://go.microsoft.com/fwlink/?LinkId=104824) (článek může být v angličtině).

Klient Terminálové služby (KLIENT_TS)

V tomto scénáři funguje počítač KLIENT_TS jako klient Terminálové služby a jako klient NAP a může v něm být spuštěn kterýkoli z následujících systémů:

  • Systém Windows Vista SP1 nebo systém Windows XP Service Pack 3 (SP3) Beta či systém Windows XP SP3 Release Candidate (RC).

  • Systém Windows Vista. Instalace může být upgradem ze systému Windows XP s aktualizací Service Pack 2 (SP2).

  • Systém Windows Server 2008. Instalace může být upgradem.

Interní síťový prostředek (PODNIKOVÝ_PROSTŘEDEK)

  • Systém Windows Vista SP1 nebo systém Windows XP SP3 Beta či systém Windows XP SP3 RC.

  • Systém Windows Vista. Instalace může být upgradem ze systému Windows XP s aktualizací SP2.

  • Systém Windows XP s aktualizací SP2.

  • Systém Windows XP s aktualizací SP3 Beta nebo systém Windows XP s aktualizací SP3 RC.

  • Systém Windows Server 2008. Instalace může být upgradem.

  • Systém Windows Server 2003 s aktualizací SP1 nebo systém Windows Server 2003 s aktualizací SP2.


Následující diagram znázorňuje, jak se může služba Brána TS používat s architekturou NAP.

Diagram scénáře výchozí brány TS NAP
notePoznámka
Postup v této příručce popisuje, jak nakonfigurovat vzdálený přístup z klienta Terminálové služby přes server služby Brána Terminálové služby k internímu síťovému prostředku s kontrolou zásad stavu Terminálové služby (kontrolu zásad stavu provádí server NPS). Příručka nepopisuje, jak konfigurovat brány firewall znázorněné v diagramu, terminálové servery se vzdálenými aplikacemi RemoteApp, hraniční síť ani infrastrukturu služby Active Directory. Diagram ukazuje jednu z možností implementace tohoto scénáře v provozním prostředí.

Chcete-li konfigurovat scénář serveru služby Brána Terminálové služby s architekturou NAP, proveďte tyto úkoly:

 

Úkol Referenční informace / Podrobné pokyny

1. Povolení kontroly zásad stavu NAP na serveru služby Brána Terminálové služby

1. Povolení kontroly zásad stavu NAP na serveru služby Brána Terminálové služby

2. Odstranění existujících zásad TS CAP a vytvoření tří nových zásad TS CAP na serveru služby Brána Terminálové služby

2. Odstranění existujících zásad TS CAP a vytvoření tří nových zásad TS CAP na serveru služby Brána Terminálové služby

3. Konfigurace Validátoru stavu zabezpečení systému Windows na serveru služby Brána Terminálové služby

3. Konfigurace Validátoru stavu zabezpečení systému Windows na serveru služby Brána Terminálové služby

4. Vytvoření zásad architektury NAP na serveru služby Brána Terminálové služby pomocí průvodce Konfigurovat architekturu NAP

4. Vytvoření zásad architektury NAP na serveru služby Brána Terminálové služby pomocí průvodce Konfigurovat architekturu NAP

Chcete-li povolit kontrolu zásad stavu NAP na serveru služby Brána Terminálové služby, povolte na tomto serveru nastavení, které vyžaduje, aby klient Terminálové služby odeslal prohlášení o stavu (SoH).

  1. Spusťte nástroj Správce brány TS. Při spuštění nástroje Správce brány TS postupujte takto: Klepněte na tlačítko Start, přejděte na příkaz Nástroje pro správu, přejděte na položku Terminálová služba a potom klepněte na položku Správce brány TS.

  2. Ve stromu konzoly nástroje Správce brány TS klepněte pravým tlačítkem myši na místní server služby Brána Terminálové služby a potom klepněte na příkaz Vlastnosti.

