此外,Windows Server 2008 R2 和 Windows 7 中還內(nèi)置了網(wǎng)絡(luò)訪問保護 (NAP) 功能。當(dāng)客戶端計算機嘗試連接網(wǎng)絡(luò)或與網(wǎng)絡(luò)通信時,NAP 可監(jiān)視和評估該計算機的運行狀態(tài)。
二者結(jié)合將獲得更強大的功能。使用 NAP 實現(xiàn) DirectAccess,讓您可以指定只有符合系統(tǒng)健康要求的 DirectAccess 客戶端才能通過 Internet 訪問 Intranet 資源。
DirectAccess隧道
使用完全 Intranet 訪問或選定服務(wù)器訪問模式的 DirectAccess 客戶端將創(chuàng)建以下連接到 DirectAccess 服務(wù)器的 Internet 協(xié)議安全性 (IPsec) 隧道:
基礎(chǔ)結(jié)構(gòu)隧道:連接 Intranet 域名系統(tǒng) (DNS) 服務(wù)器和 Active Directory 域服務(wù) (AD DS) 域控制器。默認情況下,此隧道要求使用計算機證書和計算機帳戶 NT LAN 管理器版本 2 (NTLMv2) 憑據(jù)進行身份驗證。DirectAccess 客戶端在用戶登錄之前創(chuàng)建此隧道。
管理隧道:在用戶登錄之前連接到其他 Intranet 位置。Intranet 管理服務(wù)器也可以創(chuàng)建此隧道,以便遠程管理 DirectAccess 客戶端。與基礎(chǔ)結(jié)構(gòu)隧道相同,默認情況下此隧道也要求使用計算機證書和計算機帳戶 NTLMv2 憑據(jù)進行身份驗證。
Intranet 隧道:在用戶登錄之后連接到不在基礎(chǔ)結(jié)構(gòu)和管理隧道規(guī)則的目標(biāo)地址列表中的 Intranet 位置。默認情況下,此隧道要求計算機證書和用戶帳戶 Kerberos 憑據(jù)以進行身份驗證。
NAP和IPsec強制
您可以使用很多強制方法部署 NAP,以對連接或通信強制實施系統(tǒng)健康要求。IPsec 強制方法使用健康證書(在增強型密鑰用法 [EKU] 字段中包含系統(tǒng)健康身份驗證對象標(biāo)識符 [OID] 的數(shù)字證書),要求對 Intranet 流量進行 IPsec 保護的 IPsec 連接安全性規(guī)則,以及使用健康證書的 IPsec 對等身份驗證。
這種組合可強制使 Intranet 上計算機之間的通信符合系統(tǒng)健康要求。不符合系統(tǒng)健康要求和缺少健康證書的計算機無法在 Intranet 上發(fā)起通信。
IPsec 強制部署需要以下內(nèi)容:
健康注冊機構(gòu) (HRA):一臺 Web 服務(wù)器,接收并響應(yīng) NAP 客戶端以及客戶端發(fā)出的驗證系統(tǒng)健康并獲得健康證書的請求。
NAP 證書頒發(fā)機構(gòu) (CA):公鑰基礎(chǔ)結(jié)構(gòu) (PKI) 中的 CA(通常是專用的),負責(zé)為合規(guī)的 NAP 客戶端頒發(fā)健康證書。
NAP 健康策略服務(wù)器:負責(zé)驗證系統(tǒng)健康請求的網(wǎng)絡(luò)策略服務(wù)器 (NPS)。
更新服務(wù)器:包含資源的服務(wù)器。NAP 客戶端需要這些資源來更正其不合規(guī)的系統(tǒng)健康狀態(tài)。
通過 HRA 獲得的健康證書的生命期很短,通常為數(shù)個小時。您也可以向需要健康證書以進行 IPsec 對等身份驗證但不需要執(zhí)行系統(tǒng)健康驗證的服務(wù)器頒發(fā)生命期更長的豁免健康證書。
使用NAP實現(xiàn)DirectAccess
