Win2008 R2之DA实战：NAP搭建测试篇

Win2008 R2之DA实战：NAP搭建测试篇

2010年05月21日02:00 来源： it168网站 做者：方建国 编辑： 杨晓勇 评论： 0条

本文Tag： Win2008 R2 Microsoft

　　【IT168 专稿】继上篇为NAP环境配置好DC以后(点击)，这篇将描述NAP服务器的配置及客户端测试。

　　1、配置NAP服务器

　　NPS1角色安装

　　1. 首先在NPS1上安装NPS和HRA角色，打开【服务器管理器】，点击【添加角色】，选择【网络策略和访问服务】，在【选择角色服务】处，选中【网络策略服务器】和【健康注册机构】，在选择证书颁发机构处，选择远程CA，而后指定企业根CA，如图1
 

　　图1

　　2. 身份验证要求建议选中【否，容许匿名请求健康证书】，这样非域用户也能够成为NAP客户端。如图2
 

　　图2

　　3. 加密证书选择CA自动颁发的证书便可。若是此处没有证书，请检查组策略自动注册设置是否生效。如图3
 

　　图3

　　由于健康注册机构(HRA)要为符合健康标准的计算机颁发系统健康证书，因此身为健康注册机构(HRA)角色的服务器，须要有选择CA的证书管理管理权限：【颁发和管理证书】【管理CA】【请求证书】(若是CA和HRA服务器在同一台计算机上，则须要给【network service】服务添加权限便可)。因此须要在DC的CA属性中，添加NPS1，并赋予以上3个权限设置。如图4
 

　　图4

　　4. 以后的IIS设置，默认选项便可。

　　NPS1角色配置

　　1. 打开【网络策略服务器】，点击右侧的【配置NAP】。如图5
 

　　图5

　　2. 网络链接方式选择【带有HRA的IPsec】，其余设置默认，完成便可。

　　3. 展开【网络访问保护】-【系统健康验证程序】-【Windows 安全健康验证】-【设置】，编辑设置，在这里能够针对不一样系统设定符合健康策略的条件。此例中，我勾选Windows 7中的【启用防火墙】和【启用自动更新】.如图6
 

　　图6

　　4. 健康条件设定完了，须要指定更新服务器，让不符合健康策略的计算机与更新服务器通信，获取补救。新建一个更新服务器组，组内包含NPS1。如图7
 

　　图7

　　从图中能够看到，NPS1被自动解析后，返回的不只有IPV4【10.0.0.4】和IPV6【fe80::282c::b4d1:4448:a12c%11】的地址，还有ISATAP隧道适配器转换地址【2002:836b:2:1:0:5efe:10.0.0.4】和【fe80::5efe:10.0.0.4%12】。

　　OK，NAP服务器配置完成，还须要在组策略中设定NAP客户端的相关设置。

　　DC1组策略配置

　　1. 打开组策略管理，编辑【NAP Policy】，展开【计算机配置】-【策略】-【Windows设置】-【安全设置】-【系统服务】，找到【Network Access protection Agent】属性，设定自动启动服务。如图8
 

　　图8

　　2. 在【安全设置】-【网络访问保护】-【NAP客户端配置】-【强制客户端】中，启用【IPsec 信赖方】如图9
 

　　图9

　　3. 在下面的【健康注册设置】-【受信任的服务器组】中，新建【受信任的HRA服务器】，添加https://nps1.contoso.com/domainhra/hcsrvext.dll ，完成设置。如图10

　　注：添加的URL要确保正确，不然NAP客户端可能没法得到健康证书
 

　　图10

　　4. 返回到【计算机配置】-【策略】-【管理模板】-【Windows组件】-【安全中心】，启用安全中心。如图11
 

 

　　图11

　　5. 此时在各服务器中强制刷新组策略，会在任务栏左下角的小旗处看到如图12同样的报错，这个报错实际上是由于SHA须要依赖安全中心，可是Windows Server 2008 并不含有安全中心形成的。若是不想看到这个报错，能够停掉当前服务器的NAP Agent服务，或者将【Windows安全健康验证程序】属性中【SHA没法链接到所需服务】改成【符合】。微软只将此问题列出，并未进行修复。相关连接请点击。如图13。
 

　　图12
 

　　图13

　　不过能够将这些服务器放入【IPsec NAP Examption】组，置于外围网络，这样就能够忽略安全健康状态，直接获得系统健康证书，进行保护通讯了。

　　6. 若是要求非域用户也能够获得此策略，则最好建立一个NAP Client组，将全部须要受到NAP保护的计算机都加入该组，而后在【组策略管理】中的【安全筛选】里，加入该组便可。

　　2、NAP客户端访问测试

　　1. 此次咱们依然使用Client1来进行测试，先将它的网络切换到域内，而后强制刷新组策略，获取新的NAP策略设置。

　　2. 依次打开Client 1的【控制面板】-【系统和安全】-【操做中心】，这里看到该计算机的安全保护设置。展开【安全】选项，拉到底部，能够发现Client 1的网络访问保护功能已经启用，如图14
 

　　图14

　　3. 此时打开防火墙设置，会在顶部多出这样一行字【出于安全缘由，某些设置由系统管理员管理】。如图15。而且此时是没法手工关闭防火墙的，由于此时系统的某些安全设置已经被NAP服务代理管理，即便选中关闭防火墙后，系统在检测到安全策略设置中的选项被更改，会强行再次按照安全策略的内容启动防火墙。因为此实验安全策略选项我设置了防火墙和自动更新，因此这两项设置都没法改变。如图15
 

　　图15

　　4.在符合健康要求后，要检查系统健康证书是否已经自动注册，打开本地计算机【证书】，选择【计算机帐户】-【我的】-【证书】中，能够看到已经自动注册到得系统健康证书。如图16
 

　　图16

　　5.更新好组策略，此时能够将Client 1移到"Ineternet"网络中，即设定131.107.0.0/24段IP地址。因其自己就为DA 客户端，因此能够直接经过DA服务器访问内部资源。如图17
 

　　图17

　　至此，客户端在IPsce NAP的保护下，经过Direct Access对企业内部资源就能够实现安全快捷方便的访问了。固然，NAP除了IPsec保护外，还可使用DHCP和IEEE 802.1X等多种方式，结合Direct Access技术，使企业的远程安全访问达到一个新的高度，身为管理员的你，是否已经心动了呢。