КабельщикУстранение неполадок принудительного применения NAP

Джозеф Дэвис (Joseph Davies)

Новая платформа защиты доступа к сети (NAP), встроенная в Windows Vista, Windows Server 2008 и Windows XP SP3, упрощает защиту частной интрасети, обеспечивая принудительное выполнение требований, предъявляемых к работоспособности компьютера. Важнейшими компонентами NAP являются клиенты NAP, точки NAP и серверы политики работоспособности NAP.

Клиент NAP представляет собой компьютер, предоставляющий информацию о состоянии работоспособности для оценки работоспособности системы. Точка NAP представляет собой компьютер или устройство доступа к сети, которое использует NAP или может использоваться с NAP для запроса оценки состояния работоспособности клиента NAP и обеспечения ограниченного доступа к сети или ограниченного обмена данными по сети. Сервер политики работоспособности NAP представляет собой компьютер, на котором работает Windows Server® 2008 и служба сервера политик сети (NPS) и на котором хранятся политики требований к работоспособности и который выолняет оценки работоспособности клиентов NAP. Сервер политики работоспособности NAP и точки NAP обмениваются информацией о работоспособности системы и инструкциями для ограничения доступа с сервером RADIUS (Remote Authentication Dial-In User service) и сообщениями прокси.

В этой статье описываются компоненты политики требований к работоспособности, способ обработки службой NPS входящих запросов на оценку NAP и способ устранения наиболее распространенных неполадок, связанных с принудительным применением NAP.

Политики требований к работоспособности

Принцип выполнения оценки работоспособности NAP

Служба NPS на сервере политики работоспособности NAP использует для выполнения оценки работоспособности следующую процедуру.

1. Служба NPS входящее сообщение с запросом сравнивает со своим настроенным набором политик запросов на подключение. В случае NAP сообщение с запросом должно соответствовать политике запросов на подключение, в которой указано, что служба NPS выполняет проверку подлинности и авторизацию локально.
2. Служба NPS выполняет оценку информации о состоянии работоспособности, содержащуюся в сообщении с запросом, которая состоит из сводки SSoH (system statement of health), содержащей информацию о работоспособности. Служба NPS передает информацию о состоянии работоспособности своим установленным SHV (средство проверки работоспособности системы), которые возвращают службе NPS результат проверки работоспособности.
3. Служба NPS сообщение с запросом и информацию об оценке работоспособности, полученную от SHV, сравнивает с соответствующим набором сетевых политик. Информация об оценке работоспособности сравнивается с условием «Политика работоспособности» сетевых политик, основанных на NAP. В условии «Политика работоспособности» указываются условия соответствия или несоответствия требованиям, предъявляемым к работоспособности. Служба NPS применяет к сообщению с запросом первую соответствующую требованиям сетевую политику.
4. На основе соответствующей сетевой политики, основанной на NAP, и соответствующих ей параметров NAP, служба NPS создает сводку SSoHR (system statement of health response). В эту ответную сводку входит информация от средств SHV об оценке работоспособности и указывается, имеет ли клиент NAP неограниченный или ограниченный доступ, и должен ли клиент NAP автоматически выполнять попытку обновления состояния работоспособности.
5. Служба NPS отправляет в точку NAP ответное сообщение RADIUS со сводкой SSoHR. Если клиенту предоставлен ограниченный доступ, в ответном сообщении могут содержаться также инструкции, указывающие, каким образом ограничен доступ для клиента NAP.
6. Точка NAP отправляет SSoHR клиенту NAP.

Политика требований к работоспособности представляет собой сочетание политики запросов на подключение, одной или нескольких сетевых политик и параметров NAP для метода принудительного применения NAP. Для создания политики требований к работоспособности служит мастер настройки NAP, входящий в оснастку сервера сетевых политик. (Подробнее о процедуре оценки см. на боковой панели «Принцип выполнения оценки работоспособности NAP».)

Политики запросов на подключение Это упорядоченные наборы правил, позволяющие службе NPS определить, должен ли входящий запрос на подключение обрабатываться локально или передаваться на другой сервер RADIUS. Сервер политики работоспособности NAP обрабатывает запросы на подключение локально.

Входящие запросы RADIUS от точек NAP, использующих Windows®, могут содержать тег источника, указывающий тип точки NAP, например сервер DHCP (Dynamic Host Configuration Protocol) или сервер виртуальной частной сети (VPN).