  3. Na kartě Úložiště TS CAP zaškrtněte políčko Požadovat od klientů zaslání prohlášení o stavu.

  4. Zobrazí se zpráva s upozorněním, že k vynucení zásad stavu je nutné také nakonfigurovat zásady TS CAP pro architekturu NAP. Klepnutím na tlačítko OK zavřete zprávu.

  5. Dalším klepnutím na tlačítko OK zavřete dialogové okno Vlastnosti serveru služby Brána Terminálové služby.

Pokud jste podle pokynů v tématu Konfigurace základního scénáře služby Brána TS (v části Vytvoření zásady TS CAP pro server služby Brána Terminálové služby) vytvořili pomocí nástroje Správce brány TS jednu nebo více zásad TS CAP na serveru služby Brána Terminálové služby, důrazně doporučujeme, abyste provedli kroky v tomto postupu a tyto zásady TS CAP odstranili.

WarningUpozornění
Jestliže existující zásady TS CAP neodstraníte, může to způsobit oslabení zabezpečení interní sítě, protože tyto zásady TS CAP mohou obcházet zásady autorizace NAP, které vytvoříte pro scénář služby Brána TS s architekturou NAP. Obcházení zásad autorizace NAP způsobí, že přístup k serveru služby Brána Terminálové služby bude povolen klientům, kteří nesplňují požadavky zásad autorizace NAP.

  1. Spusťte nástroj Správce brány TS.

  2. Ve stromu konzoly vyberte klepnutím uzel představující server služby Brána Terminálové služby, jehož název je určen názvem počítače, ve kterém je spuštěn server služby Brána Terminálové služby.

  3. Ve stromu konzoly rozbalte položku Zásady a potom klepněte na položku Zásady autorizace připojení.

  4. V podokně podrobností klepněte pravým tlačítkem myši na existující zásady TS CAP a pak klepněte na příkaz Odstranit.

Po odstranění všech dříve vytvořených zásad TS CAP pomocí nástroje Správce brány TS vytvořte tři nové identické zásady TS CAP (TSCAP1, TSCAP2 a TSCAP3). Postupujte přitom podle pokynů v tématu Konfigurace základního scénáře služby Brána TS v části Vytvoření zásady TS CAP pro server služby Brána Terminálové služby.

Pokud jste tak dosud neučinili, vytvořte v nástroji Správce brány TS zásadu TS RAP. Pokud byla zásada TS RAP, která splňuje požadavky na zabezpečení, již vytvořena, nemusíte existující zásadu TS RAP odstraňovat a vytvářet novou. Podrobné pokyny k vytváření zásady TS RAP naleznete v tématu Konfigurace základního scénáře služby Brána TS v části o vytvoření zásady TS RAP pro server služby Brána Terminálové služby.

Při konfiguraci Validátoru stavu zabezpečení systému Windows (WSHV) vytvoříte zásadu stavu klienta, která určuje požadavky na klientské počítače, jimž bude umožněno připojení k vaší síti. Budou-li se klientské počítače pokoušet připojit k vaší síti a jejich konfigurace nebude odpovídat validátoru WSHV, bude jejich síťové připojení blokováno, dokud nesplní podmínky validátoru WSHV.

V tomto příkladu validátor WSHV pouze požaduje, aby byly povoleny automatické aktualizace.

  1. Otevřete konzolu modulu snap-in Server NPS (Network Policy Server). Konzolu Server NPS (Network Policy Server) otevřete takto: Klepněte na tlačítko Start, přejděte na příkaz Nástroje pro správu a klepněte na položku Server NPS (Network Policy Server).

  2. Ve stromu konzoly klepněte na položku Architektura NAP (Network Access Protection).

  3. V podokně podrobností klepněte v části Validátory stavu systému na možnost Konfigurovat validátory stavu systému.

  4. V podokně podrobností klepněte pravým tlačítkem myši ve sloupci Název na položku Validátor stavu zabezpečení systému Windows a pak klepněte na příkaz Vlastnosti.

