Windows Server 2008

Rozwiązywanie problemów z wymuszaniem ochrony NAP Udostępnij na: Facebook

Autor: Joseph Davies

Opublikowano: 6 października 2008

Zawartość strony
 Zasady zawierające wymagania dotyczące kondycji   Zasady zawierające wymagania dotyczące kondycji
 Określanie zakresu problemów związanych z wymuszaniem ochrony NAP   Określanie zakresu problemów związanych z wymuszaniem ochrony NAP
 Typowe problemy z wymuszaniem ochrony dostępu do sieci   Typowe problemy z wymuszaniem ochrony dostępu do sieci
 Rozwiązywanie problemów z wymuszaniem ochronny NAP krok po kroku   Rozwiązywanie problemów z wymuszaniem ochronny NAP krok po kroku
 W jaki sposób działa ocena kondycji NAP   W jaki sposób działa ocena kondycji NAP
 Dodatkowe informacje na temat ochrony NAP   Dodatkowe informacje na temat ochrony NAP

Nowa platforma Ochrony dostępu do sieci (Network Access Protection - NAP) wbudowana w systemy Windows Vista, Windows Server 2008 oraz Windows XP SP3 pomaga w ochronie prywatnej sieci intranet poprzez wymuszenie zgodności z wymaganiami dotyczącymi kondycji komputera. Kluczowymi komponentami platformy NAP są klienci NAP, punkty wymuszania NAP oraz serwery zasad kondycji NAP.

Klient NAP to komputer, który może dostarczać informacje o stanie kondycji służące do oceny kondycji systemu. Punkt wymuszania NAP to komputer lub urządzenie dostępu do sieci, które wykorzystuje lub może wykorzystywać ochronę dostępu do sieci, aby wymuszać ocenę stanu kondycji klienta NAP i zapewniać ograniczony dostęp do sieci lub komunikacji. Serwer zasad dotyczących kondycji NAP to komputer z systemem Windows Server® 2008 oraz usługą Network Policy Server (NPS), na którym przechowywane są zasady wymagań dotyczących kondycji oraz który przeprowadza ocenę kondycji klientów NAP. Serwer zasad kondycji NAP oraz punkty wymuszania NAP wymieniają informacje o kondycji systemu oraz instrukcje ograniczonego dostępu przy użyciu komunikatów serwera usługi telefonujących użytkowników zdalnego uwierzytelniania (RADIUS) oraz proxy.

W tym artykule opisane zostaną składniki zasady, która zawiera wymagania dotyczące kondycji. A ponadto będzie można dowiedzieć się, w jaki sposób usługa NPS przetwarza przychodzące żądania oraz w jaki sposób rozwiązywać najczęstsze problemu związane z wymuszaniem ochrony NAP.

Zasady zawierające wymagania dotyczące kondycji

Zasada wymagań dotyczących kondycji to kombinacja zasady żądań połączeń, jednej lub więcej zasad sieciowych, jednej lub więcej zasad dotyczących kondycji oraz ustawień NAP dla metody wymuszania NAP. Do tworzenia zasady wymagań dotyczących kondycji należy użyć kreatora Konfiguruj ochronę dostępu do sieci (Configure NAP Wizard) w przystawce Serwer zasad sieciowych (Network Policy Server) (więcej informacji na temat procesu oceniania zawiera ramka "W jaki sposób działa ocena kondycji NAP").

Zasady żądań połączeń Są to uporządkowane zestawy reguł, które umożliwiają usłudze NPS określanie, czy żądanie połączenia przychodzącego powinno być przetwarzane lokalnie czy przesłane dalej na inny serwer RADIUS. Serwer zasad kondycji NAP lokalnie przetwarza żądania połączeń.

Przychodzące żądanie RADIUS z punktów wymuszania NAP z systemem Windows® mogą zawierać etykietę źródła, który określa typ punktu wymuszania NAP, jak np. serwer DHCP (serwer protokołu dynamicznej konfiguracji hosta) lub serwer VPN (serwer wirtualnej sieci prywatnej).

Jeśli przychodzący komunikat żądania zawiera etykietę źródła, usługa NPS na serwerze zasad kondycji NAP usiłuje dopasować żądanie jedynie do tych zasad żądań połączeń z pasującym źródłem (wszystkie pozostałe zasady żądań połączeń są ignorowane). Natomiast jeśli przychodzący komunikat żądania nie zawiera etykiety źródła, usługa NPS usiłuje dopasować żądanie do zasad żądań połączeń z nieokreślonym źródłem (wszystkie pozostałe zasady żądań połączeń, które określają źródło, są ignorowane).