Если входящее сообщение с запросом содержит тег источника, служба NPS на сервере политики работоспособности NAP выполняет попытку проверки этого запроса на соответствие только политикам запросов на подключение, имеющим соответствующий источник (все остальные политики запросов на подключение игнорируются). Если входящее сообщение с запросом не содержит тега источника, служба NPS выполняет попытку проверки этого запроса на соответствие политикам запросов на подключение, для которых не указан источник (все остальные политики запросов на подключение, в которых указываются источники, игнорируются).

Например, входящие запросы от сервера DHCP, поддерживающего NAP, указывают тег источника — DHCP. Служба NPS проверяет запросы от сервера DHCP на соответствие политикам запросов на подключение, имеющим в качестве источника DHCP. Входящие запросы от коммутаторов, поддерживающих 802.1X, и беспроводных точек доступа не указывают тег источника. Служба NPS проверяет эти запросы на соответствие политикам запросов на подключение, для которых источник не указан.

Политика запросов на подключение, используемая для оценки локальной или удаленной обработки, является первой подходящей политикой из упорядоченного списка подмножества политик, которые применяются к входящему запросу. Если запрос не соответствует ни одной из политик запросов на подключение, запрос отклоняется.

Сетевые политики Это упорядоченные наборы правил, указывающих условия, при которых попытки подключения, соответствующие сообщениям с входящими запросами, либо разрешаются, либо отклоняются. Для каждого правила предусмотрены права доступа, которые либо предоставляют доступ, либо отказывают в доступе, набор ограничений и параметры сетевой политики. Если подключение разрешено, в ограничениях и параметрах сетевой политики может быть указан набор ограничений для подключения. В случае NAP в сетевых политиках может быть указано условие политики работоспособности, которое должно выполняться для требований работоспособности и параметров принудительного применения поведения.

Точно так же, как в случае политик запросов на подключение, сетевые политики используют тег источника для определения сетевой политики, которую следует пытаться сопоставить входящему запросу. Если входящее сообщение с запросом содержит тег источника, служба NPS выполняет попытку проверки этого запроса на соответствие только сетевым политикам, имеющим соответствующий источник (все остальные сетевые политики игнорируются). Если входящее сообщение с запросом не содержит тега источника, служба NPS выполняет попытку проверки этого запроса на соответствие сетевым политикам, для которых не указан источник (все остальные сетевые политики, в которых указываются источники, игнорируются).

Сетевая политика, используемая для авторизации или оценки работоспособности, является первой подходящей сетевой политикой из упорядоченного списка подмножества политик, которые применяются к попытке подключения. Если попытка не соответствует ни одной из сетевых политик, запрос отклоняется.

Политики работоспособности Эти политики позволяют указать требования к работоспособности в терминах установленных средств проверки работоспособности (SHV), используемых для оценки работоспособности, и указать, должны ли клиенты NAP пройти или не пройти проверку какого-либо SHV или всех из выбранных SHV. Например, в политике работоспособности для клиентов NAP, удовлетворяющих требованиям, может быть указано, что клиент должен проходить все проверки работоспособности. В политике работоспособности для клиентов NAP, не удовлетворяющих требованиям, может быть указано, что клиент должен не пройти по крайней мере одну проверку работоспособности или все проверки работоспособности.

Параметры защиты доступа к сети К ним относится настройка средств SHV, установленных на сервере политики работоспособности NAP для требований работоспособности и состояний ошибок, и группы серверов обновлений, указывающие набор серверов, доступных клиентам NAP, не удовлетворяющим требованиям, с ограниченным доступом в сеть для методов принудительного применения DHCP и VPN.

Определение области, захватываемой проблемами принудительного применения NAP

При диагностике любой проблемы полезно применять логический подход. Обычно при поиске неполадок следует искать ответы на следующие вопросы: Что работает? Что не работает? Как между собой связаны вещи, которые работают и которые не работают? Работало ли когда-нибудь то, что сейчас не работает? Если да, то что изменилось с тех пор, когда оно еще работало?

Очевидно, что эти вопросы особенно осмысленны, когда речь идет о проблемах, связанных с принудительным применением NAP. Работали ли подключение или средства связи до развертывания метода принудительного применения NAP? Например, работал ли сервер IPsec (Internet Protocol security) или изоляция доменов до развертывания принудительного применения протокола IPsec? Работала ли проверка подлинности 802.1X до развертывания принудительного применения 802.1X? Работала ли удаленный доступ VPN до развертывания принудительного применения VPN? Работал ли протокол DHCP до развертывания принудительного применения DHCP?

Более того, работал ли ранее конкретный метод принудительного применения NAP? Если да, то что изменилось на клиенте NAP, точке NAP или сервере политики работоспособности NAP? Ответы на эти вопросы помогут определить место, откуда следует начинать поиск неполадок, и, возможно, позволят изолировать ошибку в компоненте, уровне или конфигурации, которые вызывают проблему.

