现任明教教主NAC2011 微软NAP

 

 

Step By Step Guide: Demonstrate 802.1X NAP Enforcement

1）网络拓扑规划， 服务器角色介绍，交换机的初始化配置。

2）在创建AD mingjiao.org ，添加DHCP ，CA角色。

创建NAP ou，在NAP ou里创建用户napuser，将napuser添加到domain admin组里 。在NAP ou里创建 nap client computer组。

3）将添加NPS服务器添加到AD，将win7客户端添加到AD，在AD中将win7计算机帐户添加到nap client computer组中。

4）NPS服务器添加NPS角色：

A 服务器管理器- >角色->添加网络策略服务器

B 服务器管理器->功能->添加组策略管理

C 为PEAP认证申请计算机证书

5） NPS配置上部分：

服务器管理器->角色->网络策略和访问服务->NPS->配置NAP->网络连接方法：IEEE 802.1x（有线）->Radius客户端：添加sw3560->配置用户和计算机（默认）->身份验证验证方法（默认）->配置流量控制:完全访问网络指定

Tunnel-Type：Virtual LANs，Tunnel-Medium-Type：802，Tunnel-Pvt-Group-ID：20，受限访问网络指定Tunnel-Type：Virtual LANs，Tunnel-Medium-Type：802，Tunnel-Pvt-Group-ID：30->定义NAP健康策略（默认）->完成

检验NAP配置结果

6）NPS配置中部分：

服务器管理器->角色->网络策略和访问服务->NPS->网络访问保护->系统健康验证程序->windows 安全健康验证程序->设置->默认配置：防火墙设置勾选，防病毒设置只勾选防病毒应用程序已启用，间谍软件保护设置只勾选反间谍软件应用程序已启用，自动更新设置勾选。

7）NPS配置下部分：

针对NAPclient的组策略设置：gpme.msc->新建组策略对象为nap，双击开始编辑组策略：1)计算机配置->策略->Windows setting->安全->有线网络策略->为Windows Vista及更高版本创建新的有线网络策略，安全选项卡 属性里选择根证书以及勾选强制执行网络访问保护。

2) 计算机配置->策略->Windows setting->安全->系统服务：服务network access protection agent启用，服务wired Auto config启用，服务Windows update启用，服务Windows firewall启用。

3) 计算机配置->策略->Windows setting->安全->网络访问保护->NAP客户端配置->强制客户端->EAP隔离强制客户端启用。

4) 计算机配置->策略->管理模板->Windows 组件->安全中心：启用安全中心。

8）NAP上关联GPO

gpmc.msc- 林-域-mingjiao.org-nap(上面定义的组策略对象)-安全筛选：移除 默认的authentication users，然后添加nap client computer组。

9）最后 在SW3560开启dot1x认证，配置如下：

aaa new-model

aaa authentication dot1x default group radius

aaa authorization network default group radius

dot1x system-auth-control

radius-server host 10.1.100.102 auth-port 1645 acct-port 1646 key cisco

interface FastEthernet0/23

switchport access vlan 20

switchport mode access

dot1x pae authenticator

authentication port-control auto

到此整个NAP配置结束。

测试：重新启动Win7客户端 进行验证！

 

如需获取配套录像请通过如下链接购买:

http://item.taobao.com/item.htm?id=13380279796&