Na przykład, przychodzące żądania z serwerem DHCP z włączoną ochroną dostępu do sieci określają etykietę źródła jako DHCP. Usługa NPS usiłuje dopasować żądania pochodzące z serwera DHCP do zasad żądań połączeń z źródłem DHCP. Żądania przychodzące z przełączników (ang. switch) z wsparciem dla 802.1X oraz punktów dostępu bezprzewodowego nie określają etykiety źródła. Usługa NPS usiłuje dopasować te żądania do zasad żądań połączeń bez określonego źródła.

Zasada żądań połączeń, która decyduje o lokalnym lub zdalnym przetwarzaniu, stanowi pierwszą pasującą zasadę żądań połączeń na uporządkowanej liście podzbioru zasad, które odnoszą się do przychodzącego żądania. Jeśli żądanie nie pasuje do żadnej zasady żądań połączeń, jest ono odrzucane.

Zasady sieciowe Są to uporządkowane zestawy reguł określające okoliczności, w których próby połączenia, odpowiadające przychodzącym komunikatom żądania, są autoryzowane lub odrzucane. Dla każdej reguły istnieje uprawnienie dostępu (które zezwala na dostęp lub go odmawia), zestaw warunków, zestaw warunków ograniczających oraz ustawienia zasady sieciowej. Jeśli połączenie jest autoryzowane, warunki ograniczające oraz ustawienia zasad sieciowych mogą określać ograniczenia połączenia. W przypadku ochrony NAP, zasady sieciowe mogą określać warunek zasady kondycji, który kontroluje wymagania dotyczące kondycji i ustawienia mechanizmu wymuszania.

Podobnie jak zasady żądań połączeń, zasady sieciowe wykorzystują etykietę źródła do określenia, które zasady sieciowe mają zostać dopasowane do przychodzącego żądania. Jeśli przychodzący komunikat żądania zawiera etykietę źródła, usługa NPS usiłuje dopasować żądanie jedynie do zasad sieciowych z pasującym źródłem (wszystkie pozostałe zasady sieciowe są ignorowane). Jeśli przychodzący komunikat żądania nie zawiera etykiety źródła, usługa NPS usiłuje dopasować żądanie do zasad sieciowych z nieokreślonym źródłem (wszystkie pozostałe zasady sieciowe, które określają źródło, są ignorowane).

Zasada sieciowa wykorzystana do autoryzacji lub oceny zdrowia stanowi pierwszą dopasowaną zasadę sieciową na uporządkowanej liście podzbioru zasad, które odnoszą się do próby połączenia. Jeśli żądanie nie pasuje do żadnej zasady sieciowej, jest ono odrzucane.

Zasady kondycji Pozwalają na określanie wymagań dotyczących kondycji przy użyciu zainstalowanych modułów sprawdzania kondycji (SHV). Zasada określa, czy klienci NAP muszą pozytywnie/negatywnie przejść którykolwiek/wszystkie kontrole przeprowadzane przez wybrane moduły SHV. Na przykład zasada kondycji dla zgodnych z wymogami klientów NAP może określać, że klient musi przejść wszystkie kontrole kondycji. A zasada kondycji dla niezgodnych z wymogami klientów NAP może określać, że klient musi uzyskać negatywny wynik choć jednej kontroli bądź wszystkich kontroli kondycji.

Ustawienia ochrony dostępu do sieci Składają się one z konfiguracji modułów SHV, które są instalowane na serwerze zasad kondycji NAP i określają wymagania dotyczące kondycji oraz warunki błędów, a także grup serwerów korygujących, które określają zbiory serwerów dostępne dla niezgodnych z wymogami klientów NAP z ograniczonym dostępem do sieci dla metod wymuszania DHCP oraz VPN.

 Do początku strony Do początku strony

Określanie zakresu problemów związanych z wymuszaniem ochrony NAP

Logiczne wnioskowanie przydaje się podczas rozwiązywania każdego problemu. Pewne typowe pytania, które należy sobie zadać w takiej sytuacji, to między innymi: Co działa? Co nie działa? Jaki jest związek między elementami działającymi a niedziałającymi? Czy niedziałające elementy kiedykolwiek działały? Jeśli tak, jakie zmiany zaszły od momentu, kiedy działały po raz ostatni?