Для общей диагностики проблем, связанных с принудительным применением NAP, необходимо определить область, захватываемую проблемой. Первое, что нужно сделать, это понять, действительно ли проблема связана с принудительным применением NAP. В случае принудительного применения IPsec следут определить, корректны ли политики IPsec клиента NAP для согласования узла IPsec и защиты данных. В случае принудительного применения DHCP следует выяснить, может ли клиент NAP обмениваться сообщениями DHCP с сервером DHCP. В случае принудительного применения 802.1X и VPN следует определить, может ли клиент NAP успешно выполнять проверку подлинности. Например, если клиенты VPN не могут выполнять проверку подлинности для подключения VPN, проверьте параметры проверки подлиности и учетные данные клиентов VPN.

Если выяснилось, что проблема связана с принудительным применением NAP, на следующем этапе следует определить ее масштаб. Затронуты ли все клиенты NAP для всех методов принудительного применения NAP? Затронуты ли все клиенты NAP для конкретного метода принудительного применения? Затронуты ли все клиенты NAP для конкретного метода принудительного применения конкретной точки NAP? Затронуты ли все клиенты NAP, входящие в конкретную группу? Затрагивает ли проблема только конкретный клиент NAP?

Например, если все клиенты NAP испытывают проблемы для методов принудительного применения NAP всех типов, возможно, проблемы связаны с настройкой серверов политики работоспособности NAP. Если все клиенты NAP испытывают проблемы с конкретным методом принудительного применения NAP, возможно, имеются проблемы настройки параметров групповой политики для клиентов NAP или проблемы политик требований к работоспособности для конкретного метода принудительного применения NAP на серверах политики работоспособности NAP. Если только конкретные клиенты NAP испытывают проблемы принудительного применения NAP, возможно, имеются проблемы настройки принудительного применения NAP для этих клиентов NAP.

Распространенные проблемы принудительного применения NAP

Материалы по NAP

• Введение в защиту доступа к сети
• Архитектура платформы защиты доступа к сети
• Политики защиты доступа к сети в Windows Server 2008
• Защита доступа к сети NPS

Неограниченный доступ Если клиент NAP обладает неограниченным доступом (он не ограничен), это может объясняться тем, что клиент NAP был оценен сервером политики работоспособности NAP как удовлетворяющий требованиям. Это именно то, что требуется. Однако неограниченный доступ может быть предоставлен по той причине, что клиент NAP не получил SSoHR, что обычно случается, если для клиента NAP не выполняется оценка работоспособности. Если отсутствует оценка работоспособности NAP, то не осуществляется обратная передача SSoHR клиенту NAP, и клиент NAP получает неограниченный доступ.

Например, клиент NAP, настроенный для принудительного применения DHCP, будет отправлять сводку SSoHR своему серверу DHCP. Если сервер DHCP,работающий под управлением Windows Server 2008, не настроен для NAP, он не будет отправлять серверу политики работоспособности NAP сообщения с запросом оценки работоспособности. Кроме того, работающий под управлением Windows Server 2008 сервер DHCP, настроенный для NAP, который не может связаться с сервером политики работоспособности NAP, по умолчанию присваивает конфигурацию адресов для неограниченного доступа.

Неограниченный доступ может оказаться также результатом невозможности выполнения оценки работоспособности сервером политики работоспособности NAP вследствие того, что входящий запрос соответствует сетевой политике, не требующей оценки работоспособности NAP. Информацию об определении сетевой политики, соответствующей запросу клиента NAP, см. в разделе «Пошаговое устранение неполадок принудительного применения NAP» данной статьи.

Ограниченный доступ Клиент NAP, обладающий ограниченным доступом, был оценен сервером политики работоспособности NAP как не удовлетворяющий требованиям. Если у клиента NAP имеется ограниченный доступ, но он должен иметь неограниченный доступ, сравните состояние работоспособности клиента NAP с параметрами политики работоспособности, соответствующими той сетевой политике, которая соответствует запросу клиента NAP.

Без автообновления При надлежащей настройке клиенты NAP могут автоматически обновлять свое состояние работоспособности. Если клиенты NAP не выполняют автообновление, проверьте, установлен ли флажок «Включить автообновление клиентских компьютеров» для тех параметров принудительного применения NAP сетевой политики, которые соответствуют запросу клиента NAP.

