如果设置了客户端必须安装杀毒软件,则客户端如果没有安装,将不能达到安全要求,将会显示网络受限的提示。如图1-76所示。
图1-76 网络访问保护警告信息示意图
如果安装了杀毒软件(必须和Windows安全中心兼容),则WSHA将对系统进行检查,发现系统满足安全要求,从而网络将不会限制。如图1-77所示。
图1-77 修复客户端示意图
2、VPN NAP配置 (1)环境设置
如图1-53,域gdsspt.net内的DC同时是DNS服务器和DHCP服务器,由于VPN NAP需要使用PEAP协议(Protected Extensible Authentication Protocol,允许用户自定义的一种身份验证协议,Windows Server 2008 R2支持这种协议,客户端连接802.1x无线基地台、802.1x交换机、VPN服务器与远程桌面网关等访问服务器时,常使用该协议)中的PEAP-MS-CHAPv2(PEAP挑战-应答方式)验证方法,所以它也是一台企业根证书服务器。NAP健康策略服务器同时也是RADIUS服务器,用来接收VPN服务器所发来的NAP客户端健康状况。NAP强制执行点是VPN服务器,同时也是RADIUS客户端,它会通过RADIUS协议将VPN NAP客户端的健康情况发给NAP健康策略服务器,同时它也是DHCP中继代理,因此需要配置双网卡。客户端Win7暂时放置在内部网络,然后再移到外部网络作为VPN客户端。
同1,如果在VMware中完成实验,可以将4台计算机放置在一个组中,给各个计算机设置合适的IP地址。然后测试计算机之间的连通性。
(2)配置DC,同时安装DHCP服务器和企业根CA。
在“添加角色”中,同时选择“Active Directory证书服务”和“DHCP服务器”。DHCP作用域名称自定,范围与DC在同一范围(取值自定),禁用DHCPv6,其它使用默认选项。
企业根CA的设置全部使用默认选项,完成后点击“安装”。如图1-78所示。
图1-78 安装DHCP和证书服务 (3)架设NAP健康策略服务器
第一步,将NAP服务器加入域gdsspt.net。 第二步,安装“网络策略服务器”。
第三步,为NAP健康策略服务器申请计算机证书。 首先,通过MMC控制台,从“文件”-〉“添加/删除管理单元”-〉将“证书”下的“计算机账户”添加进控制台。
图1-79 添加证书管理单元
其次,在“证书”-〉“个人”-〉“所有任务”-〉“申请新证书”。如图1-80所示。
图1-80 申请新证书示意图 第三,使用默认选项,单击“下一步”,选中“计算机”-〉“注册”-〉“完成”。完成后,可以看见NAP健康策略服务器的证书。如图1-81所示。
图1-81 申请的证书示意图
第四步,设置NAP健康策略服务器 首先,在“管理工具”-〉“网络策略服务器”-〉“网络访问保护(NAP)”-〉“配置NAP”-〉“虚拟专用网络(VPN)”。
其次,在“选择RADIUS客户端”中设置扮演NAP强制执行点角色的VPN服务器,这里需为RADIUS客户端命名,输入其IP地址(VPN服务器内网卡的IP地址)、设置密码(在RADIUS客户端也必须设置相同的密码)。如图1-82所示。
图1-82 设置RADIUS客户端示意图
第三,其余使用默认值,然后“完成”配置。
第四,在“RADIUS客户端”的属性对话框的“高级”标签下,设置供应商名称为“Microsoft”。如图1-83所示。
图1-83 VPN服务器属性设置
第五,在左边的“网络访问保护”-〉“系统健康验证程序”-〉“Windows安全健康验证