Recz jasna, w przypadku radzenia sobie z problemami wymuszania ochrony dostępu do sieci pytania te stają się bardziej konkretne. Czy połączenie lub łączność działała przed wdrożeniem metody wymuszania ochrony NAP? Na przykład, czy serwer IPsec (Internet Protocol security) lub izolacja domeny działały przed wdrożeniem mechanizmu wymuszania IPsec? Czy uwierzytelnianie 802.1X działało przed wdrożeniem mechanizmu wymuszania 802.1X? Czy zdalny dostęp VPN działał przed wdrożeniem mechanizmu wymuszania VPN? Czy serwer DHCP działał przed wdrożeniem mechanizmu wymuszania DHCP?

Co więcej, czy określona metoda wymuszania NAP działała wcześniej? Jeśli tak, co zmieniło się po stronie klienta klient NAP, w punkcie wymuszania NAP lub na serwerze zasad kondycji NAP? Odpowiedzi na te pytania mogą wskazywać, od którego obszaru należy rozpocząć rozwiązywanie problemu, umożliwiając odizolowanie komponentu, warstwy lub obszaru konfiguracji będącego przyczyną nieprawidłowości.

W przypadku rozwiązywania ogólnych problemów związanych z wymuszaniem ochrony NAP, należy określić zakres problemu. Pierwszy krok polega na zastanowieniu się, czy wina faktycznie leży po stronie mechanizmu wymuszania NAP. W przypadku wymuszania IPsec należy określić, czy klient NAP posiada odpowiedni zestaw zasad IPsec do negocjacji oraz ochrony danych. W przypadku wymuszania DHCP należy sprawdzić, czy klient NAP może wymieniać komunikaty DHCP z serwerem DHCP. W przypadku wymuszania 802.1X oraz VPN należy określić, czy klient NAP może pomyślnie się uwierzytelnić. Na przykład, jeśli klienci VPN nie mogą dokonać uwierzytelniania dla połączenia VPN, należy zweryfikować ustawienia i poświadczenia klientów VPN.

Po ustaleniu, że problem leży po stronie wymuszania ochrony NAP, kolejny krok polega na określeniu jego zasięgu. Czy problem dotyczy wszystkich klientów NAP dla wszystkich wymuszeń NAP? Czy problem dotyczy wszystkich klientów NAP dla określonej metody wymuszania? Czy problem dotyczy wszystkich klientów NAP dla określonej metody wymuszania i punktu wymuszania NAP? Czy problem dotyczy wszystkich klientów NAP, którzy są członkami określonej grupy? Czy problem dotyczy tylko określonego klienta NAP?

Na przykład, jeśli wszyscy klienci NAP doświadczyli problemów dla wszystkich typów metod wymuszeń NAP, może to wynikać z nieodpowiedniej konfiguracji serwerów zasad kondycji NAP. Jeśli wszyscy klienci NAP doświadczyli problemów z określoną metodą wymuszania NAP, być może wynika to z nieodpowiedniej konfiguracji ustawień zasad grupy dla klientów NAP lub zasad kondycji dla określonej metody wymuszania NAP na serwerach zasad kondycji NAP. Jeśli tylko wybrani klienci NAP doświadczyli problemów związanych z wymuszaniem NAP, być może posiadają oni nieodpowiednią konfigurację dla wymuszenia NAP.

 Do początku strony Do początku strony

Typowe problemy z wymuszaniem ochrony dostępu do sieci

Nieograniczony dostęp Gdy klient NAP posiada nieograniczony dostęp, może to wynikać z tego, że został oceniony jako zgodny z wymogami przez serwer zasad kondycji NAP. Dokładnie tego oczekiwaliśmy. Jednak nieograniczony dostęp mógł również zostać przyznany, ponieważ klient NAP nie otrzymał odpowiedzi SSoHR, co zazwyczaj ma miejsce, gdy ocena kondycji dla danego klienta NAP nie jest przeprowadzana. Gdy nie ma oceny NAP, odpowiedź SSoHR nie jest odsyłana do klienta NAP i klient NAP otrzymuje nieograniczony dostęp.