Еще одна проблема, влияющая на автообновление, заключается в том, что ограниченный клиент NAP не в состоянии связаться с серверами обновления для загрузки обновлений. В случае принудительного применения IPsec убедитесь в том, что серверы обновлений применяют правильную политику IPsec. В случае принудительного применения 802.1X проверьте параметры из соответствующей сетевой политики, которые отвечают за назначение списка управления доступом (ACL), или идентификатор виртуальной локальной сети (VLAN ID) и проверьте настройку ACL или VLAN для коммутаторов или точек беспроводного доступа (AP). В случае принудительного применения VPN или DHCP проверьте параметры из соответствующей сетевой политики для группы серверов обновлений и обеспечьте настройку всех серверов обновлений в качестве членов группы. В случае принудительного применения DHCP обеспечьте правильную настройку параметров области DHCP для клиентов NAP, например, значение параметра «Шлюз по умолчанию» для класа пользователей NAP.

Оценка «Не поддерживает NAP» Для любого метода принудительного применения NAP проверьте, включен ли на клиенте NAP соответствующий клиент принудительного применения. В случае принудительного применения 802.1X и VPN убедитесь, что на клиенте NAP проверка работоспособности системы для метода проверки подлинности PEAP включена как в политике запросов на подключение, так и на клиенте NAP (установлен флажок «Включить проверки в карантине» в диалоговом окне «Свойства защищенного EAP»).

Клиент NAP не ограничен, но не может связаться с интранет В случае принудительного применения IPsec обеспечьте, чтобы у политики IPsec для удовлетворяющих требованиям клиентов NAP и у политики IPsec компьютеров интранет был общий набор параметров согласования и защиты. В случае принудительного применения 802.1X подтвердите, что в сетевой политике для удовлетворяющих требованиям клиентов NAP указан ACL или VLAN ID для интранет, а не для ограниченной сети. Проверьте настройку ACL или VLAN ID для интранет на коммутаторах или беспроводных AP. В случае принудительного применения VPN убедитесь, что в сетевой политике для удовлетворяющих требованиям клиентов NAP нет настроенных фильтров пакетов IP, ограничивающих трафик клиентов VPN.

Пошаговое руководство по устранению неполадок принудительного применения NAP

Один из способов последовательного устранения неполадок принудительного применения NAP в случае конкретного клиента NAP состоит из следующих этапов. Сначала следует проверить конфигурацию клиента NAP — проверить журнал событий клиента NAP. Затем следует перейти к серверу политики работоспособности NAP, чтобы определить, как служба NPS обработала запрос клиента NAP.

Шаг 1: Проверка конфигурации клиента NAP В конфигурацию клиента NAP входят службы Windows, клиенты принудительного применения и специальные параметры, относящиеся к принудительному применению NAP. Для отображения состояния клиента NAP и информации о конфигурации служат команды netsh nap client show state и netsh nap client show configuration.

Обратите внимание, что если параметры клиента NAP предоставляются групповой политикой, тогда все параметры клиента NAP указываются в групповой политике, а все локальные параметры клиента NAP игнорируются. В этом случае следует использовать команду netsh nap client show grouppolicy для отображения конфигурации клиента NAP, основанного на групповой политике, и вносить изменения посредством групповой политики.

В случае принудительного применения IPsec на компьютере с Windows Vista® следует пользоваться командой net start для проверки факта запуска служб агента NAP, модуля создания ключей IKE и AuthIP IPsec и агента политики IPsec. Для проверки факта включения клиента принудительного применения стороны, использующей IPsec, служит команда netsh nap client show configuration. При необходимости следует использовать оснастку «Конфигурация клиента NAP» для включения клиента принудительного применения стороны, использующей IPsec, или команду netsh nap client set enforcement 79619 enabled. Команды netsh nap client set enforcement должны запускаться из командной строки с использованием повышенных привилегий.

В случае принудительного применения 802.1X на компьютере с Windows Vista следует пользоваться командой net start для проверки факта запуска служб Extensible Authentication Protocol, агента NAP, Wired AutoConfig (для принудительного применения 802.1X на проводных подключениях) и WLAN AutoConfig (для принудительного применнеия 802.1X на беспроводных подключениях).

Для проверки факта включения клиента принудительного применения карантина для EAP также следует пользоваться командой netsh nap client show configuration. При необходимости используйте оснастку «Конфигурация клиента NAP» для включения клиента принудительного применения карантина для EAP или команду netsh nap client set enforcement 79623 enabled. Проверьте, установлен ли флажок «Включить проверки в карантине» для свойств метода проверки подлинности защищенного EAP для проводного или беспроводного подключения.

В случае принудительного применения VPN на компьютере с Windows Vista следует пользоваться командой net start для проверки факта запуска служб EAProtocol, агента NAP и диспетчера подключений удаленного доступа.

