如何使用NAP策略向?qū)碜詣觿?chuàng)建網(wǎng)絡(luò)策略、健康策略和連接策略，從而來有效控制訪問網(wǎng)絡(luò)的權(quán)利。

　　在本文的第一部分中我們探討了如何配置DHCP NAP執(zhí)行策略，為此我們講解了NAP運行的一些基本方式，然后演示了如何在NAP策略服務(wù)器上安裝DHCP以及NPS服務(wù)。在第二部分鐘，我們將要探討的是如何使用NAP策略向?qū)碜詣觿?chuàng)建網(wǎng)絡(luò)策略、健康策略和連接策略，從而來有效控制訪問網(wǎng)絡(luò)的權(quán)利。

　　使用NAP向?qū)韯?chuàng)建NAP DHCP執(zhí)行策略

　　首先我們從比較有趣的部分說起――創(chuàng)建NAP DHCP執(zhí)行策略。在我們運行完向?qū)Ш螅驅(qū)⒆詣觿?chuàng)建以下策略：

健康策略 　　連接請求策略 　　網(wǎng)絡(luò)策略 　　修復(fù)服務(wù)器組策略

　　在我們完成向?qū)О惭b后，我們將分別仔細看看每一個策略.

　　打開管理工具菜單中的網(wǎng)絡(luò)策略服務(wù)器控制臺，在那里，你會看到控制臺中間的窗格中有一個起始界面。在標準配置區(qū)域，從列表中的“選擇配置情況”下選擇網(wǎng)絡(luò)訪問保護(NAP)選項，然后點擊下面的連接來打開向?qū)А?/p>

　　現(xiàn)在點擊配置NAP連接。

圖1

　　在“選擇NAP使用選擇網(wǎng)絡(luò)連接方式”頁面中，在網(wǎng)絡(luò)連接方式選擇區(qū)域的下拉列表中選擇動態(tài)主機配置協(xié)議(DHCP)選項。記住，當我們使用NAP的使用，我們需要選擇一種執(zhí)行方式，現(xiàn)在我們就在做這樣的操作。在這種情況中，DHCP服務(wù)器變成了“網(wǎng)絡(luò)訪問服務(wù)器”，而且DHCP服務(wù)器的職責就是負責控制NAP客戶端允許訪問的網(wǎng)絡(luò)水平。

　　策略名稱文本框中將會被自動填充為NAP DHCP，隨后名稱將會被附加上那些由向?qū)?chuàng)建的策略，當我們完成向?qū)О惭b的時候我們在回過頭來看看這個吧。

　　單擊下一步。

　　圖2

　　在“指定NAP執(zhí)行服務(wù)器運行DHCP服務(wù)器”頁面中，你可以涵蓋將用來作為網(wǎng)絡(luò)訪問服務(wù)器的DHCP服務(wù)器的IP地址。 當DHCP服務(wù)器和NPS服務(wù)器承載的NAP策略不是位于同一臺服務(wù)器時，你才可以使用這個選項。

　　如果你想添加遠程DHCP NAP執(zhí)行服務(wù)器，那么這些服務(wù)器必須被配置為RADIUS客戶端，這也就意味著你同樣需要將這些服務(wù)器配置成為NPS服務(wù)器。差別在于這些NPS服務(wù)器沒有承載NAP策略設(shè)置。他們只是將RADIUS請求代理給NPS服務(wù)器來承載NAP策略設(shè)置。我建議在一個較大的生產(chǎn)環(huán)境中進行類似配置，因為只有在大環(huán)境中DHCP服務(wù)器和NAP服務(wù)器才相對比較繁忙。另外，可能在你的公司會有多個DHCP服務(wù)器，而且你可能希望讓這些服務(wù)器都能夠域NAP策略服務(wù)器或者其他服務(wù)器進行通信。

　　在示例網(wǎng)絡(luò)中我們將DHCP和NPS服務(wù)器共同定位，所以我們不再需要向列表中添加任何其他遠程DHCP服務(wù)器，單擊下一步。

　圖3

　　當你使用DHCP執(zhí)行的時候，你可以選擇針對每個范圍基礎(chǔ)啟用NAP。如果你不想將NAP執(zhí)行策略應(yīng)用到所有的DHCP范圍，你可以在指定DHCP范圍頁面中輸入你希望NAP策略應(yīng)用的范圍。在我們的示例網(wǎng)絡(luò)中，我們想要NAP策略應(yīng)用于全部范圍，所以我們沒有在該頁面中輸入任何指定范圍，單擊下一步。

　　圖4

　　你同樣也可以允許或者拒絕對NAP策略中特定用戶群或者計算機組的訪問，在示例中，我們將策略應(yīng)用到所有的機器以及用戶了，點擊下一步。

　　圖5

　　所有的計算機需要訪問網(wǎng)絡(luò)中某些特定的服務(wù)器，這些包括基礎(chǔ)服務(wù)器，例如：Active Directory、DNS、DHCP以及WINS服務(wù)器，所有的服務(wù)器又將需要連接到修復(fù)服務(wù)器，這些修復(fù)服務(wù)器可以用來幫助那些不符合訪問要求的計算機達到合規(guī)要求。