Na przykład, klient NAP skonfigurowany przy użyciu wymuszenia DHCP wyśle swój SSoHR do serwera DHCP. Jeśli na serwerze DHCP z systemem Windows Server 2008 nie została skonfigurowana ochrona NAP, nie będzie on przesyłał komunikatów żądania oceny kondycji do serwera zasad kondycji NAP. Co więcej, serwer DHCP z systemem Windows Server 2008 i skonfigurowaną ochroną NAP, który nie może połączyć się z serwerem zasad kondycji NAP, domyślnie przypisuje konfigurację adresu dla nieograniczonego dostępu.

Nieograniczony dostęp może również wystąpić, gdy serwer zasad kondycji NAP nie dokonał oceny kondycji, ponieważ przychodzące żądanie zostało powiązane z zasadą sieciową, która nie wymaga oceny kondycji NAP. Informacje na temat procedury ustalania, która zasada sieciowa została dopasowana do żądania klienta NAP, znaleźć można w części tego artykułu zatytułowanej "Rozwiązywanie problemów z wymuszaniem ochronny NAP krok po kroku".

Ograniczony dostęp Klient NAP, który posiada ograniczony dostęp, został oceniony jako niezgodny z wymogami przez serwer zasad kondycji NAP. Jeśli klient NAP ma ograniczony dostęp, ale powinien posiadać nieograniczony dostęp, należy zweryfikować stan kondycji klienta NAP na tle ustawień zasady kondycji, która odpowiada zasadzie sieciowej dopasowanej do żądania klienta NAP.

Brak automatycznego korygowania Odpowiednio skonfigurowani klienci NAP mogą automatycznie korygować swój stan kondycji. Jeśli klienci NAP nie mogą dokonywać automatycznego korygowania, należy sprawdzić, czy zaznaczone jest pole wyboru Włącz automatyczne korygowanie komputerów klienckich (Enable Auto-Remediation of Client Computers) w ustawieniach wymuszania ochrony dostępu do sieci w zasadzie sieciowej, która odpowiada żądaniu klienta NAP.

Inny problem, który może wpływać na automatyczne korygowanie, występuje wtedy, gdy klient NAP o ograniczonym dostępie nie może połączyć się z serwerami korygującymi w celu pobrania aktualizacji. W przypadku wymuszania IPsec, należy zweryfikować, czy dla serwerów korygujących zastosowana została odpowiednia zasada IPsec. W przypadku wymuszania 802.1X, należy sprawdzić ustawienia odpowiedniej zasady sieciowej, która przypisuje listę kontroli dostępu (ACL) lub identyfikator sieci VLAN, a także zweryfikować konfigurację ACL lub VLAN dla przełączników lub punktów dostępu bezprzewodowego. W przypadku wymuszania VPN lub DHCP, należy skontrolować ustawienia w odpowiedniej zasadzie sieciowej dla grupy serwerów korygujących oraz upewnić się, że wszystkie serwery korygujące są skonfigurowane jako członkowie grupy. W przypadku wymuszania DHCP, należy sprawdzić, czy prawidłowo skonfigurowane zostały opcje zakresu DHCP dla klientów NAP, takie jak wartość opcji Brama domyślna (Default Gateway) dla klasy użytkowników NAP.

Brak oceny ochrony NAP W przypadku każdej metody wymuszania NAP, należy zweryfikować, czy dany klient wymuszania jest włączony na maszynie klienta NAP. W przypadku wymuszania 802.1X oraz VPN, należy sprawdzić, czy klient NAP ma włączone sprawdzanie stanu systemu dla metody uwierzytelniania PEAP w zasadzie żądań połączeń oraz kliencie NAP (zaznaczone jest pole wyboru Włącz testy kwarantanny [Enable Quarantine Checks] w oknie dialogowym Właściwości chronionego protokołu EAP [Protected EAP Properties]).

Klient NAP nie ma dostępu do Intranetu pomimo braku ograniczeń W przypadku wymuszania IPsec, należy sprawdzić, czy zasada IPsec dla zgodnych z wymogami klientów NAP oraz zasada IPsec komputerów intranetowych mają wspólny zestaw ustawień negocjacji i ochrony. W przypadku wymuszania 802.1X należy potwierdzić, że zasada sieciowa dla zgodnych z wymogami klientów NAP określa ACL lub VLAN ID dla intranetu, zamiast ograniczonej sieci. Należy zweryfikować konfigurację ACL lub identyfikatora VLAN dla intranetu na przełącznikach lub punktach dostępu bezprzewodowego. W przypadku wymuszania VPN, należy upewnić się, że w zasadzie sieciowej dla zgodnych z wymogami klientów NAP nie są skonfigurowane filtry pakietów IP, które ograniczają dostęp do klientów VPN.