  5. V dialogovém okně Validátor stavu zabezpečení systému Windows – vlastnosti klepněte na kartě Nastavení na tlačítko Konfigurovat.

  6. Na kartě Windows Vista nebo Windows XP (v závislosti na operačním systému spuštěném v klientském počítači Terminálové služby) zrušte zaškrtnutí všech políček kromě těchto: Jsou povoleny automatické aktualizace, Omezit přístup pro klienty, kteří nemají nainstalovány všechny dostupné aktualizace zabezpečení a Systém Windows Update.

  7. Klepnutím na tlačítko OK zavřete dialogové okno Validátor stavu zabezpečení systému Windows – vlastnosti (s kartami Windows Vista a Windows XP) a pak dalším klepnutím na tlačítko OK zavřete dialogové okno Validátor stavu zabezpečení systému Windows – vlastnosti s kartou Nastavení.

Pomocí průvodce Konfigurovat architekturu NAP lze snadno vytvořit zásady potřebné ke konfiguraci serveru služby Brána Terminálové služby jako klienta vynucení NAP (NAP Enforcement Client). V této části je popsáno, jak vytvořit pro službu Brána TS následující zásady:

  • Zásady stavu: Zásady stavu umožňují definovat požadavky na konfiguraci klientských počítačů umožňujících architekturu NAP, které se pokoušejí připojit k interním síťovým prostředkům prostřednictvím serveru služby Brána Terminálové služby.

  • Zásady vyžádání nového připojení: Zásady vyžádání nového připojení jsou uspořádanou sadou pravidel, které umožňují službě NPS určit, zda konkrétní pokus o připojení nebo účetní zpráva přijatá od klienta RADIUS má být zpracována místně nebo předána jinému serveru RADIUS. Pokud nakonfigurujete server NPS, aby prováděl určení a vynucení stavu architektury NAP, funguje server NPS jako server RADIUS. Server služby Brána Terminálové služby je klientem RADIUS.

  • Zásady sítě: Zásady sítě umožňují určit, kdo a za jakých podmínek se smí připojit k síti. Během procesu autorizace provádí architektura NAP kontroly stavu klientů.

  1. Otevřete konzolu modulu snap-in Server NPS (Network Policy Server). Konzolu Server NPS (Network Policy Server) otevřete takto: Klepněte na tlačítko Start, přejděte na příkaz Nástroje pro správu a klepněte na položku Server NPS (Network Policy Server).

  2. Ve stromu konzoly klepněte na položku Server NPS (místní).

  3. V podokně podrobností klepněte v části Standardní konfigurace na tlačítko Konfigurovat architekturu NAP.

  4. V průvodci Konfigurovat architekturu NAP proveďte na stránce Vybrat způsob připojení k síti, který bude použit s architekturou NAP následující akce:

    1. Ve skupinovém rámečku Způsob připojení k síti vyberte možnost Brána Terminálové služby (Brána TS).

    2. V poli Název zásady přijměte výchozí název (Brána TS NAP) nebo zadejte nový název a potom klepněte na tlačítko Další.

  5. Na stránce Zadat servery vynucení architektury NAP, na kterých je spuštěn produkt Brána TS ověřte v části Servery brány TS, zda je zadáno Server brány TS, a klepněte na tlačítko Další.

  6. Na stránce Konfigurovat metody ověřování a přesměrování klientských zařízení proveďte následující akce:

    1. Ve skupinovém rámečku Přesměrování zařízení vyberte možnost vyhovující vašemu prostředí.

    2. Ve skupinovém rámečku Metoda ověřování vyberte alespoň jednu metodu ověřování vyhovující vašemu prostředí. Vyberete-li obě metody ověřování, budou mít připojení povoleno klienti, kteří používají kteroukoli z těchto metod.

