在本文的第一部分中我們探討了如何配置DHCP NAP執行策略,為此我們講解了NAP運行的一些基本方式,然后演示了如何在NAP策略服務器上安裝DHCP以及NPS服務。在第二部分鐘,我們將要探討的是如何使用NAP策略向導來自動創建網絡策略、健康策略和連接策略,從而來有效控制訪問網絡的權利。
使用NAP向導來創建NAP DHCP執行策略
首先我們從比較有趣的部分說起――創建NAP DHCP執行策略。在我們運行完向導后,向導將自動創建以下策略:
| 健康策略 連接請求策略 網絡策略 修復服務器組策略 |
在我們完成向導安裝后,我們將分別仔細看看每一個策略.
打開管理工具菜單中的網絡策略服務器控制臺,在那里,你會看到控制臺中間的窗格中有一個起始界面。在標準配置區域,從列表中的“選擇配置情況”下選擇網絡訪問保護(NAP)選項,然后點擊下面的連接來打開向導。
現在點擊配置NAP連接。
圖1
在“選擇NAP使用選擇網絡連接方式”頁面中,在網絡連接方式選擇區域的下拉列表中選擇動態主機配置協議(DHCP)選項。記住,當我們使用NAP的使用,我們需要選擇一種執行方式,現在我們就在做這樣的操作。在這種情況中,DHCP服務器變成了“網絡訪問服務器”,而且DHCP服務器的職責就是負責控制NAP客戶端允許訪問的網絡水平。
策略名稱文本框中將會被自動填充為NAP DHCP,隨后名稱將會被附加上那些由向導創建的策略,當我們完成向導安裝的時候我們在回過頭來看看這個吧。
單擊下一步。
圖2
在“指定NAP執行服務器運行DHCP服務器”頁面中,你可以涵蓋將用來作為網絡訪問服務器的DHCP服務器的IP地址。 當DHCP服務器和NPS服務器承載的NAP策略不是位于同一臺服務器時,你才可以使用這個選項。
如果你想添加遠程DHCP NAP執行服務器,那么這些服務器必須被配置為RADIUS客戶端,這也就意味著你同樣需要將這些服務器配置成為NPS服務器。差別在于這些NPS服務器沒有承載NAP策略設置。他們只是將RADIUS請求代理給NPS服務器來承載NAP策略設置。我建議在一個較大的生產環境中進行類似配置,因為只有在大環境中DHCP服務器和NAP服務器才相對比較繁忙。另外,可能在你的公司會有多個DHCP服務器,而且你可能希望讓這些服務器都能夠域NAP策略服務器或者其他服務器進行通信。
在示例網絡中我們將DHCP和NPS服務器共同定位,所以我們不再需要向列表中添加任何其他遠程DHCP服務器,單擊下一步。
圖3
當你使用DHCP執行的時候,你可以選擇針對每個范圍基礎啟用NAP。如果你不想將NAP執行策略應用到所有的DHCP范圍,你可以在指定DHCP范圍頁面中輸入你希望NAP策略應用的范圍。在我們的示例網絡中,我們想要NAP策略應用于全部范圍,所以我們沒有在該頁面中輸入任何指定范圍,單擊下一步。
圖4
你同樣也可以允許或者拒絕對NAP策略中特定用戶群或者計算機組的訪問,在示例中,我們將策略應用到所有的機器以及用戶了,點擊下一步。
圖5
所有的計算機需要訪問網絡中某些特定的服務器,這些包括基礎服務器,例如:Active Directory、DNS、DHCP以及WINS服務器,所有的服務器又將需要連接到修復服務器,這些修復服務器可以用來幫助那些不符合訪問要求的計算機達到合規要求。
在指定NAP修復服務器組合URL頁面,你可以通過點擊組按鈕來打開新修復服務器組對話框,在新修復服務器組對話框的組名稱文本框中輸入一個組名稱,在這個例子中我們使用的組名稱時網絡服務。
