为DHCP客户端配置NAP
实施拓扑:
拓扑说明:
集团出于安全考虑,通过动态获取地址的客户端,一定要通过网络访问策略的检查,所以在集团总部安装了网络策略服务器和DHCP服务器,各自的作用是设置策略和分配ip地址,
任务描述:
l 将NYC-SVR1配置成NAP和DHCP服务器
u 在NYC-SVR1上安装DHCP和NPS服务器角色
u 将NYC-SVR1配置成NAP健康策略服务器
l 为NAP强制配置DHCP服务
l 将NYC-CL1配置为DHCP和NAP客户端
任务实施:
? 为 DHCP 客户端配置 NAP
1. 首先NYC-SVR1中添加两块网卡,一张网卡地址10.10.0.24,另一张192.168.1.10
2. NYC-SVR1 中, 安装 DHCP 和 NPS 服务器角色, 选择网络连接绑定,选择“10.10.0.24”,首选 DNS,“10.10.0.10”,不需要WINS的默认设置,添加作用域名称“NAP Scope”,
在“起始IP 地址”后输入“10.10.0.50”,在“结束IP 地址”框中输入“10.10.0.199”,在子网掩码 后输入“255.255.0.0”。禁用DHCPv6 无状态模式,安装
3. 将 NYC-SVR1 配置成 NAP 健康策略服务器,
? 配置 SHV(系统健康验证器(System Health Validator)):在 Windows Vista 选项卡上,只是选择“已为所有网络连接启用防火墙”选项。
? 配置更新服务器组:组名“Rem1”, 更新服务器10.10.0.10即是DC1,
? 配置健康策略,新建健康策略,策略名称“Compliant”,具体配置如下
? 新建健康策略,策略名称“Noncompliant”,具体配置如下
? 为符合计算机配置网络策略:首先要禁用两个默认策略,然后新建策略,策略名称“Compliant-Full-Access”,到指定条件是健康策略“Compliant”,指定通过验证的用户的访问权限为“已授予访问权限”,身份验证方法“仅执行计算机健康检查”,没有约束,NAP 强制是“允许完全网络访问”,
? 为不符合计算机配置网络策略:策略名称“Noncompliant-Restricted”,指定健康策略“Noncompliant”,通过的用户允许访问权限“已授予访问权限”, 身份验证方法“仅执行计算机健康检查”,没有配置约束,NAP 强制选择“允许受限访问”,“启用客户端计算机的自动更新功能”。
为 NAP 强制配置 DHCP 服务
1. 在 NYC-SVR1上,配置DHCP,首先启用“网络访问保护”。
2. 配置“作用域选项”,在高级选项卡中,用户类别验证选择了“默认用户类”。
3. 配置“003 路由器”,IP 地址“10.10.0.1”。
4. 配置“015 DNS 域名”,在“字符串值”中输入 “Woodgrovebank.com”,Woodgrovebank.com 域是分配给符合 NAP 客户的完全访问网络。
5. 配置用户类别为“默认的网络访问保护级别”的用户
6. 配置“006 DNS 服务器”, IP 地址是“10.10.0.10”。
7. “015 DNS 域名”,字符串值“restricted.Woodgrovebank.com”,restricted.woodgrovebank.com 域是分配给不符合 NAP 客户的访问受限的网络。
1. 在 NYC-CL1 启用安全中心。运行“mmc”,添加“组策略对象编辑器”,展开“本地计算机策略/计算机配置/管理模板/Windows 组件/安全中心”。双击“启用安全中心(仅限域 PC)”,单击“已启用”,然后单击“确定”。
2. 启用 DHCP 强制客户端。运行“napclcfg.msc”,单击“强制客户端”。右键单击“DHCP 隔离强制客户端”,然后单击“启用”。
3. 启用并启动 NAP功能。在计算机“服务”里,启动“Network Access Protection Agent”服务,并且把服务“启动类型”改为“自动”。
4. 为 NYC-CL1 进行 DHCP 地址分配。在“本地连接属性”对话框,清除“Internet 协议版本6 (TCP/IPv6) ”,Internet协议版本4 (TCP/Ipv4)选择“自动获得 IP 地址”和“自动获得 DNS 服务器地址”。
