图1-67 客户端申请IP示意图
(5)将域控制器指定为NAP更新服务器
通过将DC作为NAP更新服务器,让不健康的客户端与不支持NAP的客户端都可以连接域控制器,以便之后可以加入域,然后通过域的组策略自动设置客户端的NAP设置值,让这些客户端变成健康的客户端。步骤为:
首先,在NAP健康策略服务器上的“策略”-〉“网络策略”-〉“NAP DHCP不符合”,在其属性对话框中,单击“设置”标签,选中“NAP强制”-〉“配置”-〉“新建组”,输入组名,然后“添加”,将入的域控制器取一个友好的名字,输入IP地址,单击解析。如图1-68所示。
图1-68 设置NAP更新服务器
其次,设置“NAP DHCP不支持NAP”属性。在“设置”标签下,单击“NAP强制”-〉“配置”下,在“更新服务器组”中选择刚才新建的服务器组名。完成后如图1-69所示。
图1-69 设置NAP DHCP不支持NAP的属性
第三,通过上述设置后,可以测试DHCP NAP客户端可以和域控制器进行通信。(需要重新申请IP地址,然后通过ping命令测试)
(6)将NAP客户端加入域后的DHCP测试
首先,需要在DC上新建安全组。这里在计算机系OU中创建安全组,组名为NAP客户端。如图1-70所示。
图1-70 创建域的组
其次,在计算机系OU上创建组策略对象(名称自定),然后进行编辑。这里有3处需
要设置,一是“计算机配置”-〉“策略”-〉“Windows设置”-〉“系统服务”中的“Network Access Protection Agent”的启动类型改为自动;二是在“安全设置”-〉“网络访问保护”-〉“NAP客户端设置”-〉“强制客户端”中的“DHCP隔离强制客户端”的状态设置为启用;三是将“计算机配置”-〉“策略”-〉“管理模板”-〉“Windows组件”-〉“安全中心”中的“启用安全中心(仅限域PC)”的状态设置为启用。
第三,将此组策略设置到组“NAP客户端”,同时删除“Authenticated Users”,如图1-71所示。
图1-71 将组策略应用于安全组
(7)将NAP客户端加入域
将Win7客户机加入域gdsspt.net域的计算机系OU中,然后再加入NAP客户端组内。如图1-72所示,是NAP客户端计算机自动“Network Access Protection Agent”服务。通过命令“netsh nap client show grouppolicy”可以查看DHCP隔离强制客户端的策略已经启用,如图1-73所示。也可以使用命令“netsh nap client show state”来检查客户端DHCP隔离强制客户端的状态,如图1-74所示。
图1-72 客户端自动启动网络访问保护服务
图1-73 查看DHCP隔离强制客户端策略启用
图1-74 查看DHCP隔离强制客户端的状态
(8)验证NAT DHCP客户端自动更新是否正常
将客户端的Windows防火墙关闭,验证NAP自动重新打开客户端的Windows防火墙。由于Windows Security Health Agent(WSHA)会自动打开Windows防火墙,所以当防火墙关闭时,系统会立刻自动变回启用状态。
也可以设置策略要求客户端计算机必须启用防病毒软件,否则即视为不健康客户端。如图1-75所示,在NAP健康策略服务器上通过“网络访问保护”-〉“系统健康验证程序”-〉“Windows安全健康验证程序”-〉“设置”-〉“默认设置”中,添加“防病毒应用程序已启用”。
图1-75 设置客户端必须启用杀毒软件示意图