在新修復服務器組對話框中單擊添加按鈕,這樣就打開了添加新服務器對話框,在該對話框中你可以添加需要的修復服務器。在添加新服務器對話框中,你需要在Friendly名稱對話框中輸入服務器的名稱,然而在我們這個例子中我們輸入的是域控制器的名稱,所以我們將DC輸入該文本框。域控制器的IP地址是10.0.0.2,所以我們將這個IP地址輸入到IP地址或者DNS名稱文本框中。如果你知道DNS服務器的名稱,你也可以輸入DNS服務器的名稱,然后點擊解決按鈕即可。
在添加新服務器對話框中點擊確定。
圖6#p#副標題#e#
現在你能夠看到修復服務器組的名稱以及你添加到該組中的服務器的IP地址了。記住,創建該組的目的在于讓它走出NAP策略的限制。在這個示例中的域控制器是所有域成員在登陸網絡時需要與之進行通信的控制器。如果你不允許NAP客戶端(無論是符合合規的還是不符合的)連接到域控制器,那么他們他們就無法連接到網絡中以試圖在登錄后進行修復達到合規要求。
在新修復服務器組的對話框中單擊確定。
圖7
單擊指定NAP修復服務器組和URL頁面點擊下一步,注意在這個頁面中我們同樣也可以選擇輸入一個故障排除URL,但是因為在這個例子中我們不需要使用故障排除URL,所以沒有展示出來。不過需要說明的是,你可以選擇故障排除URL來向那些不符合合規要求的用戶指明該如何使他們的電腦達到合規要求從而訪問網絡。
圖8
在定義NAP健康策略頁面,你可以選擇你想要使用的系統健康度檢測器來定義健康策略。在默認情況下,Windows Server 2008中只有一種單一的系統健康度檢測器,那就是Windows Security Health Validator。第三方供應商可以選擇將他們自己的系統健康度檢測器安裝NAP策略服務器中,不過到目前為止我還沒有聽說過其他檢測器。
確保你已經勾選了Windows Security Health Validator選項框,同時勾選啟動客戶端計算機自動修復選項框,這個選項可以允許NAP客戶端計算機在可能的情況下對自身的問題進行修復,例如,如果windows防火墻被禁用了,那么NAP代理就能夠自己啟用windows防火墻。
在對不符合合規要求的NAP客戶端計算機的網絡訪問限制中,你可以自己來決定如何限制那些不符合要求的客戶端計算機。你有如下兩種選擇:
拒絕那些不符合合規要求的NAP客戶端計算機訪問所有的網絡,只允許他們訪問受限的網絡范圍;
允許那些不符合合規要求的NAP客戶端計算機訪問所有的網絡;
很顯然,第一種選擇更加安全,第二種選擇更加自由。你的選擇取決于你為NAP設置的設計目標,可能在你部署NAP的時候你不想要那些不符合合規要求的NAP計算機完全訪問網絡,又可能在部署NAP后你改變主意,這樣就需要調整轉變,讓所有的機器都達到合規要求。
單擊定義NAP健康策略頁面中的下一步。
圖9
在完成NAP執行策略和RADIUS客戶端配置頁面,你會看見將會由向導創建的健康策略、連接請求策略、網絡策略和修復服務組。讓我們來仔細看看這些策略。
圖10
需要注意的是,這里有一個配置細節連接,當你單擊那個連接的時候會彈出一個網頁,上面有對將由向導創建的各個策略的詳細介紹。
圖11
總結
在這篇關于NAP客戶端的DHCP執行策略文章的第二部分中,我們探討了NAP策略向導以及向導提供的各種選項的問題。我們發現NAP策略向導能夠幫助我們相對簡單的創建一個完整的NAP策略,因為它能夠創建一些網絡策略、健康策略以及連接策略來控制可以訪問網絡的計算機。