  7. Na stránce Konfigurovat skupiny uživatelů a skupiny počítačů proveďte následující akce:

    1. V části Skupiny uživatelů: (povinné) klepněte na možnost Přidat uživatele a zadejte skupinu uživatelů, jejíž členové se mohou připojit k serveru služby Brána Terminálové služby. Musíte zadat alespoň jednu skupinu uživatelů.

    2. V dialogovém okně Vybrat skupiny zadejte umístění a název skupiny uživatelů a potom podle potřeby po klepnutí na tlačítko OK zkontrolujte název a zavřete dialogové okno Vybrat skupiny. Chcete-li zadat více skupin uživatelů, proveďte některou z následujících akcí:

    3. Zadejte názvy všech skupin uživatelů oddělené středníkem.

    4. Opakováním tohoto kroku pro každou skupinu přidejte další skupiny z jiných domén.

    5. V části Skupiny počítačů: (volitelné) klepněte na tlačítko Přidat počítač a zadejte skupiny počítačů. Můžete tak zadat podmínky členství počítačů v doméně, které by měly klientské počítače splňovat (tento krok je nepovinný). V ukázkové konfiguraci není zadána žádná skupina počítačů.

    6. Chcete-li zadat skupiny počítačů, můžete použít stejné kroky, jaké jste použili k zadání skupin uživatelů.

  8. Klepněte na tlačítko Další.

  9. Na stránce Definovat zásadu stavu architektury NAP ověřte, zda je zaškrtnuto políčko Validátor stavu zabezpečení systému Windows a zda je vybrána možnost Odepře klientský přístup k terminálovým serverům nebo počítačům se spuštěnou Vzdálenou plochou, a klepněte na tlačítko Další.

  10. Na stránce Dokončení konfigurace zásad vynucení NAP a klientů RADIUS zkontrolujte, zda jsou zobrazeny následující zásady:

    • V části Zásady stavu: Vyhovuje Bráně TS NAP, Nevyhovuje Bráně TS NAP

    • V části Zásada vyžádání nového připojení: Brána TS NAP

    • V části Zásady sítě: Vyhovuje Bráně TS NAP, Nevyhovuje Bráně TS NAP, Brána TS NAP neumožňující architekturu NAP

  11. Klepněte na tlačítko Dokončit.

Chcete-li nakonfigurovat klientský počítač Terminálové služby jako klienta vynucení NAP (Network Access Protection (NAP) Enforcement Client), proveďte tyto úkoly:

 

Úkol Referenční informace / Podrobné pokyny

1. Stažení a spuštění příkazu pro konfiguraci klienta Terminálové služby s vynucením NAP

1. Stažení a spuštění příkazu pro konfiguraci klienta Terminálové služby s vynucením NAP

2. Test správného použití zásad stavu NAP u klienta Terminálové služby

2. Test správného použití zásad stavu NAP služby Brána TS u klienta Terminálové služby

Příkaz pro konfiguraci klienta Terminálové služby s vynucením NAP (Tsgqecclientconfig.cmd) provádí následující úkoly konfigurace klienta Terminálové služby jako klienta vynucení NAP (NAP Enforcement Client):

  • Přidá do seznamu důvěryhodných serverů v klientském počítači název serveru služby Brána Terminálové služby.

  • Spustí službu Agent architektury NAP (Network Access Protection) a nastaví typ spouštění této služby na Automaticky.

    Služba Agent architektury NAP shromažďuje a spravuje informace o stavu. Zpracovává prohlášení o stavu od různých agentů stavu systému a podává hlášení o stavu klienta serveru správy architektury NAP. Aby fungovala architektura NAP správně, je nutné v klientském počítači spustit službu Agent architektury NAP (Network Access Protection) a nastavit typ spouštění této služby na Automaticky. Tato služba se ve výchozím nastavení nespouští automaticky.