 Do początku strony Do początku strony

Rozwiązywanie problemów z wymuszaniem ochronny NAP krok po kroku

Jeden ze sposobów realizacji procesu rozwiązywania problemów związanych z wymuszaniem NAP dla określonego klienta NAP polega na: rozpoczęciu od konfiguracji klienta NAP, sprawdzeniu dziennika zdarzeń klienta NAP, a następnie ustaleniu na serwerze zasad kondycji NAP, w jaki sposób usługa NPS przetworzyła żądanie klienta NAP.

Krok 1: Sprawdzenie konfiguracji klienta NAP Konfiguracja klienta NAP składa się z usług systemu Windows, klientów wymuszania oraz ustawień charakterystycznych dla wymuszania NAP. Do wyświetlenia informacji o stanie i konfiguracji klienta NAP należy użyć poleceń netsh nap client show state oraz netsh nap client show configuration.

Warto mieć świadomość, że gdy ustawienia klienta NAP są dostarczane przez Zasady grupy, wszystkie lokalne ustawienia klienta NAP są ignorowane. W takiej sytuacji należy użyć polecenia netsh nap client show grouppolicy w celu wyświetlenia bazującej na Zasadach grupy konfiguracji klienta NAP i dokonania zmian za pośrednictwem Zasad grupy.

W przypadku wymuszania IPsec na komputerze z systemem Windows Vista®, należy użyć polecenia net start w celu upewnienia się, że uruchomione są usługi Network Access Protection Agent, IKE and AuthIP IPsec Keying Module oraz IPsec Policy Agent. Ponadto należy użyć polecenia netsh nap client show configuration w celu sprawdzenia, czy włączony jest klient wymuszania Jednostka uzależniona IPsec (IPsec Relying Party). Jeśli to konieczne, należy użyć przystawki Konfiguracja klienta ochrony dostępu do sieci (NAP Client Configuration) do włączenia klienta wymuszania Jednostka uzależniona IPsec lub użyć polecenia netsh nap client set enforcement 79619 enabled. Polecenia netsh nap client set enforcement powinny być uruchamiane z wiersza polecenia z podniesionymi przywilejami.

W przypadku wymuszania 802.1X na komputerze z systemem Windows Vista, należy użyć polecenia net start w celu upewnienia się, że uruchomione są usługi Extensible Authentication Protocol, Network Access Protection Agent, Wired AutoConfig (do wymuszania 802.1X w połączeniach przewodowych) oraz WLAN AutoConfig (do wymuszania 802.1X w połączeniach bezprzewodowych).

Należy ponownie użyć polecenia netsh nap client show configuration w celu sprawdzenia, czy włączony jest klient wymuszania kwarantanny EAP. Jeśli to konieczne, należy użyć przystawki Konfiguracja klienta ochrony dostępu do sieci (NAP Client Configuration) do włączenia klienta egzekwowania kwarantanny EAP lub użyć polecenia netsh nap client set enforcement 79623 enabled. Należy zweryfikować, czy zaznaczone jest pole wyboru Włącz testy kwarantanny (Enable Quarantine Checks) we właściwościach metody uwierzytelniania Chronionego protokołu EAP dla połączenia przewodowego lub bezprzewodowego.

W przypadku wymuszania VPN na komputerze z systemem Windows Vista, należy użyć polecenia net start w celu upewnienia się, że uruchomione są usługi Extensible Authentication Protocol, Network Access Protection Agent oraz Remote Access Connection Manager.

Należy użyć polecenia netsh nap client show configuration do sprawdzenia, czy włączony jest klient wymuszania kwarantanny dostępu zdalnego. Jeśli to konieczne, należy użyć przystawki Konfiguracja klienta ochrony dostępu do sieci do włączenia klient wymuszania kwarantanny dostępu zdalnego lub użyć polecenia netsh nap client set enforcement 79618 enabled. Należy zweryfikować, czy zaznaczone jest pole wyboru Włącz testy kwarantanny we właściwościach metody uwierzytelniania Chronionego protokołu EAP dla połączenia VPN.

