-〉“Windows安全健康验证程序”-〉“设置”-〉“默认配置”,只选择“已为所有网络连接启用防火墙”,取消其他选项框,如图1-58所示。
图1-58 系统健康验证程序的设置
第七,在左边的树中,展开可以在“策略”下查看产生的策略。必要时可以修改这些策略,如图1-59所示。
图1-59 策略示意图
(3)设置DHCP服务器
第一步,将DHCP服务器加入gdsspt.net域。
第二步,安装DHCP服务器及网络策略服务器。安装时,DHCP选项使用默认值,作用域的名称及范围自己设定。禁用DHCPv6无状态模式。
第三步,设置DHCP作用域的NAP设置。
首先,通过DHCP作用域的“属性”对话框,选择“网络访问保护”标签-〉“对此作用域启用”-〉“使用默认网络访问保护配置文件”。如图1-60所示。
图1-60 DHCP作用域的NAP设置
其次,设置不健康客户端的选项(健康客户端的作用域选项在安装DHCP服务器时已经设置了)。在“作用域选项”上单击右键-〉“配置选项”-〉“高级”标签下,选择“默认的网络访问保护级别”-〉选择“006 DNS服务器”-〉在“IP地址”处设置IP地址。如图1-61所示。继续选择“015 DNS域名,输入restricted.gdsspt.net,如图1-62所示。最后完成后,可以看到针对健康与不健康NAP客户端分别有两个不同的选项设置。如图1-63所示。
图1-61 作用域选项设置(1)
图1-62 作用域选项设置(2)
图1-63 作用域选项设置完成后的效果图
第四步,RADIUS代理服务器设置。将DHCP服务器设置为RADIUS代理服务器的步骤为: 首先,创建远程RADIUS服务器组。在网络策略服务器中右击“远程RADIUS服务器”-〉“新建”-〉设置组名,添加NAP服务器的IP地址。如图1-64所示。
图1-64 添加RADIUS服务器地址示意图
其次,在“身份验证/记账”标签,输入与“NAP健康策略服务器”端相同的密码。如图1-65所示。
图1-65 设置NAP健康策略服务器验证密钥
第三,在左边的“连接请求策略”文件夹,在右边的“Use Windows authentication for all users”的属性中,单击标签“设置”,在“身份验证”-〉“将请求转发到以下远程RADIUS服务器组进行身份验证”-〉使用刚才创建的远程RADIUS服务器组“NAP健康策略服务器”。如图1-66所示。
图1-66 设置RADIUS代理服务器的身份验证
(4)NAP客户端的DHCP测试
由于客户端Win7未启用与NAP有关的功能,属于不支持NAP的客户端,故当它向DHCP申请IP时,尽管可以成功,但所获得的DHCP选项是受限制的那组选项。如图1-67所示,DNS后缀是restricted.gdsspt.net,子网掩码为255.255.255.255。同时客户端不能和DC和NAP健康策略服务器通信。