在本文的第一部分中我们探讨了如何配置DHCP NAP执行策略,为此我们讲解了NAP运行的一些基本方式,然后演示了如何在NAP策略服务器上安装DHCP以及NPS服务。在第二部分钟,我们将要探讨的是如何使用NAP策略向导来自动创建网络策略、健康策略和连接策略,从而来有效控制访问网络的权利。
使用NAP向导来创建NAP DHCP执行策略
首先我们从比较有趣的部分说起――创建NAP DHCP执行策略。在我们运行完向导后,向导将自动创建以下策略:
| 健康策略 连接请求策略 网络策略 修复服务器组策略 |
在我们完成向导安装后,我们将分别仔细看看每一个策略.
打开管理工具菜单中的网络策略服务器控制台,在那里,你会看到控制台中间的窗格中有一个起始界面。在标准配置区域,从列表中的“选择配置情况”下选择网络访问保护(NAP)选项,然后点击下面的连接来打开向导。
现在点击配置NAP连接。
图1
在“选择NAP使用选择网络连接方式”页面中,在网络连接方式选择区域的下拉列表中选择动态主机配置协议(DHCP)选项。记住,当我们使用NAP的使用,我们需要选择一种执行方式,现在我们就在做这样的操作。在这种情况中,DHCP服务器变成了“网络访问服务器”,而且DHCP服务器的职责就是负责控制NAP客户端允许访问的网络水平。
策略名称文本框中将会被自动填充为NAP DHCP,随后名称将会被附加上那些由向导创建的策略,当我们完成向导安装的时候我们在回过头来看看这个吧。
单击下一步。
图2
在“指定NAP执行服务器运行DHCP服务器”页面中,你可以涵盖将用来作为网络访问服务器的DHCP服务器的IP地址。 当DHCP服务器和NPS服务器承载的NAP策略不是位于同一台服务器时,你才可以使用这个选项。
如果你想添加远程DHCP NAP执行服务器,那么这些服务器必须被配置为RADIUS客户端,这也就意味着你同样需要将这些服务器配置成为NPS服务器。差别在于这些NPS服务器没有承载NAP策略设置。他们只是将RADIUS请求代理给NPS服务器来承载NAP策略设置。我建议在一个较大的生产环境中进行类似配置,因为只有在大环境中DHCP服务器和NAP服务器才相对比较繁忙。另外,可能在你的公司会有多个DHCP服务器,而且你可能希望让这些服务器都能够域NAP策略服务器或者其他服务器进行通信。
在示例网络中我们将DHCP和NPS服务器共同定位,所以我们不再需要向列表中添加任何其他远程DHCP服务器,单击下一步。
图3
当你使用DHCP执行的时候,你可以选择针对每个范围基础启用NAP。如果你不想将NAP执行策略应用到所有的DHCP范围,你可以在指定DHCP范围页面中输入你希望NAP策略应用的范围。在我们的示例网络中,我们想要NAP策略应用于全部范围,所以我们没有在该页面中输入任何指定范围,单击下一步。
图4
你同样也可以允许或者拒绝对NAP策略中特定用户群或者计算机组的访问,在示例中,我们将策略应用到所有的机器以及用户了,点击下一步。
图5
所有的计算机需要访问网络中某些特定的服务器,这些包括基础服务器,例如:Active Directory、DNS、DHCP以及WINS服务器,所有的服务器又将需要连接到修复服务器,这些修复服务器可以用来帮助那些不符合访问要求的计算机达到合规要求。
在指定NAP修复服务器组合URL页面,你可以通过点击组按钮来打开新修复服务器组对话框,在新修复服务器组对话框的组名称文本框中输入一个组名称,在这个例子中我们使用的组名称时网络服务。
在新修复服务器组对话框中单击添加按钮,这样就打开了添加新服务器对话框,在该对话框中你可以添加需要的修复服务器。在添加新服务器对话框中,你需要在Friendly名称对话框中输入服务器的名称,然而在我们这个例子中我们输入的是域控制器的名称,所以我们将DC输入该文本框。域控制器的IP地址是10.0.0.2,所以我们将这个IP地址输入到IP地址或者DNS名称文本框中。如果你知道DNS服务器的名称,你也可以输入DNS服务器的名称,然后点击解决按钮即可。
在添加新服务器对话框中点击确定。
图6#p#副标题#e#
现在你能够看到修复服务器组的名称以及你添加到该组中的服务器的IP地址了。记住,创建该组的目的在于让它走出NAP策略的限制。在这个示例中的域控制器是所有域成员在登陆网络时需要与之进行通信的控制器。如果你不允许NAP客户端(无论是符合合规的还是不符合的)连接到域控制器,那么他们他们就无法连接到网络中以试图在登录后进行修复达到合规要求。
在新修复服务器组的对话框中单击确定。
图7
单击指定NAP修复服务器组和URL页面点击下一步,注意在这个页面中我们同样也可以选择输入一个故障排除URL,但是因为在这个例子中我们不需要使用故障排除URL,所以没有展示出来。不过需要说明的是,你可以选择故障排除URL来向那些不符合合规要求的用户指明该如何使他们的电脑达到合规要求从而访问网络。
图8
在定义NAP健康策略页面,你可以选择你想要使用的系统健康度检测器来定义健康策略。在默认情况下,Windows Server 2008中只有一种单一的系统健康度检测器,那就是Windows Security Health Validator。第三方供应商可以选择将他们自己的系统健康度检测器安装NAP策略服务器中,不过到目前为止我还没有听说过其他检测器。
确保你已经勾选了Windows Security Health Validator选项框,同时勾选启动客户端计算机自动修复选项框,这个选项可以允许NAP客户端计算机在可能的情况下对自身的问题进行修复,例如,如果windows防火墙被禁用了,那么NAP代理就能够自己启用windows防火墙。
在对不符合合规要求的NAP客户端计算机的网络访问限制中,你可以自己来决定如何限制那些不符合要求的客户端计算机。你有如下两种选择:
拒绝那些不符合合规要求的NAP客户端计算机访问所有的网络,只允许他们访问受限的网络范围;
允许那些不符合合规要求的NAP客户端计算机访问所有的网络;
很显然,第一种选择更加安全,第二种选择更加自由。你的选择取决于你为NAP设置的设计目标,可能在你部署NAP的时候你不想要那些不符合合规要求的NAP计算机完全访问网络,又可能在部署NAP后你改变主意,这样就需要调整转变,让所有的机器都达到合规要求。
单击定义NAP健康策略页面中的下一步。
图9
在完成NAP执行策略和RADIUS客户端配置页面,你会看见将会由向导创建的健康策略、连接请求策略、网络策略和修复服务组。让我们来仔细看看这些策略。
图10
需要注意的是,这里有一个配置细节连接,当你单击那个连接的时候会弹出一个网页,上面有对将由向导创建的各个策略的详细介绍。
图11
总结
在这篇关于NAP客户端的DHCP执行策略文章的第二部分中,我们探讨了NAP策略向导以及向导提供的各种选项的问题。我们发现NAP策略向导能够帮助我们相对简单的创建一个完整的NAP策略,因为它能够创建一些网络策略、健康策略以及连接策略来控制可以访问网络的计算机。
