Windows “Foks” Blog

Zapewne wielu z czytelników przeglądając w ostatnich dniach newsy na portalach traktujących o technologiach Microsoft mogła spotkać się z nagłówkami w rodzaju “Service Pack 3 breaks Windows Home Server”. W poniższym poście postaram się krótko wyjaśnić “o co naprawdę chodzi”.

Problem

Użytkownik wpisując w przeglądarce adres w domenie *.homeserver.com przekierowywany jest na stronę “powitalną” swojego serwera. Następnie wspomniany użytkownik chce połączyć się ze swoim komputerem, który działa pod kontrolą systemu Windows XP z zainstalowanym dodatkiem Service Pack 3 (Remote Access). Co się dzieje? Pojawia się monit z sugestią, aby strona została dodana do zaufanych witryn – niestety nawet wykonanie polecenia nie przyniesie rezultatów, połączenie z domowym komputerem będzie niemożliwe.

Dlaczego problem wystąpił?

W Service Pack 3 ze względów bezpieczeństwa wyłączono domyślnie Terminal Services ActiveX, który wymagany jest właśnie przez Terminal Services Web Access.

Rozwiązanie problemu

Rozwiązanie problemu jest dosyć proste i znane od… 15 stycznia. Odpowiedź znajdziemy na forum Microsoft TechNet ( RE:TS Web Access not working – ActiveX not installed or enabled – 15 Jan 2008, 11:16 PM UTC ).

1) Narzędzia, następnie Zarządzaj dodatkami i Włącz lub wyłącz dodatki - włączamy Terminal Services ActiveX

2) Jeżeli Terminal Services ActiveX nie jest dostępny na liście, należy usunąć następujące klucz rejestru:

HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{7390f3d8-0439-4c05-91e3-cf5cb290c3d0}

HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{4eb89ff4-7f78-4a0f-8b8d-2bf02e94e4b2}

Podusmowanie

Jak widać problem, nie jest tak rozległy, jak to opisują różne portale – na forach TechNet znajdziemy odpowiednie rozwiązanie. Czy będzie poprawka? Na to pytanie nie łatwo odpowiedzieć, gdyż chodzi o zmianę w SP3, który został niedawno wprowadzony. Polecam czekać i regularnie aktualizować system.

Microsoft udostępnił oficjalnie Service Pack 3 w ramach Windows Update, poinformowano również o dostępności SP3 w Windows Server Update Services. SP3 dostępny jest dopiero teraz, gdyż w ostatniej chwili pojawił się problem z komatybilnością pakietu z systemami, na których działa Microsoft Dynamics Retail Management System (szczegóły w artykule KB951937). Aby zainstalować SP3 należy skierować się na witrynę Windows Update. SP3 wdrażać mozemy spokojnie, jeżeli na naszym komputerze działa MS Dynamics RMS zadziała filtr, który zablokuje dalszy etap instalacji.

Dla osób, które chcą się dowiedzieć “co nowego w SP3″ polecam artykuł w języku polskim Omówienie dodatku Service Pack 3.

Dobra wiadomość dla posiadaczy subskrypcji TechNet – jak podano na oficjalnym blogu - właśnie udostępniono obraz płyty instalacyjnej Windows XP ze zintegrowanym Service Pack 3. Na dzień dzisiejszy dostępnych jest dziewięć wersji jezykowych: Chiński-uproszczony, Angielski, Francuski, Niemiecki, Włoski, Japoński, Koreański, Portugalski (Brazylia) oraz Hiszpański. Dodatkowe wersje jezykowe pojawią się wkrótce, gdy staną się oficjalnie dostępne.

Pobierz (główna witryna subskrypcji TechNet)

Klient NAP dla Windows XP, który wchodzi w skład trzeciego Service Pack wraz z samym dodatkiem osiągnął status RTM (“released to manufacturing”). Obecnie Service Pack 3 testować mogą już subskrybenci TechNet i MSDN, zaś na wczoraj zapowiadana była publiczna premiera dla angielskich wersji językowych.

W poniższej, krótkiej publikacji chciałbym pokazać w jaki sposób należy skonfigurować klienta NAP w przypadku systemów Windows Vista i Windows XP SP3.

Wprowadzenie do Network Access Protection

Network Access Protection – pisząc w dużym skórcie – to zbiór komponentów zawartych w systemie Windows Server 2008 pozwalajacych na stworzenie platformy weryfikacji “zdrowia” komputerów, które chcą komunikować się lub uzyskać dostęp do sieci prywatnej. Uzyskiwane jest to poprzez implementację, trafniej ujmując “granulację” wprowadzanych polityk. Przykładowo: komputer kliencki próbuje uzyskać dostęp do naszej prywatnej sieci, “przedstawia” stan zdrowia systemu. Jeżeli stan zdrowia systemu został zweryfikowany jako pozytywny (na podstawie polityk, które wprowadziliśmy), klient uzyskuje dostęp do sieci, jeżeli nie, komputer teoretycznie dostępu nie ma wcale lub do bardzo wąskiej liczby zasobów do czasu, aż “uchybienia” bezpieczeństwa zostaną skorygowane.