  • Povolí součást TS Gateway Quarantine Enforcement Client.

    Tento vzorový skript spustíte následujícím postupem: Pamatujte, že je nutné spouštět tento skript jako člen místní skupiny Administrators na serveru služby Brána Terminálové služby.

  1. Chcete-li stáhnout příkaz pro konfiguraci klienta Terminálové služby, přejděte na stránku Příkaz konfigurace klienta Terminálové služby s vynucením NAP na webu služby Stažení softwaru (http://go.microsoft.com/fwlink/?LinkId=103093) (stránka může být v angličtině). Otevřete příkazový řádek, klepněte na příkazový řádek pravým tlačítkem myši a pak klepněte na příkaz Spustit jako správce. K úspěšnému provedení příkazu je nutné ho spustit se zvýšenými oprávněními. Informace o tom, jak tento příkaz spustit se zvýšenými oprávněními v systému Windows XP, naleznete v článku číslo 294676 ve znalostní bázi Microsoft Knowledge Base (http://go.microsoft.com/fwlink/?LinkId=87531). Informace o tom, jak to provést v systému Windows Server 2003, naleznete v článku Spouštění programu s pověřením správce (http://go.microsoft.com/fwlink/?LinkId=87533) (článek může být v angličtině).

  2. Na příkazovém řádku zadejte následující příkaz:

    tsgqecclientconfig NÁZEV_SERVERU_SLUŽBY_BRÁNA_TS

    kde NÁZEV_SERVERU_SLUŽBY_BRÁNA_TS je plně kvalifikovaný název domény (FQDN) serveru služby Brána Terminálové služby, který chcete přidat do seznamu důvěryhodných serverů služby Brána Terminálové služby v klientském počítači.

    Zadaný název serveru se musí shodovat s názvem v poli Vystaveno certifikátu serveru služby Brána Terminálové služby. Pokud vytvoříte certifikát podepsaný svým držitelem pomocí Průvodce přidáním rolí během instalace služby role Brána TS nebo pomocí nástroje Správce brány TS po instalaci, zadejte plně kvalifikovaný název domény (FQDN) serveru služby Brána Terminálové služby.

    Chcete-li zadat více než jeden server služby Brána Terminálové služby, oddělte jednotlivé názvy serverů pomocí oddělovače \0 (například NÁZEV_SERVERU1\0NÁZEV_SERVERU2\0NÁZEV_SERVERU3).

  3. Restartujte klientský počítač, aby se změny konfigurace implementovaly, a pak se k němu znovu přihlaste pomocí téhož účtu, který jste použili ke spuštění příkazu pro konfiguraci klienta.

  4. Spusťte Editor registru. Program Editor registru spustíte takto: Do vyhledávacího pole nabídky Start zadejte regedit a stiskněte klávesu ENTER.

  5. Přejděte na následující podklíč registru: HKEY_LOCAL_MACHINE\Software\Microsoft\Terminal Server Client\TrustedGateways

  6. U položky TrustedGateways ověřte existenci následující hodnoty:

    <NÁZEV_SERVERU_SLUŽBY_BRÁNA_TS>

    kde NÁZEV_SERVERU_SLUŽBY_BRÁNA_TS je plně kvalifikovaný název domény (FQDN) serveru služby Brána Terminálové služby, který jste zadali v kroku 2. Pokud jste zadali více než jeden server služby Brána Terminálové služby, zkontrolujte, zda jsou uvedeny všechny tyto servery.

Následujícími postupy ověříte, zda zásady stavu, které jste nakonfigurovali na serveru služby Brána Terminálové služby, jsou použity u klienta Terminálové služby.

Vzpomeňte si, že zásada Validátoru stavu zabezpečení systému Windows (WSHV), kterou jste vytvořili na serveru služby Brána Terminálové služby, vyžaduje k úspěšnému připojení, aby byly povoleny automatické aktualizace.

