告别×××：帶你走進内網世界（四）——DC FOR NAP準備篇

<b>【IT168 專稿】</b>本篇為上次Direct Access成功搭建之後（1，2，3），添加IPsec NAP功能，為Direct Access用戶端提供安全加強方案，保證内部網絡安全。

<b>一 、NAP（Network Access Protection）功能簡述</b>

網絡通路保護 (NAP)。NAP 是一種建立、強制和修正用戶端健康政策的技術，包含在 Windows Vista? 用戶端作業系統和 Windows Server? 2008 作業系統中。通過 NAP，系統管理者可以設定并自動強制運作狀況政策，政策中可以包含軟體要求、安全更新要求、計算機配置要求以及其他設定。可以為不符合健康政策的用戶端計算機提供受限網絡通路，直到更新其配置并且使其符合政策時為止。根據您選擇部署 NAP 的方式，可以自動更新不相容的用戶端，使使用者可以快速重新獲得完全網絡通路，而不必手動更新或重新配置其計算機。

更多詳情，請見http://www.ixpub.net/viewthread.php?tid=1038193&amp;extra=

<b>二、IPsec NAP網絡概念簡述</b>

IPsec NAP網絡環境把網絡邏輯的分成3個網絡，分别是安全網絡、邊界網絡、受限網絡。

" 安全網絡：此網絡的計算機，符合含有一個系統健康證書并且可以使用IPsec進行安全通信。通常Active Directory 域中的大多數伺服器例如證書服務和郵件伺服器處于安全網絡中。

" 邊界網絡：此網絡中的計算機含有系統健康證書，但是需要能通路整個網絡資源，是以不需要進行認證和IPsec保護通信，通常這個網絡類型中的計算機需要評估和更新NAP用戶端計算機的系統健康狀态，是以NPS和HRA伺服器處在這個網絡中，但是需要對他們進行嚴格控制，以免對内部網絡帶來安全威脅。

" 受限網絡：處于此網絡中的計算機沒有經過安全健康檢查，并且沒有系統健康證書，在獲得補救伺服器更新之前，網絡通路受限制。

<b>三、IPsec NAP工作過程簡述</b>

1、 NAP用戶端發送目前健康狀态至HRA（健康注冊頒發機構）；

2、 HRA發送用戶端的健康狀态至健康政策伺服器（NPS）；

3、 健康政策伺服器評估用戶端的目前健康狀态資訊，以決定其是否符合健康政策，并把結果發回給SHA，如果不符合，在發回的消息中也包含健康補救（Remediation） 的指令；

4、 如果符合健康政策，則HRA為NAP用戶端分發健康證書，則用戶端可以使用此證書與其他符合健康政策的計算機開始初始化IPSEC連接配接；

5、 如果不符合健康政策，HRA通知NAP用戶端如何校正其健康狀态并不發給用戶端健康證書，是以用戶端不能初始化IPSEC連接配接，但是用戶端可以與補救伺服器通信，以校正用戶端的健康狀态；

6、 NAP 用戶端發送相關的更新請求至補救伺服器；

7、 補救伺服器提供符合健康政策的更新給NAP 用戶端，NAP用戶端更新其健康狀态；

8、 NAP用戶端發送其更新過的健康狀态資訊至SHA，SHA發送用戶端的健康狀态資訊至NAP健康政策伺服器；

9、 假設其符合健康狀态政策，則發送結果至SHA，并頒發健康證書給用戶端，用戶端可以使用此證書開始IPSEC通信。

<b>四、環境描述</b>

此次實驗依托前次Direct Access 實驗環境，隻需要額外添加一台NPS伺服器，具體設定如下：

軟體配置：

" NPS1：安裝有Windows server 2008 R2的成員伺服器，同時為NPS和HRA角色

小貼士：NPS為網絡政策伺服器，可以為用戶端運作狀況、連接配接請求身份驗證和連接配接請求授權建立并強制使用組織範圍的網絡通路政策。

HRA為健康注冊機構，作為一個注冊機構，HRA 負責驗證用戶端憑據，然後将證書申請轉發到代表用戶端的證書機構 (CA)。通過檢查網絡政策伺服器 (NPS)，HRA 可驗證證書申請以确定 NAP 用戶端是否與網絡健康要求相容。

網絡配置：

" NPS1：10.0.0.4/24（CIDR表示法，同255.255.255.0）

NAP軟體需求：

" NAP伺服器：Windows Server 2008或更高版本。

" NAP用戶端：Windows XP SP3或更高版本，Windows Vista Business或更高版本，Windows 7或更高版本。

" Active Directory：至少有基于Windows server 2003 的DC，并為GC角色.

注意：此環境中所有伺服器均使用Windows server 2008 R2企業版，用戶端使用Windows 7旗艦版。

<b>五、前期準備：伺服器配置</b>

<b>DC1配置</b>

1. 在AD中建立一個全局安全組：IPsec NAP Examption,将NPS、HRA及DC伺服器放入此組，以辨別不管他們的健康狀況如何，都可以獲得一個系統健康證書，與網絡内的任何計算機通信，并處于邊界網絡中。此實驗需要将NPS1;DA1;APP1;DC1放入該組。

2. 配置證書模闆，在【證書模闆】中，複制工作站證書，起名：系統健康證書。如圖1

圖1

3. 切換到【擴充】頁籤中，編輯【應用程式政策】，點選【添加】，找到【系統健康身份驗證】，點選【确定】，如圖2.輕按兩下【系統健康身份驗證】确認其對象辨別符為：1.3.6.1.4.1.311.47.1.1.如圖3

圖2

圖3

4. 回到新模闆屬性中，切換到【安全】頁籤，添加【IPsec NAP Examption】安全組，并賦予【讀取、注冊、自動注冊】權限，這樣改組成員就不需要檢查系統健康狀态而擷取到一個系統健康證書了。如圖4

圖4

5. 在證書模闆中建立剛才建立的【系統健康證書】。如圖5

圖5

6. 配置組政策，建立一個【NAP Policy】GPO，啟用其證書自動注冊功能。依次展開【NAP Policy】-【計算機配置】-【政策】-【Windows 設定】-【安全設定】-【公鑰政策】，在右側的明細中，輕按兩下【證書伺服器用戶端-自動注冊】，将其啟用，并勾選下面兩個選項。如圖6

圖6

7. 此時在【IPsec NAP Examption】組中的計算機使用【gpupdate /force】強制重新整理組政策，即可看到自動頒發的系統健康證書。圖9中為NPS伺服器自動申請到得證書。如圖7

圖7

至此，NAP IPsec DC配置完成，并且大家已經初步了解了NAP IPsec功能特性。下一篇，将描述NAP伺服器的搭建配置，敬請期待。