在本文的第一部分中我們探討了如何配置DHCP NAP執(zhí)行策略,為此我們講解了NAP運行的一些基本方式,然后演示了如何在NAP策略服務(wù)器上安裝DHCP以及NPS服務(wù)。在第二部分鐘,我們將要探討的是如何使用NAP策略向?qū)碜詣觿?chuàng)建網(wǎng)絡(luò)策略、健康策略和連接策略,從而來有效控制訪問網(wǎng)絡(luò)的權(quán)利。
使用NAP向?qū)韯?chuàng)建NAP DHCP執(zhí)行策略
首先我們從比較有趣的部分說起――創(chuàng)建NAP DHCP執(zhí)行策略。在我們運行完向?qū)Ш螅驅(qū)⒆詣觿?chuàng)建以下策略:
| 健康策略 連接請求策略 網(wǎng)絡(luò)策略 修復(fù)服務(wù)器組策略 |
在我們完成向?qū)О惭b后,我們將分別仔細看看每一個策略.
打開管理工具菜單中的網(wǎng)絡(luò)策略服務(wù)器控制臺,在那里,你會看到控制臺中間的窗格中有一個起始界面。在標準配置區(qū)域,從列表中的“選擇配置情況”下選擇網(wǎng)絡(luò)訪問保護(NAP)選項,然后點擊下面的連接來打開向?qū)А?/p>
現(xiàn)在點擊配置NAP連接。

圖1
在“選擇NAP使用選擇網(wǎng)絡(luò)連接方式”頁面中,在網(wǎng)絡(luò)連接方式選擇區(qū)域的下拉列表中選擇動態(tài)主機配置協(xié)議(DHCP)選項。記住,當我們使用NAP的使用,我們需要選擇一種執(zhí)行方式,現(xiàn)在我們就在做這樣的操作。在這種情況中,DHCP服務(wù)器變成了“網(wǎng)絡(luò)訪問服務(wù)器”,而且DHCP服務(wù)器的職責就是負責控制NAP客戶端允許訪問的網(wǎng)絡(luò)水平。
策略名稱文本框中將會被自動填充為NAP DHCP,隨后名稱將會被附加上那些由向?qū)?chuàng)建的策略,當我們完成向?qū)О惭b的時候我們在回過頭來看看這個吧。
單擊下一步。

圖2
在“指定NAP執(zhí)行服務(wù)器運行DHCP服務(wù)器”頁面中,你可以涵蓋將用來作為網(wǎng)絡(luò)訪問服務(wù)器的DHCP服務(wù)器的IP地址。 當DHCP服務(wù)器和NPS服務(wù)器承載的NAP策略不是位于同一臺服務(wù)器時,你才可以使用這個選項。
如果你想添加遠程DHCP NAP執(zhí)行服務(wù)器,那么這些服務(wù)器必須被配置為RADIUS客戶端,這也就意味著你同樣需要將這些服務(wù)器配置成為NPS服務(wù)器。差別在于這些NPS服務(wù)器沒有承載NAP策略設(shè)置。他們只是將RADIUS請求代理給NPS服務(wù)器來承載NAP策略設(shè)置。我建議在一個較大的生產(chǎn)環(huán)境中進行類似配置,因為只有在大環(huán)境中DHCP服務(wù)器和NAP服務(wù)器才相對比較繁忙。另外,可能在你的公司會有多個DHCP服務(wù)器,而且你可能希望讓這些服務(wù)器都能夠域NAP策略服務(wù)器或者其他服務(wù)器進行通信。
在示例網(wǎng)絡(luò)中我們將DHCP和NPS服務(wù)器共同定位,所以我們不再需要向列表中添加任何其他遠程DHCP服務(wù)器,單擊下一步。

圖3
當你使用DHCP執(zhí)行的時候,你可以選擇針對每個范圍基礎(chǔ)啟用NAP。如果你不想將NAP執(zhí)行策略應(yīng)用到所有的DHCP范圍,你可以在指定DHCP范圍頁面中輸入你希望NAP策略應(yīng)用的范圍。在我們的示例網(wǎng)絡(luò)中,我們想要NAP策略應(yīng)用于全部范圍,所以我們沒有在該頁面中輸入任何指定范圍,單擊下一步。