Chcete-li otestovat, zda se zásady stavu správně používají u klienta Terminálové služby, proveďte následující úkoly:

Provedením následujícího postupu v klientském počítači můžete otestovat, zda je alespoň jedna zásada stavu NAP nakonfigurována správně pro blokování připojení klienta Terminálové služby umožňujícího architekturu NAP k serveru Brána Terminálové služby v případě, že jsou u klienta zakázány automatické aktualizace.

  1. Otevřete Ovládací panely. Ovládací panely otevřete takto: Klepněte na tlačítko Start a poté na příkaz Ovládací panely.

  2. Ovládacích panelech poklepejte na panel Centrum zabezpečení.

  3. V části Základy zabezpečení zkontrolujte, zda je možnost Automatické aktualizace nastavena na Zapnuto. Pokud ano, pokračujte dalším krokem. Pokud je možnost Automatické aktualizace již nastavena na Vypnuto, přejděte na krok 7.

  4. V navigačním podokně klepněte na položku Systém Windows Update.

  5. V okně Systém Windows Update klepněte v navigačním podokně na položku Změnit nastavení.

  6. V dialogovém okně Vyberte, jak může systém Windows instalovat aktualizace klepněte na možnost Nikdy nevyhledávat aktualizace (není doporučeno) a klepněte na tlačítko OK.

  7. Spusťte klienta Připojení ke vzdálené ploše. Klienta Připojení ke vzdálené ploše spustíte takto: Klepněte na tlačítko Start, přejděte na příkaz Všechny programy, přejděte na položku Příslušenství a potom klepněte na položku Připojení ke vzdálené ploše.

  8. V dialogovém okně Připojení ke vzdálené ploše klepnutím na tlačítko Možnosti rozbalte dialogové okno a zobrazte nastavení.

  9. Na kartě Obecné zadejte název počítače (terminálového serveru nebo počítače s povolenou Vzdálenou plochou), ke kterému se chcete vzdáleně připojit prostřednictví služby Brána TS.

  10. Klepněte na možnost Připojit.

  11. Na stránce Zadejte svá pověření vyberte uživatelský účet, který chcete použít ke vzdálenému přihlášení k počítači, zadejte požadovaná pověření a klepněte na tlačítko OK.

  12. Na stránce Pověření pro server brány vyberte uživatelské jméno, které chcete použít k přihlášení k serveru služby Brána Terminálové služby, zadejte požadovaná pověření a klepněte na tlačítko OK.

  13. Po chvíli se zobrazí následující chybová zpráva:

    Tento počítač se nemůže připojit ke vzdálenému počítači, protože počítač nebo zařízení nesplňuje pravidla ověření zásad ochrany přístupu k síti nastavená správcem sítě. Požádejte o pomoc správce sítě.

  14. Klepnutím na tlačítko OK zprávu zavřete a pak zrušte připojení.

Na serveru služby Brána Terminálové služby se v protokolu událostí objeví následující tři události, které potvrzují, že přístup klienta k serveru služby Brána Terminálové služby byl odepřen, protože byly správně použity zásady stavu:

  • ID události 6272, klíčové slovo: Úspěšný audit: Tato událost, která se objeví v protokolu ve složce Protokoly systému Windows\Zabezpečení, znamená, že server NPS udělil přístup ke klientovi.

  • ID události 6276, klíčové slovo: Úspěšný audit: Tato událost, která se objeví v protokolu ve složce Protokoly systému Windows\Zabezpečení, znamená, že klientovi byl odepřen přístup k serveru služby Brána Terminálové služby a že byl umístěn do karantény, protože byly úspěšně použity zásady stavu.

  • ID události 204, klíčové slovo: Neúspěšný audit: Tato událost, která se objeví v protokolu ve složce Protokoly aplikací a služeb\Microsoft\Windows\Brána Terminálové služby\Operační, znamená, že klient nesplnil požadavky zásad architektury NAP na serveru NPS, a není proto autorizován k přístupu k serveru služby Brána Terminálové služby.