W przypadku wymuszania DHCP na komputerze z systemem Windows Vista, należy użyć polecenia net start w celu upewnienia się, że uruchomione są usługi Network Access Protection Agent oraz DHCP Client. Jeśli to konieczne, należy użyć przystawki Usługi (Services) lub Sc.exe do uruchomienia tych usług i skonfigurowania ich automatycznego uruchamiania.

Należy użyć polecenia netsh nap client show configuration do sprawdzenia, czy włączony jest klient wymuszania kwarantanny DHCP. Jeśli to konieczne, należy użyć przystawki Konfiguracja klienta ochrony dostępu do sieci do włączenia klienta egzekwowania kwarantanny DHCP lub użyć polecenia netsh nap client set enforcement 79617 enabled.

Krok 2: Sprawdzenie dziennika zdarzeń klienta NAP Należy użyć przystawki Podgląd zdarzeń (Event Viewer) do sprawdzenia zdarzeń, które znajdują się w dzienniku zdarzeń stworzonym przez usługę Network Access Protection Agent. Na komputerach z systemem Windows Vista należy użyć przystawki Podgląd zdarzeń do wyświetlenia zdarzeń w dzienniku Dzienniki aplikacji i usług (Applications and Services Logs)\Microsoft\Windows\Network Access Protection\Operational. Na komputerach z systemem Windows XP z dodatkiem SP3 należy użyć przystawki Podgląd zdarzeń do wyświetlenia zdarzeń NAP znajdujących się w dzienniku zdarzeń System.

Ze zdarzeń klienta NAP należy wyłuskać identyfikator korelacji dla oceny kondycji klienta NAP. Następnie można wykorzystać ten identyfikator korelacji lub nazwę komputera klienta NAP do odnalezienia odpowiednich zdarzeń oceny kondycji na serwerze zasad kondycji NAP. Rysunek 1 prezentuje przykład zdarzenia dla niezgodnego z wymogami klienta NAP z identyfikatorem korelacji (correlation ID).

Rysunek 1: Przykład zdarzenia klienta NAP w systemie Windows Vista.

Krok 3: Sprawdzenie dziennika zdarzeń serwera NPS Na serwerze zasad kondycji NAP należy użyć przystawki Podgląd zdarzeń do wyświetlenia zdarzeń z dziennika Dzienniki systemu Windows (Windows Logs)\Zabezpieczenia (Security) stworzonego przez usługę NPS. Aby wyświetlić zdarzenia NPS w Podglądzie zdarzeń, należy otworzyć Widoki niestandardowe (Custom Views) i Role serwera (Server Roles), a następnie kliknąć opcję Usługi zasad sieciowych i dostępu sieciowego (Network Policy and Access Services). Aby wyświetlić w trybie online temat pomocy powiązany z tym zdarzeniem, należy kliknąć łącze "Pomoc online" (Event Log Online Help) znajdujące się na karcie Ogólne (General) zdarzenia.

Typowe zdarzenie oceny kondycji NAP posiada identyfikator zdarzenia ID 6278 (dla nieograniczonego dostępu) lub 6276 (dla ograniczonego dostępu). Należy odnaleźć odpowiednie zdarzenie na serwerze zasad kondycji NAP w oparciu o nazwę komputera klienta NAP (pole Account Name w sekcji Client Machine opisu zdarzenia) lub identyfikator korelacji (pole Session Identifier w sekcji Quarantine Information opisu zdarzenia).

Zdarzenia dziennika zdarzeń NPS o identyfikatorach 6278 oraz 6276 zawierają informacje dotyczące oceny kondycji NAP, takie jak nazwa, zastosowana zasada żądań połączeń (pole Proxy Policy Name w sekcji Authentication Details opisu zdarzenia) oraz zastosowana zasada sieciowa (pole Network Policy Name w sekcji Authentication Details opisu zdarzenia). Rysunek 2 prezentuje przykładową kartę Details zdarzenia o identyfikatorze 6276 z polami Prefix Policy Name, Network Policy Name oraz identyfikatorem korelacji (nazwanym QuarantineSessionID). Jest to zdarzenie zasady dotyczącej kondycji NAP odpowiadające zdarzeniu w systemie Windows Vista klienta NAP, które zostało zaprezentowane na Rysunku 1.

