Windows Server 2012 DHCP整合NAP環境建置(二)NAP健康伺服器設定

設定NAP健康伺服器設定

安裝網路原則伺服器 :
伺服器管理員 > 點選[新增角色及功能]

NPS1

出現[新增角色及功能]精靈 > 點[下一步]
出現安裝類型,選擇「角色型或功能型安裝」項目後按[下一步]
目的地伺服器頁面中,請選擇[從伺服器集區選取伺服器項目],點選要安裝NPS目標伺服器角色的主機

NPS3

在選取伺服器角色頁面 > 將[網路原則與存取服務]勾選起來,勾選時會跳出新增相依角色視窗請按[新增功能]即可

NPS4

後續頁面沒有需要特別選取所以一直點選[下一步]即可,最後點選[安裝]就會開始安裝網路原則與存取服務

NPS5

設定NAP健康伺服器:

如果要手動設定相關步驟較為繁瑣所以可以透過精靈設定方式來設定,設定完畢後在做後續的微調

在伺服器管理員 > 工具 > 點選 [網路原則伺服器] 即可開始設定

NPS6

開啟主畫面後 > 標準設定區塊 > 選擇 [網路存取保護] > 點選 [設定NAP]

NPS7

網路連線方式選擇 > 動態主機設定通訊協定(DHCP)

NPS8

指定NAP強制點也就是DHCP伺服器

點選新增 > 輸入名稱、IP (192.168.1.2) 、共享密碼 > 點選確認

NPS9NPS10

新增完畢(如下圖)後 > 點選 [下一步]

NPS11

指定DHCP領域,因為會透用DHCP主機上的領域設定所以直接點選下一步即可

NPS12

設定電腦群組:

如果有需要特別設定某些電腦群組套用可在此設定

NPS13

補救伺服器設定 : 此設定是讓不符合健康原則的電腦可以連線的伺服器可以讓NAP用戶來修正不符合健康原則的部份如未安裝防毒軟體等.. 此範例先不設定,在測試部份時再來設定

NPS14

定義NAP健康原則

確認 [Windows 安全性健康情況驗證程式] [啟用用戶端電腦的自動修復功能][拒絕NAP不符合用戶端電腦擁有完整網路存取權]此三項有勾選起來,後續在測試時會在測試將自動修復功能關閉的效果

NPS15

點選[完成],NAP設定精靈就會自動建立健康原則,連線要求原則,網路原則

NPS16

調整系統健康情況驗程式(SHV)

示範設定所有NAP用戶端必須啟用防火牆設定才算是符合健康原則

網路存取保護>系統健康情況驗程式>Windows安全健康情況驗證程式 > 設定

滑鼠點擊右側 > 預設設定

NPS17

在win8 選項中,指勾選 [所有網路連線都啟用防火牆]其他都不用勾

NPS18

檢視連線要求原則

點選[原則] > 連線要求原則

右邊視窗就會看到設定精靈設定的一條 [NAP DHCP]原則,且自動將順序調整至1,若沒有請手動調整順序,主要是讓該原則優先處理

NPS19

由於NAP伺服器也會擔任RADIUS Server,點擊該規則,到[設定]標籤頁面,驗證的部分就會看到設定為[驗證這個伺服器上的要求]。

NPS22

檢視網路原則

點選[原則] > 網路原則

設定精靈建立了三條規則,分別[符合][不符合]NAP標準以及[不支援NAP]

NPS20

網路原則部分是設定給予用戶端使用的權限,如點選符合標準的原則可以看到是允許擁有完整網路存取權 ,若用戶突然將自己本機健康檢查選項停用(如關閉防火牆),因為此原則有勾選[自動修復]所以會自動將用戶端防火牆開啟

NPS24

若是點選不符合標準原則會看到[允許有限的存取]

0142

另外還有一條不支援NAP的原則(如下圖),此設定是指無法傳送健康狀態(SOH)的用戶端,如果用戶是win8但是尚未將network access protection agent啟用也是歸類於不支援NAP用戶。

NPS75

檢視健康原則

點選[原則] > 健康原則

設定精靈會自動建立兩條原則,此原則就是來檢查用戶端須符合哪些要素

NPS25

點選符合NAP DHCP原則,就可以看到該原則選項是設定是前面步驟SHV的設定,SHV目前只有設定一個也就是用戶端需要啟動防火牆才算符合健康標準。

NPS26

點選NAP DHCP不符合標準原則,建議的選項是用戶端檢查一個項目未通過就列為不符合標準會比較嚴謹

NPS74

以上就完成了NAP健康伺服器設定

相關連結

1.Windows Server 2012 DHCP整合NAP環境建置(一)NAP簡介



本篇瀏覽人數: 3616
分類: Windows Server 2012 筆記。這篇內容的永久連結

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *