为DHCP客户端配置NAP

 

 

实施拓扑:

clip_image003

 

拓扑说明:

集团出于安全考虑,通过动态获取地址的客户端,一定要通过网络访问策略的检查,所以在集团总部安装了网络策略服务器和DHCP服务器,各自的作用是设置策略和分配ip地址,

 

任务描述:

l  NYC-SVR1配置成NAPDHCP服务器

u  NYC-SVR1上安装DHCPNPS服务器角色

u  NYC-SVR1配置成NAP健康策略服务器

l  NAP强制配置DHCP服务

l  NYC-CL1配置为DHCPNAP客户端

 

任务实施:

?  DHCP 客户端配置 NAP

1.         首先NYC-SVR1中添加两块网卡,一张网卡地址10.10.0.24,另一张192.168.1.10

clip_image005

 

clip_image007

 

 

 

2.         NYC-SVR1 , 安装 DHCP NPS 服务器角色, 选择网络连接绑定,选择“10.10.0.24”,首选 DNS,“10.10.0.10”,不需要WINS的默认设置,添加作用域名称“NAP Scope”,

在“起始IP 地址”后输入“10.10.0.50”,在“结束IP 地址”框中输入“10.10.0.199”,在子网掩码 后输入“255.255.0.0”。禁用DHCPv6 无状态模式,安装

clip_image009 clip_image011 clip_image013 clip_image014 clip_image016

 

clip_image018

 

3.         NYC-SVR1 配置成 NAP 健康策略服务器,

 

?  配置 SHV系统健康验证器(System Health Validator)): Windows Vista 选项卡上,只是选择“已为所有网络连接启用防火墙”选项。

clip_image020

?  配置更新服务器组:组名“Rem1, 更新服务器10.10.0.10即是DC1

clip_image021

 

?  配置健康策略新建健康策略,策略名称“Compliant”,具体配置如下

 

clip_image022

 

?  新建健康策略,策略名称“Noncompliant”,具体配置如下

clip_image023

?  为符合计算机配置网络策略首先要禁用两个默认策略,然后新建策略,策略名称“Compliant-Full-Access”,到指定条件是健康策略“Compliant”,指定通过验证的用户的访问权限为“已授予访问权限”,身份验证方法“仅执行计算机健康检查”,没有约束,NAP 强制是“允许完全网络访问”,

clip_image025clip_image027 clip_image029clip_image031clip_image033

 

?  为不符合计算机配置网络策略策略名称“Noncompliant-Restricted”,指定健康策略“Noncompliant”,通过的用户允许访问权限已授予访问权限, 身份验证方法仅执行计算机健康检查,没有配置约束NAP 强制选择允许受限访问”,“启用客户端计算机的自动更新功能”。 

clip_image035

 

 

clip_image036

 

 

clip_image038clip_image040clip_image042 clip_image044 clip_image046

 

 

 

 

NAP 强制配置 DHCP 服务

1.         NYC-SVR1配置DHCP,首先启用“网络访问保护”。

 

clip_image048

 

 

2.         配置“作用域选项”,在高级选项卡中,用户类别验证选择了“默认用户类”。

clip_image050

 

3.         配置“003 路由器”,IP 地址“10.10.0.1”。

clip_image052

 

4.         配置“015 DNS 域名”,在“字符串值”中输入 Woodgrovebank.com”,Woodgrovebank.com 域是分配给符合 NAP 客户的完全访问网络。

 

clip_image054

 

5.         配置用户类别为“默认的网络访问保护级别”的用户

clip_image055

 

6.         配置“006 DNS 服务器”, IP 地址是“10.10.0.10”。

 

clip_image057

 

7.         015 DNS 域名”,字符串值“restricted.Woodgrovebank.com”,restricted.woodgrovebank.com 域是分配给不符合 NAP 客户的访问受限的网络。

clip_image059

 

1.         NYC-CL1 启用安全中心运行“mmc”,添加“组策略对象编辑器”,展开“本地计算机策略/计算机配置/管理模板/Windows 组件/安全中心”。双击“启用安全中心(仅限域 PC)”,单击“已启用”,然后单击“确定”。

clip_image061

2.         启用 DHCP 强制客户端运行“napclcfg.msc”,单击“强制客户端”。右键单击“DHCP 隔离强制客户端”,然后单击“启用”。

clip_image063

 

3.         启用并启动 NAP功能。在计算机“服务”里,启动“Network Access Protection Agent”服务,并且把服务“启动类型”改为“自动”。

 

clip_image064

 

 

4.         NYC-CL1 进行 DHCP 地址分配。在“本地连接属性”对话框,清除“Internet 协议版本6 (TCP/IPv6) ”,Internet协议版本4 (TCP/Ipv4)选择“自动获得 IP 地址”和“自动获得 DNS 服务器地址”。

clip_image066

 

 

 

 

 

 

你可能感兴趣的:(style,客户端,p,justify)