使用 NAP 實現(xiàn) DirectAccess 是將系統(tǒng)健康合規(guī)性與 DirectAccess 連接過程相集成。當(dāng)您結(jié)合使用 DirectAccess 和 NAP,以便在允許訪問 Intranet 資源之前強制實施系統(tǒng)健康要求時,實際上是利用 NAP 基礎(chǔ)結(jié)構(gòu)來頒發(fā)健康證書(HRA、NAP C、NAP 健康策略服務(wù)器)并更正系統(tǒng)健康狀態(tài)(更新服務(wù)器)。您還針對基礎(chǔ)結(jié)構(gòu)、管理和 Intranet 隧道使用 DirectAccess 連接安全性規(guī)則。
默認情況下,在 DirectAccess 客戶端和服務(wù)器上為基礎(chǔ)結(jié)構(gòu)、管理和 Intranet 隧道配置的連接安全性規(guī)則不需要在進行身份驗證時使用健康證書。是否需要修改規(guī)則集以便要求健康證書,取決于以下內(nèi)容:
NAP 部署模式(報告或完全強制)
報告模式不要求系統(tǒng)健康合規(guī)。不合規(guī)的 DirectAccess 客戶端可以訪問 Intranet。因此,不需要更改 DirectAccess 連接安全性規(guī)則。
完全強制模式要求系統(tǒng)健康合規(guī)。在此模式中,您必須配置連接安全性規(guī)則以要求健康證書,而不是要求普通的計算機證書。
HRA 和更新服務(wù)器的位置
您可以在 Intranet 或 Internet 上找到 HRA 和更新服務(wù)器。
下文將分別介紹 HRA 和更新服務(wù)器的這兩種位置,以及您因此需要做出的更改,以便連接安全性規(guī)則要求健康證書。
基于Intranet的HRA和更新服務(wù)器
當(dāng) HRA 和更新服務(wù)器位于 Intranet 上時,DirectAccess 客戶端必須能夠使用計算機證書(而不是健康證書)來訪問它們。健康驗證發(fā)生在創(chuàng)建基礎(chǔ)結(jié)構(gòu)和管理隧道之后。DirectAccess 客戶端需要基礎(chǔ)結(jié)構(gòu)隧道來訪問 Intranet DNS 服務(wù)器以解析 Intranet 名稱,并需要管理隧道來訪問 HRA 和更新服務(wù)器。
圖 1 當(dāng) HRA 和更新服務(wù)器位于 Intranet 上時,使用 NAP 實現(xiàn)的 DirectAccess。
但是,對于完全強制模式,DirectAccess 客戶端需要健康證書才能訪問其他 Intranet 資源。因此,健康證書要求只適用于 Intranet 隧道的連接安全性規(guī)則。
配置步驟
當(dāng) HRA 和更新服務(wù)器位于 Intranet 上時,若要配置使用 NAP 的 DirectAccess,您需要:
向管理服務(wù)器列表中添加 HRA 和更新服務(wù)器的 IPv6 地址。您可以使用 DirectAccess 安裝向?qū)е械牡谌交蚴褂?Netsh.exe 命令來完成添加。
使用 Netsh.exe 命令在 DirectAccess 服務(wù)器組策略對象 (GPO) 中配置 Intranet 隧道規(guī)則以要求健康證書。
有關(guān)詳細步驟,請參見為 NAP 配置 DirectAccess 連接安全性規(guī)則。
您使用 Netsh.exe 自定義 DirectAccess 連接安全性規(guī)則時,所做的更改將在您下次應(yīng)用 DirectAccess 安裝向?qū)У脑O(shè)置時被覆蓋。若要確保保留這些自定義設(shè)置,您要么放棄使用 DirectAccess 安裝向?qū)砀呐渲茫丛谀_本中編譯自定義更改列表,然后在每次應(yīng)用 DirectAccess 安裝向?qū)У脑O(shè)置時運行該腳本。
工作原理
以下過程描述了當(dāng) HRA 和更新服務(wù)器只位于 Intranet 上時,使用 NAP 的 DirectAccess 如何作用于 DirectAccess 客戶端:
當(dāng) DirectAccess 客戶端啟動并嘗試使用其計算機帳戶登錄 AD DS 域時,它使用其計算機證書創(chuàng)建基礎(chǔ)結(jié)構(gòu)隧道。
