【IT168 专稿】继上篇为NAP环境配置好DC之后( 点击),本篇将描述NAP 服务器的配置及客户端测试。
一、配置NAP服务器
NPS1角色安装
1. 首先在NPS1上安装NPS和HRA角色,打开【服务器管理器】,点击【添加角色】,选择【 网络策略和访问服务】,在【选择角色服务】处,选中【网络策略服务器】和【健康注册机构】,在选择证书颁发机构处,选择远程CA,然后指定企业根CA,如图1
图1
2. 身份验证要求建议选中【否,允许匿名请求健康证书】,这样非域用户也可以成为NAP客户端。如图2
图2
3. 加密证书选择CA自动颁发的证书即可。如果此处没有证书,请检查组策略自动注册设置是否生效。如图3
图3
因为健康注册机构(HRA)要为符合健康标准的计算机颁发系统健康证书,所以身为健康注册机构(HRA)角色的服务器,需要有选择CA的证书管理管理权限:【颁发和管理证书】【管理CA】【请求证书】(如果CA和HRA服务器在同一台计算机上,则需要给【network service】服务添加权限即可)。所以需要在DC的CA属性中,添加NPS1,并赋予以上3个权限设置。如图4
图4
4. 之后的IIS设置,默认选项即可。
NPS1角色配置
1. 打开【网络策略服务器】,点击右侧的【配置NAP】。如图5
图5
2. 网络连接方式选择【带有HRA的IPsec】,其他设置默认,完成即可。
3. 展开【网络访问保护】-【系统健康验证程序】-【Windows 安全健康验证】-【设置】,编辑设置,在这里可以针对不同系统设定符合健康策略的条件。此例中,我勾选Windows 7中的【启用 防火墙】和【启用自动更新】.如图6
图6
4. 健康条件设定完了,需要指定更新服务器,让不符合健康策略的计算机与更新服务器通讯,获取补救。新建一个更新服务器组,组内包含NPS1。如图7
图7
从图中可以看到,NPS1被自动解析后,返回的不仅有IPV4【10.0.0.4】和IPV6【fe80::282c::b4d1:4448:a12c%11】的地址,还有ISATAP隧道适配器转换地址【2002:836b:2:1:0:5efe:10.0.0.4】和【fe80::5efe:10.0.0.4%12】。
OK,NAP服务器配置完成,还需要在组策略中设定NAP客户端的相关设置。
DC1组策略配置
1. 打开组策略管理,编辑【NAP Policy】,展开【计算机配置】-【策略】-【Windows设置】-【安全设置】-【系统服务】,找到【Network Access protection Agent】属性,设定自动启动服务。如图8
图8
2. 在【安全设置】-【网络访问保护】-【NAP客户端配置】-【强制客户端】中,启用【IPsec 信赖方】如图9
图9
3. 在下面的【健康注册设置】-【受信任的服务器组】中,新建【受信任的HRA服务器】,添加 https://nps1.contoso.com/domainhra/hcsrvext.dll ,完成设置。如图10
注:添加的URL要确保正确,否则NAP客户端可能无法获得健康证书
图10
4. 返回到【计算机配置】-【策略】-【管理模板】-【Windows组件】-【安全中心】,启用安全中心。如图11
图11
5. 此时在各服务器中强制刷新组策略,会在任务栏左下角的小旗处看到如图12一样的报错,这个报错其实是因为SHA需要依赖安全中心,但是Windows Server 2008 并不含有安全中心造成的。如果不想看到这个报错,可以停掉当前服务器的NAP Agent服务,或者将【Windows安全健康验证程序】属性中【SHA无法连接到所需服务】改为【符合】。微软只将此问题列出,并未进行修复。相关链接请点击。如图13
图12
图13
不过可以将这些服务器放入【IPsec NAP Examption】组,置于外围网络,这样就可以忽略安全健康状态,直接得到系统健康证书,进行保护 通信了。
6. 如果要求非域用户也可以得到此策略,则最好创建一个NAP Client组,将所有需要受到NAP保护的计算机都加入该组,然后在【组策略管理】中的【安全筛选】里,加入该组即可。
二、NAP客户端访问测试
1. 这次我们依然使用Client1来进行测试,先将它的网络切换到域内,然后强制刷新组策略,获取新的NAP策略设置。
2. 依次打开Client 1的【控制面板】-【系统和安全】-【操作中心】,这里看到该计算机的安全保护设置。展开【安全】选项,拉到底部,可以发现Client 1的网络访问保护功能已经启用,如图14
图14
3. 此时打开防火墙设置,会在顶部多出这样一行字【出于安全原因,某些设置由系统管理员管理】。如图15。并且此时是无法手工关闭防火墙的,因为此时系统的某些安全设置已经被NAP服务代理管理,即使选中关闭防火墙后,系统在检测到安全策略设置中的选项被更改,会强行再次按照安全策略的内容启动防火墙。由于此实验安全策略选项我设置了防火墙和自动更新,所以这两项设置都无法改变。如图15
图15
4.在符合健康要求后,要检查系统健康证书是否已经自动注册,打开本地计算机【证书】,选择【计算机账户】-【个人】-【证书】中,可以看到已经自动注册到得系统健康证书。如图16
图16
5.更新好组策略,此时可以将Client 1移到"Ineternet"网络中,即设定131.107.0.0/24段IP地址。因其本身就为DA 客户端,所以可以直接通过DA服务器访问内部资源。如图17
图17
至此,客户端在IPsce NAP的保护下,通过Direct Access对企业内部资源就可以实现安全快捷方便的访问了。当然,NAP除了IPsec保护外,还可以使用DHCP和IEEE 802.1X等多种方式,结合Direct Access技术,使企业的远程安全访问达到一个新的高度,身为管理员的你,是否已经心动了呢。