Win2008 R2之DA實戰：NAP搭建測試篇

Win2008 R2之DA實戰：NAP搭建測試篇

2010年05月21日02:00 來源： it168網站 做者：方建國 編輯： 楊曉勇 評論： 0條

本文Tag： Win2008 R2 Microsoft

　　【IT168 專稿】繼上篇爲NAP環境配置好DC以後(點擊)，這篇將描述NAP服務器的配置及客戶端測試。

　　1、配置NAP服務器

　　NPS1角色安裝

　　1. 首先在NPS1上安裝NPS和HRA角色，打開【服務器管理器】，點擊【添加角色】，選擇【網絡策略和訪問服務】，在【選擇角色服務】處，選中【網絡策略服務器】和【健康註冊機構】，在選擇證書頒發機構處，選擇遠程CA，而後指定企業根CA，如圖1
 

　　圖1

　　2. 身份驗證要求建議選中【否，容許匿名請求健康證書】，這樣非域用戶也能夠成爲NAP客戶端。如圖2
 

　　圖2

　　3. 加密證書選擇CA自動頒發的證書便可。若是此處沒有證書，請檢查組策略自動註冊設置是否生效。如圖3
 

　　圖3

　　由於健康註冊機構(HRA)要爲符合健康標準的計算機頒發系統健康證書，因此身爲健康註冊機構(HRA)角色的服務器，須要有選擇CA的證書管理管理權限：【頒發和管理證書】【管理CA】【請求證書】(若是CA和HRA服務器在同一臺計算機上，則須要給【network service】服務添加權限便可)。因此須要在DC的CA屬性中，添加NPS1，並賦予以上3個權限設置。如圖4
 

　　圖4

　　4. 以後的IIS設置，默認選項便可。

　　NPS1角色配置

　　1. 打開【網絡策略服務器】，點擊右側的【配置NAP】。如圖5
 

　　圖5

　　2. 網絡鏈接方式選擇【帶有HRA的IPsec】，其餘設置默認，完成便可。

　　3. 展開【網絡訪問保護】-【系統健康驗證程序】-【Windows 安全健康驗證】-【設置】，編輯設置，在這裏能夠針對不一樣系統設定符合健康策略的條件。此例中，我勾選Windows 7中的【啓用防火牆】和【啓用自動更新】.如圖6
 

　　圖6

　　4. 健康條件設定完了，須要指定更新服務器，讓不符合健康策略的計算機與更新服務器通信，獲取補救。新建一個更新服務器組，組內包含NPS1。如圖7
 

　　圖7

　　從圖中能夠看到，NPS1被自動解析後，返回的不只有IPV4【10.0.0.4】和IPV6【fe80::282c::b4d1:4448:a12c%11】的地址，還有ISATAP隧道適配器轉換地址【2002:836b:2:1:0:5efe:10.0.0.4】和【fe80::5efe:10.0.0.4%12】。

　　OK，NAP服務器配置完成，還須要在組策略中設定NAP客戶端的相關設置。

　　DC1組策略配置

　　1. 打開組策略管理，編輯【NAP Policy】，展開【計算機配置】-【策略】-【Windows設置】-【安全設置】-【系統服務】，找到【Network Access protection Agent】屬性，設定自動啓動服務。如圖8
 

　　圖8

　　2. 在【安全設置】-【網絡訪問保護】-【NAP客戶端配置】-【強制客戶端】中，啓用【IPsec 信賴方】如圖9
 

　　圖9

　　3. 在下面的【健康註冊設置】-【受信任的服務器組】中，新建【受信任的HRA服務器】，添加https://nps1.contoso.com/domainhra/hcsrvext.dll ，完成設置。如圖10

　　注：添加的URL要確保正確，不然NAP客戶端可能沒法得到健康證書
 

　　圖10

　　4. 返回到【計算機配置】-【策略】-【管理模板】-【Windows組件】-【安全中心】，啓用安全中心。如圖11
 

 

　　圖11

　　5. 此時在各服務器中強制刷新組策略，會在任務欄左下角的小旗處看到如圖12同樣的報錯，這個報錯實際上是由於SHA須要依賴安全中心，可是Windows Server 2008 並不含有安全中心形成的。若是不想看到這個報錯，能夠停掉當前服務器的NAP Agent服務，或者將【Windows安全健康驗證程序】屬性中【SHA沒法鏈接到所需服務】改成【符合】。微軟只將此問題列出，並未進行修復。相關連接請點擊。如圖13。
 

　　圖12
 

　　圖13

　　不過能夠將這些服務器放入【IPsec NAP Examption】組，置於外圍網絡，這樣就能夠忽略安全健康狀態，直接獲得系統健康證書，進行保護通訊了。

　　6. 若是要求非域用戶也能夠獲得此策略，則最好建立一個NAP Client組，將全部須要受到NAP保護的計算機都加入該組，而後在【組策略管理】中的【安全篩選】裏，加入該組便可。

　　2、NAP客戶端訪問測試

　　1. 此次咱們依然使用Client1來進行測試，先將它的網絡切換到域內，而後強制刷新組策略，獲取新的NAP策略設置。

　　2. 依次打開Client 1的【控制面板】-【系統和安全】-【操做中心】，這裏看到該計算機的安全保護設置。展開【安全】選項，拉到底部，能夠發現Client 1的網絡訪問保護功能已經啓用，如圖14
 

　　圖14

　　3. 此時打開防火牆設置，會在頂部多出這樣一行字【出於安全緣由，某些設置由系統管理員管理】。如圖15。而且此時是沒法手工關閉防火牆的，由於此時系統的某些安全設置已經被NAP服務代理管理，即便選中關閉防火牆後，系統在檢測到安全策略設置中的選項被更改，會強行再次按照安全策略的內容啓動防火牆。因爲此實驗安全策略選項我設置了防火牆和自動更新，因此這兩項設置都沒法改變。如圖15
 

　　圖15

　　4.在符合健康要求後，要檢查系統健康證書是否已經自動註冊，打開本地計算機【證書】，選擇【計算機帳戶】-【我的】-【證書】中，能夠看到已經自動註冊到得系統健康證書。如圖16
 

　　圖16

　　5.更新好組策略，此時能夠將Client 1移到"Ineternet"網絡中，即設定131.107.0.0/24段IP地址。因其自己就爲DA 客戶端，因此能夠直接經過DA服務器訪問內部資源。如圖17
 

　　圖17

　　至此，客戶端在IPsce NAP的保護下，經過Direct Access對企業內部資源就能夠實現安全快捷方便的訪問了。固然，NAP除了IPsec保護外，還可使用DHCP和IEEE 802.1X等多種方式，結合Direct Access技術，使企業的遠程安全訪問達到一個新的高度，身爲管理員的你，是否已經心動了呢。