三、IPsec NAP工作过程简述

　　1、 NAP客户端发送当前健康状态至HRA(健康注册颁发机构);

　　2、 HRA发送客户端的健康状态至健康策略服务器(NPS);

　　3、 健康策略服务器评估客户端的当前健康状态信息，以决定其是否符合健康策略，并把结果发回给SHA，如果不符合，在发回的消息中也包含健康补救(Remediation) 的指令;

　　4、 如果符合健康策略，则HRA为NAP客户端分发健康证书，则客户端可以使用此证书与其他符合健康策略的计算机开始初始化IPSEC连接;

　　5、 如果不符合健康策略，HRA通知NAP客户端如何校正其健康状态并不发给客户端健康证书，因此客户端不能初始化IPSEC连接，但是客户端可以与补救服务器通信，以校正客户端的健康状态;

　　6、 NAP 客户端发送相关的更新请求至补救服务器;

　　7、 补救服务器提供符合健康策略的更新给NAP 客户端，NAP客户端更新其健康状态;

　　8、 NAP客户端发送其更新过的健康状态信息至SHA，SHA发送客户端的健康状态信息至NAP健康策略服务器;

　　9、 假设其符合健康状态策略，则发送结果至SHA，并颁发健康证书给客户端，客户端可以使用此证书开始IPSEC通信。

　　四、环境描述

　　此次实验依托前次Direct Access 实验环境，只需要额外添加一台NPS服务器，具体设置如下：

　　软件配置：

　　" NPS1：安装有Windows server 2008 R2的成员服务器，同时为NPS和HRA角色

　　小贴士：NPS为网络策略服务器，可以为客户端运行状况、连接请求身份验证和连接请求授权创建并强制使用组织范围的网络访问策略。

　　HRA为健康注册机构，作为一个注册机构，HRA 负责验证客户端凭据，然后将证书申请转发到代表客户端的证书机构 (CA)。通过检查网络策略服务器 (NPS)，HRA 可验证证书申请以确定 NAP 客户端是否与网络健康要求兼容。

　　网络配置：

　　" NPS1：10.0.0.4/24(CIDR表示法，同255.255.255.0)

　　NAP软件需求：

　　" NAP服务器：Windows Server 2008或更高版本。

　　" NAP客户端：Windows XP SP3或更高版本，Windows Vista Business或更高版本，Windows 7或更高版本。

　　" Active Directory：至少有基于Windows server 2003 的DC，并为GC角色.

　　注意：此环境中所有服务器均使用Windows server 2008 R2企业版，客户端使用Windows 7旗舰版。