Rysunek 2: Przykład zdarzenia serwera zasad kondycji NAP.

Jeśli nie istnieje zdarzenie odpowiadające zdarzeniu po stronie klienta NAP, należy sprawdzić, czy uruchomiona jest usługa Network Policy Server oraz czy punkt wymuszania NAP posiada prawidłową konfigurację i czy wykorzystuje serwer zasad dotyczących kondycji NAP jako serwer RADIUS. Należy także sprawdzić, czy istnieje możliwość przesyłania komunikatów RADIUS między punktem wymuszania NAP a serwerem zasad kondycji NAP.

Wykonanie powyższych trzech kroków powinno pomóc w odkryciu, dlaczego wymuszanie NAP nie działa zgodnie z oczekiwaniami. Adresy dodatkowych artykułów dotyczących ochrony dostępu do sieci zostały umieszczone w sekcji "Dodatkowe informacje na temat ochrony NAP".

 Do początku strony Do początku strony

W jaki sposób działa ocena kondycji NAP

Usługa NPS na serwerze zasad kondycji NAP wykorzystuje następujący proces do dokonania oceny kondycji:

1. Usługa NPS porównuje przychodzący komunikat żądania ze skonfigurowanym zestawem zasad żądań połączeń. Dla ochrony NAP komunikat żądania powinien pasować do zasady żądań połączeń, która określa, że usługa NPS realizuje uwierzytelnianie i autoryzację w sposób lokalny. Zasada żądań połączeń może również narzucać wymagania dotyczące połączenia. Na przykład dla wymuszania 802.1X oraz VPN zasada żądań połączeń wymaga użycia metody uwierzytelniania bazującej na protokole PEAP (Protected Extensible Authentication Protocol). Jeśli nawiązujący połączenie klient nie wykorzystuje protokołu PEAP, żądanie połączenia zostaje odrzucone.

2. Usługa NPS ocenia informacje o kondycji znajdujące się w komunikacie żądania, który składa się z systemowego raportu o kondycji (SSoH) zawierającego informacje o stanie kondycji. Usługa NPS przekazuje informacje o stanie kondycji do swoich zainstalowanych modułów SHV, które zwracają ocenę kondycji do usługi NPS.

3. Usługa NPS porównuje komunikat żądania oraz ocenę kondycji z modułów SHV z odpowiednim zbiorem zasad sieciowych. Ocena kondycji jest porównywana z warunkami zasady dotyczącej kondycji dla bazujących na NAP zasad sieciowych. Warunki zasad dotyczących kondycji określają warunki dla stanu zgodnego lub niezgodnego z wymogami. Usługa NPS stosuje pierwszą pasującą zasadę sieciową dla komunikatu żądania.

4. W oparciu o pasującą zasadę sieciową oraz powiązane z nią ustawienia NAP, usługa NPS tworzy odpowiedź dla systemowego raportu o kondycji (SSoHR). Ta odpowiedź zawiera oceny kondycji pochodzące z modułów SHV i wskazuje, czy klient NAP posiada nieograniczony bądź ograniczony dostęp oraz czy klient NAP powinien próbować automatycznie skorygować swój stan kondycji.

5. Usługa NPS przesyła komunikat żądania RADIUS wraz z raportem SSoHR do punktu wymuszania NAP. Jeśli klientowi przyznany został ograniczony dostęp, komunikat odpowiedzi może również zawierać instrukcje, które określają, w jaki sposób dostęp klienta NAP jest ograniczony.

6. Punkt wymuszania NAP przesyła raport SSoHR do klienta NAP.

 Do początku strony Do początku strony

Dodatkowe informacje na temat ochrony NAP

Introduction to Network Access Protection

Network Access Protection Platform Architecture

Network Access Protection Policies in Windows Server 2008

NPS Network Access Protection

O autorze

Joseph Davies pracuje jako autor techniczny w firmie Microsoft i od 1992 roku zajmuje się uczeniem i pisaniem o zagadnieniach związanych z sieciami Windows. Napisał osiem książek wydanych przez Microsoft Press i jest autorem artykułów online publikowanych co miesiąc w ramach serii TechNet Cable Guy.

 Do początku strony Do początku strony

Windows Server 2008