圖4
你同樣也可以允許或者拒絕對NAP策略中特定用戶群或者計算機組的訪問,在示例中,我們將策略應(yīng)用到所有的機器以及用戶了,點擊下一步。

圖5
所有的計算機需要訪問網(wǎng)絡(luò)中某些特定的服務(wù)器,這些包括基礎(chǔ)服務(wù)器,例如:Active Directory、DNS、DHCP以及WINS服務(wù)器,所有的服務(wù)器又將需要連接到修復(fù)服務(wù)器,這些修復(fù)服務(wù)器可以用來幫助那些不符合訪問要求的計算機達到合規(guī)要求。
在指定NAP修復(fù)服務(wù)器組合URL頁面,你可以通過點擊組按鈕來打開新修復(fù)服務(wù)器組對話框,在新修復(fù)服務(wù)器組對話框的組名稱文本框中輸入一個組名稱,在這個例子中我們使用的組名稱時網(wǎng)絡(luò)服務(wù)。
在新修復(fù)服務(wù)器組對話框中單擊添加按鈕,這樣就打開了添加新服務(wù)器對話框,在該對話框中你可以添加需要的修復(fù)服務(wù)器。在添加新服務(wù)器對話框中,你需要在Friendly名稱對話框中輸入服務(wù)器的名稱,然而在我們這個例子中我們輸入的是域控制器的名稱,所以我們將DC輸入該文本框。域控制器的IP地址是10.0.0.2,所以我們將這個IP地址輸入到IP地址或者DNS名稱文本框中。如果你知道DNS服務(wù)器的名稱,你也可以輸入DNS服務(wù)器的名稱,然后點擊解決按鈕即可。
在添加新服務(wù)器對話框中點擊確定。

圖6#p#副標題#e#
現(xiàn)在你能夠看到修復(fù)服務(wù)器組的名稱以及你添加到該組中的服務(wù)器的IP地址了。記住,創(chuàng)建該組的目的在于讓它走出NAP策略的限制。在這個示例中的域控制器是所有域成員在登陸網(wǎng)絡(luò)時需要與之進行通信的控制器。如果你不允許NAP客戶端(無論是符合合規(guī)的還是不符合的)連接到域控制器,那么他們他們就無法連接到網(wǎng)絡(luò)中以試圖在登錄后進行修復(fù)達到合規(guī)要求。
在新修復(fù)服務(wù)器組的對話框中單擊確定。

圖7
單擊指定NAP修復(fù)服務(wù)器組和URL頁面點擊下一步,注意在這個頁面中我們同樣也可以選擇輸入一個故障排除URL,但是因為在這個例子中我們不需要使用故障排除URL,所以沒有展示出來。不過需要說明的是,你可以選擇故障排除URL來向那些不符合合規(guī)要求的用戶指明該如何使他們的電腦達到合規(guī)要求從而訪問網(wǎng)絡(luò)。

圖8
在定義NAP健康策略頁面,你可以選擇你想要使用的系統(tǒng)健康度檢測器來定義健康策略。在默認情況下,Windows Server 2008中只有一種單一的系統(tǒng)健康度檢測器,那就是Windows Security Health Validator。第三方供應(yīng)商可以選擇將他們自己的系統(tǒng)健康度檢測器安裝NAP策略服務(wù)器中,不過到目前為止我還沒有聽說過其他檢測器。
確保你已經(jīng)勾選了Windows Security Health Validator選項框,同時勾選啟動客戶端計算機自動修復(fù)選項框,這個選項可以允許NAP客戶端計算機在可能的情況下對自身的問題進行修復(fù),例如,如果windows防火墻被禁用了,那么NAP代理就能夠自己啟用windows防火墻。
在對不符合合規(guī)要求的NAP客戶端計算機的網(wǎng)絡(luò)訪問限制中,你可以自己來決定如何限制那些不符合要求的客戶端計算機。你有如下兩種選擇:
拒絕那些不符合合規(guī)要求的NAP客戶端計算機訪問所有的網(wǎng)絡(luò),只允許他們訪問受限的網(wǎng)絡(luò)范圍;
允許那些不符合合規(guī)要求的NAP客戶端計算機訪問所有的網(wǎng)絡(luò);
很顯然,第一種選擇更加安全,第二種選擇更加自由。你的選擇取決于你為NAP設(shè)置的設(shè)計目標,可能在你部署NAP的時候你不想要那些不符合合規(guī)要求的NAP計算機完全訪問網(wǎng)絡(luò),又可能在部署NAP后你改變主意,這樣就需要調(diào)整轉(zhuǎn)變,讓所有的機器都達到合規(guī)要求。
單擊定義NAP健康策略頁面中的下一步。

圖9
在完成NAP執(zhí)行策略和RADIUS客戶端配置頁面,你會看見將會由向?qū)?chuàng)建的健康策略、連接請求策略、網(wǎng)絡(luò)策略和修復(fù)服務(wù)組。讓我們來仔細看看這些策略。

圖10
需要注意的是,這里有一個配置細節(jié)連接,當你單擊那個連接的時候會彈出一個網(wǎng)頁,上面有對將由向?qū)?chuàng)建的各個策略的詳細介紹。

圖11
總結(jié)
在這篇關(guān)于NAP客戶端的DHCP執(zhí)行策略文章的第二部分中,我們探討了NAP策略向?qū)б约跋驅(qū)峁┑母鞣N選項的問題。我們發(fā)現(xiàn)NAP策略向?qū)軌驇椭覀兿鄬唵蔚膭?chuàng)建一個完整的NAP策略,因為它能夠創(chuàng)建一些網(wǎng)絡(luò)策略、健康策略以及連接策略來控制可以訪問網(wǎng)絡(luò)的計算機。


