Windows server 2008发布于08年2月份,是微软网络接入保护(NAP)计划的组成部分,它拥有微软期待已久的专有网络访问控制架构。本文将讲解NAP在安装过程中需要配置的内容。但是,考虑到微软的Forefront软件或第三方NAP相关附加产品本身有很多的特性和功能,因此我们所讲解的只是一个简单的配置,以及部分NAP功能。
我们先打开Network Policy Server然后在下拉框里面配置NAP:
注意到它支持各种不同的网络连接方法,包括DHCP,802.1x和VPN。可以选择任何一种连接方法,它们都可以使端点连接到受保护的网络,然后给予该选择一个名称。在配置界面底部提供了帮助文件,这些文件说明了一些在安装过程中的需求。它们不同于一般的帮助文件,不仅非常好的描述了该网络基础架构中需要的元素,而且指出了哪些元素是系统不支持的。
例如,有线802.1X就可以使该向导建立连接请求策略以及健康配置NAP网络系统。
802.1x使用的NAP enforcement
基于端口的网络访问控制802.1x使用的NAP enforcement客户端的部署是基于运行在网络策略服务器(NPS)和EAP enforcement主客户端组件之上的。使用基于802.1x的NAP enforcement客户端,NPS服务器可以指示一个802.1X认证交换机和兼容802.1X的无线接入点,从而调整不符合802.1x网络的客户端。NPS服务器通过运用IP过滤器和虚拟局域网连接标识符,可以限制客户端的网络接入。 802.1x的enforcement客户端通过访问802.1x的服务器,对所有访问网络的计算机提供强大的网络访问限制。
有线802.1x的需求
要部署基于有线802.1x的NAP,你必须作以下配置:
需要配置NPS连接请求策略,网络策略,和NAP健康策略。你可以使用NPS控制台来配置这些策略,也可以使用新的网络访问保护(NNAP)向导。
安装和配置802.1x的认证交换机。
保证可以使用NAP,并且客户端使用EAP enforcement验证机制,并且保证客户端的NAP服务开启。
根据你的NAP部署来配置Windows安全健康验证器(WSHV)或安装和配置其他健康系统(SHAs)。
如果你使用了智能卡或证书来进行PEAP-TLS或EAP-TLS与TLS验证的,需要使用活动目录的证书服务(AD CS)来部署一个公共密钥基础设施(PKI)。
如果你使用PEAP-MS-CHAP第二版,需要使用AD CS来进行服务器端的认证或者从其它受信的根证书颁发机构购买服务器认证。
无线802.1x的需求
要部署基于无线802.1x的NAP,你必须作以下配置:
需要配置NPS连接请求策略,网络策略,和NAP健康策略。你可以使用NPS控制台来配置这些策略,也可以使用新的网络访问保护(NNAP)向导。
安装和配置802.1x的无线访问接入点。
保证可以使用NAP,并且客户端使用EAP enforcement验证机制。
根据你的NAP部署来配置Windows安全健康验证器(WSHV)或安装和配置其他健康系统(SHAs)。
在这一点上,如果为了达到测试目的,我建议你选择DHCP。配置一个独立的Windows Server 2008服务器并选择了802.1x的连接可能会带来很多问题。微软的网站上支持页面有关于PEAP-TLS身份验证和Windows Server 2008的更多信息。
接下来,添加一个RADIUS客户端节点,比如身份验证交换机。它们不是客户端PC,但其他任何用户的身份验证过程都需要与RADIUS服务器对话。
其次,建立一个有相同策略要求的组,比如客户工作人员或者人力资源工作人员。这些群体必须已经建立在Active Directory(活动目录)中。可以到Manager/Configuration/Groups部分然后增加这些组。
下一步是建立一个修复服务器组来存储更新软件和修复不符合策略要求客户端电脑。也可以包括一个URL,为没过通过评估用户提供相关信息,使其到达评价标准,如下图所示:
下一步是建立一个健康策略,使用的是NAP服务器的健康验证器。在此屏幕上,有一个选项,用于确定PC不通过审核后将会怎样:它可以只能访问受限网站,或者被获准进入所有网络。(注意这两个选项在下面的屏幕截图屏幕底部的复选框)。
这就是健康策略定义。点击完成,回到网络策略服务器管理器,在NAP菜单树上,右键系统健康验证器点击查看其属性表,如下所示:
这里两个标签,分别对应XP客户端和Vista客户端,另外,Vista的标签有更多的项目配置项。那么对于老版本的Windows和非Windows操作系统客户端怎么办呢?其实,他们不包括在NAP中。对这些机器进行网络访问管理,必须有额外的第三方软件。
在这里,告诉验证器检查每台电脑,确认他们是否打开了防火墙,安装防病毒更新,等等。一旦完成,再次回到策略服务器的策略菜单树,并确保所有的各项策略得到正确设置。这里显示了由向导已经配置的各项网络策略:
单击确定,这时你已成功的设置你的第一个NAP服务器!有些服务可能需要调整,以便在开机时它们能正常启动,如果不使用这些服务则不必进行调整。
同样,请记住,这只是一个基础的配置。杀毒软件供应商及
代理等将需要挂接到该服务器,接下来,你就可以开始体验NAP和Windows Server 2008了