　　在指定NAP修復(fù)服務(wù)器組合URL頁面，你可以通過點擊組按鈕來打開新修復(fù)服務(wù)器組對話框，在新修復(fù)服務(wù)器組對話框的組名稱文本框中輸入一個組名稱，在這個例子中我們使用的組名稱時網(wǎng)絡(luò)服務(wù)。

　　在新修復(fù)服務(wù)器組對話框中單擊添加按鈕，這樣就打開了添加新服務(wù)器對話框，在該對話框中你可以添加需要的修復(fù)服務(wù)器。在添加新服務(wù)器對話框中，你需要在Friendly名稱對話框中輸入服務(wù)器的名稱，然而在我們這個例子中我們輸入的是域控制器的名稱，所以我們將DC輸入該文本框。域控制器的IP地址是10.0.0.2，所以我們將這個IP地址輸入到IP地址或者DNS名稱文本框中。如果你知道DNS服務(wù)器的名稱，你也可以輸入DNS服務(wù)器的名稱，然后點擊解決按鈕即可。

　　在添加新服務(wù)器對話框中點擊確定。

　　圖6#p#副標題#e#

　　現(xiàn)在你能夠看到修復(fù)服務(wù)器組的名稱以及你添加到該組中的服務(wù)器的IP地址了。記住，創(chuàng)建該組的目的在于讓它走出NAP策略的限制。在這個示例中的域控制器是所有域成員在登陸網(wǎng)絡(luò)時需要與之進行通信的控制器。如果你不允許NAP客戶端(無論是符合合規(guī)的還是不符合的)連接到域控制器，那么他們他們就無法連接到網(wǎng)絡(luò)中以試圖在登錄后進行修復(fù)達到合規(guī)要求。

　　在新修復(fù)服務(wù)器組的對話框中單擊確定。

　　圖7

　　單擊指定NAP修復(fù)服務(wù)器組和URL頁面點擊下一步，注意在這個頁面中我們同樣也可以選擇輸入一個故障排除URL，但是因為在這個例子中我們不需要使用故障排除URL，所以沒有展示出來。不過需要說明的是，你可以選擇故障排除URL來向那些不符合合規(guī)要求的用戶指明該如何使他們的電腦達到合規(guī)要求從而訪問網(wǎng)絡(luò)。

　　圖8

　　在定義NAP健康策略頁面，你可以選擇你想要使用的系統(tǒng)健康度檢測器來定義健康策略。在默認情況下，Windows Server 2008中只有一種單一的系統(tǒng)健康度檢測器，那就是Windows Security Health Validator。第三方供應(yīng)商可以選擇將他們自己的系統(tǒng)健康度檢測器安裝NAP策略服務(wù)器中，不過到目前為止我還沒有聽說過其他檢測器。

　　確保你已經(jīng)勾選了Windows Security Health Validator選項框，同時勾選啟動客戶端計算機自動修復(fù)選項框，這個選項可以允許NAP客戶端計算機在可能的情況下對自身的問題進行修復(fù)，例如，如果windows防火墻被禁用了，那么NAP代理就能夠自己啟用windows防火墻。

　　在對不符合合規(guī)要求的NAP客戶端計算機的網(wǎng)絡(luò)訪問限制中，你可以自己來決定如何限制那些不符合要求的客戶端計算機。你有如下兩種選擇：

　　拒絕那些不符合合規(guī)要求的NAP客戶端計算機訪問所有的網(wǎng)絡(luò)，只允許他們訪問受限的網(wǎng)絡(luò)范圍;

　　允許那些不符合合規(guī)要求的NAP客戶端計算機訪問所有的網(wǎng)絡(luò);

　　很顯然，第一種選擇更加安全，第二種選擇更加自由。你的選擇取決于你為NAP設(shè)置的設(shè)計目標，可能在你部署NAP的時候你不想要那些不符合合規(guī)要求的NAP計算機完全訪問網(wǎng)絡(luò)，又可能在部署NAP后你改變主意，這樣就需要調(diào)整轉(zhuǎn)變，讓所有的機器都達到合規(guī)要求。

　　單擊定義NAP健康策略頁面中的下一步。

　　圖9

　　在完成NAP執(zhí)行策略和RADIUS客戶端配置頁面，你會看見將會由向?qū)?chuàng)建的健康策略、連接請求策略、網(wǎng)絡(luò)策略和修復(fù)服務(wù)組。讓我們來仔細看看這些策略。

　　圖10

　　需要注意的是，這里有一個配置細節(jié)連接，當你單擊那個連接的時候會彈出一個網(wǎng)頁，上面有對將由向?qū)?chuàng)建的各個策略的詳細介紹。

　　圖11

　　總結(jié)

　　在這篇關(guān)于NAP客戶端的DHCP執(zhí)行策略文章的第二部分中，我們探討了NAP策略向?qū)б约跋驅(qū)峁┑母鞣N選項的問題。我們發(fā)現(xiàn)NAP策略向?qū)軌驇椭覀兿鄬唵蔚膭?chuàng)建一個完整的NAP策略，因為它能夠創(chuàng)建一些網(wǎng)絡(luò)策略、健康策略以及連接策略來控制可以訪問網(wǎng)絡(luò)的計算機。