6421B Lab7 配置NAP

共1个实验

实验L7：在***远程访问解决方案中实现NAP

共2个练习：

练习1：配置NAP组件。

练习2：配置客户端设置以支持NAP。

练习1：配置NAP组件

任务1：配置一个计算机证书

　　转到HQDC1服务器，打开“管理工具”中的“证书颁发机构”。

 

 

任务2：申请证书

　　转到EDGE1服务器。在命令提示符下面运行：MMC

　　在控制台单击“文件”、“添加/删除管理单元”，添加“证书”。

 

　　通过控制台申请新证书。

 

任务3：配置NPS功能作为健康策略服务器

　　打开“服务器管理器”，添加角色。在“添加角色向导”中勾选“网络策略和访问服务”，然后在“选择角色服务”窗体勾选“网络策略服务器”和“远程访问服务”。然后安装这些角色。

　　打开“管理工具”中的“网络策略服务器”。修改“Windows安全创健康验证程序”的默认配置。

任务4：创建健康策略

　　新建一个名为“Compliant”的健康策略。

 

 

　　新建一个名为“Noncompliant”的健康策略。 

 

任务5：创建网络策略

　　首先禁用默认的2个网络策略，然后新建一个名为“Compliant-Full-Access”的网络策略。

 

 

 

 

 

　　参照上面的步骤，再新建一个名为“Noncompliant-Restricted”的网络策略。注意以下配置的不同。

 

　　说明：“已授予访问权限”并不意味着Noncompliant客户端被授予完全网络访问。此处只是表明本策略将继续检验是否匹配后续的条件。 

 

　　分别添加“输入筛选器”和“输出筛选器”，只允许HQDC1与Noncompliant客户端双向通信。 

 

 

 

任务6：创建连接请求策略

　　禁用默认的2个连接请求策略（注意：Microsoft 路由和远程访问服务策略是在“配置并启用路由和远程访问”之后自动生成的），然后新建一个名为“*** connections”的连接请求策略。

 

 

 

 

 

 

 

 

说明：如果事先没有申请证书，此处可能报错。

 

 任务7：使用RRAS配置***服务器

　　打开“管理工具”中的“路由和远程访问”。

 

 

 

 

 

 

 

　　在启用“路由与远程访问”之后，NPS将自动产生一个名为“Microsoft路由和远程访问服务策略”的连接请求策略。在“网络策略服务器”控制台，禁用这个策略。

任务8：允许Ping

　　打开“管理工具”中的“高级安全Windows防火墙”。新建一个入站规则，允许ICMPv4的回显请求。（操作步骤请参考《Windows 2008 中的防火墙》  http://jimshu.blog.51cto.com/3171847/590411 ）

 

练习2：配置客户端设置以支持NAP 

任务1：配置安全中心

　　转到CL1客户端计算机，在命令提示符下面运行：gpedit.msc

　　在“本地组策略编辑器”，展开左侧的树状列表“计算机配置”、“管理模板”、“Windows组件”、“安全中心”。

任务2：启用客户端NAP强制

　　以管理员身份运行“命令提示符”，然后输入：napclcfg.msc

　　在命令提示符下面继续输入：services.msc

　　修改名为“Network Access Protection Agent”的服务，将启动类型改为“自动”，然后启动这个服务。

NAP Agent的描述：网络访问保护(NAP)代理服务收集和管理网络上客户端计算机的健康信息。NAP 代理收集的信息用于确保客户端计算机具有所需的软件和设置。如果客户端计算机与健康策略不兼容，则可以为其提供受限的网络访问权限，直至更新其配置。根据健康策略的配置，可能自动更新客户端计算机，以便用户可以迅速重新获取完全网络访问权限，无须手动更新他们的计算机。 

任务3：移动客户端到Internet

　　打开“网络和共享中心”、“更改适配器设置”，将名为“Contoso”的网络连接禁用，然后启用名为“Public”的网络连接。

　　检查网络是否畅通。在命令提示符下面输入：

Ping 131.107.0.253

 

任务4：创建一个***连接

　　参照Lab5、练习2、任务3的操作步骤，创建一个名为“Contoso ***”的网络连接。

　　修改此连接的属性。

说明：在“受保护的EPA 属性”窗口，注意勾选“受信任的根证书颁发机构”，否则会出现以下错误。

 

　　如果不勾选根证书，而是勾选下方的“不提示用户验证服务器或受信任的证书授权机构”，则出现以下错误。

 

任务5：测试***连接

　　连接***，

 　　在命令提示符下面运行以下命令：

C:\Windows\system32>ipconfig/all Windows IP 配置    主机名  . . . . . . . . . . . . . : CL1    主 DNS 后缀 . . . . . . . . . . . : contoso.com    节点类型  . . . . . . . . . . . . : 混合    IP 路由已启用 . . . . . . . . . . : 否    WINS 代理已启用 . . . . . . . . . : 否    DNS 后缀搜索列表  . . . . . . . . : contoso.com    系统隔离状态  . . . . . . . . . . : 未限制 PPP 适配器 Contoso ***:    连接特定的 DNS 后缀 . . . . . . . :    描述. . . . . . . . . . . . . . . : Contoso ***    物理地址. . . . . . . . . . . . . :    DHCP 已启用 . . . . . . . . . . . : 否    自动配置已启用. . . . . . . . . . : 是    IPv4 地址 . . . . . . . . . . . . : 192.168.1.103(首选)    子网掩码  . . . . . . . . . . . . : 255.255.255.255    默认网关. . . . . . . . . . . . . : 0.0.0.0    DNS 服务器  . . . . . . . . . . . : 192.168.1.1    TCPIP 上的 NetBIOS  . . . . . . . : 已启用 以太网适配器 Public:    连接特定的 DNS 后缀 . . . . . . . :    描述. . . . . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection    物理地址. . . . . . . . . . . . . : 00-0C-29-90-6B-07    DHCP 已启用 . . . . . . . . . . . : 否    自动配置已启用. . . . . . . . . . : 是    IPv4 地址 . . . . . . . . . . . . : 131.107.0.21(首选)    子网掩码  . . . . . . . . . . . . : 255.255.255.0    默认网关. . . . . . . . . . . . . : 131.107.0.254    TCPIP 上的 NetBIOS  . . . . . . . : 已禁用

　　再转到CL1客户端计算机，关闭Windows防火墙。再重新连接***。此时是受限制的连接。

C:\Windows\system32>ipconfig/all Windows IP 配置    主机名  . . . . . . . . . . . . . : CL1    主 DNS 后缀 . . . . . . . . . . . : contoso.com    节点类型  . . . . . . . . . . . . : 混合    IP 路由已启用 . . . . . . . . . . : 否    WINS 代理已启用 . . . . . . . . . : 否    DNS 后缀搜索列表  . . . . . . . . : contoso.com    系统隔离状态  . . . . . . . . . . : 受限的 PPP 适配器 Contoso ***:

　　此时，安全中心可以看到以下警告信息。

 

说明：如果客户端未启动NAP Agent服务时，可能出现以下错误