发布时间 : 星期五 文章Windows Server 2008 R2域的安全管理更新完毕开始阅读7f7b730690c69ec3d5bb75cf
图1-74 查看DHCP隔离强制客户端的状态
(8)验证NAT DHCP客户端自动更新是否正常
将客户端的Windows防火墙关闭,验证NAP自动重新打开客户端的Windows防火墙。由于Windows Security Health Agent(WSHA)会自动打开Windows防火墙,所以当防火墙关闭时,系统会立刻自动变回启用状态。
也可以设置策略要求客户端计算机必须启用防病毒软件,否则即视为不健康客户端。如图1-75所示,在NAP健康策略服务器上通过“网络访问保护”-〉“系统健康验证程序”-〉“Windows安全健康验证程序”-〉“设置”-〉“默认设置”中,添加“防病毒应用程序已启用”。
图1-75 设置客户端必须启用杀毒软件示意图
如果设置了客户端必须安装杀毒软件,则客户端如果没有安装,将不能达到安全要求,将会显示网络受限的提示。如图1-76所示。
图1-76 网络访问保护警告信息示意图
如果安装了杀毒软件(必须和Windows安全中心兼容),则WSHA将对系统进行检查,发现系统满足安全要求,从而网络将不会限制。如图1-77所示。
图1-77 修复客户端示意图
2、VPN NAP配置 (1)环境设置
如图1-53,域gdsspt.net内的DC同时是DNS服务器和DHCP服务器,由于VPN NAP需要使用PEAP协议(Protected Extensible Authentication Protocol,允许用户自定义的一种身份验证协议,Windows Server 2008 R2支持这种协议,客户端连接802.1x无线基地台、802.1x交换机、VPN服务器与远程桌面网关等访问服务器时,常使用该协议)中的PEAP-MS-CHAPv2(PEAP挑战-应答方式)验证方法,所以它也是一台企业根证书服务器。NAP健康策略服务器同时也是RADIUS服务器,用来接收VPN服务器所发来的NAP客户端健康状况。NAP强制执行点是VPN服务器,同时也是RADIUS客户端,它会通过RADIUS协议将VPN NAP客户端的健康情况发给NAP健康策略服务器,同时它也是DHCP中继代理,因此需要配置双网卡。客户端Win7暂时放置在内部网络,然后再移到外部网络作为VPN客户端。
同1,如果在VMware中完成实验,可以将4台计算机放置在一个组中,给各个计算机设置合适的IP地址。然后测试计算机之间的连通性。
(2)配置DC,同时安装DHCP服务器和企业根CA。
在“添加角色”中,同时选择“Active Directory证书服务”和“DHCP服务器”。DHCP作用域名称自定,范围与DC在同一范围(取值自定),禁用DHCPv6,其它使用默认选项。
企业根CA的设置全部使用默认选项,完成后点击“安装”。如图1-78所示。
图1-78 安装DHCP和证书服务 (3)架设NAP健康策略服务器
第一步,将NAP服务器加入域gdsspt.net。 第二步,安装“网络策略服务器”。
第三步,为NAP健康策略服务器申请计算机证书。 首先,通过MMC控制台,从“文件”-〉“添加/删除管理单元”-〉将“证书”下的“计算机账户”添加进控制台。
图1-79 添加证书管理单元
其次,在“证书”-〉“个人”-〉“所有任务”-〉“申请新证书”。如图1-80所示。
图1-80 申请新证书示意图 第三,使用默认选项,单击“下一步”,选中“计算机”-〉“注册”-〉“完成”。完成后,可以看见NAP健康策略服务器的证书。如图1-81所示。