  1. Na serveru služby Brána Terminálové služby spusťte Prohlížeč událostí. Prohlížeč událostí spustíte takto: Klepněte na tlačítko Start, přejděte na příkaz Nástroje pro správu a klepněte na položku Prohlížeč událostí.

  2. V Prohlížeči událostí rozbalte složku Protokoly systému Windows a klepněte na položku Zabezpečení.

  3. Při složce Zabezpečení vybrané ve stromu konzoly hledejte identifikátory událostí 6272 a 6276.

  4. Ve stromu konzoly rozbalte složku Protokoly aplikací a služeb\Microsoft\Windows\Brána Terminálové služby a klepněte na položku Operační.

  5. Při složce Operační vybrané ve stromu konzoly hledejte identifikátor události 204.

  6. Ukončete Prohlížeč událostí.

Provedením následujícího postupu může otestovat, zda je alespoň jedna zásada stavu NAP nakonfigurována správně pro povolení připojení klienta Terminálové služby k serveru Brána Terminálové služby v případě, že jsou u klienta povoleny automatické aktualizace.

  1. Otevřete Ovládací panely. Ovládací panely otevřete takto: Klepněte na tlačítko Start a poté na příkaz Ovládací panely.

  2. Ovládacích panelech poklepejte na panel Centrum zabezpečení.

  3. V části Základy zabezpečení klepněte ve skupině Automatické aktualizace na tlačítko Změnit nastavení.

  4. V dialogovém okně Zvolte možnost automatické aktualizace klepněte na možnost Instalovat aktualizace automaticky (doporučeno).

  5. Spusťte klienta Připojení ke vzdálené ploše. Klienta Připojení ke vzdálené ploše spustíte takto: Klepněte na tlačítko Start, přejděte na příkaz Všechny programy, přejděte na položku Příslušenství a potom klepněte na položku Připojení ke vzdálené ploše.

  6. V dialogovém okně Připojení ke vzdálené ploše klepnutím na tlačítko Možnosti rozbalte dialogové okno a zobrazte nastavení.

  7. Na kartě Obecné zadejte název počítače (terminálového serveru nebo počítače s povolenou Vzdálenou plochou), ke kterému se chcete vzdáleně připojit prostřednictví služby Brána TS.

  8. Klepněte na možnost Připojit.

  9. Na stránce Zadejte svá pověření vyberte uživatelský účet, který chcete použít ke vzdálenému přihlášení k počítači, zadejte požadovaná pověření a klepněte na tlačítko OK.

  10. Na stránce Pověření pro server brány vyberte uživatelské jméno, které chcete použít k přihlášení k serveru služby Brána Terminálové služby, zadejte požadovaná pověření a klepněte na tlačítko OK.

  11. Po chvíli bude připojení dokončeno a bude vytvořeno připojení prostřednictvím serveru služby Brána Terminálové služby k počítači.

Na serveru služby Brána Terminálové služby se v protokolu událostí objeví následující tři události, které potvrzují, že přístup klienta k serveru služby Brána Terminálové služby byl udělen, protože byly správně použity zásady stavu:

  • ID události 6272, klíčové slovo: Úspěšný audit: Tato událost, která se objeví v protokolu ve složce Protokoly systému Windows\Zabezpečení, znamená, že server NPS udělil přístup ke klientovi.

  • ID události 6278, klíčové slovo: Úspěšný audit: Tato událost, která se objeví v protokolu ve složce Protokoly systému Windows\Zabezpečení, znamená, že klientovi byl udělen přístup k serveru služby Brána Terminálové služby, protože byly úspěšně použity zásady stavu.