Komponentami architektury NAP są tzw. System Health Agents (SHA) oraz System Health Validators (SHV). Mówiąc o SHA mamy na myśli komponent z systemów Windows Vista oraz Windows XP Service Pack 3, który pełni funkcję “monitora” stanu Windows Security Center (Centrum Zabezpieczeń). SHV zaś to moduł z Windows Server 2008. Za ”wymuszanie” polityk zdrowia dla poszczególnych rodzajów połączenia odpowiadają “Enforcement Components“: Enforcement Clients i Enforcement Servers. Microsoft podaje w oficjalnej dokumentacji, że na całą infrastrukturę sieci z włączonym Network Access Protection składają się następujące elementy: NAP clients (czytaj następny akapit), NAP enforcement points (komputery bądź urządzenia korzystające z NAP bądź używane z NAP do weryfikacji kondycji zdrowia klientów), NAP health policy servers (komputery z działającym systemem Windows Server 2008 i usługą NAP, przechowuje polityki wymgań stanu zdrowia oraz weryfikujestan klienta) , health requirement servers (dostarczają aktualny stan zdrowia dla NAP health policy servers), AD Domain Service (usługa katalogowa Windows, która przechowuje dane kont i ustawienia oraz dane Group Policy) i restricted network (oddzielna, odseparowana sieć).

Wracając do tematu: “Czym jest klient NAP?”. Klient NAP to komputer, który wspiera platformę Network Access Protection. Na tym etapie warto napisać, jakie wersje systemów Windows mogą działać jako klient NAP – są to Windows Server 2008, Windows Vista oraz wspomniany w tytule Windows XP z Service Pack 3. I tu można zadać dodatkowe pytanie – “Słyszałem o kliencie NAP dla Windows XP SP2.” Owszem, taki oddzielny klient NAP dla SP2 był dostępny w programie beta, ale w tej chwili już wiadomo, że projekt nie będzie rozwijany i jedynym sposobem na rozwiązanie problemu jest aktualizacja XP SP2 do SP3.

Konfiguracja klientów wymuszania przy użyciu przystawki “Konfiguracja klienta ochrony dostępu do sieci”

W Windows Vista mamy do dyspozycji przystawkę Network Access Protection Client Configuration (napclcfg.msc), która umożliwia włączenie Enforcement Clients jednym kliknięciem (jak to przedstawiono na poniższym zrzucie). Nim uruchomimy przystawkę napclcfg.msc musimy zmienić ustawienia typu uruchamiania usługi Agent ochrony dostępu do sieci - dokunujemy zmiany z Ręczny na Automatyczny (domyślnie usługa ta jest wyłączona).

Niestety w przypadku Windows XP przystawka nie jest dostępna, dlatego posłużymy się wierszem poleceń.

Konfiguracja klientów wymuszania za pomocą polecenia netsh

Nim uruchomimy przystawkę napclcfg.msc musimy zmienić ustawienia typu uruchamiania usługi Agent ochrony dostępu do sieci - dokonujemy zmiany z Ręczny na Automatyczny (domyślnie usługa ta jest wyłączona). Następnie uruchamiamy Network Access Protection Client Configuration (Start -> pole wyszukiwania: napclcfg.msc. Wybieramy Klienci wymuszania.

Drugim sposobem na włączenie klienta wymuszania jest odpowiednie użycie polecenia netsh. Uruchamiamy wiersz polecenia z podwyższonym poziomem uprawnień. Wpisujemy:

netsh nap client set enforcement ID = 79617 ADMIN = “ENABLE”

Czym jest liczba w polu ID? Jest to identyfikator klienta wymuszania (79167 dla klienta egzekwowania protokołu DHCP; 79619 dla klienta egzekwowania zasad IPsec; 79623 dla klienta egzekwowania protokołu EAP; 79618 dla klienta egzekwowania dostępu zdalnego; 79621 dla klienta egzekwowania bramy usług terminalowych). Aby zmiany mogły zostać wprowadzone musimy ponownie uruchomić komputer.

Przy użyciu przystawki możemy również importować/eksportować ustawienia klienta NAP z/do pliku xml. W tym celu należy uruchomić napclcfg.msc, następnie wybrać opcję jak to przedstawiono poniżej:

Podsumowanie

Jak widać w przypadku Windows XP z Service Pack 3 sposób konfiguracji nie różni się znacząco od kroków jakie należy wykonać w Windows Vista. Mam nadzieję, że niniejszy post w podstawowym stopniu wyjaśnił czym jest NAP i jak należy go skonfigurować po stronie klienta. Na stronach Microsoft znajdziemy bardzo wiele artykułów, webcastów, dokumentacji etc., polecam odwiedzić Microsoft TechNet  ;-).