Для проверки включения клиента принудительного применения карантина для удаленного доступа служит команда netsh nap client show configuration. При необходимости используйте оснастку «Конфигурация клиента NAP» для включения клиента принудительного применения карантина для удаленного доступа или пользуйтесь командой netsh nap client set enforcement 79618 enabled. Проверьте, установлен ли флажок «Включить проверки в карантине» для свойств метода проверки подлинности защищенного EAP для подключения VPN.

В случае принудительного применения DHCP на компьютере с Windows Vista следует пользоваться командой net start для проверки факта запуска служб агента NAP и клиента DHCP. При необходимости используйте оснастку служб или инструмент Sc.exe для запуска этих служб и настройки их на автоматический запуск.

Для проверки факта включения клиента принудительного применения карантина для DHCP пользуйтесь экранным выводом команды netsh nap client show configuration. При необходимости используйте оснастку «Конфигурация клиента NAP» для включения клиента принудительного применения карантина для DHCP или воспользуйтесь командной netsh nap client set enforcement 79617 enabled.

Шаг 2: Проверка журнала событий клиента NAP Используйте оснастку «Просмотр событий» для проверки событий в журнале событий, созданных службой агента NAP. На компьютерах, работающих под управлением Windows Vista, используйте оснастку «Просмотр событий» для просмотра событий в Applications and Services Logs\Microsoft\Windows\Network Access Protection\Operational. На компьютерах, работающих под управлением Windows XP с пакетом обновлений SP3, используйте оснастку «Просмотр событий» для просмотра событий NAP в системном журнале событий.

Исходя из событий клиента NAP, определите код корреляции для оценки работоспособности клиента NAP. Код корреляции или имя компьютера можно использовать для поиска соответствующего события оценки работоспособности на сервере политики работоспособности NAP. На рис. 1 показан пример события с кодом корреляции для не удовлетворяющего требованиям клиента NAP.

Figure 1** Пример события клиента Windows Vista NAP **(Щелкните изображение, чтобы увеличить его)

Шаг 3: Проверка журнала событий NPS На сервере политики работоспособности NAP используйте оснастку «Просмотр событий» для просмотра событий в журнале Windows Logs\Security, созданных службой агента NPS. Для просмотра событий NPS откройте в средстве просмотра событий «Настраиваемые представления», затем «Серверные роли», после чего выберите «Политики сети и службы доступа». Для просмотра раздела интерактивной справки, относящейся к событию, воспользуйтесь ссылкой «Веб-справка журнала событий» на вкладке «Общие» данного события.

Обычно события оценки работоспособности NAP имеют код события 6278 (для неограниченного доступа) или 6276 (для ограниченного доступа). Отыщите соответствующее событие сервера политики работоспособности NAP, исходя из имени компьютера клиента NAP (поле «Учетная запись» в разделе «Клиентский компьютер» описания события) или кода корреляции (поле «Идентификатор сеанса» в разделе «Информация о карантине» описания события).

В событиях 6278 и 6276 журнала событий NPS содержится информация об оценке работоспособности NAP, например имя соответствующей политики запросов на подключение (поле «Имя политики прокси» в разделе «Сведения о проверке подлинности» описания события) и соответствующей сетевой политики (поле «Имя сетевой политики» в разделе «Сведения о проверке подлинности» описания события). На рис. 2 приведен пример вкладки «Сведения» для события с идентификатором 6276, содержащей имя политики прокси, имя сетевой политики и код корреляции (с именем QuarantineSessionID). Это событие политики работоспособности NAP, соответствующее событию клиента Windows Vista NAP на рис. 1.

Figure 2** Пример события сервера политики работоспособности NAP **(Щелкните изображение, чтобы увеличить его)

Если нет события, соответствующего событию клиента NAP, проверьте факт запуска службы сервера политики сети и правильность настройки точки NAP для NAP и для использования сервера политики работоспособности NAP в качестве сервера RADIUS. Убедитесь, что сообщения RADIUS можно передавать между точкой NAP и сервером политики работоспособности NAP.

Выполнение этих трех шагов обеспечит выяснение причины, по которой принудительное применение NAP работает не предусмотренным образом. Дополнительную информацию о NAP см. в статьях, приведенных на боковой панели «Материалы по NAP».

Джозеф Дэвис (Joseph Davies) работает техническим писателем в Майкрософт и с 1992 года занимается преподаванием и пишет статьи на темы о работе в сети в среде Windows. На его счету восемь книг для издательства Microsoft Press, и он является автором ежемесячной рубрики «Кабельщик» веб-журнала TechNet.

© 2008 Корпорация Майкрософт и компания CMP Media, LLC. Все права защищены; полное или частичное воспроизведение без разрешения запрещено.