  • ID události 200: Tato událost, která se objeví v protokolu ve složce Protokoly aplikací a služeb\Microsoft\Windows\Brána Terminálové služby\Operační, znamená, že klient je v pořádku, a může proto přistupovat k serveru služby Brána Terminálové služby.

  1. Na serveru služby Brána Terminálové služby spusťte Prohlížeč událostí. Prohlížeč událostí spustíte takto: Klepněte na tlačítko Start, přejděte na příkaz Nástroje pro správu a klepněte na položku Prohlížeč událostí.

  2. V Prohlížeči událostí rozbalte složku Protokoly systému Windows a klepněte na položku Zabezpečení.

  3. Při složce Zabezpečení vybrané ve stromu konzoly hledejte identifikátory událostí 6272 a 6278.

  4. Ve stromu konzoly rozbalte složku Protokoly aplikací a služeb\Microsoft\Windows\Brána Terminálové služby a klepněte na položku Operační.

  5. Při složce Operační vybrané ve stromu konzoly hledejte identifikátor události 200.

  6. Ukončete Prohlížeč událostí.

Provedením následujícího postupu může otestovat, zda je alespoň jedna zásada stavu NAP nakonfigurována správně pro blokování připojení klienta Terminálové služby k serveru Brána Terminálové služby v případě, že klient nemůže serveru služby Brána Terminálové služby odeslat prohlášení o stavu (SoH).

  1. Otevřete Ovládací panely. Ovládací panely otevřete takto: Klepněte na tlačítko Start a poté na příkaz Ovládací panely.

  2. Ovládacích panelech poklepejte na panel Centrum zabezpečení.

  3. V části Základy zabezpečení zkontrolujte, zda je možnost Automatické aktualizace nastavena na Zapnuto.

  4. Otevřete příkazový řádek, klepněte na příkazový řádek pravým tlačítkem myši a pak klepněte na příkaz Spustit jako správce.

  5. Na příkazovém řádku zadejte následující příkaz:

    net stop napagent

  6. Spusťte klienta Připojení ke vzdálené ploše. Klienta Připojení ke vzdálené ploše spustíte takto: Klepněte na tlačítko Start, přejděte na příkaz Všechny programy, přejděte na položku Příslušenství a potom klepněte na položku Připojení ke vzdálené ploše.

  7. V dialogovém okně Připojení ke vzdálené ploše klepnutím na tlačítko Možnosti rozbalte dialogové okno a zobrazte nastavení.

  8. Na kartě Obecné zadejte název počítače (terminálového serveru nebo počítače s povolenou Vzdálenou plochou), ke kterému se chcete vzdáleně připojit prostřednictvím služby Brána TS.

  9. Klepněte na možnost Připojit.

  10. Na stránce Zadejte svá pověření vyberte uživatelský účet, který chcete použít ke vzdálenému přihlášení k počítači, zadejte požadovaná pověření a klepněte na tlačítko OK.

  11. Na stránce Pověření pro server brány vyberte uživatelské jméno, které chcete použít k přihlášení k serveru služby Brána Terminálové služby, zadejte požadovaná pověření a klepněte na tlačítko OK.

  12. Po chvíli se zobrazí následující chybová zpráva:

    Tento počítač se nemůže připojit ke vzdálenému počítači, protože počítač nebo zařízení nesplňuje pravidla ověření zásad ochrany přístupu k síti nastavená správcem sítě. Požádejte o pomoc správce sítě.

  13. Klepnutím na tlačítko OK zprávu zavřete a pak zrušte připojení.

Na serveru služby Brána Terminálové služby ověřte postupem popsaným v části Ověření, zda zásady stavu NAP zablokovaly připojení, zda byl přístup klienta k serveru služby Brána Terminálové služby odepřen, protože byly správně použity zásady stavu.

Byl tento obsah pro vás užitečný?
(Zbývající počet znaků: 1500)
Děkujeme za váš názor.

Obsah vytvořený komunitou

Zobrazit:
© 2015 Microsoft