<b>【IT168 專稿】</b>繼上篇為NAP環境配置好DC之後(點選),本篇将描述NAP伺服器的配置及用戶端測試。
<b>一、配置NAP伺服器</b>
<b>NPS1角色安裝</b>
1. 首先在NPS1上安裝NPS和HRA角色,打開【伺服器管理器】,點選【添加角色】,選擇【網絡政策和通路服務】,在【選擇角色服務】處,選中【網絡政策伺服器】和【健康注冊機構】,在選擇證書頒發機構處,選擇遠端CA,然後指定企業根CA,如圖1
圖1
2. 身份驗證要求建議選中【否,允許匿名請求健康證書】,這樣非域使用者也可以成為NAP用戶端。如圖2
圖2
3. 加密證書選擇CA自動頒發的證書即可。如果此處沒有證書,請檢查組政策自動注冊設定是否生效。如圖3
圖3
因為健康注冊機構(HRA)要為符合健康标準的計算機頒發系統健康證書,是以身為健康注冊機構(HRA)角色的伺服器,需要有選擇CA的證書管理管理權限:【頒發和管理證書】【管理CA】【請求證書】(如果CA和HRA伺服器在同一台計算機上,則需要給【network service】服務添權重限即可)。是以需要在DC的CA屬性中,添加NPS1,并賦予以上3個權限設定。如圖4
圖4
4. 之後的IIS設定,預設選項即可。
<b>NPS1角色配置</b>
1. 打開【網絡政策伺服器】,點選右側的【配置NAP】。如圖5
圖5
2. 網絡連接配接方式選擇【帶有HRA的IPsec】,其他設定預設,完成即可。
3. 展開【網絡通路保護】-【系統健康驗證程式】-【Windows 安全健康驗證】-【設定】,編輯設定,在這裡可以針對不同系統設定符合健康政策的條件。此例中,我勾選Windows 7中的【啟用防火牆】和【啟用自動更新】.如圖6
圖6
4. 健康條件設定完了,需要指定更新伺服器,讓不符合健康政策的計算機與更新伺服器通訊,擷取補救。建立一個更新伺服器組,組内包含NPS1。如圖7
圖7
從圖中可以看到,NPS1被自動解析後,傳回的不僅有IPV4【10.0.0.4】和IPV6【fe80::282c::b4d1:4448:a12c%11】的位址,還有ISATAP隧道擴充卡轉換位址【2002:836b:2:1:0:5efe:10.0.0.4】和【fe80::5efe:10.0.0.4%12】。
OK,NAP伺服器配置完成,還需要在組政策中設定NAP用戶端的相關設定。
<b>DC1組政策配置</b>
1. 打開組政策管理,編輯【NAP Policy】,展開【計算機配置】-【政策】-【Windows設定】-【安全設定】-【系統服務】,找到【Network Access protection Agent】屬性,設定自動啟動服務。如圖8
圖8
2. 在【安全設定】-【網絡通路保護】-【NAP用戶端配置】-【強制用戶端】中,啟用【IPsec 信賴方】如圖9
圖9
3. 在下面的【健康注冊設定】-【受信任的伺服器組】中,建立【受信任的HRA伺服器】,添加https://nps1.contoso.com/domainhra/hcsrvext.dll ,完成設定。如圖10
注:添加的URL要確定正确,否則NAP用戶端可能無法獲得健康證書
圖10
4. 傳回到【計算機配置】-【政策】-【管理模闆】-【Windows元件】-【安全中心】,啟用安全中心。如圖11
圖11
5. 此時在各伺服器中強制重新整理組政策,會在工作列左下角的小旗處看到如圖12一樣的報錯,這個報錯其實是因為SHA需要依賴安全中心,但是Windows Server 2008 并不含有安全中心造成的。如果不想看到這個報錯,可以停掉目前伺服器的NAP Agent服務,或者将【Windows安全健康驗證程式】屬性中【SHA無法連接配接到所需服務】改為【符合】。微軟隻将此問題列出,并未進行修複。相關連結請點選。如圖13
圖12
圖13
不過可以将這些伺服器放入【IPsec NAP Examption】組,置于外圍網絡,這樣就可以忽略安全健康狀态,直接得到系統健康證書,進行保護通信了。
6. 如果要求非域使用者也可以得到此政策,則最好建立一個NAP Client組,将所有需要受到NAP保護的計算機都加入該組,然後在【組政策管理】中的【安全篩選】裡,加入該組即可。
<b>二、NAP用戶端通路測試</b>
1. 這次我們依然使用Client1來進行測試,先将它的網絡切換到域内,然後強制重新整理組政策,擷取新的NAP政策設定。
2. 依次打開Client 1的【控制台】-【系統和安全】-【操作中心】,這裡看到該計算機的安全保護設定。展開【安全】選項,拉到底部,可以發現Client 1的網絡通路保護功能已經啟用,如圖14
圖14
3. 此時打開防火牆設定,會在頂部多出這樣一行字【出于安全原因,某些設定由系統管理者管理】。如圖15。并且此時是無法手工關閉防火牆的,因為此時系統的某些安全設定已經被NAP服務代理管理,即使選中關閉防火牆後,系統在檢測到安全政策設定中的選項被更改,會強行再次按照安全政策的内容啟動防火牆。由于此實驗安全政策選項我設定了防火牆和自動更新,是以這兩項設定都無法改變。如圖15
圖15
4.在符合健康要求後,要檢查系統健康證書是否已經自動注冊,打開本地計算機【證書】,選擇【計算機賬戶】-【個人】-【證書】中,可以看到已經自動注冊到得系統健康證書。如圖16
圖16
5.更新好組政策,此時可以将Client 1移到"Ineternet"網絡中,即設定131.107.0.0/24段IP位址。因其本身就為DA 用戶端,是以可以直接通過DA伺服器通路内部資源。如圖17
圖17
至此,用戶端在IPsce NAP的保護下,通過Direct Access對企業内部資源就可以實作安全快捷友善的通路了。當然,NAP除了IPsec保護外,還可以使用DHCP和IEEE 802.1X等多種方式,結合Direct Access技術,使企業的遠端安全通路達到一個新的高度,身為管理者的你,是否已經心動了呢。
![DHCP伺服器配置-Ubuntu一、安裝DHCP Server二、環境配置三、啟動DHCP服務四、測試DHCP服務[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)